Привет, Хабр! Рассказ о мультивселенной киберполигонов в РФ точно не мог обойтись без этого полигона. Я уже говорил в одном из материалов, что это был первый киберполигон, с которым я познакомился. Ну и было бы странно не рассказать об этой кибербез‑площадке. Первые две части читайте тут и тут. Итак, встречайте мой разговор со специалистами платформы Standoff 365 компании Positive Technologies: техническим директором Олегом Ивановым, директором по продуктам платформы Иваном Булавиным, руководителем группы автоматизации платформы Вячеславом Валенко. Мы поговорили о мультивендорности и моновендорности киберполигона, какие решения интегрируются в киберполигон в 2025 году, какие запросы у заказчиков к киберплощадкам и не только. Приятного чтения!
Интервью
Чем отличается ваш киберполигон от других? У вас моновендорный полигон?
Иван Булавин: Рынок киберполигонов пока не чётко сформирован. Заказчики часто говорят: «Хочу киберполигон», но не всегда понимают, какие задачи он должен решать. На рынке есть множество решений, но каждое заточено под свои цели. Наш полигон выделяется универсальностью: он не ограничивается одной задачей, например проведением кибербитв. Мы поддерживаем киберучения, требуемые регуляторами, тестирование продуктов, нагрузочные тесты и задачи IT, такие как развёртывание и копирование инфраструктуры. Это инструмент для решения широкого спектра задач.
Что касается моновендорности, до конца прошлого года мы были более моновендорными, но это снижало конкурентоспособность. С начала 2025 года мы активно интегрируем open source решения и продукты других вендоров, чтобы быть более гибкими и соответствовать запросам рынка. Мы стремимся к мультивендорной экосистеме, интегрируя разные решения для максимальной функциональности.
Олег Иванов: На уровне инфраструктуры мы точно не моновендорные. Используем продукты от Microsoft, Linux и множество партнёрских решений, особенно из банковской отрасли. Средства защиты и мониторинга пока в основном от Positive Technologies, но мы открыты к новым партнёрам и вендорам.
Вячеслав Валенко: У нас разделены сегменты инфраструктур функциональных копий компаний и инфраструктур комплектов СЗИ контроля и наблюдения за информационной активностью.
Мы можем использовать СЗИ любых вендоров. И используем любые системы в функциональных копиях:
разные ОС, например Windows, Ubuntu, Debian, Astra, «Ред ОС» и так далее;
разное ПО, и от Microsoft, и стеки разработок, и автоматические банковские системы, и разные ERP, CMS, web‑приложения, БД, офисные приложения и многое другое.
Какие технические решения и инструменты наиболее эффективны для создания масштабируемой инфраструктуры киберполигона?
Олег Иванов: Наша инфраструктура базируется на мощных вычислительных ресурсах в дата‑центрах: серверы и системы хранения данных. Для виртуализации используем два гипервизора: VMware и OpenStack, а также сотрудничаем с облачными решениями, такими как «Яндекс.Облако». Основной инструмент автоматизации — Ansible, который позволяет управлять развёртыванием и настройкой инфраструктуры. У нас есть собственные разработки для деплоя и инвентаризации, включая системы CMDB. Это обеспечивает масштабируемость и гибкость управления.
Вячеслав Валенко: Я бы добавил платформу — Proxmox. Мы уже начали его прорабатывать как бесплатный аналог VMWare.
Иван Булавин: Возможность работать как с облаками, так и с физическим оборудованием позволяет нам поддерживать заказчиков, которые предпочитают on-premise решения для защиты данных. Это делает нас доступными для широкого круга клиентов.
Какие решения позволяют обеспечить высокую доступность и отказоустойчивость киберполигона?
Олег Иванов: У нас есть публичный портал с личным кабинетом для участников, который критически важен. Для его доступности мы используем системы мониторинга и защиты от DDoS‑атак. В инфраструктуре применяются бэкапы и эталонные среды, что позволяет быстро восстанавливать как отдельные виртуальные машины, так и всю инфраструктуру.
Иван Булавин: Мы разработали множество организационных и технических решений для проверки отказоустойчивости. Это включает ручное и автоматическое тестирование для выявления точек отказа. Мы стремимся к 99.999% доступности, постоянно совершенствуя процессы через автоматизацию с помощью Ansible и работу архитекторов.
Как выбрать оптимальные технологии виртуализации для быстрого развёртывания реалистичных тестовых сред?
Олег Иванов: Выбор технологий зависит от экспертизы команды. Мы начинали с VMware, затем добавили OpenStack, и эти решения стали для нас базовыми. Также экспериментируем с новыми подходами, например развёртыванием Windows‑доменов в Kubernetes для повышения отказоустойчивости. Ansible и Terraform используются для быстрого развёртывания, но мы предпочитаем Ansible из‑за накопленного опыта, как более подходящей технологии для полного развёртывания и сопровождения инфраструктур.
