BIS Journal №1(40)/2021

22 марта, 2021

Киберучения для обучения

Платформа Ampire помогает выполнять требования Банка России.

В настоящее время все финансовые организации живут по новому стандарту информационной безопасности — ГОСТ Р 57580.1 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Стандарт объёмный и сложный, содержащий более четырёхсот требований по защите информации. И основная сложность в выполнении стандарта даже не в том, что он сам по себе содержит много требований, а в том, как выстроить последовательный и непрерывный процесс обеспечения соответствия. Сотрудники кредитных организаций уже более 10 лет работают в соответствии с установленными Банком России требованиями по защите информации, хотя и для них многие требования ГОСТ Р 57580.1 в новинку; сотрудники же некредитных финансовых организаций столкнулись с такими требованиями по большому счёту в первый раз, и для них, как показывает практика консалтинга «Перспективного мониторинга» (ПМ), выполнение ГОСТ Р 57580.1 связано с большими затруднениями.

 

ЧИТАЯ ГОСТ Р 57580.1

ГОСТ Р 57580.1 определяет не только базовый состав мер защиты информации для восьми процессов защиты, но и требования по управлению защитой информации. Концепция управления защитой информации по ГОСТ Р 57580.1 устанавливает необходимость подготовки и регулярного повышения квалификации специалистов по защите информации применительно к каждой области защиты информации – мера РЗИ.15 «Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации». Факт обучения/повышения квалификации подтверждается наличием свидетельств, подтверждающих прохождения различных курсов и практических семинаров по соответствующим тематическим направлениям.

Компания «Перспективный мониторинг» разработала курс обучения и повышения квалификации по реагированию на инциденты для работников службы ИБ, ИТ-подразделений финансовой организации с применением учебно-тренировочной платформы Ampire. Прохождение такого курса в ПМ полностью закрывает требования по обучению и повышению квалификации для Процесса 6 «Управление инцидентами защиты информации» и Процесса 3 «Контроль целостности и защищённости информационной инфраструктуры» ГОСТ Р 57580.1, так как специалисты, прошедшие курс, освоят или улучшат свои навыки мониторинга событий и управления инцидентами ЗИ (процесс 6) и научатся контролировать уязвимости информационных систем (процесс 3).

 

АКЦЕНТ НА ПРАКТИКУ

Ampire – это целая экосистема программных технологий, которая позволяет обучать пользователей методам обнаружения признаков компьютерных атак, анализировать причины их возникновения и в конечном счёте внедрять необходимые защитные меры для противодействия им.

Основная задача, которую мы для себя ставили при разработке Ampire, – это повышение практических навыков специалистов в противодействии компьютерным атакам. И в ходе курса для сотрудников финансовых организаций акцент делается именно на практику. Они получают опыт работы с различными средствами обнаружения атак, навыки анализа логов прикладных сервисов (веб-сервера, базы данных, удалённых средств управления и т. д.), отрабатывают навыки устранения уязвимостей с помощью настройки сервисов, изменений на уровне сети абстрактной виртуальной или модели конкретной организации, внедрения межсетевых экранов, корректировки исходного кода и т. п. Особое внимание мы уделяем отработке навыков совместной работы при расследовании инцидентов. Это выражается в жёстких требованиях по проведению анализа, включая заполнение развёрнутых форм отчётности по инцидентам в собственной IRP киберполигона Ampire.

Опыт проведённых мероприятий на нашем комплексе позволяет говорить, что занятия на нём интересны как для начинающих специалистов, так и для опытных сотрудников, желающих «прокачать» отдельные технические моменты.

 

ШАГ ЗА ШАГОМ

Процесс киберучений выполнен единообразно для всех шаблонов информационных систем и сценариев киберучений, поставляемых вместе с комплексом. Основные шаги следующие (см. рисунок):

  1. Преподаватель создаёт тренировку на базе имеющегося шаблона, выбирая подходящий сценарий, моделирующий действия виртуального нарушителя.
  2. После создания тренировки преподаватель активирует учебную компьютерную атаку на виртуальную инфраструктуру.
  3. Действия виртуального нарушителя регистрируются различными системами обнаружения вторжений на уровне сети и на уровне конечных узлов.
  4. Участники группы мониторинга проводят анализ зафиксированных событий при помощи СОВ и заводят карточки инцидентов ИБ.
  5. Участники группы реагирования анализируют полученные карточки инцидентов ИБ, подключаются к отдельным узлам информационной системы тренировки и устраняют имеющиеся в них уязвимости.

Рисунок. Основные шаги в процессе киберучений

 

Тренировка заканчивается, когда устранены все уязвимости в составе активной учебной компьютерной атаки, отрабатываемой в рамках тренировки, или время тренировки вышло.

Все действия атакующего автоматизированы в рамках сценария, поэтому для проведения полноценных киберучений нет необходимости привлекать «живую» атакующую команду.

При прохождении командами сценария преподаватель самостоятельно управляет виртуальными нарушителями: активирует их, останавливает, даёт задание на выполнение отдельных шагов.

 

ШАБЛОН СИСТЕМЫ

Шаблон информационной системы в Ampire — это набор виртуальных машин (сервера, рабочие станции, сетевое оборудование и т.д.), которые моделируют работу типовой сети организации (например, офис, банк, предприятие). Состав шаблонов в комплексе определяется на момент поставки, но может быть расширен по требованиям заказчика. Эта потребность возникает в основном из-за желания проводить обучение на макетах информационных систем, максимально близких к уже существующим у заказчика. Шаблон можно дополнить специфическими для конкретного заказчика сервисами, оборудованием и средствами защиты информации (учитывая возможность работы в виртуальной среде и лицензионные ограничения).

 

И ОНЛАЙН, И В КЛАССЕ

Занятия на платформе Ampire можно проводить и онлайн, и в очном формате. При очном формате киберучений группы участников работают непосредственно в классе одного из учебных заведений, оборудованных комплексом Ampire или имеющих подключение к облачной версии комплекса. С командами на месте работают один-два преподавателя, помогая отрабатывать запланированные сценарии. Преподаватели оценивают полноту и корректность заполнения форм отчётности по выявленным инцидентам, отвечают на вопросы, дают советы по процессам мониторинга, реагирования и взаимодействия команд. В онлайн-киберучениях члены команд подключаются к комплексу удалённо по VPN-каналу со своих рабочих мест.

Действенность участия в киберучениях для повышения квалификации специалистов подтверждается положительными отзывами о платформе Ampire, полученными в рамках SOC-Forum и Уральского форума «Информационная безопасность банков» от сотрудников финансовых организаций, организаций из иных отраслей деятельности.

Смотрите также