Об эксперте: Артем Смирнов, руководитель группы обработки инцидентов кибербезопасности Руцентра.
К 2025 году в России сформировался тренд на сложные кибератаки. На этом фоне растет спрос на киберучения. Они представляют собой симуляцию реальных сценариев кибератак. Это основной способ отработать действия сотрудников и подготовить их к реальным инцидентам, выявить слабые места в инфраструктуре и процессах компании и усилить защиту.
Почему спрос на киберучения растет
Кибератаки на российские компании стали сильнее и масштабнее. Глобальные издержки от киберпреступлений к 2026 году могут составить $10 трлн. В России ситуация осложняется геополитическими факторами, что требует от бизнеса повышенного внимания к вопросам безопасности.
В условиях увеличивающегося числа кибератак компании вынуждены искать способы объективной проверки уровня своей защищенности и готовности персонала к инцидентам.
Когда нужно проводить киберучения
На разных уровнях «зрелости» применяют разные виды киберучений. Если учебную фишинговую рассылку можно провести в любой организации, то главный признак готовности к учениям, эмулирующим полноценную атаку, — высокий уровень зрелости выстроенных процессов в области информационной безопасности (ИБ). В компаниях, где не определены политики безопасности, не выстроены процессы контроля их применения и отсутствуют процессы менеджмента ИБ, польза от таких киберучений значительно ниже. На этом этапе будет вполне достаточно автоматизированных проверок и сканеров.
Отдельно следует отметить, что киберучения — это не разовое мероприятие. Их нужно проводить регулярно, чтобы отслеживать динамику уровня защищенности и эффективности мер, принятых по результатам предыдущей итерации. Признаками, которые говорят о необходимости повторного проведения киберучений, в том числе являются:
- внедрение новых технологий, например, облачных сервисов, из-за которых могут возникнуть и новые риски;
- изменение IT-ландшафта в компании, например, переход на другие операционные системы, замена ключевых инфраструктурных сервисов;
- изменения в законодательстве, касающиеся защиты данных и кибербезопасности.
Виды киберучений
Симуляция фишинга
Фишинг — одна из наиболее распространенных форм кибератак, когда злоумышленники пытаются обмануть пользователей, заставив их раскрыть конфиденциальную информацию. С электронных писем начинаются 68% хакерских атак. При этом каждый третий сотрудник верит фишинговым рассылкам и переходит по ссылкам из них.
Во время таких учений специалисты по кибербезопасности рассылают сотрудникам компании фишинговые письма и сообщения, побуждающие пользователя раскрыть чувствительную информацию или выполнить действие, ставящее под угрозу защищенность организации. После чего отслеживают, как сотрудники отреагировали на письма, и оценивают результаты, например, процент переходов по фишинговой ссылке из письма или количество учетных записей, скомпрометированных в результате атаки.
Киберполигон
Чтобы отработать навыки команды, отвечающей за реагирование на инциденты ИБ, используют киберполигоны — специально созданные виртуальные среды, имитирующие реальную IT-инфраструктуру.
На таком полигоне проводят учения, направленные на отработку различных аспектов кибербезопасности, включая обнаружение, расследование и устранение последствий инцидентов.
Полигоны позволяют эмулировать бизнес-процессы типовых организаций, например, банка или промышленного предприятия, и смоделировать реальные атаки. При этом все действия происходят в изолированной среде, что исключает риск повреждения реальной инфраструктуры. Однако построение собственного полигона — довольно дорогостоящее мероприятие, поэтому, как правило, организации пользуются готовыми сервисами сторонних компаний.
Red Team
Этот вид учений предполагает полную симуляции реальной атаки на организацию. Задача Red Team, или «Красной команды», — действуя как реальные злоумышленники, проникнуть в систему компании и получить доступ к критичным данным. В отличие от классических тестов на проникновение, где акцент делается на выявление уязвимостей конкретных сервисов, Red Team проводит полномасштабную симуляцию атаки на инфраструктуру компании, включая социальную инженерию, физический доступ к объектам и другие методы. Целью атаки при этом является не только проверка реализованных защитных мер, но и выстроенные процессы реагирования на инциденты, а также квалификацию команды защиты.
Проводить самостоятельно или обратиться к «белым хакерам»
Выбор зависит от ряда факторов: бюджета, уровня внутренней экспертизы и наличия возможности высвобождения ресурса задействованных работников на время проведения учений. Если фишинг еще можно назвать достаточно бюджетным мероприятием, то проведение атаки типа Red Team — крайне ресурсозатратная процедура, которая требует вовлечения высококвалифицированных специалистов по проведению атак, а также может длиться достаточно долго. Учения на киберполигоне стоят особняком и единственной потребностью к их проведению является наличие выделенной команды защиты, навыки которой требуют проверки и развития.
