Привет, Хабр!
Я Константин Грищенко, руководитель направления развития технологий SOC Positive Technologies!
Из года в год тема поддержания киберустойчивости не только не теряет актуальности, но и становится все острее. Хакеры не снижают своей активности, несмотря на то что технологии обеспечения кибербезопасности постоянно совершенствуются.
По нашим данным, в период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире. По итогам 2025 года общее количество успешных кибератак вырастет на 20–45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30–35%.
Несмотря на развитие технологий, всерьез рассчитывать на возможность полной автоматизации в сфере ИБ пока рано. Какими бы крутыми технологиями ни обладал современный SOC (Security Operations Center, центр мониторинга событий ИБ), обойтись без людей он пока не может. Любому SOC нужны не просто какие-то люди, а профессионалы в борьбе с киберугрозами, то есть люди, имеющие необходимые знания и, что не менее важно, — реальный опыт отражения кибератак.
В этой статье я хочу заострить внимание именно на проблеме получения такого опыта.
Проблема опыта
Наверняка вы согласитесь, что любой человек предпочтет, чтобы лечил его опытный врач, а не вчерашний выпускник медицинского вуза, его автомобиль в сервисе чинил опытный мастер, а не новичок, а занятия у ребенка в школе вел хороший опытный педагог.
Все эти профессии требуют специальных знаний, но мастерами своего дела и профессионалами в привычном нам понимании эти люди становятся только после того, как поработают несколько лет и вылечат много людей, починят много автомобилей, выучат много детей.
На первый взгляд может показаться, что и в кибербезопасности можно из выпускника вуза с определенным багажом знаний за несколько лет работы стать действительно опытным профессионалом.
Но давайте вспомним, что реальный опыт отражения настоящих кибератак можно получить, только расследуя реальные атаки. А в отличие от учителей, у которых всегда есть ученики, и врачей, у которых нет отбоя от пациентов, не каждый сотрудник SOC может встретиться с реальной атакой.
Это происходит по разным причинам. Во-первых, компаний много, и, несмотря на обилие хакеров, не каждая компания становится объектом внимания серьезных группировок (будем честны: от простых типовых атак и скрипт-кидди все-таки спасают базовые меры ИБ и современные технологии). Во-вторых, некоторым безопасникам «везет» попасть на работу в компании со зрелой ИБ, выстроенными процессами и опытным SOC. Работая в таких компаниях даже в течение нескольких лет, можно ни разу не столкнуться с необходимостью расследования серьезной APT-атаки и противодействия ей.
Несмотря на это, специалистам SOC жизненно необходимо откуда-то черпать опыт борьбы с реальными сложными и актуальными атаками (и постоянно поддерживать этот опыт на высоком уровне).
Где получить такой опыт, не дожидаясь, пока твою компанию взломают:
Различные CTF-ивенты. Такие активности помогают прокачать отдельные навыки, но при этом задачи здесь часто носят «олимпиадный» характер и бывают далеки от реальной жизни.
Платформы с задачами на тему ИБ (например, онлайн-полигон для красных Standoff Hackbase или платформа Hack The Box). Зачастую на подобных платформах много задач для offensive-специалистов (red team) и мало для тех, кто хочет прокачать навыки defense (blue team). В последние годы появляются задачи и для тех, чья деятельность в большей степени связана с defense-направлением, но, как и в CTF, такие задачи позволяют прокачать только отдельные навыки и не похожи на работу в реальном SOC.
Для получения реального опыта в отражении атак можно пригласить команду белых хакеров и организовать своего рода киберучения, в ходе которых предложить атакующим взломать реальную инфраструктуру, а собственному SOC — отразить нападение (или просто расследовать атаки без реального противодействия атакующим). Но наем внешней команды — это затратное дело, а собственная команда пентестеров тем более большинству компаний не по карману. Кроме того, не каждая компания будет готова подвергнуть свою реальную инфраструктуру подобному стресс-тесту ИБ, рискуя получить непоправимый ущерб для бизнес-процессов, который может негативно сказаться на всей компании.
Как мы пришли к идее собственного онлайн-полигона для синих
Идея создания безопасной виртуальной среды, в которой можно было бы без ущерба для основной инфраструктуры тренировать навыки отражения атак, далеко не нова.
Я много раз участвовал в кибербитве Standoff в роли руководителя глобального SOC. Сотрудники этого направления расследуют все атаки, происходящие в виртуальной инфраструктуре в ходе кибербитвы, и помогают жюри проверять отчеты синих и красных команд. И при этом, работая в реальном SOC, я каждый раз замечал, что участие в подобной активности хорошо прокачивает новичков нашей команды. Да и сами они отмечают, что, в отличие от рутинной работы по ежедневному мониторингу событий ИБ, такие учения хорошо помогают в отработке навыков расследования атак, максимально похожих на реальные актуальные атаки.
Поэтому я не был удивлен, когда коллеги начали развивать на базе кибербитвы целую экосистему, которая призвана помочь defensive-специалистам получить практический опыт.
Несмотря на то что CTF и платформы типа Hack The Box не всегда подходят для этих целей, у всех перечисленных выше подходов к организации практических тренировок есть и свои сильные стороны. Конечно же, мы постарались сохранить их при создании собственного продукта для усиления готовности команд ИБ к отражению актуальных APT-атак.
К основным плюсам каждого подхода можно отнести:
CTF — это почти всегда набор понятных задач разной сложности. У каждой задачи обычно есть какое-то описание, что надо сделать и как должен выглядеть результат — «флаг», который требуется найти раньше других, чтобы получить заветные очки, приближающие к победе;
платформы с задачами — геймификация, возможность отслеживания своего прогресса;
атаки команд пентестеров — возможность получить уникальные атаки, максимально приближенные к тому, что происходит в реальной жизни.
Уже много лет мы ежегодно проводим масштабное мероприятие — кибербитву Standoff, где несколько красных команд (команд атакующих) соревнуются в скорости, атакуя цифровые двойники компаний, пытаясь на практике продемонстрировать возможность нанесения реального ущерба, реализовав одно или несколько критических событий, предложенных организаторами.
Идеи критических событий, которые мы закладываем при построении инфраструктуры, как и техническую составляющую самих цифровых двойников, мы каждый раз формируем на основе опыта наших экспертов: команды red team (PT SWARM), экспертного центра безопасности (PT ESC) и других подразделений. Постоянное участие в десятках проектов в год на протяжении многих лет позволяет им не только поддерживать свою экспертизу на высоком уровне, но и использовать знания об актуальных угрозах, способах их реализации и способах противодействия им для создания самых интересных и актуальных задач для кибербитвы.
Все, что происходит в ходе кибербитвы, не исчезает бесследно после ее окончания. Все действия атакующих логируются, анализируются нашими средствами защиты. Во время кибербитвы эти данные и средства защиты используются командами защиты (синими командами) для решения своих задач по расследованию атак. А после кибербитвы уже наши эксперты (в число которых входят как действующие сотрудники SOC, так и эксперты из многих других подразделений компании) отбирают, используя эти данные, те действия атакующих, на основе которых формируются задания разной сложности. Эти задания впоследствии становятся частью практических заданий на онлайн-полигоне Standoff Defend, позволяя оттачивать навыки по анализу различных техник, используемых хакерами в реальных атаках.
При этом сам процесс решения задачи максимально приближен к тому, с чем ежедневно имеет дело сотрудник подразделения ИБ. Для решения задачи ему предоставляется доступ к типовым СЗИ, которые обычно развернуты и используются в каждом SOC.
Благодаря тому, что у атакующих команд во время кибербитвы Standoff нет жестких рамок и в своем стремлении к конечным целям они ограничены только пределами построенного нами полигона, нашим экспертам по итогам мероприятия есть из чего выбрать в плане интересных и разнообразных задач для тех, кто придет потренироваться в расследовании атак.
Задачи на онлайн-полигоне — это не просто набор каких-то логов, журналов аудита, дампов памяти или трафика. При решении задач вы получаете доступ к реальным продуктам ИБ, таким как MaxPatrol SIEM, PT NAD, PT Sandbox и PT AF, к описанию инфраструктуры цифрового двойника атакованной компании, сетевым схемам, схеме адресации, к информации об ИТ-системах, сервисах, используемых учетных записях и ролях пользователей. Такая информация позволяет лучше погрузиться в контекст атаки и получить наилучшее представление о том, как расследование отдельных шагов атак выглядит в реальной жизни.
Сейчас на полигоне более 70 заданий, что подходит как для небольших, так и для крупных команд ИБ. Для расследования предлагаются как отдельные действия, зафиксированные средствами мониторинга в ходе хакерской активности, так и цепочки отдельных действий — в этих задачах придется не только найти признаки реализации хакерами отдельных техник, но и выстроить их в виде логической непротиворечивой последовательности.
Первый вид задач можно сравнить с детской игрушкой для самых маленьких, когда они должны научиться правильно определять цвет и форму предметов, пытаясь засунуть отдельные фигурки в предусмотренные для этого отверстия.
Второй вид задач — для тех, кто постарше и поопытнее. Его можно сравнить со сборкой пазла, когда из отдельных кусочков разного цвета и формы получается целая картина.
Ведь и в реальной жизни крайне важно в погоне за хакерами не наломать дров, не пойти по ложному следу и суметь среди десятков тысяч событий и сотен алертов найти активность именно хакеров, а не собственных коллег из департамента ИТ или подразделения ИБ. И не просто найти, но и верно, полно и точно разобраться, как произошла атака, какие негативные последствия наступили из-за нее и что надо сделать, чтобы восстановить свою инфраструктуру и сделать ее безопасной, исключив возможность подобных атак в будущем.
В дополнение к задачам, построенным на основе данных, собранных в ходе кибербитвы Standoff, наши специалисты создают задачи для расследования, используя знания о реальных и актуальных инцидентах, связанных с деятельностью APT-группировок.
Мы изучаем отчеты о подобных инцидентах и придумываем, как повторить аналогичные атаки в нашей виртуальной инфраструктуре таким образом, чтобы максимально достоверно воспроизвести технические параметры инцидента. Возможности нашего полигона позволяют нам воспроизводить подобные атаки не только в ручном режиме, но и автоматизировать их проведение.
Записанные в ходе подобных эмуляций атак APT-группировок данные журналов аудита операционных систем, приложений, типовых средств защиты, в том числе сетевой трафик, предлагаются к анализу на онлайн-полигоне Standoff Defend с использованием уже развернутых и настроенных средств мониторинга. Задачи, сформированные подобным образом, и способ их решения, по нашему мнению, максимально приближены к тому, с чем сотрудники SOC сталкиваются в ежедневной работе.
Специалисты по ИБ каждый день решают большое число рутинных, но важных задач: настраивают СЗИ, управляют уязвимостями, разрабатывают правила корреляции, настраивают исключения, борются с ложными срабатываниями — таких задач достаточно в любом SOC. Мы же даем им возможность порешать задачи, связанные именно с расследованием сложных многоэтапных атак, максимально похожих на реальные атаки. И именно это, на наш взгляд, должно помочь специалистам по ИБ приобрести необходимый практический опыт, который сложно получить до того, как столкнешься с настоящей атакой в реальности.
Чтобы решение подобных задач действительно было эффективным, а не просто тренажером для самостоятельных занятий, на нашем онлайн-полигоне также предусмотрены:
Воркшопы с менторами. Наши менторы проводят эталонное расследование атак, показывают популярные ошибки, дают советы и могут при необ��одимости помочь с решением задач.
База знаний. Участникам доступна библиотека теоретических и практических материалов наших экспертов с индивидуальными подборками для каждого участника команды.
Руководителям подразделений ИБ, помимо упомянутых технологий, реализованных на платформе, могут пригодиться возможности по отслеживанию прогресса каждого члена команды и всей команды в целом.
Заключение
Кем бы ни был специалист по практической ИБ, в задачи которого входит борьба с кибератаками, — новичком или специалистом со стажем, для успешного противостояния хакерам недостаточно одних только знаний или даже нескольких лет работы в SOC. Таким специалистам жизненно важно постоянно поддерживать в актуальном состоянии свою экспертизу и расширять практический опыт расследования всех видов атак, чтобы быть готовым в любой момент выявить и отразить самую сложную APT-атаку.
Эффективный и безопасный подход к получению такого опыта — не просто использование тренажеров, позволяющих закрывать пробелы в отдельных навыках, а регулярные занятия по расследованию реальных атак различной сложности, воспроизводимых на полигонах, эмулирующих реальную ИТ-инфраструктуру различных компаний.
Используя многолетний опыт наших специалистов в проведении пентестов и расследовании атак, мы регулярно проводим кибербитву Standoff, а также применяем ее результаты и наш опыт для создания полноценной линейки продуктов, позволяющих отрабатывать защиту бизнеса от APT-атак.
Максимальный реализм и самые актуальные атаки, лежащие в основе заданий на онлайн-полигоне Standoff Defend, позволяют поддерживать готовность к отражению самых сложных атак, с которыми может столкнуться в реальности любая компания.
Константин Грищенко
Руководитель направления развития технологий SOC
