8334 подписчика

Киберучения по информационной безопасности

26 марта 202426 мар 2024

46 мин

Оглавление

В каких формах проводятся киберучения, и как они классифицируются?
Для достижения каких целей организации проводят киберучения?
Каковы требования регуляторов к проведению киберучений для организаций разных отраслей?

В общем понимании киберучения представляют собой процесс отработки и оттачивания навыков по обнаружению атак и/или реагированию на ИБ-инциденты у специалистов по кибербезопасности, а также их обучение применению инструментов защиты информационных систем. В качестве одной из основных целей киберучений часто рассматривается проверка информационной системы на устойчивость к компьютерным атакам.

Если сравнивать с пентестом (тестированиями на проникновение), киберучения, прежде всего, проводятся для проверки навыков профильных специалистов и организуются по согласованному сценарию.

Редакция CISOCLUB поговорила с экспертами отрасли на тему проведения киберучений по информационной безопасности. Мы разузнали у них о наиболее актуальных формах киберучений, о целях таких мероприятий, о требованиях к ним со стороны регуляторов, о доступных в России площадках, о том, кто именно должен участвовать в киберучениях и многом другом. На вопросы ответили:

Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион».
Владимир Алтухов, руководитель технического центра «АйТи Бастион».
Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет».
Елена Молчанова, бизнес-лидер киберполигона Standoff 365.
Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft.
Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft.
Дмитрий Матвеев, руководитель Центра развития навыков кибербезопасности, Innostage.
Кирилл Селезнев, руководитель направления анализа защищенности CICADA8, центр инноваций МТС Future Crew.
Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита».
Дмитрий Малинкин, руководитель направления киберучений BI.ZONE.

В каких формах проводятся киберучения, и как они классифицируются?

Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион»: «Общепринятой классификации киберучений нет. Однако чаще всего встречаются такие виды:

Тактические или штабные игры. Данный формат нацелен на отработку процесса реагирования на инциденты и может проводиться без использования технических средств.
Киберполигон. Такие учения проводятся на базе специально созданной ИТ-инфраструктуры, имитирующей реальную, в результате чего не несут риска для бизнеса.
Киберучения или Purple-team. В данном случае команда защитников обороняет свою реальную инфраструктуру. Данный формат может нести определенные риски для бизнеса, зато он максимально приближен к реальным условиям».

Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет»:

«Киберучения могут проходить онлайн (телемост, zoom) или оффлайн. Форматы киберучений могут различаться по содержанию программы и подходу к обучению. Например, есть формат, который содержит теоретическую часть, и предполагает тренерское сопровождение, а также может включать подготовительные работы к киберучениям, предоставление дополнительных инструкций и видеозаписей для изучения нового материала, или обучение со стороны эксперта.

В иных случаях для специалистов ИБ может быть организована практическая отработка заданий без изучения теории, – такие учения проводятся автономно специалистами ИБ на имеющейся инфраструктуре. И основной задачей будет не столько изучение нового материала, сколько отработка и закрепление навыков».

Елена Молчанова, бизнес-лидер киберполигона Standoff 365:

«Традиционно, киберучения делятся на штабные и практические — хотя, справедливости ради, и в штабных часто есть совершенно прикладной компонент, и практические почти всегда предполагают расширение набора знаний участников. Так, лучшие практики проведения штабных учений — это не просто пошаговое прохождение действий в той или иной ситуации, но и использование тех или иных игровых механик. Ну а практические учения этот игровой, соревновательный компонент включают в себя почти всегда.

Наверное, самые распространенные типы практических киберучений — это симулированные фишинговые атаки и полигонные учения. И если по поводу первых ведутся давние споры “считать ли их киберучениями”, то отработка действий ИБ-специалистов на киберполигоне — это, конечно, учения в самом классическом смысле.

Такие учения, в свою очередь, могут разделяться на корпоративные (проводящиеся внутри организации), отраслевые (часто их проводит или организует отраслевой регулятор или профильное министерство; сюда же можно отнести учения внутри крупных вертикально-интегрированных холдингов), межотраслевые, национальные, межнациональные. В нашей практике регулярно встречаются и региональные учения — чаще всего это учения ИБ-служб региональных органов исполнительной власти, организованные, как правило, региональным министерством цифрового развития.

Другой важный критерий классификации — это источник атак (ведь полигонные учения — это всегда воспроизведение кибератак на воссозданную инфраструктуру; и эти кибератаки обучающиеся, “синие команды”, должны обнаружить, расследовать, а в более сложном варианте отреагировать на них или предотвратить). В подавляющем большинстве случаев атаки на киберполигонах, что называется, синтетические (заранее прописанный скрипт, по которому развивается атака). Они важны и нужны: такие автоматические атаки позволяют “наслать” атаку нужного типа и сложности в нужный момент времени (частый запрос заказчиков: “я хочу, чтобы в дежурство Васи с 1-й линии прошла такая-то атака, а я посмотрю, задетектил он ее или пропустил”). Однако высший пилотаж — организация “живых” атак со стороны высококвалифицированных исследователей безопасности (“красных”): это позволяет увидеть самые разные векторы реализации одного и того же события (на своих учениях мы часто видим более десятка разных векторов по одному событию), увидеть самые сложные и нетривиальные атаки, автоматизировать которые по определению невозможно, найти уязвимости (вплоть до zero-дней) в софте и оборудовании.

Отметим, кстати, и еще одно разделение, которое обычно упускают из вида: большинство киберучений, конечно, проводятся в течение одного или нескольких дней. Однако все чаще встречается интерес заказчиков к постоянному, продолженному формату такой подготовки, когда команды могут проверять и совершенствовать свои навыки в постоянном режиме. Это позволяет, с одной стороны, наращивать экспертизу планомерно и глубоко, а с другой — снимает массу организационных проблем: во-первых, в таких “учениях по подписке” нет необходимости отвлекать всю команду от основной работы на несколько дней, а во-вторых, позволяет быстро проводить через учения и новых членов команды (в условиях нынешней текучки ИБ-кадров это особенно важно)».

Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft:

«Существует несколько сценариев проведения киберучений, и я перечислю основные из них. Как правило, это стандартные киберучения на учебной платформе, представляющей из себя типовую инфраструктуру с готовыми сценариями, в рамках которых проводится: проверка навыков сотрудников по обнаружению и расследованию кибератак, проверка уровня подготовки команды по расследованию и противодействию инцидентов, а также полномасштабные командно-штабные учения с проверкой плана действий сотрудников из различных, смежных подразделений (ИБ, ИТ) согласно регламенту реагирования на подобные инциденты в компании».

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита»:

«Внутренние и внешние кибератаки, социальную инженерию, фишинг, а также тестирование физической безопасности. Они классифицируются по методологии, использованным инструментам, целям и уровню реалистичности имитации реальных атак».

Дмитрий Малинкин, руководитель направления киберучений BI.ZONE: «Практико-ориентированное образование в области кибербезопасности существует давно. Обычно для всего, что связано с учебными атаками, используется термин «киберучения». Их можно поделить на два типа:

Процессные киберучения, которые чаще всего проходят в формате настольных игр или квизов. Они направлены на проверку уже существующих процессов защиты, эффективности регламентов, готовности персонала к оперативному реагированию на кибератаки, а также на определение возможных целей потенциальных злоумышленников. В таких мероприятиях часто участвуют не только технические специалисты, но и топ-менеджмент компании, специалисты по продвижению, финансам и другие.
Практические киберучения, включающие в себя форматы реагирования на инциденты, отражения атак (red team vs blue team) и восстановления инфраструктуры. Практические киберучения предназначены только для технических специалистов и направлены на оценку компетенций команды кибербезопасности при отражении реальных кибератак в условиях ограниченного количества времени.

Комплексные киберучения объединяют эти два типа, а также включают обучение сотрудников кибергигиене и внутренние CTF-соревнования».

Для достижения каких целей организации проводят киберучения?

Кирилл Селезнев, руководитель направления анализа защищенности CICADA8, центр инноваций МТС Future Crew:

«Основные задачи, которые решают компании при проведении киберучений — проверка эффективности работы внутренних команд и повышение компетенций сотрудников по направлениям Red/Blue Teaming. Кроме того, есть ещё одна цель у киберучений — проверка работоспособности внедренных средств защиты в условиях реальных атак. Киберучения — это такое боевое крещение и для сотрудников ИБ, и для используемых ими технологий».

Дмитрий Матвеев, руководитель Центра развития навыков кибербезопасности, Innostage:

«Ключевая цель киберучений – существенно повысить готовность ИБ-команд противостоять реальным киберугрозам. Киберучения позволяют специалистам по информационной безопасности отработать свои навыки в условиях, максимально приближенных к реальным, отработать командную работу и правила взаимодействия, изучить новые эффективные методы предотвращения и реагирования на кибератаки, понять методы атакующих, а также познакомиться с новыми технологиями и различными инструментами защиты, которые используются на платформе обучения.

Для достижения наилучшего результата важно проходить киберучения на регулярной основе. Так как методы хакерских атак регулярно меняются, следовательно, сценарии киберучений постоянно обновляются».

Владимир Алтухов, руководитель технического центра «АйТи Бастион»:

«Цель чаще всего обусловлена желанием (или даже необходимостью) поиска “слабых” мест в инфраструктуре. Проведение киберучений — это показатель зрелости компании и понятный шаг руководства по улучшению общего состояния информационной безопасности внутри организации. Кроме того, проведение учений является отличным механизмом донесения до сотрудников компании информации о принятых политиках безопасности, ответственности за нарушения и способах защитить себя и свою информацию. Предупрежден — значит вооружен, этим принципом стоит руководствоваться при работе, особенно если последствия атаки, утечки и инцидента информационной безопасности ведут к серьезным последствиям».

Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион»: «Проведение киберучений важно при решении таких задач, как:

Обучение команды защитников в реальном времени.
Проверка готовности заказчика к отражению атак современных APT-группировок, а также к выявлению наиболее актуальных векторов атак.
Улучшение работы службы ИБ в части выявления и противодействия целевым кибератакам.
Повышение эффективности работы средств защиты информации путем их тонкой настройки, расширение диапазона обнаруживаемых атак».

Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет», заявила, что основная цель киберучений – улучшить защищенность компании. Поработать над непрерывностью бизнеса. Для понимания достижимости целей можно использовать профессиональные метрики экспертов. Например, есть специалист SOC, который расследует инцидент за 20 часов. Цель киберучений – помочь ему научиться расследовать инциденты быстрее, например, за 10 часов вместо 20-ти.

«В последнее время киберучения проходят также и в качестве тимбилдинга. Это формат своего рода развлечения для специалистов ИБ, которые в игровом формате решают интересную задачу».

Елена Молчанова, бизнес-лидер киберполигона Standoff 365: «Стандартная цель киберучений — это, конечно, отработка действий команды в условиях кибератак разной степени сложности, а также совершенствование эффективности таких действий. И тут уже начинаются развилки: а что мы понимаем под командой? Большинство наших заказчиков, конечно же, обращается к нам за киберучениями для своей ИБ-команды (а часто — и конкретно команды SOC), и кибербитва Standoff — это отличная площадка для “прокачки” такой команды.

Но мы очень ценим, когда к нам обращаются с целью отработать взаимодействия разных команд, вовлеченных в борьбу с киберугрозами и их предупреждения. Тут, конечно, наиболее важна связка “ИБ + ИТ” (а в промышленном секторе — еще и “инфраструктурщиков”, занимающихся развитием и поддержкой АСУ ТП). В ходе коротких учений отработать такое взаимодействие не всегда легко, или же все сводится скорее к командно-штабному формату (“если случается это, то вы делаете это, а вы то”). А вот в случае с более продолжительными учениями в онлайн-формате такая задача более чем реализуема.

С какими еще целями обращаются заказчики?

Распространенная цель, особенно в случае с органами государственной власти и регуляторами — это оценка квалификации служб ИБ подведомственных организаций. Некоторое время назад с таким запросом к нам обратился один отраслевой регулятор: он хотел проводить сравнительные учения, подключив к полигонным учениям несколько подведов, а на выходе получить а) сравнение, рейтинг команд, б) понимание того, кто сдал “зачет”, а кто должен дообучить команду и “прийти на пересдачу”. Внутри себя мы так и назвали этот формат — “зачет для подведов”. С тех пор крайне высокий интерес к такому формату проявляют и другие отрасли, и головные компании больших холдингов, и, кстати говоря, международные организации и организаторы межгосударственных мероприятий.

