Компания здорового «кибербеза». Киберучения на информационной инфраструктуре Positive Technologies
На фоне «средней по обороту» озабоченности кибербезопасностью компании рынка ИБ находятся в лучшем положении, потому что их руководство реально погружено в тему разнородных киберугроз, а не «питается» нарративами бульварных деловых СМИ.
И по этой причине сегодня мы уже имеем пример того, что практика проверок защищённости корпоративной инфраструктуры может выйти за рамки периодичности и объёмов, определяемых «нормативкой» регуляторов или добровольными стандартами, и превратиться, по сути, в непрерывный процесс. Речь идёт об эксперименте (или уже о «внутреннем стандарте»?) компании Positive Technologies, которая практически с начала года (точнее, с февраля 2021 года) проводит киберучения на действующей инфраструктуре Positive Technologies.
На всякий случай уточню, что речь идёт не об инфраструктуре известного киберполигона The Standoff, с недавних пор перешедшего из разряда «инициативы» в номенклатуру продуктов компании и её партнёра, ГК Innostage, а об учениях на цифровой инфраструктуре самой компании, обеспечивающей работу производственных подразделений, бухгалтерии и прочего, жизненного важного.
В комментариях по поводу этих учений Алексей Новиков, директор экспертного центра безопасности Positive Technologies, выделил на сегодняшний день три этапа (февраль; май-июнь; ноябрь), причём на «крайнем» этапе – с середины ноября – атакующие были волевым усилием пропущены внутрь периметра инфраструктуры компании для экономии сил и сосредоточения своих ресурсов на реализации 4-х «недопустимых» для компании событий (в их числе вывод денег со счёта компании; внедрение «зловредного кода» в программные продукты в репозиториях компании и ещё пара иных недопустимых с точки зрения высшего менеджмента вмешательств в деятельность компании).
Важно отметить, что методология проводимых в 2021 году киберучений на действующей инфраструктуре Positive Technologies, не плод академических размышлений, а результат обобщения опыта учений предыдущих лет, носивших более закрытый характер. По результатам тех опытов был сформирован список недопустимых событий и набор мер противодействия угрозам, которые могли бы привести к недопустимому развитию ситуации в инфраструктуре и бизнес-процессах компании, отлажена методика работы с «редтимерами», включая установление метрик успешности действий нападающих.
Сторону «красных» в нынешних учениях представляет сборная «этичных хакеров» из нескольких компаний. Её компетентность подтверждена жизнью: практически каждый их «red team»-проект заканчивался до сих пор успехом, каждый из участников имеет опыт нахождения уязвимостей «нулевого дня».
Целью открытых киберучений нынешнего года на действующей инфраструктуре Positive Technologies стала проверка нового продукта компании – MaxPatrol O2 – «в бою» и реальность выигрыша соревнования с «классическим» SOC пользователей этого инновационного метапродукта компании.
Поясним, что под метапродуктом в Positive Technologies понимают разработку, которая позволяет в автоматическом режиме обнаруживать и останавливать атаку силами одного человека, традиционные системы при этом (межсетевые экраны, средства анализа сетевого трафика, «песочницы» и SIEM) выступают в роли сенсоров для метапродукта.
Описанные киберучения на действующей инфраструктуре компании – событие затратное во всех отношениях, и его организаторы не скрывают, что повышение уровня киберзащищённости Positive Technologies – это не единственный ожидаемый результат.
И здесь уместно дать слово самой компании:
«… Positive Technologies преследует следующие цели:
- продемонстрировать на собственном опыте верность гипотезы о том, что недопустимые для бизнеса события, приводящие к разрушительным последствиям, реально сделать невозможными;
- создать для рынка публичный прецедент получения и измерения результата кибербезопасности;
- подтвердить выработанную и уже апробированную на себе методологию достижения результативной кибербезопасности, чтобы ее могли использовать другие участники рынка для построения своих систем защиты;…».