Сегодня современные предприятия или организации в любых отраслях экономики представляют собой среды, где все бизнес-процессы влияют друг на друга, и их зависимости между собой непрозрачны для топ-менеджмента, подразделений компаний и службы информационной безопасности (ИБ). При этом для каждой организации существуют события, реализация которых нанесет непоправимый ущерб бизнесу.

Чтобы компания работала без перебоев, необходимо определить такие события и обеспечить уровень ИБ, который бы гарантировал, что они не произойдут в результате кибератаки. Компании выстраивают многоуровневую защиту, однако как проверить у персонала техническую и организационную готовность противостоять атакам?

В этом случае на помощь может прийти экспертиза с рынка. Один из методов переноса опыта эффективного решения проблем в сфере кибербезопасности — отработка на практике готовность команды ИБ противодействовать хакерам. Как это сделать? Например, с помощью киберполигонов.

Что такое киберполигон и зачем он нужен
15–16 ноября специалисты по информационной безопасности собрались на крупнейшей в мире открытой кибербитве The Standoff, организованной компанией Positive Technologies при участии ГК Innostage. Формат The Standoff — это киберполигон, на котором ведущие специалисты по кибербезопасности делятся на две команды — нападающие (так называемые этичные хакеры) и защитники — и борются за ресурсы виртуальной копии города.

Полигон воссоздает технологический ландшафт, производственные цепочки и бизнес-сценарии, характерные для различных отраслей экономики. Инфраструктура киберполигона характерна для городов и отраслей экономики, поэтому у атакующих команд есть возможности взломать логистику, транспорт, добывающие и распределительные энергетические системы, системы умного городского хозяйства, финансовую, телекоммуникационную структуры и т. д.

Цель — попрактиковать в боевых условиях навыки выявления и противодействия хакерам, узнать о самых актуальных тактиках и техниках атак, чтобы затем предотвращать и останавливать их на реальной инфраструктуре. Для специалистов это прежде всего возможность получить новые знания и практические навыки выявления кибератак и противодействия им, изучить сценарии реагирования на известные и неизвестные риски, исследовать взаимосвязи кибербезопасности и бизнеса.

Экологическая катастрофа и «слитый» аккаунт главы государства
На киберполигоне The Standoff этого года «хакеры» пытались парализовать работу целого виртуального города-государства, где были представлены объекты металлургии, транспорта и логистики, энергетики, химической отрасли и городского хозяйства.

Задачей нападающих было провести в действующей инфраструктуре виртуального города ряд диверсий, которые воспроизводили кибератаки, реально происходившие в последнее время в разных странах по всему миру. При этом у атакующих был полный карт-бланш на действия — они могли нападать на любые объекты, используя любые методы, чтобы застать «защитников» врасплох. Также они могли реализовать цепочку атаки целиком, включая последний шаг — реализацию недопустимого события.

Всего за мероприятием наблюдали 65 тыс. человек из десятков стран, десять сильнейших команд «этичных хакеров» 35 часов испытывали системы города-государства на прочность. Всего за это время было реализовано 6 из 51 уникального недопустимого события.

К примеру, нападающие нарушили работу очистных сооружений в виртуальном государстве: несколько миллионов виртуальных литров нечистот вылилось в окружающие водоемы — местные реки, озера, леса и поля оказались залиты зловонной жижей, а виртуальные жители подавали массовые жалобы в управляющую компанию «Сити» с требованием срочно решить проблему. Ситуация практически повторила случай, который в этом году произошел в США, — хакеры взломали систему очистных сооружений в округе Пинеллас, штат Флорида, из-за чего в городе возникла угроза экологической катастрофы.

Известны случаи кибератак на объекты инфраструктуры, которые приводили к серьезным сбоям в работе тех или иных служб и предприятий. К примеру, в июле 2021 года в Иране вследствие кибератаки была нарушена работа железнодорожной сети, из-за чего сотни рейсов были перенесены или вовсе отменены. А в Лос-Анджелесе хакеры взломали электронные системы регулирования движения и «сломали» таким образом светофоры на нескольких городских перекрестках, из-за чего возникли серьезные заторы.

В рамках The Standoff нападающие реализовали еще несколько инцидентов: ложное сообщение об утечке опасного вещества на нефтехимическом заводе, утечку персональных данных сотрудников государственной IT-платформы и компрометацию учетной записи главы государства. Основным объектом атак стала транспортная компания: все команды атакующих смогли устроить сбой системы информирования пассажиров на железной дороге.

Также в рамках киберучений выступали ИБ-эксперты. На отдельной сессии с аналитиками обсуждалось влияние хакерской активности на инвестиционную привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности. Кроме того, на мероприятии прошел трек The Standoff Young Hats для молодых специалистов по ИБ, которые представили свои доклады на исследовательскую тему.

Круглосуточная отработка киберугроз
Одним из главных продуктов, представленных на The Standoff, стала онлайн-платформа для проведения киберучений The Standoff 365. Как объясняют в Positive Technologies, созданию платформы предшествовал сбор экспертизы о киберучениях, который стал возможен благодаря проведению The Standoff, а также многолетний опыт компании.

Так, за шесть лет в мероприятиях The Standoff приняли участие более 1 тыс. экспертов по безопасности, благодаря чему вокруг него сформировалось одно из крупнейших сообществ этичных хакеров.

«Более пяти лет подряд мы создаем инфраструктуру киберполигона, используя нашу уникальную экспертизу и опыт реализации проектов по противодействию актуальным киберугрозам, — рассказывает директор департамента базы знаний и экспертизы Positive Technologies Михаил Помзов. — В этом году киберполигон вырос до виртуального государства, где представлены энергетическая отрасль, объекты металлургии, транспорта, логистики, химической отрасли и городского хозяйства».

Появление киберполигона было продиктовано тем, что в индустрии появился запрос на измеряемую и результативную защищенность, подразумевающую, что критические риски для компании, отрасли или страны не могут быть реализованы. Имея инфраструктуру, близкую к реальной, пользователи платформы The Standoff 365, к примеру, могут самостоятельно моделировать реальные ситуации, — но виртуально.

При этом, как поясняет руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин, на The Standoff 365 не предусмотрено никаких ограничений по сценариям, поскольку объекты на полигоне атакуют реальные исследователи безопасности — каждый со своим бэкграундом, навыками и набором инструментов.

«А это значит, что даже мы не знаем, как будут разворачиваться события. Благодаря этому сценарии атак на онлайн-полигоне каждый раз могут быть новыми, что дает возможность практиковать различные способы защиты в непредсказуемых условиях», — добавляет Бабин.

Что касается наполненности платформы, то сейчас она представляет собой виртуальный киберполигон, на котором воссозданы операционные и бизнес-процессы топливно-энергетического комплекса и небольшой IT-компании.

Бета-тестирование The Standoff 365 стартовало 24 ноября. Первыми участниками стали 50 сильнейших специалистов, приглашенных по итогам прошлых кибербитв. Следующий этап развития платформы — сделать ее открытой для всех желающих — как атакующих, так и защитников — в режиме 24 часа в сутки и 365 дней в году. Запуск платформы планируется в мае 2022 года в рамках международного форума по кибербезопасности Positive Hack Days.

Также в ближайших планах компании — запуск платформы Bug Bounty. С ее помощью будет удобно собирать отчеты об уязвимостях, а обнаружившие их этичные хакеры смогут получать вознаграждения. Bug Bounty будет проходить как в традиционном формате поиска уязвимостей, так и в новом — когда для каждой бизнес-системы формируется реестр недопустимых для нее событий и вознаграждение выплачивается не за обнаруженную уязвимость, а за реализацию того ущерба, который компания считает для себя неприемлемым, рассказывает директор центра компетенции Positive Technologies Андрей Бершадский.