«В теории нет разницы между теорией и практикой. А на практике есть»

Криминогенная ситуация в киберпространстве сегодня – это причудливое смешение индивидуального киберхулиганства, махновских рейдов кибергруппировок с причудливыми названиямии изящных тихих спецопераций «вежливых хакеров». В этих условиях специалисты всё чаще рекомендуют бизнесу дополнять «простое» тестирование на проникновение реальными киберучениями на живом персонале. Об одной из таких методик и ее практических результатах рассказали на своём мероприятии «Анализ защищённости и киберзащита» эксперты НТЦ «Вулкан».

 

ИНСТРУМЕНТ СОВЕРШЕНСТВОВАНИЯ

 

Киберучения – прямой и объективный способ получить информацию о положении дел в ИБ организации, а также понять степень вовлечённости персонала в процессы защиты. Эксперты НТЦ «Вулкан» рассказали об испытанной на практике трёхуровневой методике киберучений. Их высшей «формой» является имитация проникновения (при негласном контроле ситуации со стороны посвящённых) и фиксация поведения непосвящённых с измерением их реакций в реальном времени. Минимум посвященных и абсолютная правдоподобность угрозы позволяет без чрезмерных потерь (но не совсем даром) вскрыть недостатки в системе ИБ.

 

СОТРУДНИК, ЗАГНАННЫЙ В УГОЛ

 

Специалисты НТЦ «Вулкан» имеют основания утверждать, что эти тезисы перестали быть их умозрительными построениями, поскольку методика прошла проверку в одном из банков. Как это было? О предстоящем событии – имитации атаки вируса-шифровальщика знали считанные сотрудники, включая единственного посвящённого руководителя высшего звена, который и должен был ответить за всё в случае, если «что-то пошло не так». Сразу отметим, что ни один байт банковской информации в ходе учений не пострадал, хотя не все сотрудники оказались на высоте и решили свои плановые задачи.

 

Подготовительный этап учений, помимо разработки плана, заключался в подготовке средств для замера показателей процесса реагирования на атаку и оценки действий работников. А также в разработке имитатора вируса-шифровальщика, обеспечивающего реалистичность происходящего.

Проведённые «замеры»включали серию экспресс-интервью с людьми, находящимися во время атаки в сильном стрессе. Реакция испытуемых была весьма бурной, вплоть до желания причинить интервьюерам боль разной степени тяжести. Таких интервью было много, и именно они составили своеобразный BigData-набор, позволивший выработать рекомендации по совершенствованию системы ИБ банка.

 

РАЗНЫЕ ВИДЫ КИБЕРУЧЕНИЙ

 

По мнению экспертов НТЦ «Вулкан», помимо имитации массового заражения вирусом-шифровальщиком, на сегодняшний день наиболее актуальны еще и киберучения, имитирующие массовое вовлечение в бот-сеть и DDoS-атаки. И во всех этих случаях киберучения в реальных условиях – это не «коробочное решение»!

 

Следует также понимать, что оборотной стороной такого рода учений являются материальные потери, связанные с возможным нарушением непрерывности бизнеса (или принятием дополнительных мер, чтобы этого не случилось) и необходимостью восстановления тех «разрушений» в ИТ-инфраструктуре, что возможно появятся в результате паники персонала. Слушатели мероприятия отметили также, что для банков необходимо предусмотреть «откат» информации об учебной атаке и её последствиях в отчётной документации, связанной с работой ФинЦЕРТА.

 

ПРЕДВАРИТЕЛЬНЫЕ ЭТАПЫ

 

В связи со сказанным и для минимизации негативных последствий имитации атаки на организацию, эксперты НТЦ «Вулкан» обратили внимание слушателей на необходимость постепенного продвижения к высшей фазе киберучений через менее затратные предварительные этапы:

  • «штабные учения «на картах», когда имитация внештатных ситуаций анализируется с документацией в руках с детальной фиксацией выполнения процедур специалистами и проверкой адекватности их действий;
  • пентестов с последовательным воспроизведением этапов кибератакии анализом выполнения персоналом регламентированных процедур.

Помимо знакомства с методикой адаптивных киберучений на мероприятии были представлены коммерчески доступные программные инструменты для выявления и подавления активности киберпреступников в ИТ-инфраструктуре организации и анализа уязвимостей ИТ-инфраструктуры.

 

Антон Реут, корреспондент BIS Journal

17.06.2019

Смотрите также:

Sexquestions

«Цифровая трансформация – это не про технологии, но про изменения», – утверждает одна из самых признанных книг Питера Уэилла и Стефани Уорнер. Соответственно «в процессе изменений бизнес становится уязвимым, и наша задача – измениться самим, чтобы адекватно и актуально поддерживать и защищать его ключевые элементы».
11.06.2019

Банкам нужны творческие, думающие кадры, способные принимать решения

26 апреля президент Ассоциации банков России Георгий Лунтовский выступил на Всероссийской научно-практической конференции «Открытая дискуссия: развитие кадрового потенциала институтов финансового рынка».
13.05.2019

Кадровая ситуация в ИБ 2016: Россия

На протяжении нескольких недель октября в рамках Facebook-группы Вакансии ИБ (CyberJobsRussia – 1 500+ членов) и социальной сети А. Бодрика (2 300+) был проведен опрос «Кадровая ситуация в ИБ». Опрос был призван помочь понять кадровую ситуацию на едином рынке труда в России с точки зрения сотрудника, и предоставить перспективы мобильности, компенсаций и стратегий соискателей для работодателей.
05.06.2017

Много лифтов на Олимп

Обзор профильных соревнований для студентов и молодых специалистов
07.11.2016

Кадровые риски

Процветание и безопасность компаний напрямую зависят от кадровых процедур
20.10.2016