07.06.2017

Практические киберучения НАТО, АНБ и других

4 года назад я уже писал про киберучения и хотел бы вновь вернуться к этой теме, тем более, что совсем недавно (на протяжении последних полутора-двух месяцев) произошло несколько киберучения, в части из которых мне довелось принять участие. Про "Противостояние" на PHDays я уже писал, а вот про остальные хотел бы написать чуть подробнее.

Недавно в соседней Эстонии завершились крупные учения НАТО по кибербезопасности Locked Shield 2017, победила в которых команда Чехии. Я в этих учениях по понятным причинам не участвовал - был занят на другом мероприятии :-). В этом году 800 участников из 25 стран мира защищали различные системы - от дронов до цифровых электростанций, полностью имитируя действия настоящих защитников, противостоящих неназванному противнику, который, конечно же находится на Востоке от "прогрессивной" Европы и судя по СМИ ломает все, что движется и не движется.

Киберучения НАТО
2500 атак, 300 виртуальных систем - таков масштаб учений этого года, в рамках которых участники из различных европейских государств выступали на стороне Blue Team, то есть были защитниками своих информационных систем.


Чуть ранее закончились киберучения АНБ CDX 2017 (Cyber Defense Exercise), которые были похожи на учения НАТО, но меньше масштабом (в США это далеко не единственные киберучения). CDX рассчитан на военные и силовые структуры США - Академию береговой охраны США, Военную академию США, Королевский военный колледж Канады и т.п., которые выступает на стороне защитников - команд Blue Team. Им противостоят "Красные бригады" Red Team, команды "хакеров", осуществляющие свои атаки 24 часа в сутки, имитируя действия настоящих злоумышленников. За "красных" играют специалисты АНБ.

Киберучения АНБ
Однако в отличие от других киберучения, где команды делятся на две стороны "Силы" - Red и Blue Cell, в CDX было введено еще два типа участников. Grey Cell, то есть команда обычных рядовых пользователей, неподкованных в области ИБ, ходящих по левым сайтам, жмущих по фишинговым ссылкам, открывающим вредоносные вложения и т.п. "Серые" делают киберучения еще больше похожими на реальную жизнь. Команда "белых" наблюдает за учениями и штрафует команды за нарушения правил. В этом году выиграла команда Военно-морской академии США, которая последние годы входит в Топ лучших игроков CDX.


В учениях Cisco Cyber Range, облегченную версию которых мы проводили в конце апреля в рамках Cisco Connect, также принимает участие три команды, но вместо "серых" вводится Green Team, задача которой наблюдать за происходящим, изучая методы и нападающих и обороняющихся.


Cisco Cyber Range - это отдельный сервис, который мы предоставляем нашим заказчикам, желающим проверить свои знания и умения на практике. Это трех- или пятидневный тренинг (на московской Cisco Connect мы проводили бесплатный 4-хчасовой вариант таких "военных игр"), в рамках которого реализуется свыше 100 реальных атак и команда Blue Team противостоит им. При этом, в зависимости от длительности учений, участники могут почувствовать себя не только защитниками, но и нападающими, научиться мыслить и действовать как хакеры и понять, насколько легко или сложно проводить атаки, с которыми им приходится иметь дело на повседневной основе.

Если CDX, Locked Shield или "Противостояние" эмулируют реальную жизнь (а наша жизнь - игра) - ночные атаки, социальный инжиниринг и т.п., то Cyber Range носит явно обучающий характер. Участники получают определенные задания, которые надо решить за отведенное время. Победителем считается тот участник (мини-команда), которая быстрее и точнее всех решит поставленную задачу. Потом осуществляется переход к следующему заданию и так до конца киберучений Cyber Range, где победителем признается команда, набравшая максимальное количество баллов.

Помимо Cyber Range, сценарии которых разрабатываются под каждого заказчика, мы регулярно проводим так называемую клинику реагирования на киберугрозы (Cisco Cyber Threat Response Clinic), где за 8 часов участники становятся то на сторону хакеров, то на сторону защитников и по разработанному сценарию знакомятся с настоящим миром безопасности, пробуя реальный инструментарий злоумышленников и защитников. При этом, для лучшего усвоения материала мы облекаем это в красивую обертку - комиксы, инфографика и т.п.

Фрагмент комиксов Cisco Cyber Threat Response Clinic
Чтобы было понятно, на что похожи Cyber Range или CTR Clinic, я напишу отдельную заметку с примерами заданий. По сути Cyber Range и CTR Clinic являются промежуточными этапами перед соревнованиями уровня CDX или Locked Shield, а также они предназначены для повышения квалификации собственных сотрудников, которые может быть и не стремятся на публичные соревнования, где на тебя смотрят все вокруг.


Последним примером киберучений, в которых мне довелось поучаствовать недавно, могу назвать первые "киберигры" в Азербайджане, которые больше похожи на штабные учения, в рамках которых моделируются реальные сценарии атак и в сжатое время (4 минуты) участникам предлагается ответить как можно более полно на описываемую ситуацию. Жюри оценивает ответы и начисляет баллы командам (в последнем случае команд было две, но их может быть и больше). По сути речь идет об аналоге игр "А что если...", которые я уже несколько раз проводил в Магнитогорске, Питере и Москве (и тут). Да, это совсем не похоже на практические киберучения, описанные выше, но это не значит, что не учения и они не имеют никакого смысла. Это просто один из типов учений (которые иностранцы называет Table Top), коих всего насчитывается около десятка. И если CDX и Locked Shield рассчитаны на технарей, то штабные учения больше оиентированы на руководителей по ИБ, которые практически не работают "с консолью", а планируют деятельность своих подчиненных и своего подразделения.
Киберучения Cisco в Баку
В заключение хочу сказать, что наш опыт показывает, что геймификация позволяет существенно улучшить восприимчивость специалистов по ИБ к новым знаниям и гораздо лучше закрепляет навыки, чем обычные курсы по продуктам. Если верить современникам Конфуция, он как-то сказал: “Скажи мне – и я забуду, покажи мне – и я запомню, дай мне сделать – и я пойму”. Именно этой концепции мы придерживаемся, организуя Cisco Cyber Range или Cisco Cyber Threat Response Clinic, а АНБ и НАТО - свои отраслевые или национальные киберучения. По другому сегодня получить бесценный опыт практически невозможно (если не рассматривать вариант с отражением реальной атаки, во время которой и учиться приходиться "по живому", а не "на кошках").