Иван Булавин: Скорость развёртывания зависит от навыков команды. Если команда хорошо владеет технологией, например, кто‑то использует PHP или Python для автоматизации, это может быть быстрее, чем освоение новой технологии. Оптимальность определяется экспертизой и задачами.
Валенко Вячеслав: Наша фундаментальная бизнес‑задача — воспроизведение всей информационной активности в функциональных копиях, сбора, наблюдения и контроля за этой активностью. Выбор платформы основывается на возможностях полного сбора данной активности, начиная от железных хостов, полного сетевого трафика, заканчивая активностями в памяти виртуальных машин и контейнеров.
Как обеспечить безопасность и изоляцию киберполигона, включая работу с zero‑day уязвимостями и air‑gapped средами?
Олег Иванов: Киберполигон рассматривается как объект, который могут взломать. Мы сотрудничаем с департаментами IT и ИБ, сегментируем сеть с помощью файрволов и проводим мониторинг с использованием продуктов Positive Technologies. Есть собственный SOC для анализа уязвимостей и инвентаризации. Для air‑gapped сред мы обеспечиваем изоляцию, минимизируя риски утечек. Zero‑day уязвимости отслеживаются через регулярное сканирование и мониторинг.
Иван Булавин: Раньше zero‑day уязвимости вызывали панику, но теперь мы готовы к ним. Архитекторы даже провоцируют их обнаружение, чтобы стимулировать исследования и повысить качество полигона.
Какие подходы используются для автоматизации создания и управления тренировочными сценариями?
Олег Иванов: Для автоматизации развёртывания инфраструктуры используем Ansible с набором ролей и плейбуков, которые поддерживают различные конфигурации, включая доменные инфраструктуры на Windows, «Альт», FreeIPA и Linux. Для сценариев киберучений у нас есть модуль Archer, который эмулирует действия пользователей (офисные документы, Outlook, браузеры) и атаки, включая APT, чтобы усложнить расследование.
Иван Булавин: Для кибербитв сценарии часто не фиксированы, так как используются реальные действия участников. Для учений и кастомных мероприятий автоматизация сценариев активно применяется.
Как настраивается система мониторинга и оповещения на полигоне для анализа действий участников и инцидентов?
Олег Иванов: У нас есть глобальный SOC, который использует продукты Positive Technologies (MaxPatrol SIEM, PT NGFW, PT Application Firewall, PT Sandbox) для мониторинга и валидации действий участников. Для промышленных сетей добавляется SCADA‑мониторинг, а для Kubernetes — Container Security. Это позволяет отслеживать инциденты и действия команд в реальном времени.
Как вы подходите к оценке уровня зрелости команды на киберполигоне, кроме метрик вроде MTTD и MTTR?
Иван Булавин: Для синих команд мы используем MTTD (среднее время обнаружения) и MTTR (среднее время реагирования), а также оцениваем правильность противодействия тактикам по MITRE ATT&CK. Это помогает понять, насколько эффективно команда реагирует на атаки.
Олег Иванов: Мы избегаем строгого скоринга, так как задачи команд могут различаться. Некоторые допускают атаки для обучения в экстремальных условиях, другие фокусируются на выявлении инцидентов. Метрики минимальны, чтобы команды могли сосредоточиться на своих целях.
Как моделируются распределённые атаки (например, ботнет из тысяч устройств) при ограниченной инфраструктуре?
Олег Иванов: Мы моделировали атаки, связанные с ботнетами, на основе публичных отчётов APT в модуле Archer. Однако такие сценарии пока не являются основной частью нашей деятельности из‑за ограничений инфраструктуры.
Иван Булавин: Ботнеты чаще используются для DDoS, что мы пока не эмулируем. Однако есть планы по созданию учений для проверки отказоустойчивости оборудования.
Какие алгоритмы ИИ приме��яются для создания адаптивных атакующих ботов?
Иван Булавин: Прямых алгоритмов ИИ пока нет, но у нас есть продукт PT Dephaze, который тестируется для автоматизации атак. Мы планируем провести тестовый стенд, где сравним его с аналогичными решениями других компаний, чтобы оценить эффективность автопентестеров.
Используете ли вы фреймворки (например, MITRE ATT&CK) при построении сценариев и оценке поведения участников?
Иван Булавин: Да, MITRE ATT&CK — основа для построения сценариев. Мы стремимся к максимальному покрытию тактик и техник (около 70% на текущий момент), чтобы полигон был реалистичным.
Олег Иванов: В продукте Standoff Defend навыки участников оцениваются по MITRE ATT&CK, что позволяет анализировать их действия при расследовании атак.
Каким образом проводится пост‑анализ учений: есть ли у вас процессы ретроспективы, разбора ошибок, обновления сценариев?
