Кибербитва красных и синих

В масштабной «Кибербитве» приняли участие команды по реагированию на кибератаки (Cyber Incident Response Team, CIRT) крупных компаний, ведущих банков, органов государственной власти, а также студенты профильных специальностей и эксперты рынка информационной безопасности. Мероприятие прошло в рамках VIII ежегодного SOC-форума, посвященного практике противодействия кибератакам и построения центров мониторинга информационной безопасности (Security Operations Center, SOC). Киберучения организовали специалисты компании «РТК-Солар».

Соревновались восемнадцать команд, причем участники разбились на две равные группы: одна половина — Red Team — примерила на себя роль атакующих, другая — Blue Team — защищалась. Сражались представители таких компаний, как TSARKA, Россельхозбанк, Angara Security, «ИБ Реформ» и ряда других организаций из банковской, нефтегазовой и электроэнергетической отраслей. Отдельные команды были от международного сообщества экспертов по практической кибербезопасности Codeby.net и российских университетов ИТМО, РГГУ и СПбГУТ. Одни участники располагались на площадке форума, другие подключались к киберучениям в дистанционном формате.

Руководитель отдела анализа защищенности компании Angara Security Сергей Гилев

Пресс-служба компании Angara Security

Максимальное приближение к реальности

Атакующие и защитники боролись за контроль над IT-инфраструктурой в течение восьми часов. Каждая «синяя» команда защищала свою виртуальную организацию: банк, нефтегазовую компанию или предприятие электроэнергетики. Специально для проведения киберучений эксперты «РТК-Солар» смоделировали цифровые двойники типовых инфраструктур предприятий и воссоздали на них производственные и бизнес-процессы, которые происходят в реальности.

К началу противостояния все объекты находились в защищенном и работоспособном состоянии. Первыми доступ к инфраструктуре получили «синие»: им предстояло оперативно реализовать меры по повышению ее кибербезопасности. Затем в игру вступили атакующие, от которых требовалось максимально быстро преодолеть защиту и перехватить контроль над хостами, установив на них специальный «флаг». «Красные» могли атаковать инфраструктуры сразу нескольких «синих», однако у каждой из команд была приоритетная цель, за успешные атаки на которую можно было получить вдвое больше баллов.

Среди защитников первенство завоевала команда False Positive из компании «ИБ Реформ». Ее участники оперативно реагировали на все инциденты и быстро восстанавливали доступ к захваченным хостам, поэтому никому из атакующих не удавалось удерживать на них свои «флаги».

На стороне атакующих победу одержала команда компании Angara Security, предоставляющей услуги в области информационной безопасности, участника проекта «Национальные чемпионы». По словам представителей Angara Pentest Team, они получили бесценный опыт, когда вели сражение за доступ к инфраструктуре, пусть и вымышленной, которую защищали в реальном времени настоящие команды защиты.

«В этом году нашу компанию представляла команда отдела, который занимается тестированием на проникновение корпоративных инфраструктур и техническим анализом, поэтому выбор стороны для нас был очевиден, — рассказал “Стимулу” руководитель отдела анализа защищенности Angara Security Сергей Гилев. — А специфика этой роли — скомпрометировать целевую инфраструктуру через те уязвимости и недостатки, которые может найти злоумышленник в реальных ситуациях. Все эти действия отслеживают защитники и могут прервать их в течение нескольких минут или даже секунд после обнаружения подозрительной активности. Поэтому действовать приходится осторожно и продумывать пути отступления в режиме реального времени».

В масштабной «Кибербитве», которая прошла на Национальном киберполигоне, приняли участие команды крупных компаний, ведущих банков, органов государственной власти, а также студенты профильных специальностей и эксперты ИБ-рынка

Медиа Группа «Авангард»

Кибератаки на Россию

Ландшафт киберугроз за последние десять лет значительно усложнился. Цифровизация охватила практически все сферы жизнедеятельности людей. Информационные и автоматизированные системы непрерывно совершенствуются, промышленность постепенно переходит к киберфизическим системам, предполагающим интеграцию вычислительных ресурсов и физического оборудования.

Если оценивать ситуацию с кибератаками в России в 2022 году, то их количество кратно возросло. По словам экспертов, по-прежнему много нападений совершается с целью финансовой выгоды, при этом сейчас на их фоне заметно выделяются политически мотивированные киберпреступления, цель которых — нанести ущерб инфраструктуре. В начале года превалировали массовые сканирования и типовые инциденты, сейчас же становится больше точечных, сложных атак, направленных на конкретные отрасли. В первую очередь злоумышленники фокусируются на государственных IT-ресурсах и критической информационной инфраструктуре.

Директор департамента Национального киберполигона компании «РТК-Солар» Евгений Акимов

Пресс-служба компании «РТК-Солар»

«С усложнением ландшафта угроз за последнее десятилетие изменился и подход компаний к кибербезопасности, — считает директор департамента Национального киберполигона компании “РТК-Солар” Евгений Акимов. — Если раньше организации сосредотачивались на развитии процессов информационной безопасности, то сегодня на первое место выходят навыки ИБ-специалистов. Потому что даже если в компании есть сценарии реагирования на тот или иной тип инцидентов, для их четкой и быстрой отработки в момент атаки важно заранее тренироваться применять существующие сценарии реагирования. Киберполигон дает специалистам такую возможность».

