Система «умный дом» сильно упрощает «бытовуху» – техника сама постирает вещи, поставит чайник и выключит свет. Несмотря на явные удобства, она таит в себе опасность, потому что «открыта» для внешнего мира, и этим могут воспользоваться злоумышленники. Потенциальный ущерб огромен – от неисправностей в работе бытовой техники до серьезных нарушений по всему городу. И такие сложные информационные системы существуют во многих сферах, включая военную и промышленную. Для защиты от атак на них и проводятся киберучения.
Текст: Юлия Донецкая
«Репетиции» кибератак проводятся обычно на цифровой модели, соответствующей реальной инфраструктуре компании. Для этого «строится» киберполигон, или «цифровой двойник». Выявляются актуальные для компании риски, с учетом которых разрабатываются сценарии учений. Как правило, используют два основных – Red Teaming и Penetration Testing.
Red Teaming
В правом углу ринга – Красная машина, в левом – Синяя, судейская бригада одета в классический белый, и нет, это не краткая сводка правил боксерского соревнования, а типичный подход к киберучениям в формате Red Teaming. Он так называется, потому что сама задача почти целиком выполняется красной командой, все остальные обычно не в курсе, что идет игра. Представим, что есть Заказчик, давно работающий на рынке, с высоким уровнем информационной безопасности и сложной структурой внутри компании. Какая-нибудь компания вроде СберБанка. Служба безопасности, называемая в этой «игре» Blue Team, знает, что начнутся учения, но не в курсе, какие системы будут атакованы. Все как с обычными проверками. Команда «атакующих» (Red Team) анализирует угрозы, слабые места и возможность взлома структуры, а потом моделирует реальную атаку, используя самые новые и популярные средства и подходы. Задача Blue Team – успешно отразить удар. Представители этой команды делятся на две группы – мониторинга и реагирования, и взаимодействие между ними должно быть отработано в процессе киберучений. Группа мониторинга анализирует и фиксирует события, ведет картотеку инцидентов, а группа реагирования – исследует ее и устраняет найденные уязвимости. Если проводить такие учения стабильно, то команда «синих» всегда будет готова отражать атаки, и на этом моменте цель считается достигнутой, а защита – максимальной. Всегда есть, конечно, и так называемые «белые» менеджеры – люди, которые в курсе, что будет проводиться игровая кибератака.
Penetrating Test
Penetrating Test, тест на проникновение, чаще всего проводится в более мирной обстановке, когда условные «синие» предупреждены, что сегодня у них будут искать проблемы в системе информационной безопасности. Эта методика древнее агрессивного Red Teaming. В июне 1965 года несколько ведущих компьютерных экспертов США провели одну из первых крупных конференций по системной безопасности, инициированную государственной корпорацией SDC. Во время конференции кто-то отметил, что один сотрудник SDC смог легко взломать ее компьютерную систему, воспользовавшись лазейкой. Участники решили попросить «…провести исследования в таких областях, как нарушение защиты безопасности». Фактически, еще в 1965 году они инициировали один из первых официальных запросов на Penetrating Test.
Процесс тестирования на проникновение можно упростить до пяти этапов. Разведка – сбор информации о системе. Сканирование – используются технические средства для расширения знаний. Получение доступа – анализируя данные, собранные на этапах разведки и сканирования, злоумышленник «внедряется» в систему с помощью уязвимости. Поддержание доступа – действия, чтобы постоянно находиться в целевой среде. На этом этапе собирается как можно больше данных. Заметание следов – злоумышленник должен очистить любые следы компрометации системы жертвы, любые собранные данные, чтобы остаться анонимным.
После завершения теста атакующие , как правило, отдают службе безопасности все документы с подробным описанием «дыр» в системе защиты. Если вы, например, читаете новость в духе «Марк Цукерберг пообещал сколько-то миллионов долларов тому, кто взломает систему безопасности Instagram», то это как раз пример типичной «заманухи» для «этичных хакеров», работающих по системе Penetrating Test.
Подобные тренировки необходимо проводить не только для сотрудников, уже работающих в компании, но и потенциальных специалистов: школьников и студентов. Образовательные программы должны измениться, чтобы они могли участвовать в киберучениях и иметь компетенции, соответствующие современным вызовам. Так, чтобы в будущем киберучения можно было даже включить в стандарт ГТО, например.
Это новость от журнала ММ «Машины и механизмы». Не знаете такого? Приглашаем прямо сейчас познакомиться с этим удивительным журналом.