Киберучения ГК «Солар»: Отработка техник взаимодействия при отражении волн атак и обмен опытом в противодействии киберугрозам

О Международном киберчемпионате по информационной безопасности

• Старт приема заявок – апрель 2023 года.
• Более 160 заявок из разных стран.
• Участники: специалисты по информационной безопасности системообразующих предприятий и сотрудники центров реагирования на киберинциденты.
• Цели: отработать техники взаимодействия при отражении волн кибератак государственного масштаба и обменяться опытом противодействия киберугрозам. Чемпионат нацелен на координацию усилий по борьбе с хакерами и развитие международного сообщества ИБ-специалистов.

Механика киберчемпионата

Отборочный этап

Правила

На отборочном этапе киберчемпионата предусмотрено 4 раунда, в каждом из которых запланировано по 2 волны атаки на инфраструктуру команд. Длительность каждой атаки – 40 минут, длительность одного раунда – 110 минут, всего мероприятия – 7 часов 20 минут. Перед началом киберчемпионата организаторы делят всех участников на 4 группы. Для каждой предусмотрен свой вектор атаки, который меняется каждый раз после завершения предыдущего.

Задачи

Командам необходимо выполнить две ключевые задачи: провести расследование инцидента и предпринять необходимые действия для защиты инфраструктуры, а также передать уведомления с признаками атаки в национальный CERT. Основная задача национальных CERT на отборочном этапе киберчемпионата – организовать обмен информацией между командами и штабом организаторов. По итогам каждого раунда атак CERT определяют наиболее результативную команду от своей страны.

Система оценки

В начале киберчемпионата у каждой команды на счету 1000 баллов. За незаблокированные атаки и нарушение правил киберчемпионата снимается определенное количество баллов. В финал киберчемпионата проходят пять команд, сохранивших наибольшее количество баллов.

Финал киберчемпионата в формате Red vs. Blue

Правила

Команды финалистов выполняют роль защитников. В команде – до 10 человек. Во время финальной битвы инфраструктуры Blue Team атакуют представители Red Team. Продолжительность финала – 4 часа.

Задачи

В финале киберчемпионата командам защитников необходимо выполнить две ключевые задачи: отразить кибератаки атакующих и предпринять необходимые действия по защите Инфраструктуры. Также нужно вернуть контроль над захваченными виртуальными машинами – удалить флаги, которые размещает красная команда.

Система оценки

Как и на отборочном этапе у каждой команды защитников 1000 баллов. Время наличия флагов Red Team на инфраструктуре конвертируется в баллы, которые вычитаются из стартового количества синей команды.

Интервью с капитанами и организаторами

Представители двух команд последнего киберчемпионата, состоявшегося в середине июня 2023 года, поделились своими впечатлениями и тактикой.

Рафаэль Варданян, капитан команды Армении

Сложнее всего был отборочный тур, ведь мы до конца не знали, чего ожидать Рафаэль Варданян, капитан команды Армении.

Чем занимаются члены команды?

У каждого из участников команды — свои интересы и сильные стороны. В основном участники сосредоточены на защите конечных узлов. При этом все они из разных сфер: тестировочной, сетевой и даже дизайнерской. Поэтому у каждого свои особые преимущества.

Что привело вас на Международный киберчемпионат?

Наш энтузиазм. Хотели проверить себя вне зоны комфорта. Также свою роль сыграло простое желание испытать нашу команду как единый орган. К счастью, мы многому научились и показали хорошие результаты.

Как вы формировали команду? Включали самых сильных специалистов или тех, кто хотел?

Команда формировалась, исходя из потребностей киберчемпионата. Нам пришлось хорошенько продумать роли в команде, после этого оставалось лишь выбрать самых подходящих участников под каждую роль из тех, кто отликнулся. Естественно, всех самых сильных сотрудников в своих областях включить в процесс киберчемпионата было невозможно, ведь кто-то должен был остаться на фронте работ в самой компании. Мы шли на компромиссы.

