Киберучения (Adversary Emulation) – это процесс обучения сотрудников службы информационной безопасности компании (Blue Team) способам противостояния злоумышленникам на примере реальных атак на ИТ-инфраструктуру компании, совершенных командой Red Team. С помощью киберучений можно оценить способность команды Blue Team обнаруживать и предотвращать действия злоумышленников во всех точках Cyber Kill Chain.

Особенности проведения работ:

  • осведомленность команды защиты о происходящем;
  • постоянное общение атакующих и защитников;
  • логгирование действий с обеих сторон;
  • обучение защитников в реальном времени;
  • наглядное повышение квалификации сотрудников.

Киберучения позволяют:

  • проверить подготовку своей команды защиты и работу системы обеспечения ИБ в целом;
  • улучшить работу внутренних специалистов при поддержке ИБ-экспертов;
  • расширить диапазон детектируемых атак;
  • ускорить и закрепить реакцию на атаки злоумышленника.

В качестве источников атак в зависимости от проекта могут быть использованы:

  • Атаки уровня новой APT-группировки, неизвестной ранее (Open Red Teaming). Red Team самостоятельно разрабатывает продвинутые векторы атак, которые могут использовать в том числе уязвимости нулевого дня.
  • Атаки реальных APT-группировок (действующих на момент проведения работ или действовавших ранее), актуальных для сектора компании (Open Threat-based Red Teaming). Red Team создает сценарии эмуляции APT-группировок для проверки определенных тактик, техник и процедур (TTP) реальных злоумышленников. Для работы используются данные из матрицы MITRE ATT&CK, аналитические отчеты о действиях APT-группировок и другие источники. В процессе проведения киберучений Red Team придерживается созданных сценариев.

Процесс проведения работ

Исполнитель (Red Team) проводит внутреннее тестирование на проникновение (используется стратегия assume breach), но сообщает Blue Team некоторую информацию, «подсказку» о каждой атаке (например, техника в матрице MITRE ATT&CK, время начала атаки). С использованием полученной информации Blue Team пытается обнаружить атаку. В конце каждого дня учений Red Team вместе с Blue Team разбирают все атаки, совершенные нападающими, консультируются по вопросам повышения эффективности системы обеспечения ИБ заказчика по результатам каждой успешно проведенной атаки.


Киберучения – это эффективная тренировка навыков детектирования и реагирования на атаки злоумышленника для вашей команды защитников. По результатам работ мы даем рекомендации по повышению эффективности системы реагирования на инциденты ИБ и улучшению работы средств защиты информации против реального злоумышленника. В результате проведения киберучений Blue Team приобретает навыки и знания, необходимые для успешного обнаружения и противодействия APT-атакам, а также получает реальный опыт противостояния актуальной для компании APT-группировке.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!