Киберучения ( англ. Adversary Emulation ) — процесс отработки навыков по выявлению компьютерных атак и/или реагированию на инциденты у специалистов в области информационной безопасности , а также их обучение использованию инструментов защиты систем. Целью учений также может быть проверка информационных систем на устойчивость к кибератакам .

В отличие от испытания на проникновение киберучения в первую очередь нацелены на проверку навыков персонала и проходят по согласованному сценарию . Считается, что киберучения ведут свою историю с турниров Capture the Flag , популярных среди студентов технических и военных вузов США .

Классификация

Специалисты выделяют следующие типы киберучений:

по формату:

• теоретические (штабные учения, tabletop) — учения, направленные на обсуждение организационных задач и тренировку практики принятия управленческих решений;
• практические (функциональные, fulllive) — проведение опытных мероприятий с целью отработки разнообразных навыков по информационной безопасности. Часто проходят с проведением кибератак, во время которых участники отрабатывают практические действия по реагированию на инцидент;
• гибридные (комплексные, hybrid) — комбинация элементов теоретических и практических учений;

по цели проведения:

• отработка индивидуальных навыков и умений лично и в составе команд. Большинство таких киберучений реализуется в формате CTF, которые проводятся либо самостоятель¬но (Hack The Box ), либо в рамках тематических конференций ( DEFCON , RSA Conference ). В России к этому направлению относятся, например, международные киберучения Standoff. Подобные учения также могут проводиться в качестве квалификационных испытаний после завершения курсов по кибербезопасности (Cyber Battle of Estonia , The Coalition Warrior Interoperability Exercise и другие);
• отработка вопросов взаимодействия государственных структур (чаще военных) с представителями частного сектора. В ряде стран для этой цели разрабатываются специальные долгосрочные программы, предполагающие проведение киберучений. Наиболее комплексный подход по данному направлению реализуется в США (так, при поддержке Киберкомандования США Мэрилендский институт инноваций и безопасности (MISI) организовал киберучения Hack The Building . Задача участников киберучений заключалась в том, чтобы проникнуть в полностью оборудованное «умное» здание площадью 150 000 квадратных футов, которое изображало вымышленную оборонную компанию;
• отработка тактических навыков и координация киберопераций в информационном пространстве. К киберучениям данного типа можно отнести LockedShields — одни из самых масштабных европейских киберучений, организатором которых выступает Киберцентр НАТО в Таллине .

по масштабу:

• объектные (отрабатывается атака на конкретное предприятие);
• отраслевые (для моделирования нападения на несколько компаний из одного сегмента);
• кросс-отраслевые;
• региональные, международные и межгосударственные.

по доступности:

• открытые (принять участие в киберучениях может любой желающий);
• закрытые (организатор приглашает ограниченное количество специалистов по информационной безопасности).

по уровню публичности:

• общедоступные (результаты киберучений публикуются в СМИ);
• корпоративные (киберучения на инфраструктуре компаний, результаты которых не публикуются в СМИ).

Участники киберучений

Команды, принимающие участие в киберучениях, именуются по цветам в зависимости от направления деятельности: «Красные» (Red Team, атакующие), «Синие» (Blue Team, защитники) . Расширенная версия классификации участников, включает также команды «Фиолетовых» (Purple Team), «Жёлтых» (Yellow Team), «Зелёных» (Green Team), «Оранжевых» (Orange Team) и «Белых» (White Team) .

Красная команда

Основная статья :

Группа специалистов по кибербезопасности (могут быть как самой компании или поставщика соответствующих услуг, так и независимыми исследователями безопасности), тестирующая информационную систему компании на уязвимость и имитирующая действия злоумышленников с помощью хакерских техник и тактик (в отличие от участников испытания на проникновение, которые используют стандартные инструменты пентестинга и проводят тест в краткие сроки). В некоторых исследованиях подчеркивается, что тестирование на проникновение является частью редтиминга . Другие названия специалистов «Красной команды» — «атакующие», «этичные» или «белые» хакеры .

Сценарий действий «Красной команды» индивидуален и зависит от запросов заказчика и поставленных целей. Типичный процесс комплексной имитации атаки включает:

• тестирование на проникновение (в сеть, приложение, мобильный телефон и т. д.);
• социальную инженерию (попытка нарушения безопасности при помощи телефонных звонков, электронных рассылок и т. д.);
• физическое вторжение (взлом замков, обнаружение мертвых зон камер слежения и т. д.) .

Синяя команда

Основная статья :

Группа специалистов по кибербезопасности, реагирующая на атаки «Красной команды», отслеживающая перемещения атакующих внутри инфраструктуры, расследующая инциденты, изучающая техники и тактики злоумышленников и нарабатывающая опыт предотвращения недопустимых событий. Как и «Красная команда», «Синяя команда» должна владеть знаниями о тактиках злоумышленников, техниках и процедурах, чтобы на их основании создавать стратегии реагирования.

