
Киберучения – это термин, который требует пояснения, так как каждый может понимать его по- своему.
В общем случае, под киберучениями понимают моделирование реакции на инцидент. Тренировка должна проходить по всем стадиям: от регистрации и реагирования до расследования и пост-анализа причин.
Суть, ради которой проводят киберучения - проверка работоспособности инструкций, плейбуков и протоколов обработки инцидентов, знание своих обязанностей персоналом и умение действовать в критичной ситуации, отработка взаимодействия подразделений. Киберучения позволяют протестировать реакцию персонала на всех уровнях в условиях стресса и под давлением.
Отличие киберучений от пентеста состоит в том, что в ходе тестирования проверяют инфраструктуру, киберучения же нацелены в первую очередь на людей.
Сценарии киберучений должны затрагивать угрозы, от которых конкретная организация может реально пострадать. Помимо тренировки людей во время учений производится проверка работоспособности плейбука (что в нем требует корректировки), либо протокола обработки широкомасштабного инцидента, включая инструкции конечным пользователям, тех поддержке, протоколы непрерывности бизнеса: резервные рабочие места, поднятие с бэкапов критичных приложений и последних актуальных пользовательских данных. Ведь реальные атаки могут принимать самые различные формы, первоначально казавшийся безобидным инцидент может привести к широкомасштабному и необходимости сбору органа кризисного управления и другого уровня эскалации.
Кроме того, при проведении регулярных учений, у сотрудников начинает формироваться т.н. «мышечная память»: это будет способствовать тому, что в процессе реального инцидента будет меньше паники и неразбирихи, а будут только четкие действия, направленные на локализацию и устранение последствий инцидента.
Что стоит учитывать:
- Для того, чтобы начать тренировку, надо понимать, что мы хотим достичь. Иными словами – учения имеют смысл тогда, когда есть определенный процесс, соблюдения которого мы хотим добиться. Без предварительной формализации учения превратятся в оценку догадливости персонала
- Необходимо проводить учения для всех путей возникновения инцидента: какое-то событие безопасности зарегистрировал SIEM, в поддержку обратился пользователь, предположение о проникновении принесли аналитики CTI.
- Учения должны быть регулярны и тестировать реакцию на различные кейсы – от DDoS атаки до масштабного заражения шифровальщиком. В противном случае мы получим нормативную реакцию на один выученный кейс и панику в случае любого отклонения от привычного течения событий.
- Персонал, вовлеченный в процесс учений, должен чувствовать реалистичность происходящего. Заранее назначенная дата учений и предупреждение о том, что будет тестироваться подойдет для первого раза, но в дальнейшем действия злоумышленников должны эмулироваться без предупреждения персонала. Нельзя допускать расслабленности, ведь реальный инцидент может произойти в любую минуту.
- Отработку реагирования надо производить в реальных условиях, ведь реальный инцидент, как правило, происходит в самый неудобный момент, например, в пятницу вечером, когда лицо, принимающее решение находится за рулем по пути на дачу или, того хуже, в самолете.
Сценарии проведения учений тоже могут быть различными. Но в любом случае, необходимо понимать, что без «боевых» проверок нельзя быть уверенным в любой выстроенной системе защиты, а кроме того, неадекватное реагирование на инцидент может иметь более разрушительные последствия и нанести больший вред, чем сам инцидент.
Наши специалисты ответят на любой интересующий вопрос по услуге.