Компания здорового «кибербеза». Киберучения на информационной инфраструктуре Positive Technologies

22 ноября, 2021

Компания здорового «кибербеза». Киберучения на информационной инфраструктуре Positive Technologies

На фоне «средней по обороту» озабоченности кибербезопасностью компании рынка ИБ находятся в лучшем положении, потому что их руководство реально погружено в тему разнородных киберугроз, а не «питается» нарративами бульварных деловых СМИ.

И по этой причине сегодня мы уже имеем пример того, что практика проверок защищённости корпоративной инфраструктуры может выйти за рамки периодичности и объёмов, определяемых «нормативкой» регуляторов или добровольными стандартами, и превратиться, по сути, в непрерывный процесс. Речь идёт об эксперименте (или уже о «внутреннем стандарте»?) компании Positive Technologies, которая практически с начала года (точнее, с февраля 2021 года) проводит киберучения на действующей инфраструктуре Positive Technologies.

На всякий случай уточню, что речь идёт не об инфраструктуре известного киберполигона The Standoff, с недавних пор перешедшего из разряда «инициативы» в номенклатуру продуктов компании и её партнёра, ГК Innostage, а об учениях на цифровой инфраструктуре самой компании, обеспечивающей работу производственных подразделений, бухгалтерии и прочего, жизненного важного.

В комментариях по поводу этих учений Алексей Новиков, директор экспертного центра безопасности Positive Technologies, выделил на сегодняшний день три этапа (февраль; май-июнь; ноябрь), причём на «крайнем» этапе – с середины ноября – атакующие были волевым усилием пропущены внутрь периметра инфраструктуры компании для экономии сил и сосредоточения своих ресурсов на реализации 4-х «недопустимых» для компании событий (в их числе вывод денег со счёта компании; внедрение «зловредного кода» в программные продукты в репозиториях компании и ещё пара иных недопустимых с точки зрения высшего менеджмента вмешательств в деятельность компании).

Важно отметить, что методология проводимых в 2021 году киберучений на действующей инфраструктуре Positive Technologies, не плод академических размышлений, а результат обобщения опыта учений предыдущих лет, носивших более закрытый характер. По результатам тех опытов был сформирован список недопустимых событий и набор мер противодействия угрозам, которые могли бы привести к недопустимому развитию ситуации в инфраструктуре и бизнес-процессах компании, отлажена методика работы с «редтимерами», включая установление метрик успешности действий нападающих.

Сторону «красных» в нынешних учениях  представляет сборная «этичных хакеров» из нескольких компаний. Её компетентность подтверждена жизнью: практически каждый их «red team»-проект заканчивался до сих пор успехом, каждый из участников имеет опыт нахождения уязвимостей «нулевого дня».

Целью открытых киберучений нынешнего года на действующей инфраструктуре Positive Technologies стала проверка нового продукта компании – MaxPatrol O2 – «в бою» и реальность выигрыша соревнования с «классическим» SOC пользователей этого инновационного метапродукта компании.

Поясним, что под метапродуктом в Positive Technologies понимают разработку, которая позволяет в автоматическом режиме обнаруживать и останавливать атаку силами одного человека, традиционные системы при этом (межсетевые экраны, средства анализа сетевого трафика, «песочницы» и SIEM) выступают в роли сенсоров для метапродукта.

Описанные киберучения на действующей инфраструктуре компании – событие затратное во всех отношениях, и его организаторы не скрывают, что повышение уровня киберзащищённости Positive Technologies – это не единственный ожидаемый результат.

И здесь уместно дать слово самой компании:

«… Positive Technologies преследует следующие цели:

  • продемонстрировать на собственном опыте верность гипотезы о том, что недопустимые для бизнеса события, приводящие к разрушительным последствиям, реально сделать невозможными;
  • создать для рынка публичный прецедент получения и измерения результата кибербезопасности;
  • подтвердить выработанную и уже апробированную на себе методологию достижения результативной кибербезопасности, чтобы ее могли использовать другие участники рынка для построения своих систем защиты;…».

Смотрите также