В Минске прошли масштабные киберучения, одной из целей которых стала отработка практических навыков и их оценка при осуществлении расследований киберинцидентов. В мероприятии участвовали 20 команд: это компании и предприятия, деятельность которых прямо или косвенно связана с необходимостью обеспечивать безопасность информационных инфраструктур.
Учения проводились в рамках исполнения норм Указа Президента РБ №40 «О кибербезопасности» Национальным центром обеспечения кибербезопасности и реагирования на киберинциденты, созданным в структуре Оперативно-аналитического центра при президенте Республики Беларусь.
Целями проведения киберучений стали отработка практических навыков и их оценка при осуществлении расследований киберинцидентов; повышение общего уровня знаний, умений и готовности к реагированию на киберинциденты и их оценка; улучшение координации, коммуникации и уровня взаимодействия между членами команды, а также повышение слаженности действий участников.
Учение проводились в несколько этапов. Так, с 1 по 4 октября 2024 года была проведена техническая тренировка по отработке практических навыков расследования киберинцидентов на киберполигоне «Неонополис». Второй этап проходил с 18 по 29 ноября — это «активная фаза», когда участники выполняли поставленные задачи. По результатам этого этапа была сформирована оценка участников киберучений по вопросам обеспечения кибербезопасности в рамках функционирования Национальной системы обеспечения кибербезопасности в целом. 3 декабря в отеле Marriott состоялось подведение итогов и награждение команд, показавших лучший результат.
Результаты следующие:
Также высокие результаты показали команды Министерства внутренних дел и Государственного таможенного комитета.
Для проведения киберучений сотрудниками Национального центра кибербезопасности совместно с сотрудниками Национального центра обмена трафиком спроектирована и построена физическая и виртуальная инфраструктуры, обеспечивающие одновременную работу нескольких десятков сценариев. В киберполигон интегрированы сервисы для оперативного обмена сообщениями и координации действий участников, система мониторинга работоспособности и система сбора событий о действиях участников. Также создан портал с автоматической оценкой работы участников и подсчета баллов, что обеспечило повышение эффективности оценки.
Для проведения киберучений сотрудниками НЦКБ был разработан сценарий, совместно с НЦОТ — подготовлена необходимая инфраструктура киберполигона CyberRing.
Полигон представляет собой инфраструктуру промышленного предприятия с технологическим сегментом, содержащим критически важный объект информатизации; ресурсы в инфраструктуре облачного провайдера (это сайт вымышленной компании «Сталевар» — stalevar.web и база данных, содержащая сведения о клиентах, закупках, оборотах и иную коммерческую тайну); еще одним элементом стала компания, оказывающая услуги по администрированию и обеспечению кибербезопасности (сайт sa24x7.web и почта mail.sa24x7.web, а также контроллер домена, базы данных клиентов компании и рабочие места сотрудников).
Для обеспечения достоверности участникам предложили подробную легенду, которая описывает деятельность промышленного предприятия. Там же описывается участие в обеспечении ее IT-безопасности вымышленной фирмы SuperAdmin 24x7, не имеющей должного уровня подготовки. Третьим элементом стал облачный провайдер boltCloud, на мощностях которого по предложению SuperAdmin 24x7 были размещены ресурсы «Сталевара».
Завязкой стал несанкционированный доступ к технологическому сегменту, включающему критически важный объект информатизации. В результате предпринятых злоумышленниками действий произошел взрыв промышленной установки. Superadmin 24x7 возникшие проблемы решить не смогла, для расследования инцидента была приглашена сторонняя компания — ими и стали участники киберучений.
Перед командами поставили задачу расследовать киберинцидент, связанный с компрометацией инфраструктуры организации. Согласно условиям, компрометация стала возможна из-за наличия как распространенных проблем (ошибки администраторов, эксплуатация уязвимостей и атаки через поставщика услуг и так далее), так и встречающихся реже, однако касающихся компрометации технологического сегмента предприятий критически важных объектов.
Итогом стал подробный отчет о найденных уязвимостях и способах их эксплуатации с сопутствующей информацией. Качество отчета стало одним из основных элементов оценки проделанной работы.
Система разделена на два основных компонента: административная часть и интерфейс для участников. В первом случае это «командный центр», где в прямом эфире ведется наблюдение за процессом. Команды могут обращаться сюда через упомянутый выше сервис при возникновении технических вопросов и получать поддержку. По мере выполнения задач участники получают баллы, однако эта информация оставалась закрытой для них до завершения киберучений.
Как рассказал журналисту Onlíner Антон Тростянко, руководитель центра безопасности hoster.by, участвовавшего в киберучениях, предложенные задачи были взяты из реальных кейсов.
«Оперативно-аналитический Центр очень хорошо поработал над сценарием – условия, легенда и задачи максимально приближены к реальности: есть и веб-ресурсы, и почтовые серверы, контроллеры доменов, различные средства защиты и даже объекты технологического сегмента. Это можно сказать и в отношении действий злоумышленников: выбраны интересные и популярные векторы атак, эксплуатируются свежие уязвимости, используется специализированное программное обеспечение», — подытожил Антон.
По его словам, компания и сама регулярно готовит молодых специалистов на собственном киберполигоне, в тренировку включаются симуляции различных типов атак, начиная от простых фишинговых писем до сложных APT-кампаний. А мероприятия, подобные реализованному, предоставляют возможность оказаться в реальной обстановке, действуя в команде, которая работает над предотвращением и расследованием инцидентов.
«Это своего рода боевое крещение для тех, кто делает первые шаги в этой сфере. Специалисты могут испытать свои силы и получить практический опыт без риска для реальных систем, освоить технические аспекты работы, научиться быстро принимать решения в условиях стресса, отработав необходимые навыки в команде», — добавил наш собеседник.
Он выразил надежду на то, что подобные инициативы будут развиваться и дальше, так как позволяют сформировать новое поколение профессионалов, способных эффективно противостоять современным киберугрозам.
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро
Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by
