Число кибератак ежегодно увеличивается в среднем на 20%. Хакеры становятся компетентнее, атаки усложняются. Любая резонансная тема предоставляет киберпреступникам новые возможности: злоумышленники, как правило, эксплуатируют человеческие слабости, в том числе страхи и потребность в важной информации. Например, в 2014 году хакеры использовали ажиотаж, связанный с Олимпиадой в Сочи, в 2018-м — с выборами президента РФ.
В этом году темой номер один стал COVID-19: 16% атак с использованием методов социальной инженерии — фишинга, побуждающего обычного гражданина или корпоративного пользователя перейти по вредоносной ссылке, открыть опасный документ или запустить опасное вложение, связано с коронавирусом. Треть из них были направлены против частных лиц и 13% — против госучреждений. При этом атаковали злоумышленники и в России, и за рубежом в первую очередь критически важную на данный момент инфраструктуру, в частности медицинские учреждения.
Вынужденная организация удаленных рабочих мест и перестройка бизнес-процессов «размыла» цифровые периметры компаний, и хакеры получили значительно большее число доступных для атак целей.
Во время самоизоляции 11% компаний впервые организовали сотрудникам удаленный доступ, то есть создали новые сервисы. В среднем уже через 6-10 часов после появления на периметре компании нового сервиса его находят хакерские боты и начинают в автоматическом режиме подбирать данные для доступа.
Ущерб от утечек в период коронакризиса еще предстоит оценить. По оценкам Cybersecurity Ventures, за последние шесть лет размеры ущерба от кибератак в мире увеличились в два раза и к 2021 году превысят $6 трлн в год.
Но помимо потерь нынешний кризис открыл бизнесу и новые перспективы. Вынужденный выход компаний за пределы своего цифрового периметра наглядно показал значение систем информационной безопасности.
До сих пор службы безопасности зачастую даже не понимали, что в компании является наиболее ценным активом для бизнеса и потеря каких именно данных связана для компании с наибольшим риском.
Сегодня бизнес перестает оперировать количеством отраженных атак в качестве основного показателя эффективности информационной безопасности и переходит к защите, основанной на невозможности реализации конкретных рисков. А это основная задача киберполигонов — их инфраструктура позволяет изучать стратегии хакеров и механизмы, с помощью которых они реализуют неприемлемые для компании сценарии.
Для этого определяется набор тех самых рисков и недопустимых событий, которые могут случиться с инфраструктурой компании, и способы, которыми критически важные цели могут быть атакованы. А высококвалифицированные специалисты в области offensive (наступательной защиты) проверяют эффективность защитных мер компании.
Киберучения — довольно распространенная практика на Западе. Например, в масштабных киберучениях Locked Shields Центра киберзащиты НАТО (CCDCOE) принимают участие более 1200 экспертов информационной безопасности, а Агентство национальной безопасности США с 2001 года проводит учения Cyber Defense Exercise. Европейское агентство по сетевой и информационной безопасности (ENISA) в декабре 2020 года организует киберучения по сценариям для здравоохранения.
В России тоже реализовывались подобные проекты. Минкомсвязи РФ, в частности, в прошлом году проводило киберучения устойчивости функционирования интернета и сетей электросвязи на территории страны.
Однако практики системных киберучений для бизнеса в нашей стране пока нет. Небольшие тренировочные платформы с заранее определенными сценариями кибератак, которые сейчас набирают популярность за счет невысокой стоимости, зачастую не учитывают особенности компании-участника. Кроме того, большинство киберучений на таких площадках проводится студенческими командами, роль злоумышленника также зачастую выполняют различные скрипты или программы.
В жизни компании атакуют далеко не студенты и уж точно не скрипты, а реальные хакеры. Поэтому основой настоящего киберполигона является крутой offensive-трафик, который обеспечивают исследователи безопасности со всего мира, реалистичная инфраструктура и средства защиты, а также воспроизведение на полигоне технологических бизнес-процессов конкретной компании.
Чем известна Positive Technologies
Positive Technologies — компания международного уровня с несколькими представительствами и R&D-центрами в России и СНГ. Входит в топ-20 крупнейших российских компаний в области информационно-коммуникационных технологий, а также в топ-10 отечественных разработчиков ПО (по оценке агентства «Эксперт РА»).
Киберполигон в нашей концепции — результат десятилетнего опыта организации международных киберучений в рамках форума Positive Hack Days. Мы тоже начинали с соревнований студенческих команд, но уже тогда формировали задания на основе реальных кейсов уязвимостей и векторов взлома, собранных в ходе проводимых аудитов защищенности и тестирований на проникновение. На тот момент ни в одном схожем мероприятии в мире не было сценариев реального взлома.
Сегодня наша площадка — это глобальный киберполигон The Standoff, на котором представлен цифровой двойник инфраструктуры реальных организаций и их технологические и бизнес-процессы, а также средства защиты и специалисты, отвечающие за защиту этой инфраструктуры в своих компаниях.
На основе серии задач отражения реальных векторов атак на инфраструктуру банков, заводов, транспортных и других критически важных систем мы создали более прокачанную вариацию своих же собственный киберучений «Противостояние». На нашей площадке представлены не только исследователи-индивидуалы, но и профессиональные консалтеры. И эксперты по кибербезопасности могут в реальном времени тренироваться отражать атаки на инфраструктуры своих компаний.
The Standoff расширился до полноценного цифрового города, в котором представлены все наиболее критичные инфраструктуры современного мегаполиса, включая отдельные компании с их технологическими процессами. И нападающие в этой кибербитве реализуют конкретные бизнес-риски, сформированные для каждого из прототипов реальных компаний: в этом году это будут логистические, транспортные (грузовые и пассажирские перевозки), добывающие и распределительные энергетические инфраструктуры, системы умного городского хозяйства, финансовые, телекоммуникационные и другие структуры.
Командам атакующих на нашем полигоне недостаточно найти уязвимость, важно реализовать риски — украсть деньги, вывести из строя энергетическую систему, организовать транспортный коллапс в мегаполисе и т.д. Такой подход наиболее соответствует вызовам современного мира.
Кроме того, киберполигон такого типа позволит формировать максимально агрессивную среду для тестирования технологий, в том числе погружать их в условия форс-мажоров и чрезвычайных ситуаций: здесь могут быть оценены юзабилити и практическая польза, отказоустойчивость и стабильность, а самое главное — безопасность той или иной технологии.
