«Как и в игре, в реальности мы на стороне blue team»

«Как и в игре, в реальности мы на стороне blue team»

BIS-Интервью с героями The Standoff 2020.

В результате шестидневной кибервойны цифровой город пал практически полностью. УСТОЯЛИ (!!!) только морской порт и железная дорога. Эти объекты защищала команда Re@ct – профессионалы RosatomCERT из ИТ-интегратора атомной отрасли АО «Гринатом». Они обеспечили коэффициент доступности защищаемой инфраструктуры 0,9416.

Обозреватель BIS Journal Валерий Куликов не мог не познакомить наших читателей с героями этой незабываемой битвы.

Екатерина Жбанова, старший специалист группы разработки и техэкспертизы, капитан команды

- Представьте, пожалуйста, вашу команду.

- Средний возраст – около 30 лет. Почти все мы работаем в одном подразделении «Гринатома» в Нижнем Новгороде, также в составе команды несколько экспертов из Москвы. Ребята имеют хорошую подготовку, окончили технические вузы по направлениям ИТ и ИБ, стаж работы в сфере ИБ от двух лет и более.

- Был ли у команды опыт в сфере red/blue team?

- У участников команды обширный опыт в сфере blue team – это наша ежедневная работа. А функции redteam мы выполняем, когда определяем потенциальные векторы атак, проверяем уровень защищённости периметра сетевой инфраструктуры. Нужно постоянно спрашивать себя: «Что бы мы сделали на месте атакующих?»

- А как команда попала на The Standoff 2020? Отправили заявку или вас специально пригласили?

- Мы слышали об этой площадке, и в этом году организаторы пригласили нас принять участие.

- То есть на этом киберполигоне вы впервые?

- Да, это наш первый опыт работы на The Standoff.

- Для подготовки к соревнованиям были организованы специальные сборы?

- Мы продолжали работать, а вечерами собирались для тренировок и изучения полигона. Организаторы The Standoff предоставили нам все возможности для знакомства с его инфраструктурой и для удалённой работы на площадке в период подготовки.

- Объекты для защиты выбирала команда?

- Нет, объекты были назначены организаторами мероприятия.

- Проводился ли «разбор полётов» после соревнований? Какие «уроки» были извлечены?

- После соревнований мы обсудили наши действия, расследованные атаки, выявили ошибки и сильные стороны. Мы определили направления, которые нужно укрепить практическими знаниями, подготовили примерный план дальнейшего развития.

- Есть ли у команды «командные планы» на будущее?

- В сфере ИБ необходимо всегда захватывать максимальное количество областей для развития, и мы к этому стремимся. Планируем совершенствоваться как индивидуально, так и в командном формате, делиться опытом, приобретать новые знания. Выступление в качестве red team пока не обсуждалось, в следующем году планируем снова поучаствовать в киберучениях The Standoff на стороне blue team.

Эмиль Алтынбаев, начальник отдела кибербезопасности, член команды

- В сфере кибербезопасности в качестве базовой «идеологии» сейчас доминирует так называемый риск-менеджмент. Альтернатива ей – управление кибербезопасностью «по требованиям». Какой подход ближе вашей команде?

- Команда представляла на соревнованиях «Гринатом» – многофункциональный общий центр обслуживания и ИТ-интегратор госкорпорации «Росатом». Это и определяет необходимость придерживаться традиционного для наших структур подхода в сфере обеспечения кибербезопасности на основе управления рисками.

- Что дало вам участие в соревнованиях на The Standoff 2020?

- Полезный опыт. В мировых реалиях тезис о том, что «проникновение неизбежно», слишком часто подтверждается практикой. В этих условиях изучение паттернов поведения нападающих на полигоне, их инструментария позволяет неплохо подготовиться к реальным атакам.

- Сегодня киберучения становятся ключевыми событиями в череде мероприятий по подготовке к отражению атак из киберпространства. Ваша организация уже использует похожие на The Standoff 2020 учения во внутрикорпоративной практике?

- Если задаться такой целью, то наши ресурсы и опыт позволили бы создать нечто подобное, но не по мановению волшебной палочки. Инфраструктура The Standoff во многом уникальна и является результатом не только больших инвестиций, но и труда многих людей и компаний. Поэтому наиболее эффективно участие наших специалистов в киберучениях на уже созданных полигонах. The Standoff – это один из такого рода положительных примеров.

Иван Паушкин, руководитель Корпоративного центра ГосСОПКА, член команды

- Отрабатывались ли в ходе The Standoff вопросы взаимодействия с ГосСОПКА? Как вы могли бы прокомментировать этот аспект киберучений?

- В ходе киберучений The Standoff взаимодействие с ГосСОПКА не отрабатывалось – такой сценарий организаторами не закладывался. Хотя было бы продуктивно и более приближено к нашей повседневной работе, если бы все команды защитников имели общий реестр атак нападавших команд.

- В киберучениях принимают участие уже достаточно подготовленные специалисты. Какие «технологии» повышения квалификации сотрудников подразделений кибербезопасности используются в вашей организации?

- Мы изначально отбираем специалистов с хорошей фундаментальной технической подготовкой.

- Позвольте уточнить. «С хорошей фундаментальной технической подготовкой». Речь идёт о подготовке в сфере ИБ? Или ИТ? Или об общей фундаментальной подготовке, например, в области математики?

- Оптимально работать с теми, кто получил сильную подготовку в ИТ. Для достижения высокого практического уровня в сфере ИБ у нас развита система наставничества, есть возможности повышать квалификацию в Технической академии Росатома, также мы отправляем сотрудников в учебные центры при крупных компаниях и вузах.

- В какой пропорции представлены в линейке ваших доверенных учебных центров структуры вузовские и корпоративные?

- Около 60 процентов – это корпоративные учебные центры вендоров и 40 процентов – вузовские.

- Какой рабочий инструментарий используют ваши службы ИБ? «Коробочные» продукты или кастомизированные?

- Чуть более половины – инструментарий от вендоров, также есть Open Source и собственные разработки.

- А вы не боитесь санкций при такой зависимости от вендоров?

- Слово «вендор» не всегда подразумевает иностранного поставщика. У нас давно взят курс на импортозамещение, и мы в значительной степени используем отечественный инструментарий.

- На сентябрьской конференции Kaspersky Industrial CyberSecurity Conference 2020 представитель «Русатом автоматизированные системы управления» упомянул, что в своих проектах по автоматизации АЭС он и его коллеги занимаются и кибербезопасностью, и безопасностью информационной, и иными безопасностями, упоминаемыми в отечественной нормативной базе, в рекомендациях МЭК и документах МАГАТЭ. А какими нормативными документами руководствуетесь вы?

- Мы неукоснительно выполняем все требования регуляторов. Кроме того, нами создан и развивается необходимый набор внутренних нормативных документов.

- Как вы выстраиваете свои взаимоотношения с другими подразделениями и, в частности, с ИТ-департаментом? В ряде организаций это своеобразный камень преткновения.

- Тот «необходимый набор внутренних нормативных документов», о котором я сказал, как раз и содержит, в частности, и регламенты нашего взаимодействия с ИТ.

- Благодарю за знакомство с командой «Гринатома» Re@ct. Желаю новых побед на поприще ИБ!