Cyber Polygon — международный онлайн-тренинг по совместному реагированию на киберугрозы и повышению кросс-секторальной кооперации в борьбе с киберпреступностью. Тренинги, подобные Cyber Polygon, пока не стали общераспространенной практикой, поэтому единого подхода к их организации еще нет. В рамках первого Cyber Polygon в качестве основной цели мы выбрали обучение практике совместного реагирования на актуальные киберугрозы посредством своевременного обмена данными о них между участниками. Исходя из этого, мы сформулировали перед собой и участниками следующие основные задачи:

Повышение киберустойчивости критично в первую очередь для представителей индустрий, которые формируют экосистему цифрового пространства, а также устанавливают правила его функционирования и следят за порядком в нем. Представителей именно таких секторов мы пригласили присоединиться к тренингу Cyber Polygon в качестве участников:

В 2019 году в тренинге приняли участие ПАО Сбербанк, Новый банк развития БРИКС, АО «Транстелеком», ПАО МТС, Департамент информационно-коммуникационных технологий Республики Филиппины.

При выстраивании тренировочных инфраструктур для Cyber Polygon нам было важно подобрать такие решения по безопасности, которые хорошо знакомы участникам и позволят им без лишних усилий и специальной подготовки принять участие в тренинге. Поэтому партнерами Cyber Polygon выступили крупнейшие международные игроки отрасли, чьи решения уже много лет защищают компании по всему миру, — IBM и Fortinet.

В ходе Cyber Polygon была проведена симуляция нескольких распространенных типов атак на тренировочные инфраструктуры глобальных компаний-участников. Всего было выбрано 3 сценария кибератак, которые актуальны для организаций любой отрасли экономики:

Подключение к интернету — базовая потребность современного бизнеса. Если нарушить доступность и стабильную работу информационных ресурсов организации, она может потерять клиентов и партнеров, репутацию и прибыль. По этой причине злоумышленники активно используют DDoS-атаки для вымогательства и ведения конкурентных войн.

Уже сегодня большинство организаций не в силах самостоятельно противостоять масштабным DDoS-атакам, а их мощность будет только нарастать. Чтобы обеспечить устойчивость цифровой экономики, важно заранее научиться сокращать уровень воздействия этой угрозы и подготовиться к совместному реагированию на нее.

Согласно данным сообщества Open Web Application Security Project, с 2013 года среди всех атак на веб-приложения первое место занимают атаки с внедрением кода. Внедрение SQL-кода — одна из разновидностей таких атак, направленная на манипуляцию с базами данных сайта.

Грамотно подготовленная атака позволяет направлять запросы к базе данных веб-приложения, минуя все защитные меры, и получать доступ ко всей хранимой там информации: номерам банковских карт, паролям и номерам телефонов пользователей, их адресам и многому другому.

Из-за распространенности и потенциального охвата SQL-инъекций, а также серьезности их последствий мы выбрали этот сценарий для симуляции атаки на веб-приложение в тренировочной инфраструктуре участников Cyber Polygon.

В 2017 году эпидемии шифровальщиков WannaCry, Petya и NotPetya заставили пользователей, даже далеких от кибербезопасности, говорить о троянах-вымогателях. Проникнув в систему, этот класс вредоносного ПО шифрует файлы и требует выкуп за их расшифровку. Средний размер требуемой суммы превышает тысячу долларов.

Популярность фишинга только растет. В 2018 году 83% специалистов по кибербезопасности, опрошенных компанией Proofpoint, столкнулись с такой атакой — это на 7 процентных пунктов больше, чем в 2017 году.

Ущерб от пары секунд работы шифровальщика может исчисляться сотнями тысяч долларов, а реализовать атаку достаточно легко. По этой причине мы решили включить ее в список сценариев тренинга.

Тренинг стартовал в 12:00 и длился около трех с половиной часов. За это время были отработаны 3 сценария кибератак с соблюдением следующих правил:

При первом запуске каждый участник должен был выявить и отразить атаку самостоятельно. Для остановки атаки командам Blue Team требовалось применить на нужном средстве защиты политику безопасности, которая блокировала бы IP-адреса, файлы с определенной хеш-суммой или иные индикаторы компрометации (IoC), отличающие конкретную атаку. Задача сценария считалась выполненной, когда участник сдавал правильные IoC в личном кабинете своей команды на сайте cyberpolygon.com.

Во время второго запуска команды сдавали IoC в платформу обмена данными BI.ZONE ThreatVision. Атака считалась отраженной, когда первый из участников, выявивший и заблокировавший атаку, загружал правильные IoC в BI.ZONE ThreatVision. После этого IoC автоматически передавались на средства защиты остальных участников и атака прекращалась для всех.

Итоговые показатели участников Cyber Polygon говорят о следующем:

В каждом сценарии на отражение атаки при повторном запуске уходило меньше времени, чем затратил самый быстрый участник при первом запуске. Отчасти это объясняется тем, что после практики первого раунда команды лучше понимали, как противостоять атаке. Во втором запуске сценария менялись только значения IoC, а не логика атаки, поэтому участники реагировали на угрозу намного быстрее. Это подтверждает эффективность практического обучения: команды за короткое время улучшили навыки отражения атак и сразу же продемонстрировали прогресс.

Работа с платформой обмена данными разительно сократила среднее время реагирования на атаку. Наилучший результат при использовании платформы был получен во втором сценарии: отражение атаки на веб-приложение при повторном запуске сценария заняло в 7 раз меньше времени, чем в среднем при первом запуске. Обмениваясь данными, участники отразили атаку за 2 минуты 31 секунду, а самое долгое самостоятельное реагирование отняло 24 минуты 24 секунды — разница между показателями составила почти 22 минуты при общей длительности сценария в 30 минут.

В ряде случаев совместная работа позволяла отразить даже те атаки, которые иначе были бы пропущены. Так, организация 3 не справилась с первым сценарием самостоятельно — однако при повторном запуске использование платформы другими участниками позволило защитить и ее. В реальной жизни это бы спасло компанию от потерь, связанных с недоступностью ее веб-ресурсов.

Атака с шифровальщиком оказалась наиболее сложным сценарием для участников: лишь одна компания смогла ее отразить в индивидуальном порядке. Лучше всего компании справлялись с атакой на веб-приложения.

С помощью результатов первого тренинга мы надеемся показать мировому сообществу эффективность таких учений, а также продемонстрировать важность глобальной кооперации, тем самым привлекая еще большее число международных участников к проверке своих возможностей в сфере кибербезопасности и внесению своего вклада в общую цель по борьбе с киберпреступлениями во всем мире.

Cyber Polygon — уникальное в своем роде мероприятие, которое впервые состоялось в 2019 году и объединило представителей государственных структур и частного сектора из разных стран для развития навыков совместного реагирования на инциденты кибербезопасности.

Тренинг будет проводиться на ежегодной основе — следующее мероприятие Cyber Polygon состоится 8 июля 2020 года. Поскольку техническая часть тренинга проходит в онлайн-режиме, это позволяет расширять географию и количество участников практически безгранично. Каждый тренинг сопровождается лекциями, интервью и выступлениями мировых экспертов — все это также транслируется в интернете и доступно для наблюдателей из любой точки планеты.

Мы надеемся, что опыт Cyber Polygon будет полезен для всего заинтересованного сообщества. В перспективе мы рассчи- тываем, что результаты тренинга, а также отзывы участников и партнеров позволят нам сформировать реальные предложения по улучшению глобального взаимодействия в области борьбы с киберпреступностью.