В принципе сюда же можно отнести и другой тип запросов — подтверждение профессиональной компетенции. Это нужно как провайдерам ИБ-услуг (например, коммерческим SOCам), так и in-house командам. Часто, кстати, просят сделать оценку компетенций отдельных членов команды, чтобы построить индивидуальные траектории развития сотрудников и чтобы понять, каких компетенций не хватает и надо, либо нанять нового человека, либо привлечь сторонних подрядчиков на аутсорс для закрытия имеющегося гэпа.

И еще две очень важные цели:

анализ уязвимости инфраструктуры (ПО, сервисов, оборудования): учения, конечно, не заменят других методов анализа уязвимости от пентеста до багбаунти, но отлично позволяют понять, как ведет себя инфраструктура в условиях множественных высококвалифицированных атак. Ну и понятно, что учения на своей инфраструктуре интересна и полезна и для самих обучающихся (хотя большая польза есть и в учения на “чужой инфре”),
демонстрация важности информационной безопасности для организации: это особенно важно для государственных организаций, для провайдеров ИБ-услуг, а также для компаний, для которых особенно важно доверие широкого круга пользователей (ритейл, банки, сервисы).

Про учения как инструмент выполнения требований регулятора и способ повышения мотивации команды можно подробно и не рассказывать — это важно для всех заказчиков, и всегда выполняется в ходе хороший учений».

Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft, отметил, что суть киберучений – это проверка и повышение уровня квалификации сотрудников служб информационной безопасности, практическая отработка навыков как отдельных сотрудников, так и слаженной командной работы смежных подразделений, с разбором действий и дальнейшей выработкой рекомендаций по увеличению компетенции».

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита» заявил, что организации проводят киберучения для оценки уровня защищенности своей информационной инфраструктуры, выявления уязвимостей, обучения персонала, тестирования систем обнаружения и реагирования на инциденты, а также для проверки соблюдения нормативных требований и стандартов безопасности».

Каковы требования регуляторов к проведению киберучений для организаций разных отраслей?

Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft: «Актуальность проведения киберучений, особенно в наше динамичное время, возрастает с каждым годом. Согласно публикации в «Ведомостях», спрос на проведение киберучений в крупных компаниях за прошлый год вырос в два раза. Основные сферы деятельности заказчиков, которые проводили киберучения – это финансовый, промышленный и телеком-сектор.

Многие крупные российские компании, на основании 250 Указа Президента РФ, пересмотрели свой подход к обеспечению информационной безопасности, подчеркнув, что ответственность за ее обеспечение лежит на плечах руководства, что, в свою очередь, подстегнуло необходимость повышения компетенции и практических навыков сотрудников отдела ИБ».

Елена Молчанова, бизнес-лидер киберполигона Standoff 365: «Требования к регулярному проведению киберучений так или иначе включаются практически во всю “регуляторку” в области информационной безопасности: от федеральной до региональной и отраслевой.

Прежде всего это относится к объектам критической инфраструктуры (КИИ), особенно так называемым значимым объектам (ЗО КИИ): 282-й приказ ФСБ обязывает их проводить учения не реже раза в год, свои требования налагают и сразу несколько приказов ФСТЭК России.

Активно развивает тему киберучений и Министерство цифрового развития РФ: так, оно обязало все региональные органы исполнительной власти (РОИВы) организовывать такие учения для своих ИБ-специалистов, возложив ответственность за это на региональные Минцифры. В 2023 году учения для РОИВов уже проводились крайне активно: у нас, в частности, выстроилась даже небольшая очередь из заказчиков, т.к. клонировать наших менторов мы пока не научились.

Всегда на виду и киберучения, проводимые для своей отрасли Центральным банком. Так, осенью 2023 год ЦБР совместно с Positive Technologies и ГК “Солар” провел для банков киберучения по отработке реагирования на фишинговые атаки.

В целом регуляторка в этой сфере развивается, однако пока регулируется только факт проведения киберучений. Не регламентирован формат таких испытаний, и в целом это совершенно правильно: формат должен определяться задачами и условиями конкретной организации, а сами киберучения ни в коем случае не должны скатываться к формальности (“комплаенс ради комплаенса”). Возможно, более правильным будет закрепить требуемые компетенции, которые должны быть проверены и закреплены в ходе киберучений, а также сформировать требования к провайдерам таких услуг».

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита» указал на то, что регуляторы обычно устанавливают требования к проведению киберучений, основанные на отраслевых стандартах и регулятивных актах. Они могут включать в себя обязательное проведение киберучений, аудит безопасности, проверку соответствия стандартам и нормам безопасности.

Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион» также подчеркнул, что в основном регуляторы регламентируют проведение киберучений для организаций-владельцев, объектов критической информационной инфраструктуры. Для других формулирование каких-либо требований является их личной инициативой.

Какие площадки доступны для проведения киберучений?

Дмитрий Малинкин, руководитель направления киберучений BI.ZONE напомнил, что за рубежом существует множество онлайн-площадок, работающих круглосуточно и сочетающих практическое киберобучение и теоретические курсы. При этом инфраструктура часто не отличается большой глубиной и сложностью.

«В России киберобучение часто проходит в формате крупных мероприятий. Поэтому платформы проведения киберучений отличаются большей масштабностью и сложностью механик реализации сценариев. Например, на платформе app.cyberpolygon.com участники взаимодействуют со сложными сценариями атак, основанными на примерах реальных инцидентов. Кроме того, в России активно развиваются действующие площадки для тренировок в формате CTF. Также мы отмечаем тенденцию объединения отечественных и зарубежных подходов».

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита» заметил, что киберучения могут проводиться как внутри организации, на собственных тестовых стендах или с использованием виртуальных сред, так и на внешних площадках, предоставляемых специализированными компаниями по тестированию безопасности.

Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft, рассказал, что самые известные среди площадок для проведений киберучений – это национальный киберполигон и платформа «Кибермир», «The Standoff» компании Positive Technologies, «Cyber Polygon» компании Bi.Zone, «Jet CyberCamp» компании «Инфосистемы Джет», «Ampire» от компании «Перспективный Мониторинг», «Учебный киберполигон» от Innostage и ряд других.

Елена Молчанова, бизнес-лидер киберполигона Standoff 365: «Сейчас в России несколько достаточно крупных провайдеров услуг по проведению киберучений. У каждого из них свой подход и своя специфика: кто-то ориентирован на обучение относительно небольших служб ИБ, и киберполигон для них, скорее, учебный стенд для решения учебных задач; кто-то ориентируется на разработку собственных полигонов для крупных организаций. Кто-то отлично проводит командно-штабные киберучения, намеренно уделяя меньшее внимание сложности и реалистичности инфраструктуры, на которой проводятся учения.

Наш киберполигон Standoff, пожалуй, объективно является самой крупной площадкой для проведения учений, как по сложности инфраструктуры и числу и уровню атак, так и по своей известности и престижности (кибербитвы Standoff, проходящие дважды в год, собирают десятки тысяч гостей и еще больше онлайн-зрителей, а конкурс за право участвовать в Standoff как на “красной”, так и на “синей” стороне велик и растет от события к событию). Если говорить о “синих” командах (для которых Standoff и является киберучениями), то наш фокус, прежде всего на крупных и зрелых организациях: участвовать имеет смысл только если в вашей команде больше 8-10 человек, а, согласитесь, SOCом такого размера может похвастаться далеко не каждая организация. В ходе публичных кибербитв Standoff команды получают огромное количество атак на защищаемый ими отраслевой сегмент, и это позволяет “прокачать” не только навыки участников, но и взаимодействие в команде. До недавних пор, кстати, “синие” на Standoff занимались только выявлением и расследованием атак, но с прошлого года мы добавили и сценарий “Реагирование”.

Обращу внимание и на открытый нами недавно онлайн-полигон: он отлично работает и для организаций, которым огромная ИБ-служба не нужна. Во-первых, в отличие от кибербитвы (“интенсива”) поток атак не сконцентрирован в 3-4 дня, а распределен по всему сроку подписки, а значит, нет необходимости “наваливаться” на учебные атаки всей командой, оставляя в стороне основные рабочие задачи. Во-вторых, в онлайн-полигоне по сравнению с кибербитвой намного сильнее обучающий элемент. В-третьих, он позволяет отрабатывать взаимодействие разных служб (в первую очередь ИБ и ИТ), а также предполагает постоянную трансформацию инфраструктуры и рисков в течение срока подписки — как в реальной жизни.

Мы видим, что идея онлайн-полигона нашла понимание и у наших коллег-конкурентов: некоторые из них уже открывают свои общедоступные полигоны».

Какие эксперты должны участвовать в подготовке и проведении киберучений?

Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft уверен, что киберучения должна организовывать внешняя организация, а от заказчика таких учений требуется сформулировать цели, которые его компания преследует.

«Например, это может быть оценка текущего уровня подготовки сотрудников или отработка более узкоспециализированных сценариев защиты от атак. В свою очередь, компания-организатор с соответствующим опытом сможет создать максимально приближенный к реальности и задачам стенд».

Дмитрий Матвеев, руководитель Центра развития навыков кибербезопасности, Innostage: «Для подготовки и проведения киберучений часто привлекаются внешние эксперты, которые имеют практический опыт по расследованию и реагированию на инциденты ИБ, хорошо разбираются в типах киберугроз и понимают цепочки и сценарии кибератак, чтобы передать свой опыт и лучшие практики. Так же большое преимущество, когда в учениях участвуют специалисты по проникновению и на практике демонстрируют различные типы атак, которые могут редко встречаться в повседневных реалиях, но имеют место быть.

Со стороны внутренней команды для прохождения обучений желательно привлекать ИБ специалистов всех уровней, в том числе и CISO. Это позволит получить практический опыт и в последующем, по-новому посмотреть на методы защиты и внедрение тех или иных технологий.

Так же хорошей практикой является привлечение ИТ специалистов и администраторов информационных систем. ИТ специалисты смогут получить знания по цифровой гигиене и применять более безопасные подходы при создании целевой архитектуры. А администраторы систем получат колоссальный опыт по реагированию на инциденты ИБ и уже с уверенностью смогут действовать при возникновении инцидента в реальной жизни».

Кирилл Селезнев, руководитель направления анализа защищенности CICADA8, центр инноваций МТС Future Crew, отметил, что, по его мнению, наиболее эффективные работы в рамках киберучений проводятся совместно командами заказчика и исполнителя, т. е. внутренней и внешней. Внешняя команда может подсветить актуальные техники и векторы атак, внутренняя более детально может обозначить бизнес-процессы и разработать векторы атак под инфраструктуру.

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита» дополнил, что в подготовке и проведении киберучений могут участвовать как внутренние эксперты по информационной безопасности, так и внешние специалисты, включая провайдеров услуг пентеста, консультантов по кибербезопасности и аналитиков ИБ.

По мнению Дмитрия Калинина, руководителя департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион», киберучения являются исключительно командным мероприятием, поэтому в идеале в них должны быть задействованы три стороны: команда атакующих, команда защитников, это прежде всего сотрудники SOC, а также руководитель организации, курирующий вопросы информационной безопасности.

Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет»: «Внешние эксперты – представители поставщика услуги, которые готовят инфраструктуру, средства защиты, сценарии, теорию и все необходимое для проведения киберучений. Обычно они собирают ожидания и требования клиента и организовывают процесс.

Внутренние эксперты при этом обычно не требуются».

Елена Молчанова, бизнес-лидер киберполигона Standoff 365: «В принципе для киберучений достаточно трех сторон: атакующих, защищающихся (они же, как правило, и основные обучающиеся) и организатора, который часто выступает и в роли жюри. Тут, конечно, основная экспертиза требуется от организатора: он должен таким образом подготовить инфраструктуру, чтобы на ней можно было осуществлять атаки требуемого уровня сложности и чтобы защитники работали не на каких-то условных стендах, а “в условиях, приближенных к боевым”.

Важную роль здесь играет и наличие, так называемого, легитимного трафика — т.е. того “шума”, через который всегда приходится прорываться команде мониторинга в попытках обнаружить действия злоумышленников. Реалистичность и разнообразие целевых событий (целей атак) также крайне важны для учений.

