Привет, Хабр! Это очередная номерная часть «Мультивселенной киберполигонов в РФ». Мы уже обсудили несколько полигонов и коснулись главной витрины кибербезопасных полигонов в России. Предыдущие три читайте тут, тут и тут. Но есть ещё что показать — другой подход к киберучениям и проверке подготовки ИБ‑специалистов.
Встречайте мой разговор с Дмитрием Малинкиным, руководителем направления киберучений компании BI.ZONE. Мы обсудили принципиальное отличие учебной киберплощадки компании от других, причины выбора такого подхода и то, чем российские ИБ‑полигоны отличаются от зарубежных. Приятного чтения!
Интервью
Расскажите о вашем киберполигоне. Какие технические решения используются, и чем он отличается от других киберполигонов? Есть ли какие‑нибудь уникальные особенности или ноу‑хау?
Киберполигон не имеет единого стандарта, и у разных компаний он организован по‑разному. Часто полигон сравнивают с лабораторией или серией CTF‑задач, но главное отличие полигона — связность сценария и сложность имитируемого инцидента. В CTF задачи обычно не связаны между собой, а в полигоне события выстроены в единую цепочку атаки (kill chain), поэтому участники проходят инцидент «от начала до конца», приближенно к реальной атаке.
Мы выросли из международных киберучений: сначала ежегодно разворачивали виртуальные инфраструктуры, моделировали действия злоумышленников и оценивали команды скорингом. Но это оказалось слишком дорого и сложно в реализации и поддержке. После нескольких итераций мы поняли: большие сетевые эмуляторы нам не нужны.
Для заданий мы создаём инфраструктуру в своей лаборатории, затем собираем необходимые артефакты, упаковываем их в формат, который каждый участник определяет локально. Поэтому мы не ограничены в количестве одновременно участвующих команд. Мы сконцентрировались на «синих» командах: наш тренинг полезен специалистам по реагированию на инциденты, тестированию на проникновение, участникам blue team, CERT, SOC, DFIR. Киберпреступники постоянно используют новые инструменты и усложняют атаки, поэтому важно расширять практические знания специалистов по защите.
Благодаря этому нам действительно не требуются огромные инфраструктуры и постоянная онлайн-поддержка. Резкий всплеск «моментальных» атак бывает редко; большинство серьёзных атак — долгосрочные операции, которые разворачиваются неделями или даже месяцами. Неэффективно собирать команду на часовой интенсив, когда в реальных условиях борьба с атакой может занимать гораздо больше времени.
Поэтому наша механика такова: мы заранее полностью продумываем сценарий инцидента, пишем «сценарий» атаки от начала до конца — с детальным описанием каждого этапа, действий злоумышленников и целей. Затем на базе этого сценария разворачиваем виртуальную сеть, в которой отрабатываем эти действия.
Мы имитируем атаки снаружи (например, через предварительно сконфигурированные хостинги или скрипты внутри сети) и одновременно собираем все данные мониторинга и артефакты. Этот процесс аналогичен тому, как исследователи заходят в реальную сеть при инциденте и собирают доказательства: мы так же сфокусированы на сборе всей необходимой информации. Все данные (логи, дампы памяти, копии файлов и т. д.) аккумулируются.
При подготовке сценария мы также «делаем шум»: эмулируем легитимную активность пользователей, фоновые обновления и работу сервисов. Например, наша инфраструктура функционирует 2–3 недели перед тем, как участники тренинга приступят к заданиям, чтобы накопить достаточный объём обычного пользовательского трафика. Это случайные запросы к веб-серверам, работа почтовых и файловых служб, обновления ПО и прочее. Без этого полигон превратился бы в пустую среду, где легко заметить следы атаки. Мы же стараемся сделать фон максимально реалистичным, потому что в реальной сети масса легитимных действий, которые мешают анализу.
В рамках нашего тренинга мы размещаем в личном кабинете участника на платформе готовые виртуальные машины и сценарий с заданиями. Участникам необходимо скачать эти образы и пройти обучение в своём темпе. Участники используют собственные компьютеры, а также удобный им инструментарий: мы не навязываем конкретные продукты. Если кто-то хочет работать со своим корпоративным ПО, может это сделать, а если нет — мы предоставляем образ виртуальной машины с набором необходимых open-source-инструментов (SIEM, forensic-набор и так далее). Это учит участников работать с реальными, широко используемыми технологиями.
Итак, в рамках тренинга есть продуманный сценарий с действиями злоумышленников, набор артефактов и система скоринга. После прохождения заданий участники получают отчёт: какие задачи они решили правильно, где ошиблись, каким образом могли ответить иначе. Обычно в сценарии 20–80 вопросов: у каждого свой вес за сложность, подсказки снижают вес задания. Участники видят итоговый результат и подробный разбор своих действий.
