В этой краткой заметке разберем, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.

Под киберучениями мы будем понимать запланированные мероприятия, в ходе которых имитируется проведение кибератак для вырабатывания возможностей по их предотвращению, реагированию, а также восстановлению. В киберучениях принимают участия следующие команды: нападающие (Red Team), защищающиеся (Blue Team), администраторы (Green Team), организаторы (White Team), также могут быть еще исследователи (Yellow Team).

Киберучения бывают корпоративные, отраслевые, межотраслевые, региональные и международные.

Специалисты любят выделять следующие форматы киберучений:

  • Настольные учения, теоретические учения (Table Top) – моделирование сценария кибератаки в формате рассказа, в рамках которого участники анализируют и обсуждают, но не выполняют на практике принятые процедуры.

  • Практические учения (Full live) – проведение учебных кибератак, участники отрабатывают практические действия по реагированию на инцидент.

  • Гибридные (Hybrid) – комбинация элементов настольных и практических учений.

Иногда к киберучениям относят и CTF-соревнования, проводимые среди учащихся школ и вузов.

Максимальный интерес представляют масштабные международные мероприятия, детали проведения которых хорошо освещены в интернете и по которым публикуется так называемый After-Action Report. В целом о том, какие киберучения проводятся в мире и насколько информация о них открыта, можно почерпнуть из публикации национального института кибербезопасности Испании - Cyber exercises taxonomy. Примечательный момент: данный отчет почему-то недоступен для российских IP-адресов.

Одними из самых масштабных киберучений, проводимых в Европе, являются ежегодные киберучения LockedShields, организатором которых выступает центр НАТО по сотрудничеству в сфере киберобороны (NATO Cooperative Cyber Defence Centre of Excellence). До 2014 года центр публиковал развернутые отчеты о проведенных киберучениях на своем сайте и наиболее интересным на наш взгляд является 122-х страничный отчет за 2013 год.

В 2013-м году игровая инфраструктура данных киберучений имитировала обычную корпоративную сеть. Каждой Blue Team была выделена сеть из 34 машин, включающая: маршрутизатор, межсетевые экраны, рабочие станции под управлением Linux и Windows, контроллеры доменов, файловые серверы, почтовые серверы, DNS-серверы, web-серверы и серверы СУБД.

Для Red Team данная инфраструктура была «белым ящиком», и в ней были предустановлены 2 бэкдора, которые начинали активные действия по заданному расписанию. Также в каждой защищаемой инфраструктуре был пользователь с ролью blonde (представитель White Team), который открывал все вложения и переходил по всем ссылкам в полученных письмах. Основная масса уязвимостей была в прикладном офисном ПО.

Перед нападающими стояли типовые хакерские задачи:

  • провести дефэйс страницы;

  • организовать отказ в обслуживании;

  • получить административный доступ;

  • внедрить вредоносный код;

  • получить доступ к определенным письмам электронной почты получить определенный отчет;

  • заменить файл с видеозаписью.

Киберучения Locked Shields наращивают масштабы, и в последние годы игровая инфраструктура стала в разы больше, а типовой сценарий учений уже предусматривает киберконфликт с выдуманной страной, в ходе которого осуществляются скоординированные кибератаки на такие цели, как национальный интернет-провайдер, центральный банк, военная база и т.п. Сегодня Locked Shields 2021 – это 5000 виртуальных хостов, 2000 участников, 30 стран-участниц, 22 команды Blue Team.

Довольно крупные международные киберучения проводятся и по другую сторону Атлантики, так в 2020-м году более 1000 участников собрали учения Cyber Storm 2020. After action report доступен и, помимо всего прочего, содержит интересное описание сценария, который лег в основу учений. В соответствии с ним две хакерские группировки, спонсируемые иностранными государствами, разрабатывают набор инструментов для эксплуатации уязвимостей в ключевых сервисах интернета – DNS, BGP и CA. Разработанный инструментарий передается злоумышленникам с различной мотивацией, которые, в свою очередь, используют его для проведения кибератак на объекты критической информационной инфраструктуры.

А что у нас?

Не так давно стали проводиться отраслевые киберучения  (банки, энергетика и др.). CTF-движение у нас хорошо развито, и подобные мероприятия проводятся довольно регулярно. Например, наша компания организует CTF-конкурс «Эшелонированная оборона», в котором в 2020-м году приняло участи более 100 команд.

Для отработки сценариев кибератак во всем мире активно применяется матрица MITRE ATT@CK, которая в структурированном виде представляет действия киберзлоумышленников и позволяет описать практически любую атаку. В России в начале года ФСТЭК России выпустил Методику оценки угроз безопасности информации, в приложении которой привел свое видение структуры действий злоумышленников. Эксперты нашей компании разработали и опубликовали маппинг перечня действий злоумышленников от ФСТЭК России на соответствующие действия в матрице MITRE ATT@CK.

Интересным трендом является использование в ходе отраслевых учений не просто сценария, включающего произвольные тактики и техники, а именно моделей реальных хакерских группировок, представляющих опасность для конкретной отрасли, например, APT Tonto и TA428 в случае учений на наукоемком производстве или Cobalt и Carbanak – в случае банковских учений. Для подготовки к проведению киберучений мы, для примера, сформировали прототип базы данных хакерских группировок, которые по данным из открытых источников атакуют цели именно на территории России: https://apt.etecs.ru/

В базу попадают кибергруппировки, которые, согласно отчетам по атрибуции, атакуют ресурсы на территории России.

Надеемся, что изучение данных материалов специалистами, отвечающими за безопасность объектов КИИ, будет полезно для повышения готовности к отражению кибератак.

Комментарии (1)


  1. satex
    19.10.2021 22:59

    В киберучениях принимают участия следующие команды: нападающие (Red Team), защищающиеся (Blue Team), администраторы (Green Team), организаторы (White Team), также могут быть еще исследователи (Yellow Team).

    Purple team ещё вводят если плохо связь между Red и Blue плохо налажена
    https://danielmiessler.com/study/red-blue-purple-teams/