Киберучения

Форматы проведения киберучений: открытый и закрытый

Компания «САЙБЕР Бизнес Консалтинг» предлагает два формата проведения киберучений — открытый и закрытый. Выбор зависит от целей заказчика: массовый поиск уязвимостей или глубокая отработка внутренних процессов реагирования.

Открытый формат — StandOff на базе киберполигона

Место проведения: Виртуальный киберполигон, на котором разворачивается копия инфраструктуры (или ее выделенного сегмента) заказчика.

Участники:

• RedTeam (атакующие) — несколько независимых команд, приглашённых организаторами.
• BlueTeam (защитники) — специалисты ИБ заказчика.

Суть формата: Моделируется максимальное количество возможных векторов атак. RedTeam соревнуются между собой в поиске и эксплуатации уязвимостей, BlueTeam отрабатывает обнаружение и блокирование угроз в условиях массовой кибератаки.

Основным отличием является призовой фонд для красных команд, достигших определенных целей, которыми являются недопустимые события организации от открытия вредоносного содержимого и выше по критичности. Оплата производится по результатам подсчета достигнутых командой целей.

Ключевой упор: Выявление наибольшего числа уязвимостей и сценариев компрометации (от веб-приложений до сетевого периметра).

Закрытый формат — работы на реальной инфраструктуре

Место проведения: Реальная рабочая инфраструктура заказчика (с предварительным изолированием рисков).

Участники:

• RedTeam — команда экспертов по тестированию на проникновение (пентесту) САЙБЕР Бизнес Консалтинг.
• BlueTeam — штатная команда ИБ заказчика и его SOC (центр мониторинга инцидентов).
• Дополнительно (рекомендовано) — привлекаются руководители и сотрудники смежных подразделений (IT, юристы, PR, топ-менеджмент).

Суть формата: RedTeam в составе экспертов по кибербезопасности, пентестеры, «белые хакеры» САЙБЕР Бизнес Консалтинг проводят имитацию многовекторной APT-атаки, максимально приближенной к действиям реального злоумышленника. BlueTeam вынужден действовать в условиях неопределённости, отражая атаку штатными средствами и процедурами. Дополнительные подразделения отрабатывают командное и междепартаментское взаимодействие при наступлении недопустимых событий или параллельно основным работам: компрометация, утечка данных, шифрование ресурсов в целях получения выкупа (ransomware) и др.

Ключевой упор: Детальная отработка практических навыков команды ИБ, проверка зрелости внутренних процессов обнаружения, реагирования и восстановления, а также эффективности вертикальных и горизонтальных коммуникаций при киберинциденте.

Этапы проведения киберучений

1. Аудит для оценки готовности и подготовки к проекту
   • Оценка текущего уровня осведомленности (контрольный фишинг, опрос).
   • Выявление критических ролей с точки зрения ключевых процессов.
2. Разработка сценариев атак
   • Открытый формат: до 5 сценариев от каждой команды для множественных коротких сессий.
   • Закрытый формат: до 10 различных сценариев (в том числе отдельных сценариев для смежных подразделений и руководства) без ограничений по векторам для 1-2 сессий общей продолжительностью 1-2 месяца.
3. Проведение работ
   • Активная фаза проекта, включающая реализацию сценариев атак, мониторинг и фиксация значимых действий / событий для последующего анализа и расчета метрик.
4. Анализ результатов и подготовка отчетов
   • Общая оценка защищенности по результатам киберучений.
   • Индивидуальный анализ действий ключевых сотрудников по журналам.
   • Оценка командного взаимодействия.
   • Оценка междепартаментского взаимодействия.
   • Анализ обнаруженных уязвимостей.
   • Разработка рекомендаций.
   • Разработка и согласование итогового отчета и дорожной карты для повышения киберустойчивости компании.

Дополнительно по запросу клиента проводятся повторные итерации сценариев «в открытую» (под контролем эксперта со стороны организатора) для обучения команды ИБ заказчика.