hamburger

Тренировка команд ИТ- и ИБ-специалистов: Capture The Flag (CTF)

D_U_ (1) 1.png

В этой статье рассказали смысл участия в соревнованиях StandOff, проводимых в рамках международного киберфестиваля PHDays

А как же собрать и подготовить команду высокого уровня, способную противостоять киберугрозам в реальных условиях с учетом особенностей конкретного заказчика, а не в сымитированных «декорациях» соревнований? Обсудим вместе с тимлидом команд SOC и разработки Wone IT Дмитрием Узловым.

– Давай поговорим про специалистов по кибербезопасности и информационным технологиям. Как собрать такую команду, чтобы она смогла противостоять массированным кибератакам на инфраструктуру компании? Может ли рынок что-то предложить для конечных заказчиков? 

– На самом деле, все сотрудники должны быть готовы к любым атакам, даже если в данный момент их системы кажутся достаточно защищенными. Отсутствие практического опыта отражения атак может притупить бдительность и снизить готовность к реагированию. Поэтому важно инвестировать в повышение квалификации персонала, чтобы они были натренированы и могли эффективно противостоять угрозам. Ведь каждый человек в компании имеет доступ к ИТ-инфраструктуре и может стать «точкой входа» для проникновения через свою почту или смартфон.  

Что касается профильных специалистов, в нашей компании Wone IT развернут демостенд, и для клиентов мы бесплатно проводим такие воршкопы. Мы смоделировали атаки типа Capture The Flag (CTF): развернули инфраструктуру с уязвимостями, чтобы команды атакующих могли найти пути для захвата контроля и получения доступа к защищенной информации (флагам). Мы тренируем специалистов быстро восстанавливать систему после атаки, устраняя последствия и возвращая ее в работоспособное состояние. Платформа позволяет организовывать подобные кибербитвы между командами, где они могут соревноваться в скорости и эффективности реагирования на инциденты. 

– Это действительно совершенно бесплатно?

– Да. Таким образом компания Wone IT показывает свою готовность оказать всестороннюю поддержку заказчикам в решении любых вопросов, связанных с информационной безопасностью. Мы предлагаем широкий спектр услуг и экспертизу наших специалистов. 

– Есть какие-то особенности у воркшопа? 

– Мы внедрили автоматические проверки, чтобы необходимые действия по восстановлению системы были выполнены. Кроме того, наша ведущая задача – помочь выстроить процесс взаимодействия между специалистами по информационной безопасности и ИТ-подразделениями, чтобы совместно устранять последствия атак. Вместо теоретических презентаций мы даем возможность отработать практические навыки работы с кибератками в условиях, максимально приближенных к реальным.

В отличие от полноценного киберполигона, демонстрационная платформа имеет более легковесную инфраструктуру, рассчитанную на проведение мероприятий в течение нескольких часов.

Важно отметить, что CTF не предполагает развития полноценной атаки во времени. Вместо этого, мы фокусируется на отработке конкретных шагов по расследованию, взаимодействию команд и восстановлению системы. Мы не готовим специалистов для роли «красной команды» (команды атакующих, Red Teams), а скорее помогаем развить навыки защиты и реагирования.

Мы даем небольшую теоретическую часть, которая включает в себя описание работы различных средств защиты и их роли в реальных расследованиях инцидентов. Особое внимание уделяется тому, как эти решения могут помочь в замедлении развития атаки и поспособствовать успешному расследованию инцидентов.

Отмечу, все материалы предназначены для технических специалистов, а не для маркетинговых целей. Упор делается на практическое использование решений, а не на их продвижение.

– Кому необходимы такие воркшопы? 

– В первую очередь, специалистам центров мониторинга информационной безопасности (Security Operations Center, SOC). Аналитики, отвечающие за расследование инцидентов и устранение их последствий, могут отработать свои навыки на платформе. Как я и сказал, одной из главных задач, которую мы ставим перед собой при организации демостенда, — это помочь выстроить эффективное взаимодействие между ИБ- и ИТ-специалистами, наладить процесс сотрудничества для достижения общей цели — обеспечения безопасной и эффективной работы ИТ-инфраструктуры организации. 

В рамках воркшопа мы помогаем сформировать и закрепить такое эффективное взаимодействие. Наш демостенд позволяет моделировать реальные сценарии атак и реагирования на них, развивая практические навыки защиты и восстановления систем. 

dots.png Такие воркшопы могут стать ключевым элементом в подготовке высококвалифицированных команд, готовых эффективно противостоять киберугрозам.

– А зачем еще это нужно бизнесу?

– Заказчик может использовать нашу платформу, чтобы оценить, насколько его команда аналитиков готова к проведению расследований. Определить, укладываются ли они во временные рамки и имеют ли достаточные ресурсы для выполнения задач. По результатам оценки заказчик может принять решение о необходимости дополнительного обучения команды или рассмотреть использование управляемых сервисов. 

Еще одна важная функция демостенда — заказчик может протестировать решения от разных производителей в реальных условиях, оценить удобство использования, функциональность и эффективность перед принятием решения о закупке.

– Сколько времени занимает расследование и восстановление системы? Бывает такое, что команда не справляется?

– У нас действует принцип обязательной победы команды. Основная цель – помочь специалистам заказчика ее достичь. Мы предоставляем менторскую поддержку, делимся опытом и направляем участников к решению задач. Воркшоп рассчитан на 2 дня работы. Что касается времени, пока мы зафиксировали рекорд по восстановлению работоспособности системы за 2,5 часа, в среднем же на это уходит около 6 часов. 

Мы помогаем выстроить взаимодействие специалистов в команде, которая должна выявить все последствия атаки и совместно устранить. То есть это мероприятие, которое в таком достаточно лёгком режиме позволяет пройти все шаги от расследования до устранения инцидента в практической форме.

– Давай поговорим на такую достаточно болезненную тему, которую ты уже вскользь затронул, — насколько велико недопонимание между ИТ, ИБ и бизнесом? Действительно ли это такая острая проблема в компаниях?

– Часто команда ИТ- и ИБ-специалистов и бизнес-подразделений испытывают трудности в общении и взаимодействии. ИТ- и ИБ-команды могут воспринимать требования бизнеса как препятствие, а бизнес может быть недоволен реакцией и действиями ИТ- и ИБ-подразделений. Это создает напряженность и мешает эффективной работе.

Существует разрыв в понимании, что приводит к недоверию и конфликтам. Для преодоления этого и налаживания эффективного взаимодействия крайне важно выстраивать нормальные взаимоотношения между представителями этих двух сторон. Технические специалисты должны лучше понимать бизнес-потребности, а бизнес-подразделения должны лучше понимать возможности и ограничения ИТ. Необходимо наладить открытый диалог и регулярное общение между подразделениями для обсуждения задач, существующих проблем и совместного поиска решений.  

dots.png

Важно, чтобы все работали вместе как единая команда, а не как отдельные противоборствующие силы.

Для налаживания взаимоотношений между ИТ, ИБ и бизнесом важно проводить специальные мероприятия, такие как StandOff и аналогичные нашему воркшопу тренинги. Такие мероприятия помогают сплочению всех сотрудников, и что наиболее важно, поддерживают на высоком уровне готовность ИБ- и ИТ-экспертов отражать массированные кибератаки, позволяют не терять бдительность и оставаться в курсе последних трендов.

Подать заявку на участие в воркшопе CTF можно здесь или по электронной почте info@wone-it.ru