Преимущества такого подхода очевидны. Создание новых сценариев происходит быстро: мы пишем новый сценарий, готовим «новую» виртуальную сеть по нему, собираем её артефакты, а после разбора уничтожаем. Нам не нужно постоянно поддерживать живую инфраструктуру — ведь поддержка физически существующей среды, особенно мультивендорной, очень затратна.
Как при ограниченных ресурсах моделируются распределённые атаки, например атака ботнета из тысячи устройств?
На платформе сейчас нет сценариев, которые бы содержали реагирование на атаки ботнетов или другую активность, направленную на DDoS. Такие атаки довольно «шумные», а противодействие им обычно довольно хорошо отработано в зрелых компаниях. Мы предпочитаем создавать для участников более запутанные и многоступенчатые сценарии с неочевидной цепочкой действий злоумышленников.
Если в каком-либо сценарии в будущем нам понадобится предоставить пользователям артефакты от распределённой атаки, мы можем аккуратно задействовать внешние ресурсы — например, подключить несколько дополнительных виртуальных узлов, которые будут генерировать трафик «от лица» сотен или тысяч клиентов.
Проще говоря, вместо реального ботнета из тысячи узлов мы настроим несколько мощных виртуальных машин, которые создают эквивалентный трафик. Причём в соответствии с нашей концепцией сделать это нужно будет только один раз, а не повторять каждое киберучение.
Как обеспечивается безопасность и изоляция вашего полигона при ограниченных ресурсах, например при имитации атаки типа «zero-day»?
Наша виртуальная инфраструктура полигона, которую мы используем для создания сценариев, находится внутри защищённого периметра компании (корпоративной среды BI.ZONE) с жёстким контролем доступа. Это значит, что все тестовые машины изолированы от внешнего интернета на уровне сети: мы работаем внутри закрытой среды. Внутренние системы защиты BI.ZONE работают и на наш полигон, то есть наша корпоративная защита постоянно «дежурит» над полигоном. Таким образом, риск проникновения «настоящих» угроз сводится к нулю.
Если нам нужно смоделировать внешние исходные адреса (например, имитировать атакующие IP извне), мы используем VPN-подключения или настраиваем контролируемые туннели через демилитаризованную зону. При этом мы полностью контролируем это соединение. Иными словами, весь сценарий создаётся в изолированном тестовом окружении внутри периметра компании. Благодаря такой защите даже в случае ошибки наш полигон остаётся в контейнере — никакие уязвимости не выйдут в боевую сеть.
Таким образом, мы исключаем угрозу компрометации исследовательской инфраструктуры и её повреждения. Безопасность инфраструктуры, в которой мы создаём наши сценарии, достигается за счёт изоляции и использования только «белых», разрешённых инструментов. Наше правило — никаких непроверенных эксплоитов. В итоге модель полигона остаётся полностью защищённой: мы не рискуем ничем, поскольку всё выполняется внутри контролируемой среды.
Для участников всё ещё проще. Они получают доступ исключительно к артефактам, поэтому угроза компрометации эксплоитов, которые мы применяем в процессе создания сценариев, из подмены, разрушения инфраструктуры от действий пользователей и т. п., полностью отсутствует. Участники просто не имеют к ним доступ, а используют только скачанные с платформы артефакты.
Используете ли вы какие-либо системы для генерации адаптивных атакующих ботов или аналогичные технологии?
Мы проводим все атаки вручную: достаточно ручной подготовки и запуска сценариев. Однако мы рассматриваем улучшения в области генерации «шума» — то есть фоновой активности пользователей.
Например, если бы полигон был онлайн-средой с сотнями одновременных пользователей, потребовалась бы продвинутая система автоматизации. Но в офлайн-сценариях мы можем заранее смоделировать «действия пользователей» простыми скриптами и плановыми задачами.
В будущем мы не исключаем создание автоматических генераторов нагрузки, но пока де-факто полагаемся на тщательно спланированную эмуляцию — то, что мы делаем «руками». Это позволяет нам полностью контролировать сценарий атаки без сложных самонастраивающихся ботов.
Получается, вы не разворачиваете копию вашего полигона у клиентов или заказчиков?
На портале киберполигона любой желающий может зарегистрироваться и пройти базовый сценарий бесплатно. Для доступа к расширенным сценариям и заданиям мы предлагаем платную подписку. Таким образом, заказчик сам может прийти в любой момент и начать обучение. Всё, что нужно, — зарезервировать время, чтобы команда проходила задания на своих машинах.
Используете ли вы собственные метрики эффективности обучения участников или стандартные, например MTTD и MTTR?
Мы не применяем такие формальные метрики, как MTTD/MTTR. MTTD (mean time to detect — среднее время обнаружения) и MTTR (mean time to respond — среднее время реагирования) актуальны для реального времени и постоянного мониторинга реальных сетей, но в нашей подготовительной среде эти показатели не имеют смысла.
