Статті

Blue VS Red: почему не стоит игнорировать обучение ИБ-специалистов

21 марта, 2019. 09:03 По материалам БАКОТЕК
Бытует мнение, что первый компьютерный вирус появился в результате случайной ошибки в коде программы, которая привела к неконтролируемому его распространению. Но появление вслед за первыми вирусами средств борьбы с ними, было уже закономерностью – зуб дракона упал в землю, и дал всходы. Появление армии киберразбойников стало вопросом времени. Как и киберзащитников…

В мире специалистов по информационной безопасности выделяют два основных вида деятельности: взлом и защита. Соответственно, ИБ-специалистов делят на «красную команду», которая проверяет системы защиты на уязвимости путем взлома и – «синюю команду», которая выстраивает защиту против атак реальных хакеров. И если между первыми специалистами уже существует своя тусовка и соревнования в режиме всевозможных CTF (англ. Capture the Flag — разновидность криптоспорта, соревнование по компьютерной безопасности), то «Синяя команда» больше напоминает в лучшем случае «наблюдателей». Они часто остаются в стороне от подобных активностей: либо за неимением организации подобных, либо же в условиях отсутствия достаточных бюджетов у компаний для обучения и участия в соревнованиях.

Таким образом, в Украине ИБ-специалисты корпоративного сектора, как реального бизнеса, так и госучреждений, — часто не готовы к высококлассным атакам и зачастую сильно отстают от современных требований к ИБ. Как показывает опыт, даже если компании найдут бюджет для покупки качественных ИБ-решений, то им очень трудно на все 100% воспользоваться их преимуществами. Типичная ситуация на нашем рынке – путем выкраивания бюджета, истребования максимальных скидок от вендора, приобретается хорошее, дорогое решение, и… в результате экономии на обучении специалистов, экономии на профессиональных сервисах внедрения экспертами, сервисах обновления и поддержки ПО  – поставленное решение используется далеко не на 100% своих возможностей, оставляя опасные прорехи в системе ИБ, которые с течением времени становятся все опаснее.  

Мы, как дистрибьюторы подобных решений, сталкиваемся с этим ежедневно и прекрасно понимаем, что противостояние специалистов, средств и методов атаки и защиты значительно шире, чем «красные» и «синие». Деление на команды – это присуще только соревнованиям. Потому, изучив международный опыт, мы решились на проведение первых в СНГ и Европе специализированных тренингов в формате киберсоревнования. Идея не нова – подобные тренинги уже прошли в 2018 году в Бангкоке, Токио, Сингапуре, Гонконге и дали положительные результаты. Сам формат придумали и реализовали специалисты американской компании Ixia, a Keysight Business. Вместе с ними, а также с помощью собственных сертифицированных инженеров, мы запускаем первую в Украине тренировочную площадку для ИБ-специалистов - так называемый киберполигон Ixia Cyber Combat

Главная идея киберполигона – создать для ИБ-специалистов реалистичную ситуацию атаки на ИТ-инфраструктуру и научить их действовать быстро и эффективно, так называемая «проверка боем» навыков управления системами безопасности. Чтобы специалисты ИБ имели возможность изучать угрозы и атаки не теоретически, выстраивая защиту в ожидании атаки, и не будучи уверенными в том – атаковали их или нет, а на практике, наверняка зная, что их систему атакуют прямо сейчас, в данный момент времени. Очень надеемся, что формат приживется и сможет повысить общий уровень ИБ в бизнес и гос. секторе.

