В этой краткой заметке мы рассмотрим, что такое киберучения, как они проводятся и какую пользу можно получить, анализируя отчеты об уже проведенных мероприятиях.
Под киберучениями мы подразумеваем запланированные мероприятия, в ходе которых моделируются кибератаки с целью разработки возможностей их предотвращения, реагирования и восстановления.
В киберучениях принимают участие следующие команды: атакующие (Красная команда), защитники (Синяя команда), администраторы (Зеленая команда), организаторы (Белая команда), а также могут быть исследователи (Желтая команда).
Киберучения могут быть корпоративными, отраслевыми, межотраслевыми, региональными и международными.
Эксперты любят выделять следующие форматы кибертренировок:
- Столовые учения, теоретические занятия (Table Top) – моделирование сценария кибератаки в формате рассказа, в котором участники анализируют и обсуждают, но не реализуют принятые процедуры на практике.
- Практические занятия (Full live) – проводя обучение кибератакам, участники отрабатывают практические действия по реагированию на инцидент.
- Гибрид – сочетание элементов настольных и практических занятий.
Максимальный интерес представляют масштабные международные мероприятия, подробности которых хорошо освещаются в Интернете и по которым публикуется так называемый отчет о последствиях.
В целом информацию о том, какие киберучения проводятся в мире и насколько открытая информация о них можно почерпнуть из публикации Национального института кибербезопасности Испании — Таксономия кибер-упражнений .
Примечательный момент: этот отчет почему-то недоступен для российских IP-адресов.
Одними из крупнейших киберучений, проводимых в Европе, являются ежегодные киберучения LockedShields, организуемые Центром сотрудничества по киберзащите НАТО ( Центр передового опыта НАТО по совместной киберзащите ).
До 2014 года центр публиковал на своем сайте подробные отчеты о проведенных киберучениях, и наиболее интересным, на наш взгляд, является 122-страничный отчет за 2013 год .
В 2013 году игровая инфраструктура этих кибертренировок имитировала обычную корпоративную сеть.
Каждой синей команде была выделена сеть из 34 машин, включая: маршрутизатор, межсетевые экраны, рабочие станции под управлением Linux и Windows, контроллеры домена, файловые серверы, почтовые серверы, DNS-серверы, веб-серверы и серверы СУБД.
Для Красной команды эта инфраструктура представляла собой «белый ящик», в котором были предустановлены 2 бэкдора, которые начинали активные действия по заданному графику.
Также в каждой защищаемой инфраструктуре был пользователь с ролью блондинка (представитель Белой команды), который открывал все вложения и переходил по всем ссылкам в полученных письмах.
Большинство уязвимостей было в прикладном офисном программном обеспечении.
Перед злоумышленниками стояли типичные хакерские задачи:
- испортить страницу;
- организовать отказ в обслуживании;
- получить административный доступ;
- внедрить вредоносный код;
- доступ к определенным электронным письмам; получить конкретный отчет;
- заменить видеофайл.
По другую сторону Атлантики также проводятся довольно крупные международные киберучения; в 2020 году в учениях Cyber Storm 2020 приняли участие более 1000 участников.
Доступен отчет после действия и, среди прочего, содержит интересное описание сценария, положенного в основу учений.
В соответствии с ним две хакерские группы, спонсируемые иностранными государствами, разрабатывают набор инструментов для эксплуатации уязвимостей в ключевых интернет-сервисах — DNS, BGP и CA. Разработанные инструменты передаются злоумышленникам с различной мотивацией, которые, в свою очередь, используют их для осуществления кибератак на объекты критической информационной инфраструктуры.
Что у нас есть? Не так давно начали проводиться отраслевые киберучения( банки , энергия и так далее.
).
У нас хорошо развито CTF-движение, и подобные мероприятия проводятся достаточно регулярно.
Например, наша компания организует конкурс CTF «Эшелонированная защита», в рамках которого более 100 команд .
Матрица активно используется для отработки сценариев кибератак по всему миру.
МИТРА АТТ@СК , который представляет действия киберзлоумышленников в структурированном виде и позволяет описать практически любую атаку.
В России в начале года ФСТЭК России издал Методика оценки угроз информационной безопасности , в приложении к которому он изложил свое видение структуры действий злоумышленников.
ЭСпециалистами нашей компании разработаны и опубликованы сопоставление списка действий злоумышленников со стороны ФНСЭК России с соответствующими действиями в матрице MITRE ATT@CK .
Интересной тенденцией является использование в ходе отраслевых учений не просто сценария, включающего произвольные тактики и приемы, а моделей реальных хакерских группировок, представляющих опасность для конкретной отрасли, например, APT Тонто и TA428 в случае учений по высокотехнологичному производству или «Кобальт и Карбанак» в случае банковских учений.
Для подготовки к киберучениям мы, например, создали прототип базы хакерских группировок, которые, по данным открытых источников, атакуют цели именно на территории России: https://apt.etecs.ru/ В базе данных есть кибергруппировки, которые, по данным источников, атакуют ресурсы на территории России.
Надеемся, что изучение этих материалов специалистами, ответственными за безопасность объектов КИИ, будет полезно для повышения готовности к отражению кибератак.
Теги: #информационная безопасность #кибербезопасность #mitre att&ck #киберучения
-
«Вокруг Света» Включено В Яндекс.словари.
19 Oct, 24 -
Как Раз Про Nmodbus (Rtu)
19 Oct, 24 -
Первая Книга О Джанго На Русском Языке
19 Oct, 24 -
Давай Поиграем С Жизнью
19 Oct, 24 -
Блоги! Недорого! Не Стесняйся.
19 Oct, 24 -
Внимание. Опасность Для Вашего Iphone
19 Oct, 24