Экспертиза на “красной” стороне также важна (и обеспечить ее — задача организатора). Если это “живые” атаки, их должно быть достаточное количество и они должны покрывать разные тактики и техники атаки, а это весьма нетривиально. Если это синтетические атаки, то их уровень также важен: конечно, для обучения начинающих специалистов может хватить и достаточно простых “скриптовых” атак, но вообще-то цель, которую должен ставить перед собой организатор высокоуровневых учений — это реализация достаточно сложных событий, причем желательно разными векторами.

Отмечу, кстати, что отдельная экспертиза необходима для киберучений, включающих в себя АСУ ТП-составляющую (а чуть ли не большинство (наряду с банками) заказчиков продвинутых полигонных учений — это именно промышленные компании). Воспроизведение технологического ландшафта, тем более специфичного для разных отраслей, — это сложная задача, но именно такие полигоны приносят наибольший эффект для таких заказчиков. Идеологически самый правильный вариант — это не эмуляция технологической сети, а интеграция реального АСУ ТП-оборудования в киберполигон (и умение его эксплуатировать в ситуации, когда инфраструктуру атакуют сотни опытных “хакеров”). Отдельная задача, кстати, — это привлечь “красных”, которые умеют “ломать промку”: многие, конечно, предпочитают концентрироваться на более привычных корпоративных рисках.

Нужна ли специальная подготовка для “синих” команд? Они, конечно, могут прийти на учения “как есть”, и это тоже будет полезно. Мы, однако, всегда предпочитаем заранее ознакомить участников с инфраструктурой и потенциальными рисками – с тем, чтобы они провели подготовительную работу, составили гипотезы относительно наиболее вероятных путей проникновения (для этого полезно использовать и OSINT по известным командам атакующих – какие инструменты и подходы они с наибольшей вероятностью используют?), подтянули те теоретические вещи, которые успели подзабыть или редко используют.

Мы, конечно, всегда также предлагаем для “синих” команд сопровождение ментором-консультантом — опытнейшим ИБ-специалистом, имеющим опыт и работы в SOCе, и преподавания. Это позволяет интенсифицировать подготовку к кибербитве (обычно мы начинаем ее за 1-1,5 месяца), настроить процессы в команде, мотивировать и “распутать” команду если в ходе кибербитвы им станет сложно. По завершении кибербитвы ментор дает обратную связь команде, рекомендации относительно дальнейшего развития ее участников, рассказывает о тех атаках, которые команда расследовать не смогла. Ну и, в любом случае, вне зависимости от наличия ментора — мы предоставляем членам команд защитников доступ к библиотеке наших обучающих курсов».

Какова роль цифрового двойника инфраструктуры в подготовке к учениям?

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита» заверил, что цифровой двойник инфраструктуры играет ключевую роль в подготовке киберучений, позволяя имитировать реальные сценарии атак и проверять реакцию систем и персонала на угрозы без риска для рабочей среды.

Кирилл Селезнев, руководитель направления анализа защищенности CICADA8, центр инноваций МТС Future Crew: «Для максимальной эффективности проводимых киберучений следует использовать именно цифрового двойника инфраструктуры, если это возможно. Я убежден, что это крайне важный аспект при проведении работ, так как чем ближе тестируемая среда схожа с реальной инфраструктурой компании, тем проще и эффективнее будет реагировать внутренняя ИБ-команда на возникающие не учебные инциденты».

Дмитрий Матвеев, руководитель Центра развития навыков кибербезопасности, Innostage, заявил, что цифровой двойник, это в первую очередь приближение киберучений к реалистичной обстановке, большему отлаживанию взаимодействий между сотрудниками в рамках расследования и реагирования на сценарии атак. Возможность увидеть узкие места инфраструктуры или сценарии атак, которые не были предусмотрены. Так же киберучения на цифровом двойнике дают больше уверенности в работе специалистам ИБ, так как они видели различные атаки и учились с ними справляться в той же инфраструктуре, с которой и работают каждый день.

Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft: «Цифровой двойник инфраструктуры – это виртуальная модель инфраструктуры компании, позволяющая провести практические учения в условиях максимального приближенного сходства, что как нельзя лучше позволяет оценить эффективность внедренных средств защиты, подсчитать сумму виртуального ущерба в случае успешности кибератаки, на практике отработать навыки прекращения цепочки атаки и скорости восстановления бизнес-процессов».

Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft, указал и на то, что нередко в ходе развития информационной безопасности размывается фокус – «а что именно мы должны защищать?» – и процессы ИБ могут выстраиваться ради процессов ИБ. Потому наличие на киберучениях защищаемой инфраструктуры, максимально приближенной к реальности, позволяет получить наиболее релевантный опыт защиты «своей» инфраструктуры.

Елена Молчанова, бизнес-лидер киберполигона Standoff 365: «С ноября 2023 года мы в Positive Technologies, начали выставлять двойники своей собственной инфраструктуры на кибербитву, и назначили за ее взлом большой денежный приз. И всячески агитируем за это и наших “синих” участников: добавить к киберполигону отдельные информационные системы, сервисы или оборудование достаточно просто, а польза несомненна: одним махом проводится и анализ уязвимости систем, и команда работает со своими “родными” системами.

Однако учения на точной копии своих систем — это вовсе не догма: так, один из наших заказчиков, неоднократно участвовавший в Standoff, не любит работать схожей с его реальной инфраструктуре и просит закрепить за ними любые другие отрасли. Как они говорят, “про себя мы и так все знаем”. Что для них важно — это расширение горизонтов, понимание того, как работают хакеры в соседних отраслях (откуда они могут принести их и в банк). Вообще, такое расширение горизонтов позволяет увеличить насмотренность, позволяет не замыкаться в привычной обстановке, а это крайне важно для ИБ-специалиста. Важная оговорка, конечно: чтобы такой подход работал, все инфраструктуры должны быть очень тщательно проработанными, воспроизводить не условные системы вроде “3 хоста и контроллер домена”, а включать в себя самые разнообразные, желательно реальные уязвимые сервисы, как мы это называем. У нас над их разработкой и внедрением работает целый большой отдел; и к каждой кибербитве эти уязвимые сервисы радикально меняются.

Обращусь, кстати, к вендорам ПО, сервисов, оборудования: приносите свои решения на Standoff! Для вас это — проверка безопасности решений в условиях множественных квалифицированных атак, а также демонстрация всему рынку важности информационной безопасности. Приведу пример: розничная сеть “Азбука вкуса” принесла на киберучения свою программу лояльности, а также кассы самообслуживания. В первых раз, конечно, атакующие нашли уязвимости; компания провела работу, выставила исправленные решения на следующую кибербитву, и получила отличный результат: как хакеры не старались, взломать их не удалось. Согласитесь, значительно приятнее покупать в магазине (тем более премиального сегмента), зная, что у сети все в порядке с ИБ.

Аналогичную работу мы ведем с крупным производителем финансовых сервисов eKassir, с целым рядом других наших партнеров, в первую очередь производителей отечественного ПО и оборудования. Это полезно для них, интересно для атакующих, повышает реалистичность атакуемой инфраструктуры, а значит, в конечном итоге повышает эффективность киберучений для всех сторон».

Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет», убеждена, что создание ЦД – это очень объемная трудоемкая работа. В большинстве случаев классических процессов для проведения киберучений бывает достаточно. Создание цифрового двойника имеет смысл, если в организации сложная необычная инфраструктура, большое количество самописных систем, и имеются большие риски при взломе. Есть особенно чувствительные инфраструктурные объекты, например, компоненты АСУ ТП или банковский процессинг, которые пентестерам ломать нельзя, а защищать надо. В этом случае имеет смысл дублировать инфраструктуру».

Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион»: «Так как требования регуляторов в отношении киберучений накладываются на ОКИИ, то мероприятия для сотрудников таких объектов рекомендуется проводить на виртуальной копии реальной инфраструктуры.

Для организаций, не относящихся к категории КИИ, допускается проведение киберучений на их реальной инфраструктуре с обязательной предварительной оценкой всех рисков такого подхода».

Как учесть особенности работы ИБ при проведении киберучений, если часть функций вынесена на аутсорсинг?

Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет»: «Надо понимать, что киберучения имеют смысл, когда внутри компании есть сотрудники ИБ, несущие ответственность за сохранность и целостность инфраструктуры и данных. Если функция ИБ вынесена на аутсорс, ответственность несет другая организация, которая обучает своих сотрудников самостоятельно».

По словам Дениса Фокина, руководителя отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft, взаимодействия с внешним подрядчиком (например, с поставщиком услуг внешнего SOC) также требуют отладки. Поэтому, если организация часть задач по обеспечению информационной безопасности отдала на аутсорсинг, то и внешние компании, предоставляющие эти аутсорсинговые услуги, должны привлекаться к киберучениям.

Дмитрий Матвеев, руководитель Центра развития навыков кибербезопасности, Innostage: «Необходимо привлекать аутсорсинговую команду для совместного участия в киберучениях. В данном случае ценность киберучений возрастает, так как увеличивается слаженность работы двух и более отдельных групп в одном процессе по расследованию и реагированию, независимо от того, кто и какие функции и ответственность берет на себя.

Чтобы учесть все нюансы взаимодействия обеих команд, желательно перемешать их между собой в рамках обязанностей или выполняемых задач. Это необходимо для того, чтобы применяемая в рамках договора модель не перенеслась на киберучения. Таким образом достигается слаженная работа команды, где каждый знает и понимает, что делает другой, и от чего зависит общий результат».

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита», подчеркнул, что при аутсорсинге части функций ИБ важно учитывать роли и обязанности сторонних поставщиков услуг и обеспечивать согласованность их действий с процессами проведения киберучений и требованиями безопасности организации.

Какие аспекты и технологии ИБ играют наибольшую роль при проведение киберучений?

Дмитрий Матвеев, руководитель Центра развития навыков кибербезопасности, Innostage: «Конечно же, в первую очередь — это инфраструктура и общая платформа для обучения и взаимодействия (LMS – Система управления обучением). Инфраструктура должна быть приближена к реальной жизни и обеспечивать возможность имитации различных кибератак. Чем больше вариативность ИТ систем и средств защиты информации, тем больше практического опыта получают обучающиеся. При этом платформа должна быть удобной, а интерфейс -интуитивно понятный для пользователя.

Сами задания и сценарии киберучений должны быть разнообразными, актуальными и максимально приближенными к реальным кибератакам. Они должны учитывать специфику деятельности компании и ее информационных систем, постоянно обновляться. В сценариях необходимы элементы геймификации, а также должны отрабатываться различные роли, такие как: Red Тeam, Blue Team, Purple Тeam – комплексное обучение как атаковать, как выявлять и предотвращать атаки, как строить защищенную инфраструктуру и закрывать уязвимости. Для создания более реалистичных и зрелищных сценариев кибератак и для оценки действий участников киберучений может использоваться искусственный интеллект.

Полезно проходить обучение под руководством ментора. С его помощью можно делать последовательный разбор всех шагов с анализом ошибок и поиском альтернативных путей решения задачи.

Также важен индивидуальный подход к организации киберучений, чтобы была возможность учесть специфику каждой компании, когда предоставляется возможность изменения инфраструктуры и офисов на платформе; возможность включения более широкого спектра СЗИ различных производителей; выбор формата сервиса, графика обучения и набора сценариев».

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита», указал на то, что важные аспекты и технологии включают в себя системы обнаружения вторжений, управление уязвимостями, средства мониторинга сетевого трафика, а также инструменты для анализа безопасности приложений и данных. Отлично, если у Заказчика есть SOC (собственный, либо как услуга), это позволит более комплексно и результативно провести киберучения».

Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft, объяснил, что полнота киберучений складывается из совокупности сценариев, позволяющих отработать регламент и процессы по реагированию на инциденты, а также количества СЗИ, доступных для использования в рамках киберполигона. Актуализация сценариев и обогащение платформ по проведению киберучений новыми техниками и атаками позволяет поддерживать их востребованность, отвечая вызовам времени.

Елена Молчанова, бизнес-лидер киберполигона Standoff 365: «Конечно же, никому не интересно учиться на атаках, которые были актуальны 10 лет назад! Сценарии киберучений всегда должны включать в себя актуальные угрозы, учитывать самые современных техники и тактики атаки, а для этого организатор должен “сидеть” на потоке информации о современных кибератаках. Команда Standoff плотнейшим образом работает с исследователями Positive Technologies, а также с коллегами, расследующими инциденты у наших заказчиков.

Понятно, что не менее важны и средства защиты информации, используемые защитниками для выявления и расследования атак и реагирования на них. Нам, опять же, тут проще, поскольку мы сами являемся крупнейшим вендором СЗИ. Однако архитектура киберполигона — мультивендорная: по запросу заказчиков мы можем разместить на полигоне и используемые ими средства защиты. Знаем, кстати, что и другим вендорам СЗИ интересно поработать на нашем киберполигоне: для них это и огромный поток экспертизы, и отладка правил корреляции, и подтверждение качества продуктов и продвижение на самую что ни на есть целевую аудиторию».

Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет», перечислила следующее: управление доступом, резервное копирование, мониторинг безопасности, тестирование защищенности и другие критические элементы ИБ.

Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион»: «Прежде всего, в организации уже должен быть выстроен зрелый процесс реагирования на инциденты и внедрены необходимые средства мониторинга. Результатом киберучений должна стать оптимизация этого процесса, а не его создание «с нуля».

Какие оценивать эффективность киберучений?

Елена Молчанова, бизнес-лидер киберполигона Standoff 365: «С одной стороны, т.к. основной пользователь киберучений — это службы мониторинга (SOC), то и метрики надо использовать те же самые, что используются для оценки эффективности SOC. Раз их главные задачи — это выявление, расследование атак и реагирование на них, то и метрики должны быть соответствующие: Среднее время обнаружения (MTTD – Mean time to detect), Среднее время расследования (MTTI – Mean time to investigate), Среднее время реагирования (MTTR – Mean time to respond).

С другой стороны, временнЫе показатели в учениях все же не главное: в большинстве случаев команды все же не экзамены сдают, а должны чему-то научиться. Плюс атаки на полигоне бывают весьма сложными, поэтому показательнее будет все же процент обнаружения, расследования и реагирования. Время тоже, конечно, важно, но рассматривать его точно нужно “не в лоб”. А на онлайн-полигоне, где нет задачи работать с атаками “в режиме реального времени”, часть временнЫх метрик и вовсе не очень применимы.

Зато для команд атакующих с метриками все просто: это количество заработанных баллов. Баллы начисляются в зависимости от сложности атаки и времени реализации (первый реализовавший конкретное событие получает максимум баллов, следующий меньше, третий еще меньше и т.д.)».

По мнению Дмитрия Калинина, руководителя департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион», наиболее показательным методом оценки будет проведение RedTeam-проекта, который позволит оценить скорость и качество реагирования на инциденты после проведения киберучений, однако данный подход является довольно дорогостоящим.

Владимир Алтухов, руководитель технического центра «АйТи Бастион»: «Обязательным этапом в рамках прохождения киберучений должен выступать «разбор полетов» и итоговый отчет. На основании отчета можно оценить:

текущий уровень защищенности компании;
уровень киберграмотности сотрудников;
обнаруженные в рамках учений инциденты и их отработка со стороны подразделения информационной безопасности.

Непосредственно оценка эффективности может отражаться как в количестве “отраженных” атак, так и в общем проценте защищенности.

В конечном итоге, сами учения предназначены для доведения до сотрудников важности в вопросах защиты информации, и чем выше будет уровень их осведомленности, тем лучше для компании в целом».

Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет»: «В долгосрочной перспективе можно оценивать эффективность ИБ-отдела. Если говорить про вклад киберучений, то можно оценивать качество работы специалистов ИБ, анализировать, насколько быстрее и эффективнее они справляются с задачами. Например, специалист настраивает правило, которое приводит к 9-ти ложноположительным срабатыванием из 10-ти. Если до обучения показатель таких срабатываний ниже, чем после, значит он научился писать правила более грамотно, и результат учений считается хорошим.

На нашей платформе мы проводим тестирование до и после киберучений. А также сравниваем, насколько быстро и эффективно специалисты расследуют инцидент, и на этой основе делаем выводы о результатах киберучений».

Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft: «Оценка эффективности киберучений базируется на понятных и измеримых критериях. В качестве критериев, как правило, выступает оценка навыков как отдельных сотрудников, так и слаженности работы команды по администрированию ОС, анализу артефактов атаки, аудитам событий sysmon и suricata, логов Windows, сценариев защиты и этапов восстановления работоспособности.

Проведение киберучений с последующим разбором действий сотрудников и команд с выработкой рекомендаций по улучшению их компетенции, процедур и регламентов позволяет повысить как уровень знаний, так и слаженность взаимодействия.

Важно отметить, что проведение киберучений на постоянной основе показывает существенное улучшение как на уровне компетенции, так и на уровне слаженности работы служб ИТ и ИБ».

Дмитрий Матвеев, руководитель Центра развития навыков кибербезопасности, Innostage: «Эффективность киберучений можно оценить по качественным и количественным показателям.

Для оценки качественных показателей можно использовать различные формы анкетирования и опросов, в основном, для получения общей оценки, отзывов и актуальности полученных знаний и практических навыков. Можно проводить тестированиее, как в виде классических тестов, так и в форме викторин или практических заданий.

Помимо качественных оцениваются и фиксируются количественные показатели, например: время реагирования на кибератаки; количество выявленных уязвимостей; количество ошибок, совершенных участниками и другие.

Наиболее показательной оценкой эффективности будет сравнение результатов до обучения и после него, либо сравнение показателей с результатами предыдущих киберучений, а также сравнение с бенчмарками, например, по отрасли или по размеру компании.

Дополнительными методами эффективности может служить экономическая оценка: расчет стоимости киберучений и сравнение ее с потенциальным ущербом от кибератак; оценка командной работы, насколько киберучения помогли улучшить взаимодействие между сотрудниками и помогли повысить устойчивость компании к кибератакам в целом».

Кирилл Селезнев, руководитель направления анализа защищенности CICADA8, центр инноваций МТС Future Crew, отметил, что здесь стоит обозначить как количественные, так и качественные характеристики проводимых работ. С точки зрения количественных показателей можно выделить количество тестируемых векторов атак, техник, процедур. С точки зрения качественных — время реагирования внутренней команды на инцидент.

