Анна Олейникова, заместитель директора департамента «Национальный полигон» по развитию бизнеса, Ростелеком-Солар, рассказала CNews об учениях для Министерства энергетики, проведенных на киберполигоне совместно с Security Vision.
Национальный полигон Ростелеком-Солар на сегодняшний день является основным инструментом проверки кибербезопасности в России. Он позволяет проводить масштабные кросс-отраслевые корпоративные учения, охватывающие отработку всех ключевых процессов служб информационной безопасности — от анализа защищенности и выстраивания системы комплексной безопасности инфраструктуры до выявления и отражения хакерских атак.
Киберучения, проведенные совместно с Security Vision, были в первую очередь направлены на отработку межкомандного взаимодействия и на усовершенствование управления в кризисных ситуациях. Для учений использовалась специфическая инфраструктура электроэнергетического предприятия и реальное оборудование — все это позволило участникам киберучений отточить максимально полезные для ежедневной работы навыки и получить актуальные знания.
СNews: Недавно совместно с Security Vision на базе киберполигона были проведены киберучения ИБ-специалистов Минэнерго. Как возникла идея совместного проекта? Чем он был обусловлен? Какие задачи решались? Учитывалась ли отраслевая специфика?
Анна Олейникова: Идея использования средств автоматизации расследования инцидентов возникла давно, так как это полноценный инструмент служб ИБ, использующийся в реальных инфраструктурах. В процессе предыдущих кибер-учений участники оставались наедине с SIEM системой и, учитывая ограниченные временные ресурсы, на полноценную обработку инцидента просто не оставалось времени. Как увязать разрозненные события в единую хронологию инцидента? Как получить дополнительные данные с целевых систем? Как вовремя выполнить сдерживание и подготовить отчет в нужной форме? Для всего этого современные SOC используют SOAR системы. Security Vision давно и хорошо зарекомендовала себя на рынке систем подобно класса. Так что появление продуктов Security Vision в арсенале защитников киберполигона оказалось как нельзя кстати.
Киберучения для Министерства энергетики были в первую очередь направлены на отработку межкомандного взаимодействия и на усовершенствование управления в кризисных ситуациях. Для учений использовалась специфическая инфраструктура электроэнергетического предприятия и реальное оборудование — все это позволило участникам киберучений отточить максимально полезные для ежедневной работы навыки и получить актуальные знания.
СNews: Как разделились обязанности команд Ростелеком-Солар и Security Vision при подготовке и реализации проекта?
Анна Олейникова: В рамках киберучения была внедрена система автоматического реагирования на инциденты от Security Vision, которая помогла участникам киберучений расследовать кибератаки и производить взаимодействие с координирующим центром. Как результат, по завершении мероприятия некоторые компании попросили поближе познакомить их с решениями этого класса с целью последующего внедрения IRP в операционную деятельность службы информационной безопасности.
Помимо внедрения вендорских решений мы работали в направлении сутевой составляющей мероприятия: совместно обсуждали и разрабатывали сценарии атак, методы детектирования и форму предоставляемой участниками отчетности.
Это был интересный опыт: мы обменялись с коллегами экспертизой в области актуальных кибератак; спорили, что будет интереснее для участников и в процессе длительных мозгоштурмов находили «то самое» решение. Простую, но не всегда осязаемую идею, которая может родиться лишь в команде единомышленников с глубокой степенью вовлеченности в свое дело. Все это позволило сделать сценарий, который мы реализовали на киберучениях, более интересным и приближенным к реальным инцидентам компьютерной безопасности.
СNews: Расскажите о ходе киберучений. Какие цели были в итоге достигнуты?
Анна Олейникова: Киберучения делились на два больших блока — работу экспертов ИБ по выявлению атак и работу отраслевого координационного центра. По сценарию хакеры решили нарушить штатную работу энергоснабжения вымышленного региона, который разделили на 7 районов. За защиту каждого района отвечала одна команда участников — они должны были не только выявить атаки, но и сохранить работоспособность электросети в своем районе. Координационный центр, в который вошли представители НКЦКИ, Минэнерго и Ростелекома, анализировал поступающие от команд данные об инцидентах, информировал участниках об угрозах и давал рекомендации.
Что касается целей, мы можем с уверенностью сказать, что все участники киберучений стали больше понимать, какие действия от них требуются с точки зрения взаимодействия с отраслевым координационным центром в случае ИБ-инцидента — грубо говоря, «куда бежать» и «зачем это надо». Они потренировали навыки мониторинга и получили практический опыт взаимодействия с координационным центром. Теперь, если в их организации произойдет ИБ-инцидент, они будут знать, с кем и как взаимодействовать и какие данные необходимо передать для того, чтобы обеспечить полноту и достоверность информации.
Security Vision по материалам СNews