Контакты
Подписка 2024

Киберучения и киберполигоны для безопасности КИИ

Константин Саматов, 13/02/23

Ярким трендом последних лет являются компьютерные атаки на критическую информационную инфраструктуру (КИИ), из года в год они не уменьшаются, а увеличиваются. Одним из звеньев в цепи атаки, часто обуславливающим успешность ее проведения, является работник. Перед специалистами по информационной безопасности остро встает вопрос проведения мероприятий, направленных на повышение осведомленности работников субъекта КИИ, – киберучений.

Автор: Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности

Какие бывают киберучения?

Киберучения подразделяются на следующие виды [1]:

1. По характеру проведения

  • Организационные (управленческие/ штабные) – киберучения, направленные на отработку взаимодействия работников различных подразделений и выработку алгоритмов реагирования на абстрактные компьютерные атаки и инциденты, возникновение которых возможно в инфраструктуре организации, а также выявление ошибок в организационной части.
  • Технические – отработка реагирования на компьютерные атаки и инциденты в виртуальной инфраструктуре (киберполигон) или реальной инфраструктуре организации с целью отладки взаимодействия различных структурных подразделений (как обеспечивающих безопасность, так и эксплуатирующих и обеспечивающих функционирование), выявление уязвимостей в информационной инфраструктуре.
  • Смешанные – сочетающие элементы организационных и технических киберучений.

2. По масштабу

  • Внутренние (на уровне одного субъекта КИИ) – киберучения, в которых участвует персонал одного субъекта КИИ.
  • Отраслевые, в которых участвуют работники субъектов КИИ одной отрасли/сферы.
  • Межотраслевые, в которых участвуют субъекты КИИ из разных отраслей.
  • Страновые, межгосударственные, международные – крупные киберучения, в рамках которых участвуют группы различных субъектов.

Зачем нужны киберучения и обязательны ли они?

Прежде всего при организации, проведении и анализе результатов киберучений следует концентрировать внимание на следующих вопросах:

  • выявление несогласованности действий среди участников;
  • выявление слабых мест в коммуникациях участников;
  • выявление ошибок в текущих деловых процессах и документах, их описывающих;
  • выявление ошибок и уязвимостей в конфигурации средств и систем (в том числе защиты информации).

Обязательность проведения киберучений в настоящее время закреплена в п. 10 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСБ России от 19.06.2019 № 282):

  • субъект, имеющий значимые объекты КИИ, не реже одного раза в год организует и проводит тренировки по отработке мероприятий Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак;
  • организация и проведение тренировок возлагаются на подразделения и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

Кроме того, нормативно-правовые акты, регламентирующие требования по безопасности значимых объектов КИИ (утвержденные приказами ФСТЭК России от 21.12.2017 № 235 и 25.12.2017 № 239), содержат нормы по информированию и обучению работников субъектов КИИ.

Таким образом, планирование и реализация киберучений обеспечивает выполнение требований:

  • п. 25 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21.12.2017 № 235);
  • п. 13 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25.12.2017 № 239), а также следующих видов мер по обеспечению безопасности значимого объекта: ДНС.2, ИПО.2, ИПО.3.

На что обратить внимание при организации киберучений?

Первое, что необходимо сделать субъекту КИИ в рамках организации киберучений независимо от их вида,– разработать и утвердить у себя локальный нормативный акт, где необходимо закрепить виды киберучений и порядок их проведения, а также фиксировать ход проведения и результаты киберучений. Эту информацию в последующем можно будет предъявить в ходе госконтроля.

На что обратить внимание при организации и проведении различных видов киберучений.

1. Организационные киберучения

Организационные киберучения – это тренировка, проходящая в формате деловой игры, как правило имеющей несколько форм:

  • Штабные (на уровне одного субъекта КИИ) киберучения. Участникам мероприятия назначаются определенные роли (нарушителя, администратора, пользователя и т.п.), они разыгрывают определенные, заранее заготовленные сценарии. Цель таких учений в большинстве случаев – отработка мероприятий плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак. Организовывать и проводить такие киберучения лучше самостоятельно, тем более это прямо предписано субъекту КИИ нормативно-правовым актом ФСБ России. Однако ничто не мешает привлечь к данному мероприятию в качестве консультанта внешнюю организацию [2] или даже отдельное физическое лицо. Привлечение отдельного физического лица (имеющего реальный опыт в данном вопросе) в таком случае гораздо эффективнее, так как финансово и организационно менее затратно, а возможно вообще бесплатно, если это, к примеру, коллега из другой организации, с которым давно поддерживаются хорошие отношения.
  • Командно-штабные. Участники делятся на различные команды, которые в формате мозгового штурма вырабатывают решения различных нештатных ситуаций. Данные учения могут быть как внутренними, когда команды состоят из работников субъекта КИИ, так и отраслевыми, межотраслевыми, региональными, межстрановыми и т.д. Подобные виды командно-штабных учений в упрощенной форме можно встретить в рамках проведения различных конференций (форумов) по информационной безопасности. Очевидно, что подобные киберучения, как правило, организует внешняя сторона, но если участники команды – это работники одного субъекта КИИ, то можно организовать такие учения и самостоятельно.
  • Антифишинговые тренировки – проводятся со всеми работниками организации, являющимися пользователями автоматизированных систем. Цель данной тренировки: отработать действия пользователя при получении письма, содержащего подозрительные внешние ссылки или файлы, проверить реакцию и отработать взаимодействие пользователя с группой реагирования на инциденты информационной безопасности (ГРИИБ). Как правило, данный вид киберучений организует подразделение информационной безопасности субъекта КИИ, реже – внешняя специализированная организация. Такие тренировки лучше проводить несколько раз в год для выработки навыков реагирования на подозрительные письма. Их лучше проводить своими силами, возможно с применением специализированного программного обеспечения (технических средств).

