Киберучения – это термин, который требует пояснения, так как каждый может понимать его по- своему.

В общем случае, под киберучениями понимают моделирование реакции на инцидент. Тренировка должна проходить по всем стадиям:  от регистрации и реагирования до расследования и пост-анализа причин.

Суть, ради которой проводят киберучения  - проверка работоспособности инструкций, плейбуков и протоколов обработки инцидентов, знание своих обязанностей персоналом и умение действовать в критичной ситуации, отработка взаимодействия подразделений. Киберучения позволяют протестировать реакцию персонала на всех уровнях в условиях стресса и под давлением.

Отличие киберучений от пентеста состоит в том, что в ходе тестирования проверяют инфраструктуру, киберучения же нацелены в первую очередь на людей.

Уровень зрелости ИБ

Сценарии киберучений должны затрагивать угрозы, от которых конкретная организация может реально пострадать. Помимо тренировки людей во время учений производится проверка работоспособности плейбука (что в нем требует корректировки), либо протокола обработки широкомасштабного инцидента, включая инструкции конечным пользователям, тех поддержке, протоколы непрерывности бизнеса: резервные рабочие места, поднятие с бэкапов критичных приложений и последних актуальных пользовательских данных. Ведь реальные атаки могут принимать самые различные формы, первоначально казавшийся безобидным инцидент может привести к широкомасштабному и необходимости сбору органа кризисного управления и другого уровня эскалации.

Кроме того, при проведении регулярных учений, у сотрудников начинает формироваться т.н. «мышечная память»: это будет способствовать тому, что в процессе реального инцидента будет меньше паники и неразбирихи, а будут только четкие действия,  направленные на локализацию и устранение последствий инцидента.

Что стоит учитывать:

  1. Для того, чтобы начать тренировку, надо понимать, что мы хотим достичь. Иными словами – учения имеют смысл тогда, когда есть определенный процесс, соблюдения которого мы хотим добиться. Без предварительной формализации учения превратятся в оценку догадливости персонала
  2. Необходимо проводить учения для всех путей возникновения инцидента: какое-то событие безопасности зарегистрировал SIEM, в поддержку обратился пользователь, предположение о проникновении принесли аналитики CTI.
  3. Учения должны быть регулярны и тестировать реакцию на различные кейсы – от DDoS атаки до масштабного заражения шифровальщиком. В противном случае мы получим нормативную реакцию на один выученный кейс и панику в случае любого отклонения от привычного течения событий.
  4. Персонал, вовлеченный в процесс учений, должен чувствовать реалистичность происходящего. Заранее назначенная дата учений и предупреждение о том, что будет тестироваться подойдет для первого раза, но в дальнейшем действия злоумышленников должны эмулироваться без предупреждения персонала. Нельзя допускать расслабленности, ведь реальный инцидент может произойти в любую минуту.
  5. Отработку реагирования надо производить в реальных условиях, ведь  реальный инцидент, как правило, происходит в самый неудобный момент, например, в пятницу вечером, когда лицо, принимающее решение находится за рулем по пути на дачу  или, того хуже,  в самолете.

Сценарии проведения учений тоже могут быть различными. Но в любом случае, необходимо понимать, что без «боевых»  проверок нельзя быть уверенным в любой выстроенной системе защиты, а кроме того,  неадекватное реагирование на инцидент может иметь более разрушительные последствия и нанести больший вред, чем сам инцидент.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!