Олег Иванов: У нас есть отдел проектного управления и работы с комьюнити, который собирает обратную связь через встречи с участниками и опросники. Проводятся ретроспективы по инфраструктуре, средствам защиты и продуктам вроде Archer. Мы анализируем уязвимости, обновляем сценарии и ведём статистику по инцидентам, чтобы улучшать полигон.
Насколько сложно адаптировать полигон под нестандартные IT‑ландшафты (например, промышленную инфраструктуру или мультиоблачные среды)?
Олег Иванов: Адаптация под IT‑ландшафты несложна, если есть доступ к софту от партнёров или заказчиков. Основная проблема — получение специфического ПО, особенно для промышленных систем, из‑за ограничений на зарубежный софт. Но с опытом инженеров это решается.
Иван Булавин: Мы работаем над продуктом, который автоматизирует создание таких сценариев, чтобы минимизировать затраты времени на адаптацию.
Как вы работаете с инцидентами, которые не были заранее заложены в сценарии, но возникли как результат неожиданных действий участников?
Олег Иванов: Незапланированные инциденты, например zero‑day уязвимости, добавляют разнообразия. Мы анализируем их реализацию и используем для улучшения полигона.
Иван Булавин: Раньше такие инциденты вызывали панику, но теперь мы готовы и даже провоцируем их, чтобы стимулировать исследования и повысить качество сценариев.
Какие методы генерации реалистичного трафика применяются для приближения условий к реальным?
Олег Иванов: Модуль Archer эмулирует действия пользователей (работа с документами, Outlook, браузерами) и системных администраторов. Это создаёт легитимный «белый шум», усложняющий расследование атак.
Иван Булавин: Для каждого нового продукта создаётся коннектор в Archer, чтобы генерировать соответствующий трафик.
Вячеслав Валенко: При развёртывании функциональных копий во многих сценариях заложена служебная активность, в том числе сетевая, которая копирует реальные процессы в сервисах и их взаимодействии. В IT функциональных копиях это системы сбора и деплоя продуктов, в банковских системах это обмен платёжными поручениями и так далее.
Какой был самый странный запрос от заказчиков при использовании киберполигона?
Олег Иванов: Странно, когда заказчик хочет полигон, но не понимает, зачем он нужен. Это приводит к сложностям с обслуживанием и выделением ресурсов.
Иван Булавин: Такие запросы часто не реализуются, так как заказчики не могут определить задачи, а максимальная функциональность оказывается слишком дорогой.
Какая самая необычная атака была во время киберучений? И какая самая необычная защита?
Олег Иванов: Необычная атака — использование уязвимости ProxyLogon в Exchange, которая вышла незадолго до учений и позволила захватить домены в первые часы. Необычная защита — когда опытная команда сознательно отключила защиту на второй день, чтобы допустить атакующих внутрь и отработать сценарии в экстремальных условиях.
Иван Булавин: Атаки на промышленные сегменты — всегда вызов, так как требуют глубоких знаний протоколов и навыков реверса.
Много ли используется импортозамещённых решений после 2022 года в вашем полигоне?
Олег Иванов: Да, мы активно используем импортозамещённые решения, включая офисные приложения, доменные контроллеры на Alt и FreeIPA, и готовы работать с новыми вендорами.
Иван Булавин: Мы быстро адаптировались к рынку, перейдя на отечественные ОС, офисные продукты и решения для виртуализации, чтобы соответствовать запросам заказчиков.
Как провести технико‑экономическое обоснование внедрения киберполигона с учётом всех затрат?
Иван Булавин: Если у компании служба информационной безопасности не имеет возможности регулярно отрабатывать навыки мониторинга и реагирования на кибератаки в безопасной среде, а также знакомиться с актуальными атаками и угрозами, это приводит к снижению уровня подготовки, увеличению времени на обнаружение и устранение угроз, а также к росту вероятности успешных кибератак. Отсутствие регулярных тренировок специалистов ИБ серьёзно повышает вероятность реализации серьёзного инцидента. В пересчёте на финансовые последствия это может означать увеличение потенциального ущерба — с учётом простоев, потери данных, репутационного вреда, штрафов, а для промышленных предприятий — и киберфизических последствий.
Киберполигоны и регулярные практические тренировки позволяют снизить операционные риски, так как команда заранее отрабатывает сценарии атак, планы реагирования, учится минимизировать ущерб и быстрее восстанавливать системы. В долгосрочной перспективе это окупает затраты на использование киберполигонов и существенно снижает совокупные потери от кибератак.
Заключение
Ну что же, ещё одна часть мультивселенной киберполигонов была показана. Надеюсь, у нас получился интересный разговор со специалистами Standoff 365. Как и в предыдущих материалах, затронули вопросы архитектуры, автоматизации и подходов к муль��ивендорности, а также то, как обеспечивается реалистичность сценариев и работа с функциональными копиями инфраструктур. В этой серии осталась ещё пара материалов. Так что скоро рассказ о мультивселенной полигонов в РФ подойдёт к концу. Спасибо за прочтение!
