Привет, Хабр! Рассказ о мультивселенной киберполигонов в РФ точно не мог обойтись без этого полигона. Я уже говорил в одном из материалов, что это был первый киберполигон, с которым я познакомился. Ну и было бы странно не рассказать об этой кибербез‑площадке. Первые две части читайте тут и тут. Итак, встречайте мой разговор со специалистами платформы Standoff 365 компании Positive Technologies: техническим директором Олегом Ивановым, директором по продуктам платформы Иваном Булавиным, руководителем группы автоматизации платформы Вячеславом Валенко. Мы поговорили о мультивендорности и моновендорности киберполигона, какие решения интегрируются в киберполигон в 2025 году, какие запросы у заказчиков к киберплощадкам и не только. Приятного чтения!
Интервью
Чем отличается ваш киберполигон от других? У вас моновендорный полигон?
Иван Булавин: Рынок киберполигонов пока не чётко сформирован. Заказчики часто говорят: «Хочу киберполигон», но не всегда понимают, какие задачи он должен решать. На рынке есть множество решений, но каждое заточено под свои цели. Наш полигон выделяется универсальностью: он не ограничивается одной задачей, например проведением кибербитв. Мы поддерживаем киберучения, требуемые регуляторами, тестирование продуктов, нагрузочные тесты и задачи IT, такие как развёртывание и копирование инфраструктуры. Это инструмент для решения широкого спектра задач.
Что касается моновендорности, до конца прошлого года мы были более моновендорными, но это снижало конкурентоспособность. С начала 2025 года мы активно интегрируем open source решения и продукты других вендоров, чтобы быть более гибкими и соответствовать запросам рынка. Мы стремимся к мультивендорной экосистеме, интегрируя разные решения для максимальной функциональности.
Олег Иванов: На уровне инфраструктуры мы точно не моновендорные. Используем продукты от Microsoft, Linux и множество партнёрских решений, особенно из банковской отрасли. Средства защиты и мониторинга пока в основном от Positive Technologies, но мы открыты к новым партнёрам и вендорам.
Вячеслав Валенко: У нас разделены сегменты инфраструктур функциональных копий компаний и инфраструктур комплектов СЗИ контроля и наблюдения за информационной активностью.
Мы можем использовать СЗИ любых вендоров. И используем любые системы в функциональных копиях:
разные ОС, например Windows, Ubuntu, Debian, Astra, «Ред ОС» и так далее;
разное ПО, и от Microsoft, и стеки разработок, и автоматические банковские системы, и разные ERP, CMS, web‑приложения, БД, офисные приложения и многое другое.
Какие технические решения и инструменты наиболее эффективны для создания масштабируемой инфраструктуры киберполигона?
Олег Иванов: Наша инфраструктура базируется на мощных вычислительных ресурсах в дата‑центрах: серверы и системы хранения данных. Для виртуализации используем два гипервизора: VMware и OpenStack, а также сотрудничаем с облачными решениями, такими как «Яндекс.Облако». Основной инструмент автоматизации — Ansible, который позволяет управлять развёртыванием и настройкой инфраструктуры. У нас есть собственные разработки для деплоя и инвентаризации, включая системы CMDB. Это обеспечивает масштабируемость и гибкость управления.
Вячеслав Валенко: Я бы добавил платформу — Proxmox. Мы уже начали его прорабатывать как бесплатный аналог VMWare.
Иван Булавин: Возможность работать как с облаками, так и с физическим оборудованием позволяет нам поддерживать заказчиков, которые предпочитают on-premise решения для защиты данных. Это делает нас доступными для широкого круга клиентов.
Какие решения позволяют обеспечить высокую доступность и отказоустойчивость киберполигона?
Олег Иванов: У нас есть публичный портал с личным кабинетом для участников, который критически важен. Для его доступности мы используем системы мониторинга и защиты от DDoS‑атак. В инфраструктуре применяются бэкапы и эталонные среды, что позволяет быстро восстанавливать как отдельные виртуальные машины, так и всю инфраструктуру.
Иван Булавин: Мы разработали множество организационных и технических решений для проверки отказоустойчивости. Это включает ручное и автоматическое тестирование для выявления точек отказа. Мы стремимся к 99.999% доступности, постоянно совершенствуя процессы через автоматизацию с помощью Ansible и работу архитекторов.
Как выбрать оптимальные технологии виртуализации для быстрого развёртывания реалистичных тестовых сред?
Олег Иванов: Выбор технологий зависит от экспертизы команды. Мы начинали с VMware, затем добавили OpenStack, и эти решения стали для нас базовыми. Также экспериментируем с новыми подходами, например развёртыванием Windows‑доменов в Kubernetes для повышения отказоустойчивости. Ansible и Terraform используются для быстрого развёртывания, но мы предпочитаем Ansible из‑за накопленного опыта, как более подходящей технологии для полного развёртывания и сопровождения инфраструктур.
