Киберучения на «цифровом двойнике» инфраструктуры: оценка реальных рисков для бизнеса

Расходы предприятий на кибербезопасность продолжают расти, преодолевая вызванный пандемией экономический спад, который влияет на глобальные расходы в сфере информационных технологий. В то время как Gartner прогнозирует снижение расходов на ИТ на 8% (с 3,7 трлн долларов в 2019 году до 3,4 трлн долларов в этом году), расходы на информационную безопасность вырастут на 2,4% и достигнут 123,8 млрд долларов в 2020 году. Основные расходы направлены на защиту инфраструктуры и сети, а также обеспечение безопасности пользовательских данных.

Затраты на обеспечение безопасности компании оправданы, ведь ущерб в случае реализации кибератак огромен. Cybersecurity Ventures прогнозирует, что к 2021 году киберпреступность будет «стоить» миру более 6 трлн долларов в год. Эта оценочная сумма включает в себя ущерб от повреждения и уничтожения данных, потерю производительности, кражу денег, интеллектуальной собственности, личных и финансовых данных, нарушение нормального ведения бизнеса после атаки, ущерб репутации и многое другое.

Цифры подсчитаны исследовательскими компаниями, специализирующимися на изучении рынка, но они не отвечают на вопрос: «Чем грозит кибератака вашей компании?». Более 50 лет эксперты по безопасности ищут способы наиболее точно оценить ущерб от кибератак. За это время были разработаны сценарии аудитов и придумана методология оценки рисков, специалисты начали проводить анализ защищенности информационных систем и тестирования на проникновение (пентесты), компании стали уделять внимание обучению и проверке уровня осведомленности сотрудников в вопросах информационной безопасности, поскольку пользователи являются слабым звеном в защите, и злоумышленники успешно используют социотехнические атаки. Перечисленные меры хорошо справляются с задачей повышения уровня защищенности компаний, однако они не позволяют проверить реализуемость рисков.

Во время тестирования на проникновение предметом оценки выступает сама система, настройки безопасности, сетевые устройства, поддерживающие сервисы, но никак не способность службы ИБ к выявлению и активному противодействию киберугрозам. Пентест всегда ограничен списком ресурсов, которые «можно ломать», но самое главное – он ограничен в сценариях поведения атакующих из-за невозможности влиять на реальную инфраструктуру. Эксперты по безопасности демонстрируют гипотетические возможности злоумышленников, но доводить атаку до конца им, как правило, запрещено. Например, если при тестировании на проникновение сталелитейного завода будет получен доступ к управлению доменной печью, то считается, что угроза остановки производства актуальна. Продемонстрировать полную остановку печи руководство завода не позволит, поскольку остановка сталелитейного процесса может привести к разрушению оборудования и финансовому ущербу. Таким образом, киберриск реализуется лишь условно. А вдруг бояться нечего и остановка сталелитейного процесса невозможна? Вдруг атакующему не хватит прав? Вдруг сработает защитный механизм? В рамках пентеста невозможно получить ответы на эти вопросы. 

По данным нашего последнего опроса посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru 1 и участников ряда отраслевых сообществ 2, 57% опрошенных уже столкнулись с реализацией киберрисков, последствиями которых стали утечка информации (в 37% случаев), простой инфраструктуры (27%), нарушение технологического процесса (20%), ущерб репутации (17%). Аппетит злоумышленников растет с каждым годом, как и ущерб, наносимый организациям в результате кибератак. Например, в октябре 2020 операторы вымогателя The Clop атаковали немецкую ИТ-компанию Software AG и потребовали выкуп 23 млн долларов. Это один из самых больших выкупов за все время. В сентябре 2020 в результате атаки другим ВПО - Netwalker, в компании-поставщике электроэнергии в Пакистане K-Electric, прекратили работу часть онлайн-сервисов и биллинговые системы. Вымогатели хотели получить от жертвы 3,8 млн долларов, но K-Electric платить хакерам отказались, и тогда преступники выложили в интернет архив размером 8,5 Гб. В общий доступ попали финансовые документы (в том числе о прибыли и убытках компании), информация о клиентах, технические отчеты и схемы турбин. Публичные примеры серьезных потерь заставляют компании всерьез относиться к киберрискам и принимать меры для снижения вероятности их реализации и уменьшения возможного ущерба.

Киберучения – это проведение контролируемых атак с целью проверки и улучшения навыков службы ИБ к обнаружению киберугроз и реагированию на них. Полученные знания позволяют остановить реальных злоумышленников на начальных стадиях атаки или даже на этапе подготовки к ней. Сценарии атак для киберучений могут быть полностью автоматизированы, а могут реализовываться с привлечением команды атакующих (Red Team), состоящей из экспертов ИБ. Red Team имитирует действия настоящего злоумышленника, что делает обучение таким реалистичным. Если же в мероприятии участвуют одновременно несколько команд атакующих, то появляется возможность всесторонне проанализировать защищенность компании и проработать больше техник и сценариев кибератак. Киберучения могут также различаться по инфраструктуре, используемой для проведения. Может использоваться реальная инфраструктура компании, однако в этом случае риски реализуются условно, а может применяться специально подготовленная платформа (киберполигон).

Мы видим, что тема киберучений актуальна и 87% респондентов хотели бы принять в них участие и с их помощью повысить квалификацию сотрудников (данную задачу отмечают 75% опрошенных), проанализировать защищенность систем (66%), верифицировать потенциальные риски (55%). Протестировать средства защиты в процессе киберучений хотели бы 59% опрошенных, причем так ответили две трети тех, кто считает, что в компании применяется недостаточно средств защиты.

Киберучения – это активно развивающееся направление. В 2016 году аналитическое агентство Gartner впервые разработало документ с критериями выбора поставщика данных услуг, который обновляется ежегодно, что говорит о востребованности учений со стороны его клиентов.

Существуют масштабные киберучения, например, Locked Shields компании CCDCOE, в котором принимают участие более 1200 экспертов ИБ, или  Cyber Defense Exercise Агентства Национальной Безопасности  США, которое проходит с 2001 года. Бывает, что киберучения организуются в соответствии с какой-то определенной темой. Так, Европейское агентство по сетевой и информационной безопасности (ENISA) в декабре 2020 года проведет Cyber Europe 2020, в котором организаторы смоделируют сценарии, касающиеся здравоохранения.

Треть респондентов (32%) готовы потратить на киберучения не более 2 млн рублей. Когда речь идет о небольшой компании с ограниченным бюджетом, у которой потенциальные потери от реализации киберрисков не высоки, можно рассмотреть варианты небольших тренировочных платформ с заранее определенными сценариями кибератак. Такие платформы сейчас набирают популярность за счет невысокой стоимости и охвата различной аудитории: от рядовых сотрудников до руководителей. Так, примерно за 90 тыс. долларов компания Cyberbit предлагает провести обучение для ключевых сотрудников компании длительностью от 3 часов для руководителей до 2 дней для сотрудников SOC, причем стоимость зависит от количества и уровня подготовленности участников. Учения от компаний Crowdstrike, Security Innovation, Vectorsynergy направлены на проработку сценариев реагирования на кибератаки, включают имитацию действий злоумышленников, но при этом выполняются на подготовленной инфраструктуре поставщика услуг (как вариант, в облачной инфраструктуре) и не учитывают особенности каждого заказчика. Подобные платформы для киберучений являются доступным вариантом обучения сотрудников для большинства компаний, они масштабируемы, позволяют смоделировать конкретные атаки и отработать проблемные сценарии. Они хорошо подходят для отработки начальных навыков для компаний с низким уровнем зрелости ИБ. Однако нужно понимать, что ограниченность среды, использование типовых сценариев, не адаптированных под конкретного участника и не меняющихся с течением времени, не позволяют добиться решения той самой задачи с реалистичной оценкой актуальных рисков ИБ и их последствий. В жизни кибератаки не такие предсказуемые: злоумышленники находят новые уязвимости, используют ВПО, которое не обнаруживают антивирусы, и применяют другие неожиданные подходы.

