Государства для тестирования хакерских атак: для кого строят киберполигоны

29.11.2021, 13:13
Будет ли украден миллиард? Смогут ли похитить данные клиентов? Остановится ли производство из-за обычного шифровальщика, запущенного в локальную сеть? Киберполигоны — средство узнать, какой сокрушительный ущерб компании может нанести кибератака.
Positive Technologies
Государства для тестирования хакерских атак: для кого строят киберполигоны

Последние четыре года футурологи, политики и бизнесмены твердят о том, что мир стоит на пороге цифровой революции, которая изменит нашу жизнь к лучшему. Рассказывая об ИИ, интернете вещей и пользе сбора больших данных, о роботах, уже привычных голосовых помощниках и других благах индустрии 4.0, эксперты зачастую забывают упомянуть, что человечеству также приходится иметь дело со сложными и разрушительными последствиями применения технологий. 

Обратная сторона цифровой революции — это, к примеру, риск кибератак, которые могут повлиять на окружающий мир и жизнь граждан. Аппетит злоумышленников растет с каждым годом, а вместе с ним и ущерб, наносимый компаниям в ходе кибератак. 

Так, в июле этого года поставщик водопроводной воды в пригороде Вашингтона стал жертвой кибератаки с использованием вымогательского ПО, в результате которой злоумышленники получили доступ к данным его клиентов. Хорошая новость здесь в том, что никаких манипуляций преступников с системами фильтрации и очистки зафиксировано не было, а значит, качество питьевой воды, которую потребляют 1,8 млн жителей близлежащих округов, не подвергалось опасности.

В том же месяце при атаке на Счетную палату Молдовы были уничтожены аудиторские отчеты и общедоступные базы данных ведомства, а в Иране из-за взлома компьютерной системы национальной железной дороги сбился график движения поездов. В сентябре этого года хакеры в очередной раз замахнулись на ООН и, взломав ее сеть,  похитили информацию, которая теперь может быть использована для атак на другие ведомства.

Публичные примеры серьезных последствий заставляют компании всерьез относиться к киберрискам и принимать меры, чтобы снизить их вероятность и минимизировать потери. Уже более полувека эксперты по безопасности ищут способы наиболее точно оценить ущерб от кибератак. За это время были разработаны сценарии аудита и придумана методология оценки рисков: специалисты начали проводить анализ защищенности систем и тесты на проникновение, а организации стали уделять внимание обучению и проверке уровня осведомленности сотрудников в вопросах ИБ. Все это, конечно, помогает повысить уровень защищенности, однако не дает ответов на вопросы: «Чем грозит кибератака компании? Можно ли гарантировать, что неприемлемые для бизнеса события не будут реализованы?». 

Можно ли оценить реализуемость рисков для бизнеса на киберполигоне?

Движение бизнеса в сторону практической безопасности привело к появлению нового инструмента для моделирования угроз и оценки защищенности компаний. Этим инструментом стали киберучения, в которых одновременно могут принять участие такие специалисты по кибербезопасности, как пентестеры, исследователи, сотрудники служб ИБ и центров мониторинга безопасности. 

Киберучения представляют собой атаки, которые проводят, чтобы проверить и улучшить навыки службы ИБ по обнаружению киберугроз и реагированию на них.

Существуют масштабные киберучения, например Locked Shields, организованные Киберцентром НАТО в Таллине, в которых в 2019 году приняло участие более 1200 экспертов по ИБ, или мероприятие Cyber Defense Exercise Агентства национальной безопасности США, которое проходит с 2001 года. 

Для киберучений можно использовать реальную инфраструктуру компании, но тогда риски будут реализовываться условно. Поэтому для оценки реализуемости рисков ИБ и выявления возможных последствий кибератак лучше применять специально подготовленную платформу — киберполигон. Так можно не бояться нарушить реальные технологические или бизнес-процессы.

Киберполигон позволяет моделировать отдельные критически важные системы, чтобы протестировать их параметры, найти уязвимости и проверить реализуемость недопустимых событий на практике. Киберучения на полигоне выигрывают перед тестированием на проникновение в режиме red team и классическим пентестом тем, что на полигоне есть возможность реализовать риск до конца.

Использование киберполигона для анализа защищенности инфраструктуры — это передовое решение. Его выбирают организации, стремящиеся к практической безопасности — прозрачной, результативной и обоснованной. У каждой компании своя уникальная инфраструктура и свои недопустимые события. Для того чтобы проследить цепочки кибератак и оценить, к каким последствиям может привести недопустимое событие в обычной жизни, необходимо считаться с этой уникальностью. Киберполигон позволяет оценить значимость ресурсов и определить, что именно может заинтересовать злоумышленников. При ретроспективном анализе атак с полигона также можно выделить системы, взломав которые хакерам становится проще добиться реализации рисков. 

Кроме того, если в киберучениях участвует одновременно несколько команд атакующих (а это самый лучший расклад), то еще появляется возможность всесторонне проанализировать защищенность той или иной инфраструктуры и проработать больше техник и сценариев атак.

В отдельных случаях верифицировать неприемлемые события и оценить защищенность инфраструктуры без киберполигона попросту невозможно. Например, когда есть риск вызвать негативные последствия, в частности аварии на производстве, которые могут привести к травмам или гибели работников предприятия, жертвам среди населения или экологической катастрофе. Такие недопустимые события чаще всего характерны для предприятий из промышленного сектора и городских эксплуатационных служб. 

Что нам стоит целое государство построить

Создание киберполигонов — это дорогостоящая и трудозатратная задача, поэтому в основном ею занимаются на государственном уровне. К примеру, на построение национального киберполигона в США компании Lockheed Martin было выделено 33,9 млн долларов. В России субсидию в размере 364,55 млн рублей получил «Ростелеком» для создания киберполигона в рамках программы «Цифровая экономика». Мы в Positive Technologies — уже своими силами — организовали киберполигон, аккумулирующий опыт международных киберучений. За это время понимание концепции киберполигона у нас неоднократно эволюционировало. Сначала до формата противостояния на искусственно смоделированной инфраструктуре, потом — до глобального киберполигона The Standoff, на котором присутствуют инфраструктуры реальных организаций и реальные технологические и бизнес-процессы, реальные средства защиты и реальные защитники, отвечающие за выявление кибератак на виртуальный город. 

Угроза кибератак должна быть очевидна каждому. Для этого мы каждый год проводим крупнейшие в мире открытые киберучения на нашем полигоне. Чтобы продемонстрировать векторы атак и сделать аварии, вызванные зловредными действиями хакеров (в нашем случае — красных команд), наглядными для людей, знакомых с кибербезопасностью весьма поверхностно, мы создаем макет города. Там есть заводы, ТЭЦ, аэропорт, бизнес-центры, железная дорога и даже парк аттракционов. В инфраструктуру виртуального города заложены живые бизнес-процессы этих организаций, а на полигоне команды атакующих и защитников имеют дело с настоящими сервисами и оборудованием, используемыми в этих отраслях. 

При этом и взаимодействие с инфраструктурой города тоже происходит как в реальности: нападающие работают удаленно, пытаясь проникнуть внутрь корпоративной сети. В сердце макета — АСУ ТП, которые управляют реальными объектами с ПЛК. При проектировании полигона используются настоящие промышленные контроллеры и SCADA, как и на аналогичных объектах промышленности. Все технологические сети содержат настоящее оборудование и софт, а сетевое взаимодействие происходит по распространенным протоколам АСУ ТП — OPC DA,  Modbus TCP,  HTTP. 

©  Популярная Механика