BIS-Интервью с героями The Standoff 2020.
В результате шестидневной кибервойны цифровой город пал практически полностью. УСТОЯЛИ (!!!) только морской порт и железная дорога. Эти объекты защищала команда Re@ct – профессионалы RosatomCERT из ИТ-интегратора атомной отрасли АО «Гринатом». Они обеспечили коэффициент доступности защищаемой инфраструктуры 0,9416.
Обозреватель BIS Journal Валерий Куликов не мог не познакомить наших читателей с героями этой незабываемой битвы.
Екатерина Жбанова, старший специалист группы разработки и техэкспертизы, капитан команды
- Представьте, пожалуйста, вашу команду.
- Средний возраст – около 30 лет. Почти все мы работаем в одном подразделении «Гринатома» в Нижнем Новгороде, также в составе команды несколько экспертов из Москвы. Ребята имеют хорошую подготовку, окончили технические вузы по направлениям ИТ и ИБ, стаж работы в сфере ИБ от двух лет и более.
- Был ли у команды опыт в сфере red/blue team?
- У участников команды обширный опыт в сфере blue team – это наша ежедневная работа. А функции redteam мы выполняем, когда определяем потенциальные векторы атак, проверяем уровень защищённости периметра сетевой инфраструктуры. Нужно постоянно спрашивать себя: «Что бы мы сделали на месте атакующих?»
- А как команда попала на The Standoff 2020? Отправили заявку или вас специально пригласили?
- Мы слышали об этой площадке, и в этом году организаторы пригласили нас принять участие.
- То есть на этом киберполигоне вы впервые?
- Да, это наш первый опыт работы на The Standoff.
- Для подготовки к соревнованиям были организованы специальные сборы?
- Мы продолжали работать, а вечерами собирались для тренировок и изучения полигона. Организаторы The Standoff предоставили нам все возможности для знакомства с его инфраструктурой и для удалённой работы на площадке в период подготовки.
- Объекты для защиты выбирала команда?
- Нет, объекты были назначены организаторами мероприятия.
- Проводился ли «разбор полётов» после соревнований? Какие «уроки» были извлечены?
- После соревнований мы обсудили наши действия, расследованные атаки, выявили ошибки и сильные стороны. Мы определили направления, которые нужно укрепить практическими знаниями, подготовили примерный план дальнейшего развития.
- Есть ли у команды «командные планы» на будущее?
- В сфере ИБ необходимо всегда захватывать максимальное количество областей для развития, и мы к этому стремимся. Планируем совершенствоваться как индивидуально, так и в командном формате, делиться опытом, приобретать новые знания. Выступление в качестве red team пока не обсуждалось, в следующем году планируем снова поучаствовать в киберучениях The Standoff на стороне blue team.
Эмиль Алтынбаев, начальник отдела кибербезопасности, член команды
- В сфере кибербезопасности в качестве базовой «идеологии» сейчас доминирует так называемый риск-менеджмент. Альтернатива ей – управление кибербезопасностью «по требованиям». Какой подход ближе вашей команде?
- Команда представляла на соревнованиях «Гринатом» – многофункциональный общий центр обслуживания и ИТ-интегратор госкорпорации «Росатом». Это и определяет необходимость придерживаться традиционного для наших структур подхода в сфере обеспечения кибербезопасности на основе управления рисками.
- Что дало вам участие в соревнованиях на The Standoff 2020?
- Полезный опыт. В мировых реалиях тезис о том, что «проникновение неизбежно», слишком часто подтверждается практикой. В этих условиях изучение паттернов поведения нападающих на полигоне, их инструментария позволяет неплохо подготовиться к реальным атакам.
- Сегодня киберучения становятся ключевыми событиями в череде мероприятий по подготовке к отражению атак из киберпространства. Ваша организация уже использует похожие на The Standoff 2020 учения во внутрикорпоративной практике?
- Если задаться такой целью, то наши ресурсы и опыт позволили бы создать нечто подобное, но не по мановению волшебной палочки. Инфраструктура The Standoff во многом уникальна и является результатом не только больших инвестиций, но и труда многих людей и компаний. Поэтому наиболее эффективно участие наших специалистов в киберучениях на уже созданных полигонах. The Standoff – это один из такого рода положительных примеров.
Иван Паушкин, руководитель Корпоративного центра ГосСОПКА, член команды
- Отрабатывались ли в ходе The Standoff вопросы взаимодействия с ГосСОПКА? Как вы могли бы прокомментировать этот аспект киберучений?
- В ходе киберучений The Standoff взаимодействие с ГосСОПКА не отрабатывалось – такой сценарий организаторами не закладывался. Хотя было бы продуктивно и более приближено к нашей повседневной работе, если бы все команды защитников имели общий реестр атак нападавших команд.
- В киберучениях принимают участие уже достаточно подготовленные специалисты. Какие «технологии» повышения квалификации сотрудников подразделений кибербезопасности используются в вашей организации?
- Мы изначально отбираем специалистов с хорошей фундаментальной технической подготовкой.
- Позвольте уточнить. «С хорошей фундаментальной технической подготовкой». Речь идёт о подготовке в сфере ИБ? Или ИТ? Или об общей фундаментальной подготовке, например, в области математики?
- Оптимально работать с теми, кто получил сильную подготовку в ИТ. Для достижения высокого практического уровня в сфере ИБ у нас развита система наставничества, есть возможности повышать квалификацию в Технической академии Росатома, также мы отправляем сотрудников в учебные центры при крупных компаниях и вузах.
- В какой пропорции представлены в линейке ваших доверенных учебных центров структуры вузовские и корпоративные?
- Около 60 процентов – это корпоративные учебные центры вендоров и 40 процентов – вузовские.
- Какой рабочий инструментарий используют ваши службы ИБ? «Коробочные» продукты или кастомизированные?
- Чуть более половины – инструментарий от вендоров, также есть Open Source и собственные разработки.
- А вы не боитесь санкций при такой зависимости от вендоров?
- Слово «вендор» не всегда подразумевает иностранного поставщика. У нас давно взят курс на импортозамещение, и мы в значительной степени используем отечественный инструментарий.
- На сентябрьской конференции Kaspersky Industrial CyberSecurity Conference 2020 представитель «Русатом автоматизированные системы управления» упомянул, что в своих проектах по автоматизации АЭС он и его коллеги занимаются и кибербезопасностью, и безопасностью информационной, и иными безопасностями, упоминаемыми в отечественной нормативной базе, в рекомендациях МЭК и документах МАГАТЭ. А какими нормативными документами руководствуетесь вы?
- Мы неукоснительно выполняем все требования регуляторов. Кроме того, нами создан и развивается необходимый набор внутренних нормативных документов.
- Как вы выстраиваете свои взаимоотношения с другими подразделениями и, в частности, с ИТ-департаментом? В ряде организаций это своеобразный камень преткновения.
- Тот «необходимый набор внутренних нормативных документов», о котором я сказал, как раз и содержит, в частности, и регламенты нашего взаимодействия с ИТ.
- Благодарю за знакомство с командой «Гринатома» Re@ct. Желаю новых побед на поприще ИБ!
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных