Готов к труду и кибератакам

Система «умный дом» сильно упрощает «бытовуху» – техника сама постирает вещи, поставит чайник и выключит свет. Несмотря на явные удобства, она таит в себе опасность, потому что «открыта» для внешнего мира, и этим могут воспользоваться злоумышленники. Потенциальный ущерб огромен – от неисправностей в работе бытовой техники до серьезных нарушений по всему городу. И такие сложные информационные системы существуют во многих сферах, включая военную и промышленную. Для защиты от атак на них и проводятся киберучения.

2265 0 0

отправить по e-mail

Фото: R ARCHITECTURE, unsplash.com, freepik.com

Текст: Юлия Донецкая

Письма Хилари Клинтон «слили» на WikiLeaks, чтобы дискредитировать ее во время выборов, а вирус Stuxnet отбросил на несколько лет назад ядерную программу Ирана, повредив энергоблоки. В апреле 2021 года на сайте Белорусской АЭС появилась новость об опасности работы станции. Минэнерго страны признало это кибератакой: «Сайт БелАЭС был взломан неизвестными». Выгода от успешных кибератак может быть и финансовой, и политической – в зависимости от целей преступников. Чтобы это предотвратить, нужно отработать различные атаки и защиты от них. Это и называется киберучениями. Компании и предприятия, хоть как-то связанные с автоматизированными системами управления, должны проводить их на постоянной основе, поскольку кибератаки развиваются и находят обходные пути, а значит должна постоянно эволюционировать и кибероборона.

«Репетиции» кибератак проводятся обычно на цифровой модели, соответствующей реальной инфраструктуре компании. Для этого «строится» киберполигон, или «цифровой двойник». Выявляются актуальные для компании риски, с учетом которых разрабатываются сценарии учений. Как правило, используют два основных – Red Teaming и Penetration Testing.

Red Teaming

В правом углу ринга – Красная машина, в левом – Синяя, судейская бригада одета в классический белый, и нет, это не краткая сводка правил боксерского соревнования, а типичный подход к киберучениям в формате Red Teaming. Он так называется, потому что сама задача почти целиком выполняется красной командой, все остальные обычно не в курсе, что идет игра. Представим, что есть Заказчик, давно работающий на рынке, с высоким уровнем информационной безопасности и сложной структурой внутри компании. Какая-нибудь компания вроде СберБанка. Служба безопасности, называемая в этой «игре» Blue Team, знает, что начнутся учения, но не в курсе, какие системы будут атакованы. Все как с обычными проверками. Команда «атакующих» (Red Team) анализирует угрозы, слабые места и возможность взлома структуры, а потом моделирует реальную атаку, используя самые новые и популярные средства и подходы. Задача Blue Team – успешно отразить удар. Представители этой команды делятся на две группы – мониторинга и реагирования, и взаимодействие между ними должно быть отработано в процессе киберучений. Группа мониторинга анализирует и фиксирует события, ведет картотеку инцидентов, а группа реагирования – исследует ее и устраняет найденные уязвимости. Если проводить такие учения стабильно, то команда «синих» всегда будет готова отражать атаки, и на этом моменте цель считается достигнутой, а защита – максимальной. Всегда есть, конечно, и так называемые «белые» менеджеры – люди, которые в курсе, что будет проводиться игровая кибератака.

Если вам показалось, что термин Red Team похож на неофициальное название российской сборной по хоккею, то вам не показалось. Это словосочетание пришло из военной сферы. Во время вьетнамской войны американские летчики отрабатывали навыки воздушного боя на игровых сражениях, в которых чаще всего их противниками выступали, конечно, воображаемые Советы. От Советов же и «красная машина». Традиционно красные всегда нападают, а синие – обороняются.

Penetrating Test

Penetrating Test, тест на проникновение, чаще всего проводится в более мирной обстановке, когда условные «синие» предупреждены, что сегодня у них будут искать проблемы в системе информационной безопасности. Эта методика древнее агрессивного Red Teaming. В июне 1965 года несколько ведущих компьютерных экспертов США провели одну из первых крупных конференций по системной безопасности, инициированную государственной корпорацией SDC. Во время конференции кто-то отметил, что один сотрудник SDC смог легко взломать ее компьютерную систему, воспользовавшись лазейкой. Участники решили попросить «…провести исследования в таких областях, как нарушение защиты безопасности». Фактически, еще в 1965 году они инициировали один из первых официальных запросов на Penetrating Test.

Процесс тестирования на проникновение можно упростить до пяти этапов. Разведка – сбор информации о системе. Сканирование – используются технические средства для расширения знаний. Получение доступа – анализируя данные, собранные на этапах разведки и сканирования, злоумышленник «внедряется» в систему с помощью уязвимости. Поддержание доступа – действия, чтобы постоянно находиться в целевой среде. На этом этапе собирается как можно больше данных. Заметание следов – злоумышленник должен очистить любые следы компрометации системы жертвы, любые собранные данные, чтобы остаться анонимным.

plextrac.com

После завершения теста атакующие , как правило, отдают службе безопасности все документы с подробным описанием «дыр» в системе защиты. Если вы, например, читаете новость в духе «Марк Цукерберг пообещал сколько-то миллионов долларов тому, кто взломает систему безопасности Instagram», то это как раз пример типичной «заманухи» для «этичных хакеров», работающих по системе Penetrating Test.

«Этичные хакеры» тестируют безопасность систем, чтобы потом отдать данные компаниям, а не нажиться на них.

Подобные тренировки необходимо проводить не только для сотрудников, уже работающих в компании, но и потенциальных специалистов: школьников и студентов. Образовательные программы должны измениться, чтобы они могли участвовать в киберучениях и иметь компетенции, соответствующие современным вызовам. Так, чтобы в будущем киберучения можно было даже включить в стандарт ГТО, например.

Наш журнал ММ Поддержать ММ

Технологии

Машины и Механизмы