Александр Матвеев, директор центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита»: «Эффективность киберучений оценивается на основе выявленных уязвимостей, реакции персонала и систем на атаки, степени соответствия стандартам безопасности, а также эффективности планов реагирования на инциденты».

Как строить обучение и развитие сотрудников на основе результатов киберучений?

Дмитрий Малинкин, руководитель направления киберучений BI.ZONE: «Современное образование в области кибербезопасности должно быть практико-ориентированным и непрерывным. В ходе него следует регулярно проводить оценку как теоретических знаний, так и практических навыков.

Отличный способ определить необходимые зоны развития и круг компетенций, которые необходимо повысить, — это принять участие в киберучениях. Это позволяет специалистам по кибербезопасности самостоятельно развивать навыки в различных направлениях — например, форензике, анализе защищенности и мониторинге угроз, а также отслеживать свой прогресс, закреплять на практике приобретенные навыки и планировать следующие шаги в обучении».

Кирилл Селезнев, руководитель направления анализа защищенности CICADA8, центр инноваций МТС Future Crew, заметил, что в рамках киберучений выявляются слабые места, как во внедряемых средствах защиты, так и в реагировании на инциденты внутренней командой. Обучение стоит строить итеративно, по результатам киберучений должен быть сформирован ряд рекомендаций по улучшению средств защиты на ИТ-периметре компании, а также скорректирован свод действий при выявлении инцидента внутренней командой ИБ. После выполнения рекомендаций желательно провести повторные киберучения, чтобы убедиться, что работа была проделана не зря и понять дальнейшие точки роста ИБ-служб.

Александр Мормуш, руководитель отдела развития бизнеса решений ИБ компании Axoft: «Проведение киберучений позволяет сделать срез текущего уровня знаний и навыков по направлениям (в качестве оценки уровня специалистов) и выработать рекомендации по их дальнейшему улучшению с учетом индивидуальных планов развития.

План усиления компетенции и навыков, как правило, включает повышение знаний по используемым в компании СЗИ, практических навыков, уровня готовности по отражению кибератак, а также согласованности действий и коммуникации в команде».

Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет»: «У каждого специалиста есть группа необходимых навыков для качественной работы. Эти навыки могут быть востребованы в разной степени. Например, специалисту SOC на 10-15% нужен навык обратной инженерии, а на 100% – навык работы с логами. Мы стараемся строить киберучения таким образом, чтобы прокачать навыки сотрудника так, чтобы он максимально соответствовал своей специализации.

Для этого у нас есть система, которая позволяет сравнивать имеющиеся навыки специалиста по сравнению с требованиями к его профилю. Это позволяет увидеть, где есть нехватка навыков, которую можно «прокачать» с помощью киберучений до рекомендуемого уровня».

Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ компании «Бастион», заявил, что сами киберучения и являются процессом обучения. В процессе рассматриваются все или почти все популярные техники и тактики нападения на инфраструктуру до тех пор, пока команда защитников не научится быстро и однозначно их детектировать.

По мнению Александра Матвеева, директора центра мониторинга и противодействия киберугрозам IZ:SOC компании «Информзащита», результаты киберучений могут использоваться для определения областей обучения и развития персонала в области кибербезопасности, включая проведение тренировочных сессий, обучающих курсов и практических учений на основе выявленных уязвимостей и ошибок.

Дмитрий Матвеев, руководитель Центра развития навыков кибербезопасности, Innostage: «Анализ результатов киберучений позволяет выявить слабые места в знаниях и, особенно, практических навыках сотрудников. На основе этой информации можно разработать программы обучения. Например, сотрудникам, которые допустили ошибки во время киберучений, могут быть предложены дополнительные обучающие материалы по темам, в которых они испытывают трудности. Кто успешно прошел киберучения и показал хорошие результаты, можно дополнительно поощрять, мотивируя к более глубокому и профессиональному изучению вопросов информационной безопасности.

Важно отметить, что обучение и развитие сотрудников – это непрерывный процесс. Проводить киберучения нужно регулярно, это позволит постоянно оценивать уровень знаний и навыков сотрудников и корректировать саму программу обучения. Методы хакеров так же регулярно совершенствуются, поэтому необходимо обновлять сценарии актуальными атаками и добавлять специализированные модули обучения для изучения новых методов защиты от кибератак. В конечном итоге, это мотивирует сотрудников к обучению и, в целом, повышается общий уровень киберустойчивости компании».

Елена Молчанова, бизнес-лидер киберполигона Standoff 365: «Собственно, сами киберучений в существенной степени и есть мощный инструмент обучения: масштабное соприкосновение с атаками само по себе сильно прокачивает навыки участников. Эффект возрастает, если к учениям как следует готовиться (строить гипотезы относительно возможных путей продвижения хакера в данной инфраструктуре), пройти релевантные курсы и воспользоваться услугами ментора-консультанта.

Конечно же, по итогам кибербитвы формируются понимание дальнейшего трека обучения. Кстати, многие вещи участники понимают самостоятельно: например, один из наших заказчиков — ИБ-служба крупной государственной структуры, впервые участвовала в Standoff, но период подготовки пришелся на “авральный” период в их ведомстве. В результате команда не успела подготовиться по нескольким темам, и именно их участникам не хватило, чтобы “докрутить” пару атак. Немедленно по завершении кибербитвы капитан сказал нам, чего не хватило. Следующие полгода команда подтягивала именно эти темы, и сейчас готовится к участию в майском Standoff.

Но, конечно, есть и более формализованные рекомендации. Во-первых, их всегда дает ментор по итогам кибербитвы — и для всей команды, и для отдельных ее участников. Во-вторых, в онлайн-полигоне скоро будет специальный инструмент для оценки навыков каждого участника (для этого мы построили сильную модель компетенций), и система будет подсвечивать узкие места, формировать траекторию обучения в зависимости от целевой позиции.

Ну и, конечно, идеальный результат дает совмещение обучения и практической отработки навыков — так, у нас есть специальная программа киберучений для РОИВов, и там в течение 2-3 месяцев участники наращивают свою экспертизу и подтверждают ее на основе практикума “Мертвый город” — это чуть упрощенный и направленный именно на планомерное обучение вариант киберполигона».

Оригинал публикации на сайте CISOCLUB: "Киберучения по информационной безопасности".