Привет, Хабр! Продолжаю рассказывать о российской мультивселенной киберполигонов. В первом материале мы рассмотрели полигон компании Innostage. Если пропустили, можете прочитать здесь. Теперь поговорим о киберплощадке для учений от группы компаний (ГК) «Солар». Вопросы в этом материале немного другие, но полигоны тоже разные.
Мы побеседовали с техническим директором департамента «Киберполигон» ГК «Солар» Сергеем Кулаковым. Кулаков рассказал об инфраструктуре полигона, эффективности киберучений и разработке сценариев для киберплощадки компании. Надеюсь, вам будет интересно. Приятного чтения!
Интервью
Что из себя представляет ваш киберполигон, чем он отличается от других?
Киберполигон «Солара» создавался как площадка для киберучений национального уровня в рамках проекта «Цифровая экономика». До 2022 года на нем проходили киберучения и соревнования по киберзащите в сфере энергетики, предупреждению чрезвычайных ситуаций в результате хакерских атак на ключевые отрасли экономики для ИБ-специалистов крупных госкомпаний и организаций. С 2022 года «Солар» самостоятельно развивает технологическую программу киберполигона с акцентом на клиентов из корпоративного и госсектора.
На платформе киберполигона реализована поддержка семи отраслевых инфраструктур: цифровых двойников инфраструктуры финансового сектора, электроэнергетики, добывающих компаний, телеком-операторов и др. Но чаще всего востребована типовая корпоративная инфраструктура, которая закрывает 80% потребностей клиента. Поэтому в плейбук включены рабочие станции, офисное оборудование, бэк-офис в виде почты, 1С, систем управления предприятием, базы данных.
Киберполигон существует в двух форматах: облачная платформа, которая разворачивается на IT-инфраструктуре «Солара», и on-premise-решение для компаний с развитой инфраструктурой АСУТП. Для таких организаций важно проводить киберучения на цифровом двойнике «инфры», максимально приближенном к их реалиям. Сейчас мы работаем по десяти подобным проектам с энергетическими, транспортными компаниями и госорганизациями в России, странах СНГ, Юго-Восточной Азии, Ближнего Востока и Африки.
Как провести технико-экономическое обоснование внедрения киберполигона с учётом всех затрат?
Люди — это самый дорогой ресурс в информационной безопасности, поэтому ТЭО всегда связано с тем, как можно снизить нагрузку на команду Blue team и сократить время на отработку событий ИБ. У подготовленного должным образом специалиста меньше ошибок, он быстрее реагирует на инцидент и приоритизирует события ИБ, более четко взаимодействует с сотрудниками второй и третьей линий SOC.
Оценить эффективность киберучений в деньгах можно только на ретроспективных данных. Например, в 2024 году один из крупнейших российских логистических операторов потерял сотни миллионов рублей за неделю в результате кибератаки, пока специалисты ИБ пытались восстановить зашифрованную инфраструктуру. Поэтому мы используем для оценки финансовых последствий кейсы из практики компаний из схожих отраслей и бизнес-моделей. И, конечно, важную роль играют различия в бизнес-процессах и их зрелость, количество сотрудников в ИБ-подразделении, разный уровень подготовки киберзащитников.
Большинство таких рисков можно снизить за счет регулярных киберучений или инвестиций в киберполигон на собственной инфраструктуре. Классические командно-штабные тренировки и киберучения больше подходят для крупных компаний, которые могут снять одну из команд Blue team с дежурства и отправить на тренинг на несколько дней. Для компаний среднего масштаба это непозволительная роскошь, поэтому мы развиваем форматы киберучений, которые можно пройти онлайн: CTF, квизы, квесты, соревнования Task-based (Jeopardy) и др. Таким образом мы снижаем порог входа для компаний с различными бюджетами на обучение и помогаем системно поддерживать навыки для команд Blue team.
Киберполигон также можно использовать в качестве тестовой среды. Например, клиент использует IRP-систему, на конечных точках зафиксировано событие ИБ, на которое отреагировал антивирус. Далее на основе данных из IRP или SIEM из событий сформирован отчет об инциденте, система автоматизации внесла изменения в правила фильтрации. Если этап сдерживания автоматизирован, то клиент реже привлекает специалистов по сетевой безопасности и также снижает нагрузку на персонал.
Какие технологии используются для анализа эффективности обучения, включая метрики вроде MTTD?