Повысить киберустойчивость

Национальный киберполигон запущен в 2020 году, это один из крупнейших проектов по информационной безопасности. Его создал и развивает «Ростелеком» на базе ресурсов дочерней компании «РТК-Солар» в рамках национального проекта «Цифровая экономика».

Национальный киберполигон представляет собой цифровые копии инфраструктур предприятий ключевых отраслей. Типовая схема сетевой инфраструктуры частично моделируется с помощью реального оборудования, а частично — с помощью математических моделей. Например, электрическая подстанция может быть представлена реальными микропроцессорными устройствами (терминалами релейной защиты), серверами автоматизированных систем управления и другим вторичным оборудованием, а сами физические процессы, происходящие в электрической сети, реализованы с помощью компьютерной модели.

Основные задачи киберполигона — подготовка высококвалифицированных кадров, повышение квалификации и переподготовка специалистов в сфере информационной безопасности. Проект призван повысить готовность предприятий выявлять и отражать кибератаки, максимально быстро восстанавливаться после нападений и тем самым усилить киберустойчивость страны.

Обучение и отработка навыков защиты от киберугроз проходят в центрах, создаваемых на базе профильных вузов. На данный момент действует восемь учебных площадок: в Дальневосточном федеральном университете, Научно-технологическом университете «Сириус», Сибирском государственном университете телекоммуникаций и информатики, Национальном исследовательском университете ИТМО, Санкт-Петербургском государственном университете телекоммуникаций им. проф. М. А. Бонч-Бруевича, Поволжском государственном университете телекоммуникаций и информатики, Московском техническом университете связи и информатики и Оренбургском государственном университете.

В киберучениях, которые состоялись в рамках Петербургского международного экономического форума, приняли участие представители Вьетнама и Пакистана, а также государств СНГ Азербайджана, Беларуси, Казахстана и России

Пресс-служба компании «РТК-Солар»

«Дефицит квалифицированных специалистов сохраняется на протяжении последних нескольких лет и продолжает нарастать. По различным оценкам, отрасли не хватает порядка 20–50 тысяч ИБ-специалистов ежегодно. Проблема в том, что количество кибератак постоянно увеличивается, а классический подход к образованию не позволяет угнаться за потребностями рынка. Ответом на этот вызов и стало создание в России Национального киберполигона, который дает студентам возможность еще во время учебы в вузе развивать навыки защиты от киберугроз», — отметил Евгений Акимов.

С киберполигоном сотрудничают компании «Лаборатория Касперского», «Диасофт», ISimpleLab, «Антифишинг», Т8, MasterSCADA, Tsoft и другие. Они предоставляют свои решения для цифровых двойников, имитирующих инфраструктуру организаций различных сфер.

На базе Национального киберполигона действует программа по поиску уязвимостей в программном и аппаратном обеспечении — bug bounty, уже проведен ряд успешных исследований, большинство из которых носят закрытый характер. В настоящее время расширяется круг производителей, предоставляющих свои решения для тестирования.

В рамках bug bounty эксперты исследовательской лаборатории киберполигона проверяют решения, предоставленные производителями для тестирований, на наличие уязвимостей. Вся информация, собранная по итогам исследований, передается вендорам для устранения ошибок. Таким образом, крупнейшие российские разработчики могут проверить безопасность своих продуктов в условиях, максимально приближенных к ситуации реальных кибератак, а эксперты киберполигона — расширить количество сценариев для киберучений. Программа стартовала в июне 2021 года, и первым ее участником стала компания — национальный чемпион «Код безопасности», один из ключевых российских производителей средств криптографической защиты информации.

«Мы и сейчас продолжаем сотрудничество с киберполигоном, поскольку нас привлекает основной смысл bug bounty-программ, то есть поиск различных уязвимостей, проблем, некорректной работы продуктов, — рассказал “Стимулу” коммерческий директор компании “Код безопасности” Федор Дбар. — Сотрудничество с киберполигоном помогает нам тестировать наши решения и получать на выходе перечень найденных недочетов. После этого мы их устраняем и, соответственно, повышаем надежность IT-инфраструктур заказчиков, у которых установлены наши продукты».

Коммерческий директор компании «Код Безопасности» Федор Дбар

Пресс-служба компании «Код Безопасности»

За последние два года на Национальном киберполигоне проведено более ста учений. В 2022 году впервые в России тренировки прошли на международном уровне. В мероприятии, которое состоялось в рамках Петербургского международного экономического форума, приняли участие представители Вьетнама и Пакистана, а также государств СНГ Азербайджана, Беларуси, Казахстана и России.

Специалисты развернули цифровой двойник инфраструктуры энергетического объекта и разработали автоматизированные сценарии атак, которые повторяли действия реальных злоумышленников, направленные на различные российские организации. Участники киберучений на практике отработали взаимодействие в противостоянии высокопрофессиональным хакерским группировкам, цель которых — дестабилизировать социально-экономическую обстановку, спровоцировав чрезвычайную ситуацию. По легенде, серия скоординированных атак на крупный объект электроэнергетики должна была повлечь за собой масштабный блэкаут.

«Мы постоянно совершенствуем функциональные возможности нашей программной платформы и собираемся ее расширять, — говорит Евгений Акимов. — На данный момент в рамках проекта реализованы корпоративный, электроэнергетический, нефтегазовый и банковский сегменты. В наших дальнейших планах — запуск новых отраслевых сегментов, которые охватят нефтеперерабатывающую и транспортную отрасли».