Если говорить с технической точки зрения, киберполигон Ixia Cyber Combat имеет 3 основных составляющих:

  • Симуляция единой IТ-среды с инструментами мониторинга, обнаружения и защиты от угроз. Набор инструментов в текущей конфигурации полигона – конечно же, частный случай из бесконечного количества возможных вариантов, но, стремясь предоставить участникам достаточно полный инструментарий, и, опираясь на опыт наших инженеров, мы остановились на WAF от F5, NGFW от Palo Alto Networks, SIEM (система анализа событий ИБ) AlienVault и др.
  • Вместо хакеров, то есть вместо «красной команды», на киберполигоне выступает решение Ixia BreakingPoint, которое эмулирует реалистичный трафик тестируемой сети предприятия, включая весь спектр офисных приложений, веб-обращений, аудио и видеопотоки, а так же спрятанные в этом трафике типичные сигнатуры зловредного ПО, и DDoS-атаки – шквальные запросы сервиса извне к локальной сети, имеющие целью нарушить работоспособность сервисов, предоставляемых предприятием внешним пользователям. Т.е. это кибернетический стенд, созданный для испытания устройств защиты «на прочность» - по разным сценариям, от разных атак, под разными нагрузками трафиком.
  • В качестве автоматического беспристрастного судьи, оценивающего и моментально отображающего текущие результаты соревнующихся команд, выступает вынесенная в облако система скоринга, тоже созданная специалистами Ixia.

Перед соревнующимися командами ставится задача обнаружить максимальное количество «флагов» - 128-битные последовательности в MD5-хеше. Для этого участники могут пользоваться широким набором инструментов: предоставленными в рамках полигона средствами защиты, собственными программными инструментами на своих ПК, а также внешними ресурсами, доступными в интернет – от мануалов и справочников до вычислительных мощностей.

Численный состав команд – 2 человека. Теоретически, принимать участие в соревновании может и игрок-одиночка, но сложность предлагаемых заданий, одинаковых для всех команд, все-таки предполагает распределение задач между членами команды.

Временной формат игры – непрерывный 8-часовой марафон. Он предполагает свободное использование времени и перемещение по игровой зоне (месту проведения соревнований), т.е. перерывы на отдых, кофе, и т.п. все участники планируют сами, организаторы берут на себя создание необходимых условий, включая питание.

На соревновании предусмотрено участие экспертов – технических специалистов Ixia, и BAKOTECH Group, которые будут следить за соблюдением правил и технического регламента соревнований, а также, по мере необходимости, проводить консультации игроков с целью поддержания игрового элемента мероприятия.

В предлагаемой версии тренинга с элементами соревнования, мы предлагаем участникам роль «синих» игроков, защищающих сеть от кибератак. В дальнейшем, мы будем усложнять правила соревнований, предлагая командам выполнять так же функции «красных» - атаковать сетевые объекты других команд. При этом, очевидно, потребуется расширить численный состав команд. Успешные атакующие действия тоже будут оцениваться скоринговой системой, согласно установленных критериев. Это внесет еще больший реализм и спортивный азарт в процесс соревнования.

Честно говоря, в начале мы имели некоторые опасения: что ИБ-специалисты не найдут время или не поймут актуальность такого вида активности. Однако, уже сейчас мы получаем немало заявок, компании отправляют на киберполигон по 2-3 человека, что вселяет надежду на изменение ситуации с кибербезопасностью в корне. Наш бизнес будет теперь не просто покупать лучшее в мире ИБ-оборудование, но и сможет выжать из него максимум, гарантируя свою безопасность (в широком смысле — и государства, кибербезопасность которого – тоже еще тот вопрос). Так что, чем больше будет высококачественных тренированных «боем» спецов, тем лучше!

  • Полигон — специально отведенная и подготовленная территория (участок суши, неба или моря), который предназначен для подготовки (обучения) личного состава и испытаний различных видов вооружения и военной техники. (Википедия)  
  • Киберполигон – это техническая площадка, на которой специалисты информационной безопасности могут проверить и усовершенствовать свои профессиональные навыки, а также испытать на практике средства и методы защиты и нападения в киберпространстве. (БАКОТЕК)

Дата мероприятия: 02 апреля 2019

Время: 8:30 – 19:30

Адрес: отель Park Inn, ул. Большая Васильковская, 55, Киев

Программа мероприятия, спикеры, регистрация: http://bit.ly/2OdKe3d

Стоимость: 13 750 грн (500 USD). Количество мест ограничено. Возможна групповая скидка

 

Комментарии: