Государства для тестирования хакерских атак: для кого строят киберполигоны
Последние четыре года футурологи, политики и бизнесмены твердят о том, что мир стоит на пороге цифровой революции, которая изменит нашу жизнь к лучшему. Рассказывая об ИИ, интернете вещей и пользе сбора больших данных, о роботах, уже привычных голосовых помощниках и других благах индустрии 4.0, эксперты зачастую забывают упомянуть, что человечеству также приходится иметь дело со сложными и разрушительными последствиями применения технологий.
Обратная сторона цифровой революции — это, к примеру, риск кибератак, которые могут повлиять на окружающий мир и жизнь граждан. Аппетит злоумышленников растет с каждым годом, а вместе с ним и ущерб, наносимый компаниям в ходе кибератак.
Так, в июле этого года поставщик водопроводной воды в пригороде Вашингтона стал жертвой кибератаки с использованием вымогательского ПО, в результате которой злоумышленники получили доступ к данным его клиентов. Хорошая новость здесь в том, что никаких манипуляций преступников с системами фильтрации и очистки зафиксировано не было, а значит, качество питьевой воды, которую потребляют 1,8 млн жителей близлежащих округов, не подвергалось опасности.
В том же месяце при атаке на Счетную палату Молдовы были уничтожены аудиторские отчеты и общедоступные базы данных ведомства, а в Иране из-за взлома компьютерной системы национальной железной дороги сбился график движения поездов. В сентябре этого года хакеры в очередной раз замахнулись на ООН и, взломав ее сеть, похитили информацию, которая теперь может быть использована для атак на другие ведомства.
Публичные примеры серьезных последствий заставляют компании всерьез относиться к киберрискам и принимать меры, чтобы снизить их вероятность и минимизировать потери. Уже более полувека эксперты по безопасности ищут способы наиболее точно оценить ущерб от кибератак. За это время были разработаны сценарии аудита и придумана методология оценки рисков: специалисты начали проводить анализ защищенности систем и тесты на проникновение, а организации стали уделять внимание обучению и проверке уровня осведомленности сотрудников в вопросах ИБ. Все это, конечно, помогает повысить уровень защищенности, однако не дает ответов на вопросы: «Чем грозит кибератака компании? Можно ли гарантировать, что неприемлемые для бизнеса события не будут реализованы?».
Можно ли оценить реализуемость рисков для бизнеса на киберполигоне?
Движение бизнеса в сторону практической безопасности привело к появлению нового инструмента для моделирования угроз и оценки защищенности компаний. Этим инструментом стали киберучения, в которых одновременно могут принять участие такие специалисты по кибербезопасности, как пентестеры, исследователи, сотрудники служб ИБ и центров мониторинга безопасности.
Киберучения представляют собой атаки, которые проводят, чтобы проверить и улучшить навыки службы ИБ по обнаружению киберугроз и реагированию на них.
Существуют масштабные киберучения, например Locked Shields, организованные Киберцентром НАТО в Таллине, в которых в 2019 году приняло участие более 1200 экспертов по ИБ, или мероприятие Cyber Defense Exercise Агентства национальной безопасности США, которое проходит с 2001 года.
Для киберучений можно использовать реальную инфраструктуру компании, но тогда риски будут реализовываться условно. Поэтому для оценки реализуемости рисков ИБ и выявления возможных последствий кибератак лучше применять специально подготовленную платформу — киберполигон. Так можно не бояться нарушить реальные технологические или бизнес-процессы.
Киберполигон позволяет моделировать отдельные критически важные системы, чтобы протестировать их параметры, найти уязвимости и проверить реализуемость недопустимых событий на практике. Киберучения на полигоне выигрывают перед тестированием на проникновение в режиме red team и классическим пентестом тем, что на полигоне есть возможность реализовать риск до конца.
Использование киберполигона для анализа защищенности инфраструктуры — это передовое решение. Его выбирают организации, стремящиеся к практической безопасности — прозрачной, результативной и обоснованной. У каждой компании своя уникальная инфраструктура и свои недопустимые события. Для того чтобы проследить цепочки кибератак и оценить, к каким последствиям может привести недопустимое событие в обычной жизни, необходимо считаться с этой уникальностью. Киберполигон позволяет оценить значимость ресурсов и определить, что именно может заинтересовать злоумышленников. При ретроспективном анализе атак с полигона также можно выделить системы, взломав которые хакерам становится проще добиться реализации рисков.
Кроме того, если в киберучениях участвует одновременно несколько команд атакующих (а это самый лучший расклад), то еще появляется возможность всесторонне проанализировать защищенность той или иной инфраструктуры и проработать больше техник и сценариев атак.
В отдельных случаях верифицировать неприемлемые события и оценить защищенность инфраструктуры без киберполигона попросту невозможно. Например, когда есть риск вызвать негативные последствия, в частности аварии на производстве, которые могут привести к травмам или гибели работников предприятия, жертвам среди населения или экологической катастрофе. Такие недопустимые события чаще всего характерны для предприятий из промышленного сектора и городских эксплуатационных служб.
Что нам стоит целое государство построить
Создание киберполигонов — это дорогостоящая и трудозатратная задача, поэтому в основном ею занимаются на государственном уровне. К примеру, на построение национального киберполигона в США компании Lockheed Martin было выделено 33,9 млн долларов. В России субсидию в размере 364,55 млн рублей получил «Ростелеком» для создания киберполигона в рамках программы «Цифровая экономика». Мы в Positive Technologies — уже своими силами — организовали киберполигон, аккумулирующий опыт международных киберучений. За это время понимание концепции киберполигона у нас неоднократно эволюционировало. Сначала до формата противостояния на искусственно смоделированной инфраструктуре, потом — до глобального киберполигона The Standoff, на котором присутствуют инфраструктуры реальных организаций и реальные технологические и бизнес-процессы, реальные средства защиты и реальные защитники, отвечающие за выявление кибератак на виртуальный город.
Угроза кибератак должна быть очевидна каждому. Для этого мы каждый год проводим крупнейшие в мире открытые киберучения на нашем полигоне. Чтобы продемонстрировать векторы атак и сделать аварии, вызванные зловредными действиями хакеров (в нашем случае — красных команд), наглядными для людей, знакомых с кибербезопасностью весьма поверхностно, мы создаем макет города. Там есть заводы, ТЭЦ, аэропорт, бизнес-центры, железная дорога и даже парк аттракционов. В инфраструктуру виртуального города заложены живые бизнес-процессы этих организаций, а на полигоне команды атакующих и защитников имеют дело с настоящими сервисами и оборудованием, используемыми в этих отраслях.
При этом и взаимодействие с инфраструктурой города тоже происходит как в реальности: нападающие работают удаленно, пытаясь проникнуть внутрь корпоративной сети. В сердце макета — АСУ ТП, которые управляют реальными объектами с ПЛК. При проектировании полигона используются настоящие промышленные контроллеры и SCADA, как и на аналогичных объектах промышленности. Все технологические сети содержат настоящее оборудование и софт, а сетевое взаимодействие происходит по распространенным протоколам АСУ ТП — OPC DA, Modbus TCP, HTTP.