2. Технические киберучения

Технические киберучения проходят в формате отработки умений и/или навыков по отражению компьютерных атак и/или реагированию на инциденты, непосредственно в информационной инфраструктуре. Наиболее распространенными на практике форматами являются:

  • Тренировки на киберполигоне. Киберполигон – это виртуальная среда, созданная для возможности имитации компьютерных атак либо на типовую инфраструктуру, из которой можно выбрать наиболее близкую к реально существующей инфраструктуре компании, либо на инфраструктуру, копирующую реально существующую инфраструктуру организации (цифровой двойник). В рамках данного вида учений имитируются различные компьютерные атаки, что позволяет понять, как происходит атака и какие основные способы защиты от нее (если учения проводятся на типовой инфраструктуре); выявить конкретные уязвимости существующей инфраструктуры и выработать мероприятия для их нейтрализации (если учения проводятся на цифровом двойнике); отработать умения и навыки противодействия компьютерной атаке и/или реагирования на инцидент, отработать (проверить) механизмы взаимодействия и совместной работы участников киберучений.
    Как правило, развертывание полигона для организации киберучений – это отдельный сложный и трудоемкий проект. Ряд специализированных компаний имеют свои киберполигоны и готовы сдавать их в аренду, предоставляя в довесок услуги по организации и проведению киберучений. Однако если у компании инфраструктура небольшая и/или для достижения целей достаточно отработки мероприятий в типовой инфраструктуре, то подобный киберполигон можно создать самостоятельно. Например, "поднять" виртуальный стенд в виртуальной среде EVE-NG, которого хватит для моделирования и анализа сценариев компьютерной атаки в типовых небольших инфраструктурах. Больших трудозатрат и вычислительных мощностей для развертывания и функционирования такого стенда не требуется.
  • Red Teaming – вариант киберучений, когда ГРИИБ субъекта КИИ противостоит команде независимых аудиторов, моделирующих деятельность нарушителя. При этом сотрудники ГРИИБ не знают, что проводятся киберучения. Цель таких киберучений – отработка действий ГРИИБ в случае компьютерной атаки на реальную информационную инфраструктуру организации. В ходе реализации данной цели решаются такие задачи, как выявление уязвимостей инфраструктуры и выработка рекомендаций по их устранению (в этом Red Teaming очень напоминает пентест), оценка эффективности действий ГРИИБ по выявлению компьютерной атаки и ее сдерживанию, отработка взаимодействия ГРИИБ с подразделениями, эксплуатирующими и обеспечивающими функционирование объектов КИИ.

В соответствии с общепринятой методологией в такого рода киберучениях всегда принимают участие три команды:

  • "красная" команда (Red Team) – аудиторы, моделирующие деятельность нарушителя. Собственно, от этой команды и появилось название данного вида киберучений;
  • "синяя" команда (Blue Team) – ГРИИБ;
  • "белая" команда (White Team) – менеджер (управленец), который координирует и контролирует проведение киберучений.

В отдельных вариантах киберучений могут принимать участие и другие виды команд, имеющие цветовые обозначения: "пурпурная" команда (Purple Team), "оранжевая" команда (Orange Team), "желтая" команда (Yellow Team) и "зеленая" команда (Green Team). Но на практике наличие других цветовых команд встречается крайне редко.

Исходя из цели проведения такого вида киберучений очевидно, что роль "красной" команды должны играть работники сторонней организации, это может быть как специализированная организация, так и другой субъект КИИ (коллеги по "цеху"). Кроме того, при наличии распределенной структуры службы информационной безопасности субъекта КИИ (когда есть несколько территориально удаленных друг от друга подразделений информационной безопасности) можно провести и внутренние киберучения в формате Red Team. Однако в такой ситуации увеличивается вероятность раскрытия целей и замысла "синей" команде.

3. Смешанные киберучения

Большинство киберучений различного масштаба (внутренние, отраслевые, межотраслевые и т.п.), проводимые как непосредственно субъектом КИИ, так и внешними по отношению к нему организациями (органами власти), как правило, имеют смешанный характер и сочетают в себе различные элементы организационных и технических киберучений.

В завершение отмечу такой популярный в нашей стране формат киберучений, как СTF (Capture the Flag). Как правило, это командные киберучения, где командам предлагаются различные задания, направленные как на решение кейсов, так и на тестирование защищенности автоматизированных систем.


  1. В данном случае автором приведена наиболее распространенная на практике классификация. Более подробную классификацию можно посмотреть: Дорофеев А.В., Марков А.С. Методические основы киберучений и CTF-соревнований // Защита информации. Инсайд. 2022. № 2 (104). С.56—63.
  2. Здесь и далее в рамках статьи речь идет о специализированных организациях, выполняющих работы (оказывающих услуги) в сфере информационной безопасности, лицензиатах ФСТЭК/ФСБ России.
Темы:КИИКиберполигоныЖурнал "Информационная безопасность" №6, 2022КиберученияCTF

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать