9 ℃
Крупный и средний бизнес в Беларуси усиливает кибербезопасность. Многие компании после создания центров информационной безопасности (SOC) начинают выходить на киберполигоны, чтобы потренироваться в отражении атак. Эксперты рекомендуют начинать с онлайн-симуляторов, а набравшись опыта переходить к масштабным кибербитвам. Наибольший спрос проявляют госсектор, банки и предприятия промышленности. Бизнес-лидер киберполигона Standoff от Positive Technologies Елена Молчанова рассказала, кто и зачем участвует в кибербитвах.
«Серьезные атаки растягиваются на месяцы»
— Кибератак в Беларуси за последний год стало больше, причем в разы. Ожидаемо растет и спрос на защиту от них, а важнейшая часть защиты – это навыки и опыт людей, обеспечивающих информационную безопасность организаций. Одним из способов проверить и развить эти навыки – работа на киберполигонах. Кому в первую очередь «прописан» киберполигон?
— С одной стороны, напрашивается простой ответ: чем чаще атакуют отрасль, тем нужнее для нее тренировки на киберполигоне. Поэтому чаще всего среди своих заказчиков мы наблюдаем финансовые организации, системообразующие промышленные и добывающие компании.
А с другой стороны, всё больше компаний сейчас задумываются о защите заблаговременно, когда «гром еще не грянул» (или гремит, но пока без разрушительных последствий). Но им не хватает опыта для выявления атак и их предотвращения. Если сложные атаки не прилетают каждый день, то и так называемой насмотренности мало. Да и просто бдительности часто не хватает.
Более или менее серьезные нападения реализуются месяцами: хакеры проникают в сеть и закрепляются в ней далеко не за день. Если не уметь выявлять злоумышленников до наступления последствий, то потом может быть поздно. Поэтому мы очень ценим те организации (в т.ч. и небольшие), которые приходят на киберполигон заблаговременно.
В последнее время мы наблюдаем огромнейший интерес к киберполигону Standoff со стороны органов государственной власти, в том числе региональных, а также среднего бизнеса. Очень хорошо, что у них появилось понимание важности специалистов в области информационной безопасности.
— Какой формат «прокачки» навыков на киберполигоне наиболее востребован?
— Всё зависит от масштаба и специфики бизнеса. Понятно, что разным организациям «показаны» разные форматы работы на киберполигоне. Крупные компании с собственным SOC участвуют в масштабных кибербитвах и приобретают постоянную подписку на онлайн-полигон. А вот организациям с меньшим уровнем зрелости лучше начинать с онлайн-симулятора Standoff Cyberbones, где можно расследовать реальные кейсы с прошедших кибербитв. Это позволяет «набить руку» в работе с разными типами инцидентов.
Есть еще один тип компаний, которые активно приходят на киберполигон: это ИТ-компании и разработчики программного обеспечения. Для них актуальны два аспекта. Во-первых, это наработка опыта специалистов в релевантных для них инфраструктурах (безопасная разработка, контейнеры и т.д.). А во-вторых, это тестирование собственных продуктов. Готовое ПО, приложение или оборудование можно разместить в инфраструктуре киберполигона, подвергнуть его множественным атакам и посмотреть, какие уязвимости будут найдены, какие векторы атаки будут использовать хакеры и т.д. Такой опыт серьезно повышает доверие к решениям со стороны опытных заказчиков.
«Тратят миллионы на решения, а использовать не умеют»
— Насколько активно белорусские организации участвуют в киберучениях?
— Интерес к тренировкам на полигоне и практической отработке навыков среди белорусских организаций очень высок. Сказывается и высокий уровень цифровизации экономики, и огромное количество атак, которым они подвергаются, и, безусловно, требования регулятора.
Конечно, заказчиков из Беларуси пока меньше, чем из России, но тенденция усиливается. Во-первых, в наших открытых кибербитвах Standoff, в том числе во время Петербургского международного экономического форума, команды из Беларуси демонстрируют высочайшие результаты. А это значит, что широкое участие в коммерческих киберучениях можно считать лишь вопросом времени.
Во-вторых, велик интерес к массовым и легко внедряемым форматам практической отработки навыков, таким, как Standoff Cyberbones. Этот онлайн-симулятор позволяет «прокачивать» навыки мониторинга, расследования инцидентов и использования средств защиты информации в любое удобное время. Это как раз то, что нужно всем службам информационной безопасности и при этом вписывается в бюджеты большинства компаний.
— Насколько эффективны тренировке на киберполигоне? Есть ли какая-то статистика, которая указывает, насколько повышается защищенность компаний, которые их прошли?