Что вы думаете про механику киберчемпионата? Какой из этапов для вас был сложнее? Отборочный или финал?

Сложнее всего был отборочный тур, ведь мы до конца не знали, чего ожидать. У нас были выстроены определенные планы и схема развития команды, однако многое пришлось перестраивать на месте. Зато в финале всё шло практически по нашему плану, в котором мы учли все важные нюансы.

Насколько сложны были для вас те атаки, с которыми вы столкнулись и на отборочном этапе, и в финале?

В начале было действительно сложно, но вводные данные, которые мы получали благодаря отчетам от СЕРТ, помогли отбить последующие атаки. В финале всё было очень быстро, не всегда удавалось распознать угрозу и справиться с ней. Но мы всё равно показали наш лучший результат.

Какую стратегию защиты вы выбрали в отборочном туре, а какую — в финале?

Стратегия защиты была одинаковой на обоих этапах. Она включала минимальные привилегии и блок по умолчанию всего того, что не было выделено как рабочий сервис. Правда, такой подход принес команде много потерь в виде штрафных очков, потому что не все сервисы были четко очерчены в документации. Однако мы всё же видели результативность нашего подхода во время самих атак.

Какой опыт вы вынесли по итогам киберчемпионата?

Главным образом поняли минусы и пробелы в работе нашей команды, учтем их на будущее. Также смогли понять, как нам стоит действовать в виде единого целого, а не просто отдельных игроков одной команды. За этот опыт большое спасибо организаторам.

Что бы вы посоветовали участникам киберчемпионата в следующем году?

Следите за штрафными очками, заранее задавайте много вопросов, чтобы не тратить на них минуты во время атак, и ни в коем случае не расслабляйтесь — победу можно одержать даже в самый последний момент!

Доктор Фам Дуй Тхань (Phạm Duy Trung), представитель команды Вьетнама

Атаки, с которыми мы столкнулись, были весьма угрожающими Доктор Фам Дуй Тхань (Phạm Duy Trung), представитель команды Вьетнама.

Чем занимаются члены команды?

Все члены команды играют важную роль, объединяя свои навыки, знания и усилия для совместного решения задач. Члены команды поддерживают друг друга, делятся мнениями, дают рекомендации и оказывают помощь, когда кто-то сталкивается с трудностями. Мы также проводим исследования и анализируем данные, чтобы понять потенциальные угрозы, уязвимые места и схемы атак. Полученная информация используется для выработки обоснованных решений и ответных мер на атаки.

Что привело вас на Международный киберчемпионат?

Сила дружбы. Мы хотели научиться новому от других команд и поделиться собственными опытом и знаниями.

Как вы формировали команду? Включали самых сильных специалистов или тех, кто хотел?

Я рассказал членам команды, у которых уже имелся опыт работы на международных и национальных соревнованиях по кибербезопасности, о проведении киберчемпионата. Все они захотели принять в нем участие. Мы провели несколько тестов, чтобы выбрать лучших студентов, но все участники оказались сильнейшими специалистами.

Что вы думаете про механику киберчемпионата? Какой из этапов для вас был сложнее? Отборочный или финал?

Мы присоединились к киберчемпионату с желанием учиться, так что любая механика не стала бы для нас проблемой. Я думаю, что последний этап стал самым сложным лично для меня из-за уровня сложности испытаний и других талантливых команд.

Насколько сложны были для вас те атаки, с которыми вы столкнулись и на отборочном этапе, и в финале?

Атаки, с которыми мы столкнулись как в отборочном туре, так и в финале, были весьма угрожающими. Они требовали глубокого понимания принципов кибербезопасности, инновационного подхода к решению проблем и быстрого принятия решений. Поставленные задачи проверяли нашу способность эффективно реагировать в условиях внешнего давления.

Какую стратегию защиты вы выбрали в отборочном туре, а какую — в финале?