Иван Булавин: Скорость развёртывания зависит от навыков команды. Если команда хорошо владеет технологией, например, кто‑то использует PHP или Python для автоматизации, это может быть быстрее, чем освоение новой технологии. Оптимальность определяется экспертизой и задачами.
Валенко Вячеслав: Наша фундаментальная бизнес‑задача — воспроизведение всей информационной активности в функциональных копиях, сбора, наблюдения и контроля за этой активностью. Выбор платформы основывается на возможностях полного сбора данной активности, начиная от железных хостов, полного сетевого трафика, заканчивая активностями в памяти виртуальных машин и контейнеров.
Как обеспечить безопасность и изоляцию киберполигона, включая работу с zero‑day уязвимостями и air‑gapped средами?
Олег Иванов: Киберполигон рассматривается как объект, который могут взломать. Мы сотрудничаем с департаментами IT и ИБ, сегментируем сеть с помощью файрволов и проводим мониторинг с использованием продуктов Positive Technologies. Есть собственный SOC для анализа уязвимостей и инвентаризации. Для air‑gapped сред мы обеспечиваем изоляцию, минимизируя риски утечек. Zero‑day уязвимости отслеживаются через регулярное сканирование и мониторинг.
Иван Булавин: Раньше zero‑day уязвимости вызывали панику, но теперь мы готовы к ним. Архитекторы даже провоцируют их обнаружение, чтобы стимулировать исследования и повысить качество полигона.
Какие подходы используются для автоматизации создания и управления тренировочными сценариями?
Олег Иванов: Для автоматизации развёртывания инфраструктуры используем Ansible с набором ролей и плейбуков, которые поддерживают различные конфигурации, включая доменные инфраструктуры на Windows, «Альт», FreeIPA и Linux. Для сценариев киберучений у нас есть модуль Archer, который эмулирует действия пользователей (офисные документы, Outlook, браузеры) и атаки, включая APT, чтобы усложнить расследование.
Иван Булавин: Для кибербитв сценарии часто не фиксированы, так как используются реальные действия участников. Для учений и кастомных мероприятий автоматизация сценариев активно применяется.
Как настраивается система мониторинга и оповещения на полигоне для анализа действий участников и инцидентов?
Олег Иванов: У нас есть глобальный SOC, который использует продукты Positive Technologies (MaxPatrol SIEM, PT NGFW, PT Application Firewall, PT Sandbox) для мониторинга и валидации действий участников. Для промышленных сетей добавляется SCADA‑мониторинг, а для Kubernetes — Container Security. Это позволяет отслеживать инциденты и действия команд в реальном времени.
Как вы подходите к оценке уровня зрелости команды на киберполигоне, кроме метрик вроде MTTD и MTTR?
Иван Булавин: Для синих команд мы используем MTTD (среднее время обнаружения) и MTTR (среднее время реагирования), а также оцениваем правильность противодействия тактикам по MITRE ATT&CK. Это помогает понять, насколько эффективно команда реагирует на атаки.
Олег Иванов: Мы избегаем строгого скоринга, так как задачи команд могут различаться. Некоторые допускают атаки для обучения в экстремальных условиях, другие фокусируются на выявлении инцидентов. Метрики минимальны, чтобы команды могли сосредоточиться на своих целях.
Как моделируются распределённые атаки (например, ботнет из тысяч устройств) при ограниченной инфраструктуре?
Олег Иванов: Мы моделировали атаки, связанные с ботнетами, на основе публичных отчётов APT в модуле Archer. Однако такие сценарии пока не являются основной частью нашей деятельности из‑за ограничений инфраструктуры.
Иван Булавин: Ботнеты чаще используются для DDoS, что мы пока не эмулируем. Однако есть планы по созданию учений для проверки отказоустойчивости оборудования.
Какие алгоритмы ИИ применяются для создания адаптивных атакующих ботов?
Иван Булавин: Прямых алгоритмов ИИ пока нет, но у нас есть продукт PT Dephaze, который тестируется для автоматизации атак. Мы планируем провести тестовый стенд, где сравним его с аналогичными решениями других компаний, чтобы оценить эффективность автопентестеров.
Используете ли вы фреймворки (например, MITRE ATT&CK) при построении сценариев и оценке поведения участников?
Иван Булавин: Да, MITRE ATT&CK — основа для построения сценариев. Мы стремимся к максимальному покрытию тактик и техник (около 70% на текущий момент), чтобы полигон был реалистичным.
Олег Иванов: В продукте Standoff Defend навыки участников оцениваются по MITRE ATT&CK, что позволяет анализировать их действия при расследовании атак.
Каким образом проводится пост‑анализ учений: есть ли у вас процессы ретроспективы, разбора ошибок, обновления сценариев?