— За четыре дня кибербитвы участники сталкиваются с таким количеством атак, которые могут не увидеть и за год работы. Это существенно повышает ее защищенность. Но количество атак на компанию, прежде всего, зависит от активности хакеров и привлекательности компании. Причем она не всегда обусловлена возможностью «поживиться» активами самой компании – нередко преступники хотят проникнуть в сеть ее заказчиков. Кто-то может думать, что его скромный бизнес хакерам неинтересен, но часто именно через цепочку небольших предприятий происходит проникновение в мега-защищенные объекты критической инфраструктуры.
А вот что киберучения прокачивают, так это скорость выявления атак и реагирования на них. Это важнейшее «уравнение» в кибербезопасности: время реагирования должно быть меньше времени атаки. И именно на это в первую очередь направлены учения.
И еще один аспект: расследования серьезных атак часто показывают, что у пострадавшей организации были технические средства мониторинга и предотвращения атак (средства защиты информации). Но атака произошла потому, что с ними не умели работать. То есть компания тратит миллионы на покупку и внедрение сложных решений по информационной безопасности, но неумение их правильно настраивать и использовать в своей работе делают технологии практически бесполезными.
Мы часто говорим, что работа на киберполигоне позволяет заказчикам «выжать максимум из купленных «железок», коробок и людей». В этом заключается важнейший фактор безопасности.
«Считался нерасторопным, а оказался «Шерлок Холмсом»
— Можете привести реальные ситуации и кейсы, которых можно избежать благодаря кибербитвам на полигоне?
— Компании, участвовавшие в кибербитвах, регулярно рассказывают, как они в реальной жизни столкнулись с атакой, уже отработанной ими на киберполигоне. Они уже знали, на что смотреть и как реагировать. И это позволило им пресечь атаку или как минимум минимизировать последствия.
На киберполигоне можно также повысить командное взаимодействие и развитие сотрудников: один из клиентов рассказал, что во время учений отработал разные связки сотрудников и пришел к оптимальной конфигурации команды. Это как в хоккее: важно не просто набрать лучших игроков, но и понять, какие звенья («тройки») сработают лучше всего. В ситуации кибербитвы, когда за 3-4 дня происходят десятки или сотни атак, проверить такие связки намного проще, тогда как обычно это заняло бы месяцы.
Кроме этого, к нам все чаще приходят разработчики и выставляют на киберполигон свое оборудование и программные продукты. Во время кибербитвы их уязвимость проверяется «в боевых условиях». Важно не только то, смогут ли атакующие «пробить» продукт или нет. Большое значение имеет, как хакеры перемещаются внутри инфраструктуры, какие векторы атаки используют. Это позволяет увидеть слабые места и проактивно поработать с ними.
— Возможно, киберполигон позволяет еще и скрытые таланты обнаружить…
— Действительно, в кибербитвах проще определиться с идеальной специализацией сотрудников, особенно начинающих. Один наш клиент приводил в пример своего молодого сотрудника – специалиста 1-й линии SOC, который был не слишком внимательным и расторопным. А на кибербитве выяснилось, что он – просто «Шерлок Холмс»: стоило его доучить, как он стал незаменимым аналитиком-расследователем.
Тренировки на киберполигоне – важная часть системы результативной безопасности: они позволяют интегрировать все аспекты этой системы, удостовериться, что все ее составляющие действуют как единый механизм. Сегодня на киберполигоне Standoff доступны три варианта участия.
1 вариант: Standoff Cyberbones – онлайн-симулятор с реальными кейсами, собранными по итогам кибербитвы Standoff. Здесь специалисты по кибербезопасности могут расследовать инциденты, чтобы лучше понимать, как выявлять подобные ситуации и реагировать на них в повседневной работе.
2 вариант: онлайн-полигон – виртуальная инфраструктура с реалистичными копиями IT-систем из разных отраслей. Здесь специалисты по ИБ могут планомерно прокачивать навыки выявления и расследования кибератак в комфортном режиме и с поддержкой менторов-экспертов
3 вариант: кибербитва – международные соревнования, где команды защитников и атакующих проверяют свои навыки в максимально реалистичных условиях.
Но нельзя забывать и о других составляющих этой системы.
Для улучшения ситуации в области информационной безопасности на уровне государства необходимо развивать нормативно-правовую базу на национальном, региональном и международном уровнях, а также налаживать тесное сотрудничество между госорганами и бизнесом, создавая центры реагирования на киберинциденты. Нужно выстраивать взаимодействие в сфере информационной безопасности с другими странами, в том числе обмениваться опытом предотвращения кибератак, проводить региональные киберучения. К числу необходимых мер можно отнести обеспечение многоуровневой защиты объектов критической информационной инфраструктуры и инвестирование в подготовку кадров.