В отборочном туре мы сфокусировались на многоуровневой стратегии защиты, включающей в себя развитую сегментацию сети, строгий контроль доступа и непрерывный мониторинг. В финале мы адаптировали нашу стратегию к обнаружению аномалий в реальном времени и быстрому реагированию на инциденты, чтобы противостоять усилившимся атакам.

Какой опыт вы вынесли по итогам киберчемпионата?

Результаты чемпионата научили меня тому, как важна командная работа, адаптивность и непрерывное обучение в сфере кибербезопасности. Соревнования также подчеркнули динамичный характер кибербезопасности, требующий от нас адаптации стратегий и тактик в режиме реального времени, чтобы опережать эволюционирующие угрозы.

Что бы вы посоветовали участникам киберчемпионата в следующем году?

Для участников Международного киберчемпионата в новом году я бы дал три совета, исходя из моего опыта:

1. Подготовить команду, состоящую из участников с разными ролями.
2. Создать прочный фундамент знаний.
3. Усилить инфраструктуру перед соревнованиями.

Руководитель киберполигона ГК «Солар» Евгений Акимов рассказал, когда появился полигон, как развивался и какие задачи решает сейчас

Именно работа персонала во многом определяет гиперустойчивость организации к кибератакам Евгений Акимов, руководитель киберполигона ГК «Солар».

По вашему мнению, насколько за последние годы отечественные компании прокачали свои навыки в кибербезопасности?

Особенность заключается в том, что большинство компаний не сталкивается с кибератаками на ежедневной основе. Поэтому отточить навыки в обработке инцидентов самостоятельно весьма затруднительно. При этом мы должны быть готовы к отражению атак в любой момент. Часть компаний уделяет большое внимание этому вопросу и обращается за проведением киберучений в специализированные киберполигоны, в том числе ГК «Солар». В начале прошлого года для сферы кибербезопасности начались массовые кибератаки на ИТ-инфраструктуру российских компаний, то, что часто называют киберштормом. Это время стало «судным днем» не только для самих компаний, но и провайдеров услуг по киберзащите. Есть те, кто не смог пройти проверку и понес серьёзные потери. Во многим это связано с недостаточными навыками в обработке инцидентов ИБ. Многие из них, пусть и с запозданием пришли к нам для прокачки скиллов своих команд киберзащиты – blue team. С начала года мы уже провели более 50 киберучений, а всего с начала функционирования киберполигона «Солар» подготовку прошли уже более 3000 специалистов.

Как вы оцениваете сегодняшний уровень подготовки ИБ-специалистов? Насколько он соответствует уровню угроз?

В рамках киберучений мы оцениваем практические навыки blue team по пятибалльной шкале. Измеряется более 10 различных навыков: работа со средствами защиты, анализ артефактов, навыки по восстановлению системы, администрирования операционной системы, работа с сетевыми средствами защиты, харденинг систем – то есть именно те навыки, которые крайне важны при обработке инцидентов во время таргетированных кибератак. К сожалению, редко когда команды получают интегральную оценку больше 3 баллов. Это говорит о том, что уровень подготовки специалистов компаний к реальным кибератакам невысокий. Обычно специалисты если и обнаруживают атаки, то не могут их отразить, работа часто сводится к расследованию уже произошедших инцидентов. Несмотря на то, что у коммерческих организаций этот уровень несколько выше, чем у государственных, в среднем картина схожа.

Расскажите про ваш киберполигон. Какие навыки вы тренируете на нем и что он умеет?

ГК «Солар» запустила Национальный киберполигон еще в 2019 году. Первые учения, которые мы проводили, были штабными: они проводились не на цифровых двойниках и были направлены на отработку взаимодействия участников команд. С 2021 года на киберполигоне проводятся полноценные киберучения по развитию практических навыков кибербезопасности для различных компаний, в том числе в формате международных соревнований. Сам киберполигон был разработан совместно с Министерством цифрового развития и массовых коммуникаций, а первыми нашими заказчиками стали госструктуры. Сейчас мы продолжаем работать с ними, а также с коммерчески компаниями, ВУЗами, и не только. Уже несколько тысяч человек смогли проверить свои навыки и наметить траекторию дальнейшего развития. На самом киберполигоне развернуты типовые инфраструктуры нескольких ключевых отраслей: стандартный офис, нефтегазовый сектор, банки, энергетика, телеком. Международный киберчемпионат по информационной безопасности также проходит на базе нашего киберполигона, в основе которого программная платформа «Солар Кибермир».

Что представляет собой платформа «Солар Кибермир»?

Наша платформа используется как для обычных киберучений, так и для проведения киберчемпионатов среди российских и зарубежных команд, а также киберолимпиад для студентов. На платформе действуют 2 режима: боевой и учебный. В первом режиме осуществляется срез имеющихся навыков ИБ-специалистов, во втором эти навыки развиваются за счет встроенной системы подсказок.

Когда мы создавали «Солар Кибермир», то ориентировались на лучшие на тот момент мировые решения и дополняли их собственными наработками. Сейчас, когда мы начинаем выходить на международный рынок, часто сталкиваемся с прототипами нашей системы, но уже в конкурентной борьбе – например, на различных конкурсах, где крупнейшие зарубежные компании рассматривают нас для построения своих киберполигонов национального масштаба. В ряде случаем мы показываем себя лучше и заказчики выбирают именно нас.

Какие навыки развивает платформа?

Мы постоянно расширяем спектр навыков, которые тренирует платформа, но общая направленность – навыки, необходимые для обработки инцидентов, отражения кибератак и восстановления систем. Если говорить в рамках стандарта NIST, весь процесс отражения атаки или обработки инцидентов с участием платформы раскладывается на несколько этапов. На каждом этапе нужны разные навыки: работа с Windows и Linux, настройки различных средств защиты, анализ логов и артефактов при прохождении атак, действия в режиме реального времени, восстановление систем и многое другое. Мы оцениваем знания и умения каждого конкретного сотрудника и составляем индивидуальную карту его развития. Карта включает анализ уже имеющихся навыков и советы по их совершенствованию.

Сколько времени занимает повышение навыков на одну ступень? К примеру, сейчас специалист показал себя на платформе на 3 балла, а хочет дойти до 4.

Если речь идет о росте с низкого до среднего уровня, то за один этап длительностью три-четыре месяца возможно продвинуться на две ступени, в случае высоких уровней (4-5 баллов) – не более одной. Важно отметить, что команда обработки инцидентов состоит из разных ролей. Сотрудники ИБ-подразделения – только часть, кроме них есть доменные и сетевые администраторы, администраторы приложений и баз данных, специалисты по бэкапированию и восстановлению. Целевой уровень навыков для каждой роли разный, но, безусловно, для эффективного взаимодействия базовый уровень по всем навыкам должен быть практически у каждого.

Какие собственные задачи решает ваша компания, проводя такие мероприятия, как киберчемпионат?

Мы являемся технической платформой Международного киберчемпионата. Инициаторы мероприятия – Министерство цифрового развития и массовых коммуникаций и ФСБ. Международный киберчемпионат решает задачи не отдельных компаний или ведомств, а целых государств. Это отработка международного взаимодействия в сфере отражения кибератак. Именно вовлечение и взаимодействие представителей различных стран помогает обеспечить максимальную киберустойчивость.

Главная цель – отработать навыки, включая изучение новых видов кибератак для специалистов и способов их отбить или минимизировать последствия. Для наших технологических партнёров (в 2023 году это были «Лаборатория Касперского» и «Код Безопасности») – это возможность продемонстрировать продукты, которые использовались участниками Киберчемпионата для защиты инфраструктур виртуальных предприятий.

Мы, в свою очередь, предоставляем для тестирования платформу «Солар Кибермир». И это дает свои результаты – у нас уже есть ряд проектов по построению киберполигонов с участниками Международного Киберчемионата-2023.