Киберучения: как отработать реагирование на атаки хакеров на полигоне

Национальный полигон Ростелеком-Солар на сегодняшний день является основным инструментом проверки кибербезопасности в России. Он позволяет проводить масштабные кросс-отраслевые корпоративные учения, охватывающие отработку всех ключевых процессов служб информационной безопасности - от анализа защищенности и выстраивания системы комплексной безопасности инфраструктуры до выявления и отражения хакерских атак. О том, как создавался и функционирует киберполигон, а также об учениях, недавно проведенных на киберполигоне совместно с Security Vision, редакции CNews рассказала Анна Олейникова, заместитель директора департамента «Национальный полигон» по развитию бизнеса, Ростелеком-Солар.

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
    • ГлавнаяНовостиНовостиНовости, 202111Новости, 202111 → Киберучения: как отработать реагирование на атаки хакеров на полигоне
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Анна Олейникова: Идея создания киберполигона зародилась еще в лаборатории кибербезопасности АСУТП Ростелеком-Солар. Создание киберполигонов - тренд последних лет в ведущих странах по всему миру. Их используют военные, правительства, крупные корпорации и образовательные центры - и неудивительно, учитывая острый дефицит квалифицированных кадров в области кибербезопасности. Мы в Ростелеком-Солар каждый день противостоим киберпреступникам и видим, что они постоянно совершенствуют методы своей «работы». Если мы в ответ не будем регулярно учиться и развиваться, то просто безнадежно отстанем и в итоге проиграем кибервойну.

Анна Олейникова: Идея создания киберполигона зародилась еще в лаборатории кибербезопасности АСУТП Ростелеком-Солар

Наш киберполигон состоит, по сути, из пяти крупных блоков: разработанной нами платформы для киберучений «Кибермир», подсистемы автоматизированного проведения кибератак, подсистемы автоматической оценки действий участников, эмуляции технологических и бизнес-процессов и подсистемы инфраструктуры. Сама инфраструктура в свою очередь включает виртуальные образы, реальное физическое оборудование и полунатурное моделирование. В совокупности все эти элементы позволяют нам не просто выдавать участникам какую-то ригидную информацию, а погружать их в интерактивную среду с актуальными именно для их специализации и отрасли атаками.

СNews: Заявляется, что основная задача киберполигона - это системное развитие и практическая подготовка кадров в области ИБ. Много ли киберучений проведено с момента создания? Кто стал основными участниками?

Анна Олейникова: С момента запуска весной 2021 года мы провели уже более 50 киберучений самого разного масштаба. К концу этого года число обученных нами специалистов превысит 600 человек - это и представители министерств, и сотрудники коммерческих корпораций, и начинающие ИБ-специалисты и студенты. Мы проводили и штабные киберучения для топ-менеджмента - учения в формате «деловых игр» по принятию верных решений в кризисных ситуациях, и чисто практические тренировки для ИБ-экспертов, и смешанные учения. Последний вариант лучше всего помогает отработать командное взаимодействие - как реагируют все сотрудники компании (от секретаря до генерального директора) на инцидент кибербезопасности.

СNews: Недавно совместно с Security Vision на базе киберполигона были проведены киберучения ИБ-специалистов Минэнерго. Как возникла идея совместного проекта? Чем он был обусловлен? Какие задачи решались? Учитывалась ли отраслевая специфика?

Анна Олейникова: Идея использования средств автоматизации расследования инцидентов возникла давно, так как это полноценный инструмент служб ИБ, использующийся в реальных инфраструктурах. В процессе предыдущих кибер-учений участники оставались наедине с SIEM системой и, учитывая ограниченные временные ресурсы, на полноценную обработку инцидента просто не оставалось времени. Как увязать разрозненные события в единую хронологию инцидента? Как получить дополнительные данные с целевых систем? Как вовремя выполнить сдерживание и подготовить отчет в нужной форме? Для всего этого современные SOC используют SOAR системы. Security Vision давно и хорошо зарекомендовала себя на рынке систем подобно класса. Так что появление продуктов Security Vision в арсенале защитников киберполигона оказалось как нельзя кстати.

Киберучения для Министерства энергетики были в первую очередь направлены на отработку межкомандного взаимодействия и на усовершенствование управления в кризисных ситуациях. Для учений использовалась специфическая инфраструктура электроэнергетического предприятия и реальное оборудование - все это позволило участникам киберучений отточить максимально полезные для ежедневной работы навыки и получить актуальные знания.

СNews: Как разделились обязанности команд Ростелеком-Солар и Security Vision при подготовке и реализации проекта?

Анна Олейникова: В рамках киберучения была внедрена система автоматического реагирования на инциденты от Security Vision, которая помогла участникам киберучений расследовать кибератаки и производить взаимодействие с координирующим центром. Как результат, по завершении мероприятия некоторые компании попросили поближе познакомить их с решениями этого класса с целью последующего внедрения IRP в операционную деятельность службы информационной безопасности.

Помимо внедрения вендорских решений мы работали в направлении сутевой составляющей мероприятия: совместно обсуждали и разрабатывали сценарии атак, методы детектирования и форму предоставляемой участниками отчетности.

Это был интересный опыт: мы обменялись с коллегами экспертизой в области актуальных кибератак; спорили, что будет интереснее для участников и в процессе длительных мозгоштурмов находили «то самое» решение. Простую, но не всегда осязаемую идею, которая может родиться лишь в команде единомышленников с глубокой степенью вовлеченности в свое дело. Все это позволило сделать сценарий, который мы реализовали на киберучениях, более интересным и приближенным к реальным инцидентам компьютерной безопасности.

СNews: Расскажите о ходе киберучений. Какие цели были в итоге достигнуты?

Анна Олейникова: Киберучения делились на два больших блока - работу экспертов ИБ по выявлению атак и работу отраслевого координационного центра. По сценарию хакеры решили нарушить штатную работу энергоснабжения вымышленного региона, который разделили на 7 районов. За защиту каждого района отвечала одна команда участников - они должны были не только выявить атаки, но и сохранить работоспособность электросети в своем районе. Координационный центр, в который вошли представители НКЦКИ, Минэнерго и Ростелекома, анализировал поступающие от команд данные об инцидентах, информировал участниках об угрозах и давал рекомендации.

Что касается целей, мы можем с уверенностью сказать, что все участники киберучений стали больше понимать, какие действия от них требуются с точки зрения взаимодействия с отраслевым координационным центром в случае ИБ-инцидента - грубо говоря, «куда бежать» и «зачем это надо». Они потренировали навыки мониторинга и получили практический опыт взаимодействия с координационным центром. Теперь, если в их организации произойдет ИБ-инцидент, они будут знать, с кем и как взаимодействовать и какие данные необходимо передать для того, чтобы обеспечить полноту и достоверность информации.

Анна Олейникова: Да, конечно. На текущий момент времени мы прорабатываем применение перспективных технологий мониторинга и реагирования на компьютерные инциденты. Помимо этого, мы работаем совместно в направлении расширения библиотеки сценариев атак и, я думаю, самое интересное, что мы можем вам представить, еще впереди. Приходите к нам, чтобы увидеть.

В России произвели первую партию серверов «Яндекса»

«Яндекс» с партнерами выпустил первую партию серверов, изготовленных в России. Они основаны на базе разработанного в «Яндексе» сервера четвертого поколения. Такие серверы используют в дата-центрах для расширения облачной платформы Yandex.Cloud и в су...

Москва заняла второе место на международном конкурсе Global ICT Excellence Awards

Правительство Москвы заняло второе место среди государственных структур на международном конкурсе Global ICT Excellence Awards в номинации «Стартап-экосистема». Награду получают организации, реализовавшие наиболее успешные проекты поддержки стартапов...

Отряд «ЛизаАлерт» и билайн подводят итоги использования совместных технологий

Поисково-спасательный отряд «ЛизаАлерт» и билайн подвели итоги высокого поискового сезона 2021 года. ...

Роскомнадзор раскрыл компании, подпавшие под закон о «приземлении»

В реестр попали 13 компаний и принадлежащие им ресурсы, в том числе Google, Meta, Twitter и другие. Согласно закону о «приземлении» ИТ-гиганты должны открыть в России филиал или юрлицо и зарегистрироваться на сайте Роскомнадзора Alphabet ...

Как сэкономить время при покупке полиса для квартиры

Компания «АльфаСтрахование» при поддержке билайн запустила возможность автозаполнения клиентских данных с помощью «Мобильного ID» при покупке полиса для квартиры. Это вдвое сократило время оформления страховки. ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202111Новости, 202111 → Киберучения: как отработать реагирование на атаки хакеров на полигоне