Моделирование кибер-атак для противодействия угрозам
В фильме «Звездные войны» один из персонажей говорит очень важную фразу: «Я-то думал, вы Джедаи понимаете, в чем разница между знанием и мудростью». Такое высказывание в равной степени относится и к информационной безопасности, где опыт не менее важен, чем квалификация. Когда происходит сбой информационных систем, вряд ли вы будете радоваться, что у ваших системных администраторов наконец появилась возможность попрактиковаться.
К сожалению, сегодня в мире количество вакансий специалистов по кибербезопасности превышает количество доступных экспертов в этой области. Спрос на профессионалов в области защиты от информационных угроз в последние годы опережал предложение не только из-за растущего числа возникающих угроз, но и по причине увеличения объемов бизнеса, который организации ведут в сети.
Согласно исследованиям ESG Research число организаций, которые сообщают о нехватке навыков в области информационной безопасности у своих сотрудников, за последние несколько лет выросло вдвое. В 2014 году примерно 23% организаций указали, что нехватка компетентных сотрудников была для них проблемой, а сегодня эта цифра превысила 50%. Во многом этот рост произошел из-за увеличения рабочей нагрузки на отделы информационной безопасности или ИТ-службы.
Непрерывное профессиональное развитие (CPD) используется для того, чтобы навыки оставались актуальными. Тем не менее, некоторые тренинги носят чисто академический характер и не дают реального опыта.
Чтобы преодолеть эту проблему, организации обращаются к различным способам предоставления молодым специалистам необходимого опыта для противодействия онлайн-угрозам. Один из способов реализуется в формате схемы наставничества. То есть в помощь опытному специалисту по ИТ-безопасности дают новичка, который на реальных кейсах осваивает прикладные знания. Наставничество позволяет компании сохранять опыт своих сотрудников, даже если конкретный специалист выходит на пенсию или увольняется. Однако недостатком этого подхода является то, что он может непреднамеренно усилить субъективность оценок.
Управление инцидентами в моделируемой ситуации или «Тяжело в учении – легко в бою!»
Некоторые организации обращаются к моделируемым сценариям управления операциями в случае информационных атак или сбоев, чтобы предоставить своим сотрудникам необходимый опыт. Подобно тому, как учения по пожарной безопасности используются для оценки того, как персонал реагирует на потенциальный инцидент, моделирование критических отказов ИТ-систем и сервисов позволяет организациям увидеть, как их сотрудники реагируют на такие события.
Моделирование позволяет персоналу ИТ-служб отрабатывать ситуации критических сбоев без какого-либо риска для реальной сети или данных компании. Это моделирование может варьироваться от сценариев аварийного восстановления до «белых шляп» или «этичных хакеров», исследующих сетевую защиту компании с целью увидеть, как их ИТ-команды реагируют на предполагаемую угрозу.
Очень многие организации говорят о наличии плана по восстановлению после сбоев, но никогда не тестируют этот сценарий и не проверяют, работает ли он так, как они думают.
Имитация управления инцидентами в моделируемых ситуациях сбоев или направленных атак производится на точной копии сетевой архитектуры организации, таким образом обеспечивая реальный опыт и превращая ответные действия ИТ-отдела в естественную реакцию.
Это позволяет командам по информационной защите применять на практике те инструменты безопасности, которые они использовали бы в реальной ситуации, и испытывать настройки сети и трафик. Для максимальной эффективности такой методики необходимо точно моделировать сценарии возможных угроз, в том числе сложные, развивающиеся угрозы, целевое вредоносное ПО и действия вымогателей.
Более сложная версия симулированного обучения заключается в привлечении «этичных хакеров» для проверки защиты сети, чтобы увидеть, как быстро ИТ-служба узнает об угрозе и как отреагирует на нее.
Имитация управления инцидентами может быть дорогостоящей практикой. Помимо высоких первоначальных затрат на обеспечение реалистичности сценария обучения, компания тратит время своих сотрудников на тренировки, отрывая их от текущей повседневной работы. В данном случае не стоит увлекаться, нужно искать баланс.
Тренируйте компанию, а не сотрудников
Однако, если все сделано правильно, смоделированные сценарии аварийных ситуаций не просто обучают персонал, но и дисциплинируют организацию в целом. Выполнение сценариев отказов позволяет организациям оценить, в чем они могут улучшить свои процессы восстановления данных и можно ли автоматизировать какие-либо задачи. Вы должны смотреть на это не только с точки зрения персонала, но и с точки зрения TTPs (training, tactics and procedures) - обучения, тактики и процедур.
Эти симуляции не должны фокусироваться только на ИТ-командах, необходимо привлекать весь персонал компании, чтобы также оценить, как он реагирует на угрозы.
Одним из классических методов повышения осведомленности является разбрасывание USB-ключей рядом с офисом компании. Этот метод может использоваться для оценки того, кто подбирает USB-накопитель и подключает его к своему ПК с целью выяснить, кому он принадлежит, а не передает его соответствующей службе.
Другой способ – рассылать фишинговые электронные письма всей компании, чтобы узнать, кто на них отвечает. Это не только повышает уровень осведомленности об угрозах, создаваемых мошенниками, но также подчеркивает, кто из сотрудников нуждается в дальнейшем обучении по вопросам безопасности. Когда персонал узнает об этих методах, сотрудники будут более осторожны в своих действиях и станут чаще сообщать о возникших подозрениях на угрозы.
Стоимость моделирования опасных ситуаций может отпугнуть некоторые организации, но анализ результатов позволяет определить области, на которых обучение должно быть сосредоточено в будущем, максимально увеличивая рентабельность такой схемы. Когда вы сможете взять эти показатели и продемонстрировать, как ваша программа повышает безопасность компании или время реакции на аварийное восстановление, руководство вряд ли откажется от инвестирования в эту область.
Вывод
Ввиду растущей нехватки навыков в области информационной безопасности организациям необходимо рассмотреть вопрос о применении системы имитации инцидентов в качестве дополнения к мероприятиям систематического профессионального развития, чтобы предоставить своим сотрудникам опыт, необходимый им для противодействия угрозам в будущем.