Олег Иванов: У нас есть отдел проектного управления и работы с комьюнити, который собирает обратную связь через встречи с участниками и опросники. Проводятся ретроспективы по инфраструктуре, средствам защиты и продуктам вроде Archer. Мы анализируем уязвимости, обновляем сценарии и ведём статистику по инцидентам, чтобы улучшать полигон.
Насколько сложно адаптировать полигон под нестандартные IT‑ландшафты (например, промышленную инфраструктуру или мультиоблачные среды)?
Олег Иванов: Адаптация под IT‑ландшафты несложна, если есть доступ к софту от партнёров или заказчиков. Основная проблема — получение специфического ПО, особенно для промышленных систем, из‑за ограничений на зарубежный софт. Но с опытом инженеров это решается.
Иван Булавин: Мы работаем над продуктом, который автоматизирует создание таких сценариев, чтобы минимизировать затраты времени на адаптацию.
Как вы работаете с инцидентами, которые не были заранее заложены в сценарии, но возникли как результат неожиданных действий участников?
Олег Иванов: Незапланированные инциденты, например zero‑day уязвимости, добавляют разнообразия. Мы анализируем их реализацию и используем для улучшения полигона.
Иван Булавин: Раньше такие инциденты вызывали панику, но теперь мы готовы и даже провоцируем их, чтобы стимулировать исследования и повысить качество сценариев.
Какие методы генерации реалистичного трафика применяются для приближения условий к реальным?
Олег Иванов: Модуль Archer эмулирует действия пользователей (работа с документами, Outlook, браузерами) и системных администраторов. Это создаёт легитимный «белый шум», усложняющий расследование атак.
Иван Булавин: Для каждого нового продукта создаётся коннектор в Archer, чтобы генерировать соответствующий трафик.
Вячеслав Валенко: При развёртывании функциональных копий во многих сценариях заложена служебная активность, в том числе сетевая, которая копирует реальные процессы в сервисах и их взаимодействии. В IT функциональных копиях это системы сбора и деплоя продуктов, в банковских системах это обмен платёжными поручениями и так далее.
Какой был самый странный запрос от заказчиков при использовании киберполигона?
Олег Иванов: Странно, когда заказчик хочет полигон, но не понимает, зачем он нужен. Это приводит к сложностям с обслуживанием и выделением ресурсов.
Иван Булавин: Такие запросы часто не реализуются, так как заказчики не могут определить задачи, а максимальная функциональность оказывается слишком дорогой.
Какая самая необычная атака была во время киберучений? И какая самая необычная защита?
Олег Иванов: Необычная атака — использование уязвимости ProxyLogon в Exchange, которая вышла незадолго до учений и позволила захватить домены в первые часы. Необычная защита — когда опытная команда сознательно отключила защиту на второй день, чтобы допустить атакующих внутрь и отработать сценарии в экстремальных условиях.
Иван Булавин: Атаки на промышленные сегменты — всегда вызов, так как требуют глубоких знаний протоколов и навыков реверса.
Много ли используется импортозамещённых решений после 2022 года в вашем полигоне?
Олег Иванов: Да, мы активно используем импортозамещённые решения, включая офисные приложения, доменные контроллеры на Alt и FreeIPA, и готовы работать с новыми вендорами.
Иван Булавин: Мы быстро адаптировались к рынку, перейдя на отечественные ОС, офисные продукты и решения для виртуализации, чтобы соответствовать запросам заказчиков.
Как провести технико‑экономическое обоснование внедрения киберполигона с учётом всех затрат?
Иван Булавин: Если у компании служба информационной безопасности не имеет возможности регулярно отрабатывать навыки мониторинга и реагирования на кибератаки в безопасной среде, а также знакомиться с актуальными атаками и угрозами, это приводит к снижению уровня подготовки, увеличению времени на обнаружение и устранение угроз, а также к росту вероятности успешных кибератак. Отсутствие регулярных тренировок специалистов ИБ серьёзно повышает вероятность реализации серьёзного инцидента. В пересчёте на финансовые последствия это может означать увеличение потенциального ущерба — с учётом простоев, потери данных, репутационного вреда, штрафов, а для промышленных предприятий — и киберфизических последствий.
Киберполигоны и регулярные практические тренировки позволяют снизить операционные риски, так как команда заранее отрабатывает сценарии атак, планы реагирования, учится минимизировать ущерб и быстрее восстанавливать системы. В долгосрочной перспективе это окупает затраты на использование киберполигонов и существенно снижает совокупные потери от кибератак.
Заключение
Ну что же, ещё одна часть мультивселенной киберполигонов была показана. Надеюсь, у нас получился интересный разговор со специалистами Standoff 365. Как и в предыдущих материалах, затронули вопросы архитектуры, автоматизации и подходов к мультивендорности, а также то, как обеспечивается реалистичность сценариев и работа с функциональными копиями инфраструктур. В этой серии осталась ещё пара материалов. Так что скоро рассказ о мультивселенной полигонов в РФ подойдёт к концу. Спасибо за прочтение!