На сегодняшний день лучшим решением является проведение киберучений с привлечением нескольких команд, атакующих цифровую модель организации, соответствующей реальной инфраструктуре компании – «цифрового двойника». Впервые цифровые двойники стали использовать в промышленной сфере для моделирования различных ситуаций на заводах с учетом таких факторов, как расположение оборудования, перемещение сотрудников и т.д. Согласно отчёту консалтинговой компании Grand View Research Inc, мировой рынок цифровых двойников в 2018 году был оценен в 3,3 млрд долларов США и, по прогнозам, достигнет  38,61 млрд долларов к 2026 году, увеличиваясь в среднем на 35% в год.

Создание киберполигонов – цифровых моделей организаций, используемых для киберучений, – это дорогостоящая и трудозатратная задача, поэтому в основном ею занимаются на государственном уровне. Так, например, на построение национального киберполигона США компании Lockheed Martin было выделено 33,9 млн долларов. В России субсидию в размере 364,55 млн рублей получил ПАО «Ростелеком» с целью создания киберполигона в рамках программы «Цифровая экономика».  Компания Positive Technologies организовала киберполигон The Standoff, аккумулирующий историю десятилетнего практического опыта по организации международных киберучений, которые компания проводила в рамках форума Positive Hack Days. За это время понимание концепции киберполигона в Positive Technologies неоднократно эволюционировало. Сначала до формата противостояния на искусственно смоделированной инфраструктуре, потом ― до глобального киберполигона, The Standoff, в котором присутствуют инфраструктуры реальных организаций и реальные технологические и бизнес-процессы, реальные средства защиты и реальные защитники, отвечающие за защиту этой инфраструктуры в своих компаниях. Здесь нападающие не решают задачи, они реализовывают конкретные бизнес-риски, сформированные для каждой из развернутых на нем прототипов реальных компаний.

Киберполигон объединяет все преимущества технологии цифрового двойника и киберучений. Его использование целесообразно для крупных компаний, для которых актуальны киберриски, несущие огромный ущерб. Киберполигон оправдан для организаций со зрелой ИБ, стремящихся к практической безопасности - прозрачной, результативной и обоснованной.  У каждой организации своя уникальная инфраструктура, процессы и бизнес-риски. Для того, чтобы корректно верифицировать риски и последствия их реализации, необходимо считаться с этой уникальностью. Киберполигон позволяет оценить критичность ресурсов и определить, что именно может заинтересовать злоумышленников. Red Team помогает в верификации рисков, актуальных для компании и их последствий. Сотрудники отрабатывают сценарии по реагированию на кибератаки, происходит практическая наработка навыков восстановления деятельности компании в случае непредвиденного масштабного инцидента кибербезопасности. Кроме того, служба ИБ «в бою» проверяет эффективность средств защиты и может протестировать новые ИТ и ИБ-решения, оценить целесообразность их приобретения. И, наконец, руководство наглядно видит пользу от внедренных средств защиты и может подсчитать сумму виртуального ущерба, нанесенного в рамках киберучений на цифровой модели инфраструктуры, которого теперь можно избежать.

  1. Сайт Securitylab.ru — один из лидеров российского Интернета в сфере сетевых технологий информационной безопасности. Ежемесячная аудитория портала насчитывает около полумиллиона посетителей ежемесячно, большая часть из которых — программисты, ИТ- и ИБ-специалисты, руководители соответствующих отделов.
  2. Совокупная аудитория сообществ более 16 000 ИТ- и ИБ-экспертов из различных сфер отечественного бизнеса.