30.9.13

От хакерских конкурсов к киберучениям

Кого мы можем называть специалистом-практиком по информационной безопасности? Выпускника ВУЗа с большими, но теоретическими знаниями? Человека, прошедшего курсы повышения квалификации в АИС или УЦ "Информзащита"? Или человека, имеющего реальный практический опыт защиты информации в госоргане? Наверное ни того, ни другого, ни третьего. Нужна не просто комбинация теоретических и практических знаний, но и их регулярное подтверждение. Вот о нем мы и поговорим.

В романе "Нейромант" Гибсона и "Лабиринте отражений" Лукьяненко есть интересная идея о создании полностью автоматической системы защиты, которая только усиливает свой потенциал  при нападении на нее. За счет искусственного интеллекта и нейронных сетей защита сама анализирует методы вторжения и подстраивается под них, автоматически выстраивая линию обороны. Если представить, что и система нападения тоже могла бы быть полностью автоматический и действующей без участия человека, то можно было бы получить очень интересную самообучающуюся систему, а точнее две, которая бы выбирала только выигрышные стратегии для атак и их нейтрализации. Но это фантастика, до которой нам еще далеко...

В реальности же мы имеем людей, которым помогают какие-то инструменты - для атак и для их отражения. Без человека эти инструменты пока не очень эффективны; хотя и облегчают решение некоторых задач. Функции самообучаемых систем атак и нападения выполняют люди, которым необходимо постоянно повышать свой уровень, не только получая новые знания, но и тестируя их на практике. В реальной жизни такой опыт дается слишком дорого и он слишком ценен, чтобы ждать возможности проверить свой багаж знаний и "ловкость рук". Поэтому и появляется красивая идея соревнований CTF (Capture The Flag), которые довольно распространены во всем мире, включая и Россию.

RuCTF, VolgaCTF, Defcon CTF, UralCTF, rfCTF, NeoQuest, PHD CTF и т.д. Считаясь молодежными, а иногда и студенческими мероприятиями, на них как раз и осуществляется проверка сил защитников и нападающих. К сожалению, данные мероприятия пока проводятся в России на добровольных началах без существенной поддержки со стороны государства. Конкурсы CTF не поддерживаются ни Рособразованием (не уверен, что там вообще знают про такую форму практических занятий), ни УМО по ИБ, ни ФСТЭК, ни ФСБ. Хотя нет, ЦИБ ФСБ на последнем PHD как раз заявил о поддержке идеи CTF, но пока только словесной. Работа в ФСБ по направлению информационной безопасности пока прельщает немногих победителей CTF. Помимо преимуществ работы в этой структуре, есть и ограничения, которые отрезвляют многих. А вот отсутствие хоть какой-то официальной реакции со стороны УМО по ИБ странно - именно это учебно-методическое объединение отвечает за развитие направления ИБ в России; именно через них проходят все ФГОСы по нашей тематике.

Но вернемся к идее проверке сил атакующих и нападающих. Врядли можно себе сейчас представить, что специалисты коммерческих служб ИБ ломанутся "играть" в эти игры. Кто-то стесняется, у кого-то нет опыта, у кого-то тупо нет времени. Но если не CTF, то что, как и где? И вот тут нам на помощь приходит европейский, американский и австралийский опыт. У них уже давно проводятся киберучения (cyber exercise). С 2002-го по 2012-й годы в мире было проведено 85 киберучений, в которых участвовало 84 государства. 71% всех учений прошли в период с 2010-го по 2012-й годы. Практически половина всех учений длится один день (как и большинство CTF); 32% длятся до 3-х дней, еще 15% - от 4 до 5 дней, и еще 4% - больше 5 дней.

Идея правильная, но врядли ее можно организовать в общегосударственном масштабе для всех без исключения предприятий. Поэтому в Европе, Австралии, США такие учения проводятся для критически важных объектов, что закономерно. Успешная атака на критическую информационную инфраструктуру может обойтись очень дорого, как для экономики страны, так и для жизни и здоровья ее граждан. Правда, наш 8-й Центр ФСБ пока не видит необходимости в такой инициативе. По крайней мере это предложение в законопроект по безопасности критических информационных инфраструктур было отклонено как неотносящееся к предмету законодательного регулирования (интересно, а к чему оно относится).

Понятно, что восьмерке врядли хочется брать на себя эту задачу (опыта-то нет). Но может все-таки в финальный текст закона эта идея попадет, как здравая и полезная в деле защиты наших критически важных объектов от случайных или направленных воздействий? А что касается отсутствия опыта... Начинать-то с чего-то надо. В качестве лучшей практики могу посоветовать посмотреть на европейские рекомендации ENISA, которые разработаны на основе проведения регулярных европейский киберучений Cyber Europe и трансатлантических киберучений Cyber Atlantic.

9 коммент.:

Александр Полещук комментирует...

И правильно 8-ки отказываются. Это не их тема. В смысле не только их тема или пока не их тема. ИМХО, в подобные учения должны быть вовлечены многие органы и организации, а отсюда вытекает, что это организовать должно либо правительство либо уполномоченный им межведомственный орган (коего пока никто не уполномачивал за отсутствием такой задачи на уровне государства). Либо эту задачу должно взять на себя кибер-командование МО, как последняя инстанция кибер-конфликтов, имеющая исторический опыт организации учений, и во главе с человеком, имеющим опыт выстраивания вертикали управления критическими ситуациями в наших российских реалиях. Так что Шойгу надо эту идею направить.
Может обратиться к нему коллективно???

ser-storchak комментирует...

С вашего позволения, Алексей, делюсь ссылкой (http://www.vulnapps.com/) на каталог wargames, СTF, VM-образов и пр. для желающих повысить свои навыки.

Алексей Лукацкий комментирует...

Он давно не обновлялся, похоже

Андрей Коротков комментирует...

Говоря о частностях - в банковском секторе почему бы этим не заняться ЦБ? Они же старательно прививают всем культуру написания и тестирования планов ОНиВД, на мой взгляд, еще один шаг в сторону реального обеспечения непрерывности.
А единый организатор вряд ли возможен в данном случае, уж слишком разрознены (правильнее сказать "раскиданы") вопросы ИБ в нашей стране по огромному количеству регуляторов. Поэтому в каждой сфере - свой организатор.

Андрей Коротков комментирует...
Этот комментарий был удален автором.
ser-storchak комментирует...

Нужен актуальный список? Пожалуйста http://w84thesun.com/forum/showthread.php?tid=4

Алексей Лукацкий комментирует...

Координатор, а не организатор. Ответственный всегда должен быть один

Алексей Лукацкий комментирует...

ser-storchak, уже другая ссылка ;-)

Олег Барсуков комментирует...

Positive, опять же, ВУЗам предоставляет образы и материалы своих CTF.