Мы можем проверить навыки Blue team по 20 экспертным направлениям и сформировать программу киберучений с учетом реального уровня подготовки группы. В ходе соревнований и онлайн-форматов обучения оцениваем действия киберзащитников по четырем основным метрикам: Mean Time to Detect (MTTD), Mean Time to React, Mean Time to Respond и Mean Time to Recover. Затем они получают дифференциальные отчеты, которые показывают уровень знаний и компетенций применительно к каждой роли в Blue team.
На «входе» большинство участников демонстрируют владение необходимыми навыками на уровне 20–30% от целевых показателей. Поэтому далее мы предлагаем предлагаем дополнительные учения и тренировки для Blue team, например программу CyberBoost. После этого снова готовим дифференциальный отчет, который сравнивает уровень знаний на первых и вторых киберучениях, позволяя оценить прогресс по каждому измерению. По итогам киберучений этот показатель поднимается до 60% и выше.
Как разрабатываются сценарии киберучений на киберполигоне?
Основным источником данных для разработки сценариев киберучений выступают наши центр противодействия кибератакам и центр исследования киберугроз. Они агрегируют и анализируют около 200 млн событий в сутки и отражают почти 2 млрд кибератак в год. Поэтому у нас есть данные о самых актуальных, распространенных киберугрозах, сценариях атак, которые мы переносим в практику соревнований на киберполигоне.
Какие методы динамического изменения топологии сети используются для имитации адаптации атакующих?
Мы управляем виртуализированной инфраструктурой, которая позволяет имитировать различные сценарии за счет настройки виртуальных коммутаторов и маршрутизаторов. При проведении Red vs Blue соревнований, когда атакующая сторона состоит из реальных пентестеров, создающих подлинные условия кибератак, применяются прямые методы. Они сами ломают сетевое оборудование и производят перенастройку таким образом, как им нужно. Также на киберполигоне реализована возможность смены IP-адреса атакующего бота, чтобы участники киберучений не могли блокировать атаки, фильтруя сеть атакующих ботов.
Можно менять топологию сети, можно имитировать атаки на отдельные протоколы, всё зависит от сценария киберучений или действий атакующей команды. Таким образом мы моделируем живую инфраструктуру, комбинируя различные варианты сценариев и имитируя действия хакеров.
Какие алгоритмы ИИ применяются для создания адаптивных атакующих ботов?
Потенциально опасными являются боты на основе агентных решений LLM Agent или действующих языковых моделей LAM. Такие модели имеют в качестве «мозга» языковую модель, которая способна подбирать решение задачи исходя из меняющихся условий, а также учитывать негативный опыт при попытке найти или реализовать уязвимость. Пока такие боты не столь распространены в силу сложности настройки самого бота. Но технология становится все доступнее и представляет высокие риски в будущем. Поэтому мы учитываем этот аспект при планировании сценариев киберучений.
Как симулируются гибридные атаки, сочетающие киберугрозы с подделкой телеметрии?
У нас подобные атаки не симулируются, а эмулируются полноценно. В сегменте АСУ ТП атакующий осуществляет атаку типа MITM на протокол промышленной автоматизации, с помощью которого передается телеметрия и команды управления, и, подменяя соответствующие поля команд, заставляет работать эмулируемый технологический процесс в некорректном режиме.
Какие методы генерации реалистичного трафика применяются для приближения условий к реальным?
У нас в активе два основных метода. Первый – это предзаписанный трафик, который имитирует атаку, он часто используется для расследования или реагирования. Второй метод включает создание трафика реальными людьми в рамках киберучений с участием команды пентестеров. Они постоянно генерируют разнообразный трафик с изменяющимися атаками, что позволяет достигать высокой степени реалистичности.
Как настраивается система мониторинга и оповещения на полигоне для анализа действий участников и инцидентов?
Во время киберучений мы используем системы скоринга и SIEM. Например, это может быть ненастроенный SIEM, который имитирует ситуацию, когда система только установлена. В этом случае участникам необходимо провести полный цикл работы: настроить логирование, сбор логов, парсинг, нормализацию, агрегацию и корреляцию. Это длительный и сложный процесс, который не всегда можно завершить за один день. Во втором случае используется преднастроенный SIEM с уже сконфигурированным централизованным сбором логов и правилами корреляции. Тогда участникам нужно реагировать на сработавшие «алерты» и устранять инциденты (incident response).
Таким образом, в ходе киберучений можно протестировать различные навыки: подключение источников событий, реагирование на инциденты и восстановление после них. Чекеры следят за действиями участников, оценивая их правильность и скорость выполнения задач. Основная цель — чтобы сотрудники службы ИБ заказчика выполняли правильные действия быстро, без отвлечения на несущественные задачи.
Какие технические решения и инструменты наиболее эффективны для создания масштабируемой инфраструктуры киберполигона?
В России не существует ГОСТа или единого стандарта для создания киберполигона. Например, киберполигон «Солара» соответствует общепринятым практикам в отрасли ИТ и кибербезопасности. Как полноценный продукт, он включает аппаратную инфраструктуру, ПО, средства защиты информации и платформу Solar CyberMir.
Для управления гипервизором и инфраструктурой киберполигона мы используем платформу OpenStack, которая позволяет клиентам самостоятельно дорабатывать инфраструктуру для соревнований – реализовать интеграцию, использовать золотые образы из своих репозиториев, протестировать дополнительные средства защиты информации. Технически возможно использовать как гипервизоры первого типа (аппаратная виртуализация), так и второго типа – виртуализация на уровне операционных систем. Однако второй вариант менее эффективен, поскольку работа на уровне «железа» обеспечивает больший функционал и гибкость.
Как выбрать оптимальные технологии виртуализации для быстрого развёртывания реалистичных тестовых сред?
Мы разворачиваем виртуализацию на киберполигоне, используя стандартные образы инфраструктуры, соответствующие реалиям заказчика, и создавая специализированные образы для демонстрации атак. Например, можно смоделировать атаку, которая будет использовать уязвимость на уровне операционной системы. Для демонстрации атаки требуется образ с конкретными версиями ОС (не пропатченной) или с «пропатченной» ОС, но уязвимым «непропатченным» ПО. В плейбуках чётко прописывается требуемая версия компонентов, какие версии ОС или прикладного ПО необходимы, чтобы создать образ виртуальной машины. На эту инфраструктуру затем «приземляется» участник киберучений, чтобы провести, расследовать или отразить ту или иную атаку. Для оптимизации мы выбрали систему управления Ansible, которая автоматизирует «раскатку» инфраструктуры с определённой конфигурацией.
В последней версии платформы CyberMir 7.1 мы также реализовали поддержку российских систем виртуализации. Например, система «Брест», предназначенная для построения и управления защищенными виртуальными инфраструктурами – от отдельных серверов до ЦОДов. Для некоторых клиентов важно подобное решение, поэтому мы расширяем пул совместимых технологий с учетом требований к импортозамещению.
Как обеспечить безопасность и изоляцию киберполигона, включая работу с zero-day уязвимостями и air-gapped средами?
В идеальном варианте концепция киберполигона предполагает отдельное физическое оборудование в стойке, доступ только через веб-интерфейс, например Guacamole, режим «thin client» без функциональности буфера обмена и полная изоляция рабочей станции от инфраструктуры полигона. В такой конфигурации компьютер пользователя становится исключительно «тонким клиентом», вся работа происходит внутри инфраструктуры киберполигона без передачи данных между системами.
Киберполигон «Солара» работает в среде air-gapped, он отделен от инфраструктуры и реализуется на отдельном физическом оборудовании в ЦОДе. Несмотря на запросы клиентов, мы не развертываем его внутри их виртуальной инфраструктуры. Причина в рисках: при тестировании реальных угроз возможна эксплуатация уязвимостей для выхода на уровень гипервизора, что позволит воздействовать на другие системы.
Какие решения позволяют обеспечить высокую доступность и отказоустойчивость киберполигона? Резервирование систем, балансировщик систем, защита от DDOS, защита на прикладном уровне?
Мы используем резервирование систем, чтобы обеспечить доступность и отказоустойчивость киберполигона. При выходе оборудования из строя оперативно включается резервная нода. Также применяем балансировщики нагрузки, которые обеспечивают стабильную работу веб-интерфейса, защиту от распределенных DDoS-атак и защиту на прикладном уровне от атак на приложения. Киберполигон в этом отношении не отличается от других информационных систем и использует проверенные подходы к обеспечению отказоустойчивости.
Заключение
Вот такой у нас получился разговор с Сергеем. Было интересно послушать, чем полигон от других отличается, как работает и чем полезен. Следующий материалом будет скорее спин-оффом, то есть не номерной частью, а уходом в сторону, развитием побочной или отдельной линии, но всё может измениться, зависит от разных факторов. В любом случае будет материал, связанный с киберполигонами. Спасибо за внимание!