Как я уже сказал, мы оцениваем результаты по ответам на вопросы. В конце участник видит сумму набранных баллов и детализацию. Это достаточно наглядно показывает, какие области знаний нужно прокачать дальше.
Поэтому формальной привязки к внешним метрикам у нас нет. Но мы планируем внедрить разбор сценариев по отраслевым методикам (например, в будущем можем подключить методологии по стандартам SANS или SBF для более глубокого анализа).
Какая была самая необычная атака, реализованная на вашем полигоне?
Поскольку все наши атаки программируются заранее, все «нестандартные» атаки тоже задаём мы сами. У нас нет живой red team, которая придумывает что-то на ходу, — любые сложные, необычные сценарии мы придумываем и настраиваем самостоятельно.
Например, мы можем включить в сценарий неочевидные векторы проникновения или эксплоиты, специфические для индустрии, если хотим проверить реакцию участников. Но принцип прост: никаких случайных «сюрпризов» со стороны реального нападающего у нас не бывает, всё заранее описано.
Таким образом, за самыми нестандартными инцидентами стоит наше решение задач, и мы можем точно контролировать, какие атаки попадут в тренировку.
А какие нестандартные методы защиты применялись на полигоне против таких атак?
Один из примеров нестандартного «защитного» сценария мы использовали на Cyber Polygon 2024. Там мы объединили тематику обучения с искусственным интеллектом.
По сценарию участники расследовали атаку на организацию, которая тренирует машинные модели. Суть атаки: мы «заразили» одну ML-модель злонамеренным кодом, в результате чего её качество деградировало, тогда как у «конкурентов» аналогичная модель продолжала улучшаться.
Чтобы раскрыть эту ситуацию, участникам пришлось исследовать устройство ML-моделей. Мы заранее разметили улики не только внутри виртуальной сети (логи, дампы памяти, обучающие данные), но и вынесли их наружу — в публичные источники.
Мы разместили подсказки на форумах, в социальных сетях и чатах (Telegram), а также дали участникам крохотный data lake с вредоносной моделью. Им нужно было скачать эту модель и попробовать её проанализировать локально.
Таким образом, «защита» состояла в неочевидном — нужно было понять, как устроено машинное обучение, и найти причину падения качества. Это был нетривиальный кейс: участники одновременно выступали как аналитики ML-инцидента и расследователи утечек.
Такой подход мы считаем «нестандартным», потому что обычные полигоны чаще показывают классические компьютерные инциденты, а у нас в роли защиты был целый исследовательский кейс про ИИ.
Как вы оцениваете уровень зрелости киберполигонов в России по сравнению с зарубежными? Выделяется ли NATO Cyber Range или большинство проектов определяется бюджетом?
За рубежом чаще встречаются «облегчённые» лаборатории для обучения. Например, есть TryHackMe, Blue Team Labs, Red Canary — небольшие платформы с ограниченным количеством виртуальных машин и простыми сценариями.
В таких лабораториях каждый шаг обучения — это атомарная задачка: сначала отрабатывается initial access, потом lateral movement и т. д. Они разворачиваются на час-другой и автоматически сворачиваются. Этот подход сильно упрощён, но автоматизирован и экономичен.
Если говорить о крупных проектах — действительно, NATO Cyber Range стоит особняком: это очень дорогая система с максимально подробным цифровым двойником реальной инфраструктуры. Остальные полигоны в значительной степени зависят от бюджета и задач заказчика.
Многие зарубежные решения делают упор на массовость: у них может быть большое количество участников, каждый работает в своей копии инфраструктуры, чтобы не мешать другим. За рубежом часто ориентируются на простой интерфейс — облегчённый контент и удобный UX/UI. В России (и у нас в компании в том числе) больше делают ставку на сложность самого сценария и глубину проработки.
Мы, российские специалисты, умеем создавать весьма сложные тренинги — наш акцент на качестве. В то же время зарубежные коллеги чаще фокусируются на автоматизации и пользовательском опыте. Ещё один интересный момент — в нашей среде наблюдается качественная дифференциация форматов тренировок: в виде киберполигонов и в виде CTF. В зарубежном сегменте такое разделение скорее размыто: киберполигоны чаще похожи на то, что у нас принято относить к CTF.
Так что я бы сказал: уровень знаний сотрудников в целом схож, но подходы разные. У нас больше «проработка кейсов», а там — потоковое обучение в упрощённом виде.
Заключение
В заключение хочу отметить, что подход BI.ZONE меня немного удивил. Собственно, ради этого я и хотел сделать серию материалов — чтобы создать некий старт для людей, не погружённых в тему ИБ-полигонов. Чтобы специалисты, компании или просто интересующиеся люди могли сравнить и выбрать нужную им площадку, прикинуть, какой подход им ближе. Возможно, кто-то из кибербезопасных компаний, поняв, что есть на рынке, создаст площадку, отличающуюся от всех.
Ну а в моей мультивселенной на очереди ещё один материал. Спасибо за внимание!