Киберучения (Adversary Emulation) – это процесс обучения сотрудников службы информационной безопасности компании (Blue Team) способам противостояния злоумышленникам на примере реальных атак на ИТ-инфраструктуру компании, совершенных командой Red Team. С помощью киберучений можно оценить способность команды Blue Team обнаруживать и предотвращать действия злоумышленников во всех точках Cyber Kill Chain.
Особенности проведения работ:
- осведомленность команды защиты о происходящем;
- постоянное общение атакующих и защитников;
- логгирование действий с обеих сторон;
- обучение защитников в реальном времени;
- наглядное повышение квалификации сотрудников.
Киберучения позволяют:
- проверить подготовку своей команды защиты и работу системы обеспечения ИБ в целом;
- улучшить работу внутренних специалистов при поддержке ИБ-экспертов;
- расширить диапазон детектируемых атак;
- ускорить и закрепить реакцию на атаки злоумышленника.
В качестве источников атак в зависимости от проекта могут быть использованы:
- Атаки уровня новой APT-группировки, неизвестной ранее (Open Red Teaming). Red Team самостоятельно разрабатывает продвинутые векторы атак, которые могут использовать в том числе уязвимости нулевого дня.
- Атаки реальных APT-группировок (действующих на момент проведения работ или действовавших ранее), актуальных для сектора компании (Open Threat-based Red Teaming). Red Team создает сценарии эмуляции APT-группировок для проверки определенных тактик, техник и процедур (TTP) реальных злоумышленников. Для работы используются данные из матрицы MITRE ATT&CK, аналитические отчеты о действиях APT-группировок и другие источники. В процессе проведения киберучений Red Team придерживается созданных сценариев.
Процесс проведения работ
Исполнитель (Red Team) проводит внутреннее тестирование на проникновение (используется стратегия assume breach), но сообщает Blue Team некоторую информацию, «подсказку» о каждой атаке (например, техника в матрице MITRE ATT&CK, время начала атаки). С использованием полученной информации Blue Team пытается обнаружить атаку. В конце каждого дня учений Red Team вместе с Blue Team разбирают все атаки, совершенные нападающими, консультируются по вопросам повышения эффективности системы обеспечения ИБ заказчика по результатам каждой успешно проведенной атаки.
Киберучения – это эффективная тренировка навыков детектирования и реагирования на атаки злоумышленника для вашей команды защитников. По результатам работ мы даем рекомендации по повышению эффективности системы реагирования на инциденты ИБ и улучшению работы средств защиты информации против реального злоумышленника. В результате проведения киберучений Blue Team приобретает навыки и знания, необходимые для успешного обнаружения и противодействия APT-атакам, а также получает реальный опыт противостояния актуальной для компании APT-группировке.