Киберучения на «живой» инфраструктуре с публичным представлением результатов, тактик и техник атакующих, кейсов реагирования SOC1 проходят впервые в России и мире
Positive Technologies, лидер российского рынка кибербезопасности, начала новые публичные киберучения на собственной инфраструктуре. Их задача — продемонстрировать эффективность результативной кибербезопасности на практике. Команда белых хакеров TSARKA2 в течение трех месяцев атакует действующую инфраструктуру Positive Technologies, в которой ежедневно работают более тысячи сотрудников, совершаются финансовые операции и создаются передовые средства защиты. Цель атакующих — реализовать недопустимые для Positive Technologies события: вывести денежные средства со счетов, похитить конфиденциальную информацию, внедрить вредоносный код в продукты и получить доступ к клиентам компании.
Отвечая на главную потребность бизнеса в эффективной и измеримой защите, Positive Technologies предлагает придерживаться результативного подхода к кибербезопасности, гарантирующего невозможность кибератак с недопустимыми последствиями для компаний, целых отраслей экономики и государства. В первую очередь принципы результативной безопасности Positive Technologies внедряет у себя. Так, например, необходимо не только построить защиту на основе исключения неприемлемых для бизнеса событий, но и регулярно тестировать защищенность своей инфраструктуры на киберучениях. Ранее в Positive Technologies прошли три серии киберучений с участием разных команд нападающих. По их итогам компания провела порядка 150 мероприятий по улучшению своей защиты, внедрила мониторинг на ключевых узлах, разработала и уже применяет новые процессы реагирования. Эти меры были направлены на то, чтобы усложнить для злоумышленников реализацию атак.
«За последние полгода практически все отечественные компании подверглись кибератакам, причем во многих случаях, к сожалению, злоумышленникам удавалось достичь своей цели и нанести ущерб бизнесу. Киберучения позволяют проверить на прочность систему ИБ, стек технологий, а также узнать, хорошо ли в компании выстроены процессы реагирования на угрозы, — комментирует Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Из-за закрытости индустрии большинство команд защиты тратят колоссальные ресурсы на решение одних и тех же проблем, а в комьюнити не формируются лучшие практики по противодействию реальным атакам. Публичные киберучения — это наш способ продемонстрировать сообществу ИБ, что можно и нужно делиться наработками, совместно находить и быстро исправлять ошибки. Мы хотим наглядно показать, как работает результативная кибербезопасность, сосредоточенная, в отличие от традиционного подхода, нацеленного на равномерную защиту „всего от всего“, на том, чтобы сделать конкретные недопустимые события гарантированно нереализуемыми для хакеров».
Руководствуясь концепцией результативной и измеримой кибербезопасности, Positive Technologies определила четыре недопустимых для своего бизнеса события — хищение денежных средств, кража конфиденциальной информации, внедрение вредоносного кода в продукты и получение доступа к клиентам компании через инфраструктуру — и поставила атакующим задачу реализовать их в действующей инфраструктуре в течение трех месяцев. Специалисты SOC на киберучениях противодействуют нападающим так же, как и во время реальных инцидентов: обнаруживают попытки проникновения, своевременно реагируют на них и стараются остановить нападающих. Условия киберучений максимально приближены к реальным: у атакующих, как и у настоящих злоумышленников, практически нет ограничений. Например, они могут использовать любые хакерские инструменты, социальную инженерию (рассылку фишинговых писем сотрудникам, создание фейковых сайтов) и атаковать какие угодно элементы инфраструктуры в любое время суток.
«Мы рады участвовать в киберучениях Positive Technologies. Компания, которая сама занимается кибербезопасностью, приглашает других игроков с рынка для анализа ее защищенности, что говорит о зрелости и прозрачности бизнеса, — поясняет Олжас Сатиев, руководитель TSARKA. — Этот аудит, на самом деле, для нас один из самых тяжелых, так как, в отличие от большинства клиентов, на той стороне сидят профессионалы, которые моментально реагируют на наши атаки: если сотрудники компании попались на наш фишинг, мы видим, как их пароли сразу же меняются. Для нас эти киберучения — большой вызов, спасибо команде Positive Technologies за оказанное доверие».
Еще одна цель киберучений — проверка эффективности продуктов и сервисов Positive Technologies, с помощью которых вендор защищает инфраструктуры клиентов в реальных атаках. Параллельно с классическим SOC, где специалисты центра мониторинга PT Expert Security Center используют уже известные на рынке продукты Positive Technologies, на киберучениях в тестовом режиме работает первый метапродукт компании — MaxPatrol O2. Его задача — автоматически выявлять и предотвращать хакерские атаки до того, как будет нанесен неприемлемый для бизнеса ущерб. Метапродукт играет роль центра мониторинга в компании любого масштаба, работая 24/7, а чтобы управлять им, достаточно одного человека. Цель использования MaxPatrol O2 на текущих киберучениях — проверка «боем» и дополнительное обучение: при минимальном участии оператора метапродукт выявляет инциденты, самостоятельно склеивает их в цепочки атак, выносит вердикт и оповещает оператора о необходимости отреагировать на обнаруженные киберугрозы. Результаты работы MaxPatrol O2 постоянно сравниваются с тем, что обнаруживает профессиональная команда SOC, и при необходимости обогащаются.
- Security operations center (SOC) — центр оперативного реагирования на киберугрозы. Его основная задача — выявлять инциденты ИБ на ранних этапах атаки.
- Команда TSARKA, лидер в области кибербезопасности в Центральной Азии. Эта команда высокопрофессиональных исследователей безопасности из Казахстана победила в самой масштабной открытой кибербитве Standoff в 2017 году. Кроме того, в разные годы TSARKA еще три раза становилась финалистом этой битвы.