Белая команда (White team)

Группа, наблюдающая за ходом киберучений, обеспечивающая соблюдение правил и оказывающая командам техническую поддержку. Белая команда также следит за тем, чтобы результаты киберучений корректно учитывались в соответствии с правилами подсчета очков. В эту группу могут входить авторы сценария киберучений, администраторы платформы киберполигона и специалисты с опытом организации киберучений.

Фиолетовая команда (Purple Team)

Команда специалистов по кибербезопасности, которая выполняет роль посредника между «Красной» и «Синей» командами. Эксперты данного профиля наблюдают за процессами атаки и защиты, комментируют и интерпретируют то, что происходит, и подсказывают решения обеим командам . Считается, что подключение к работе команды «Фиолетовых» позволяет проверить готовность Центра управления безопасностью (SOC) к отражению реальных атак и найти несовершенства в существующих правилах, процессах и процедурах реагирования .

Жёлтая команда (YellowTeam)

Команда специалистов, отвечающих в организации за разработку ПО, настройку инфраструктуры ИКТ, развертывание приложений и т. д.

Зелёная команда (GreenTeam)

Группа специалистов, обеспечивающих связь между «Жёлтой» и «Синей» командами (так же, как «Фиолетовая команда» помогает взаимодействовать «Красной» и «Синей»). «Зеленая команда» отвечает за предоставление реалистичного сетевого трафика, журналов приложений и т. д.

Оранжевая команда (OrangeTeam)

Группа специалистов, способствующих общению между «Красной» и «Жёлтой» командами.

Инфраструктура

Киберучения могут различаться по инфраструктуре, используемой для их проведения:

• учения на реальной инфраструктуре компании (в этом случае риски чаще всего реализуются условно, чтобы не нанести серьёзного ущерба компании);
• учения на киберполигонах — виртуальных тренировочных площадках, представляющих собой цифровые копии информационных систем организаций/отраслей/государств.

Состояние киберучений в Российской Федерации

В 2006 году на базе Уральского государственного университета прошли соревнования UralCTF , с которых официально начинается история российских киберучений. В 2009 году тот же организатор провёл первые международные студенческие CTF-соревнования в России RuCTFE. В них участвовало 43 команды со всего мира. Соревнования проходили в режиме онлайн на протяжении 10 часов .

Standoff

Международные киберучения Standoff проводятся российской компанией Positive Technologies с 2016 года. Ключевым отличием Standoff стала реалистичность игрового процесса: виртуальная страна, за ресурсы которой борются команды, представляет собой визуализацию цифровой реальности современной России .

Соревнования проходят на киберполигоне Standoff 365 , который является самым крупным в России . За всю историю в Standoff приняли участие более 1000 исследователей безопасности . В 2020 году мероприятие вошло в Книгу рекордов России как самые масштабные открытые киберучения .

См. также

• Кибероружие
• Информационная война
• Кибершпионаж
• Компьютерный терроризм
• Кибервойна
• Red Hacker Alliance
• Каталог ANT (АНБ)

Примечания

Литература

на русском языке

• Овчинский В. С. , Ларина Е. С. Кибервойны XXI века. О чём умолчал Эдвард Сноуден. — М. : Книжный мир, 2014. — 352 с. — ISBN 978-5-8041-0723-0 .
• Шейн Харрис . Кибервойн@: Пятый театр военных действий = War: The Rise of the Military-Internet Complex. — М. : Альпина нон‑фикшн, 2016. — ISBN ISBN 978-5-9614-4112-3 .
• Петренко А. А., Петренко С. А. (рус.) // Вопросы кибербезопасности. — 2015. — № 3 (11) . — С. 2—14 .
• Метельков А. Н. Киберучения: зарубежный опыт защиты критической инфраструктуры // Правовая информатика. 2022. № 1. С. 51-60. ISSN: 1994—1404
• Сушкова Ю. А., Меркулова М. С. Киберучения. Проблемы российского интернета // Электронный вестник Ростовского социально-экономического института. 2015. № 3-4. С. 1025—1031.

на других языках

• Bodmer, Kilger, Carpenter, & Jones. Reverse Deception: Organized Cyber Threat Counter-Exploitation. — New York: McGraw-Hill Osborne Media, 2012. — ISBN 0-07-177249-9 , ISBN 978-0-07-177249-5 .
• Farwell, James F.; Rohozinski. // Survival. — Vol. 53 (1). — doi : .
• Dorofeev A. V., Markov A. S. Conducting Cyber Exercises Based on the Information Security Threat Model // CEUR Workshop Proceedings. 2021. V. 3057. Р. 1-10. EDN: WRRTXC