Как провести киберучения: 4 этапа
Постановка цели
Вне зависимости от того, проводите вы киберучения внутренними ресурсами или нанимаете специалистов, цели важно определить заранее и формулировать их как можно конкретнее. От этого будет зависеть сценарий и конечный результат. Если сформулировать цель некорректно, результат может оказаться бесполезным.
Рассмотрим важность этапа на примере банка, которому важно сохранить конфиденциальность данных клиентов. Если перед подрядчиком поставить задачу «проверить безопасность системы», он может взломать, например, выводимую из эксплуатации систему, не содержащую актуальных критичных бизнес-данных, и завершить проведение атаки, достигнув этой цели. А брешь нужно было искать именно в новой бизнес-системе.
Планирование
На этапе планирования выбирается сценарий, определяются роли, ответственные и сроки проведения учений. Сценарий атаки должен моделировать возможные инциденты и в том числе может включать «инсайдера», передающего информацию изнутри атакуемой организации. Сроки и сценарии должны быть реалистичными, для чего рекомендуется прорабатывать их с атакующей командой.
Кроме команды атакующих и работников, ответственных за выявление и реагирование на инциденты (их в противовес «красной команде», называют «синей командой» или Blue Team), могут быть определены дополнительные роли. Например, упомянутый выше инсайдер или работник, отслеживающий ход проведения атаки, согласующий отдельные опасные действия и имеющий возможность изменить сценарий или даже остановить учения.
Команду «синих» не рекомендуется предупреждать о проведении учений, чтобы результаты были более объективными. Если сотрудники знают о тренировке, они могут стать более бдительными, чем в реальных условиях.
Проведение учения
Главный этап киберучений — проведение атаки и наблюдение за действиями сотрудников и систем защиты. Предположим, цель — проверить цифровую гигиену, а в качестве сценария определили фишинговую атаку. Тогда на этапе проведения атакующая команда или подрядчик создают шаблон письма в корпоративном стиле, готовят списки получателей и проводят рассылку, согласно сценарию.
В каждой атаке нужно учитывать свои особенности. Например, при имитации фишинга нельзя рассылать письма одновременно всем сотрудникам — это будет выглядеть подозрительно, и информация об этом быстро распространяется между работниками. Поэтому фишинговые киберучения могут растянуться на несколько недель и месяцев.
Анализ результатов
На этом этапе оцениваются действия участников, выявляются слабые места в системе защиты и определяются пути улучшения. Основные элементы анализа включают в себя:
Выявление недостатков: какие пробелы обнаружили в процессе учений и как их можно устранить. Например, может выясниться, что в компании нет четкого плана действий при возникновении инцидента или сотрудники о нем не знают — тогда нужно разработать поэтапный план реагирования. Среди распространенных проблем также могут быть:
- недостаточная осведомленность персонала об основах информационной безопасности,
- неэффективная сегментация сети,
- низкая скорость реакции на инциденты,
- неправильная настройка прав доступа.
Оценка эффективности действий сотрудников: насколько успешно участники справились с атаками и смогли ли корректно обработать инциденты.
Разработка рекомендаций: предложения по улучшению системы безопасности, внедрению новых технологий, обучению сотрудников или увеличению штата.
Данные важно анализировать не только в статике, но и в динамике — периодически повторять учения и проверять, изменились ли метрики, удалось ли снизить или повысить цифровую грамотность сотрудников. Но даже если сотрудники совершают одни и те же ошибки, не стоит как-либо наказывать их и штрафовать — такой подход будет только демотивировать.
Тех, кто «попался на крючок», стоит обучить основам ИБ — расклеить памятки в офисе, провести вебинар, создать внутренний курс. А тех, кто успешно противостоял атаке, поощрить — например, начислить виртуальную валюту или бонусы, которые можно будет конвертировать в мерч или дополнительный выходной. Геймификация поможет повысить вовлеченность персонала и поднять мотивацию.
В связи с ростом количества атак расходы на повышение цифровой грамотности сотрудников в частных и государственных организациях выросли на 20%, а интерес к киберучениям в целом — в два раза.
На фоне этого киберучения — эффективный способ подготовки компаний к реальным угрозам. Прохождение всех этапов учений, от планирования до анализа результатов, позволяет выявить слабые места, повысить уровень осведомленности сотрудников и улучшить уровень защищенности инфраструктуры. Однако стоит учитывать, что киберучения (за исключением, возможно, фишинговых рассылок) создают дополнительную нагрузку и стресс для команды защиты. Поэтому здесь важно не переусердствовать, чтобы не прийти к ситуации, когда вместо планового развития средств выявления атак, углубления собственных фундаментальных IT и ИБ знаний, а также изучения актуальных сценариев и трендов в работе злоумышленников, команда защиты будет нон-стоп реагировать на инциденты, связанные с активностью «красных».
➤ Подписывайтесь на телеграм-канал «РБК Трендов» — будьте в курсе последних тенденций в науке, бизнесе, обществе и технологиях.