Киберполигон в действии

Как защищать данные, расследовать инциденты и противостоять хакерским атакам? Студенты КузГТУ получили ответы на эти вопросы на мастер-классе «Киберполигон – платформа для приобретения навыков отражения угроз для ИБ-специалистов». Его провели доцент кафедры информационной безопасности Александр Киренберг и четверокурсники направления «Информационная безопасность автоматизированных систем».

Киберполигон «AMPIRE» от компании «Перспективный мониторинг» – это виртуальная среда, где моделируются кибератаки на инфраструктуру организации. С его помощью студенты тренируют навыки защиты данных, анализируют уязвимости и учатся строить стратегию кибербезопасности, а преподаватели наблюдают за логикой их решений.

Благодаря киберполигону можно создать виртуальную информационную систему со своей инфраструктурой, серверами, рабочими станциями, настроить её, даже попытаться атаковать и выяснить, по каким протоколам эти атаки проходят. Наглядная визуализация позволяет отработать наиболее вероятные сценарии угроз, выстроить понимание, как нужно защищаться. В конце февраля сотрудники нашей кафедры прошли двухдневные курсы по киберполигону, где мы выясняли, как строится вектор защиты, и учились как раз-таки атаковать систему, – рассказал Александр Григорьевич.

Участники мастер-класса смогли на практике ознакомиться с возможностями киберполигона и примерить на себя роли «атакующих» и «защитников». Так, в формате для отработки атак студенты пытаются взломать виртуальную инфраструктуру и найти уязвимые узлы. Это отличная тренировка для начинающих пентестеров – специалистов по информационной безопасности, которые тестируют корпоративные системы на защищённость. С другой стороны, в формате противодействия атакам студенты должны защитить систему, выявить слабые места и устранить последствия атак, как в реальных центрах мониторинга.

Как проходит обучение? После выбора формата определяется сценарий атаки. Например, взлом DNS-серверов, нарушение работы SCADA-систем, захват учётных записей с правами администратора. Затем выбираются шаблоны атак, которые содержат заранее подготовленные угрозы и уязвимости. Эти шаблоны используются как основа для симуляции реальных атак. Группа мониторинга анализирует происходящие события, фиксирует инциденты, оценивает уровень угроз с помощью системы обнаружения атак (IDS, IPS) и передаёт сигналы о потенциальных взломах группе реагирования. MITRE ATT&CK – ключевой инструмент, который используется для анализа. Это карта тактик и техник, с помощью которой специалисты отслеживают и описывают векторы атак. Вся информация фиксируется в специальных карточках инцидентов, где указывается: как была осуществлена атака, какие уязвимости использованы, какие меры предприняты для защиты, – объяснил студент Сергей Сергеев.

На киберполигоне проводятся как профессиональные тренировки, так и занятия для начинающих специалистов. Например, формат Ampire Junior предназначен для школьников и студентов без опыта в кибербезопасности. В нём поднимаются базовые темы: фальшивые новости, социальная инженерия и прочее. Более сложные тренировки включают работу с автоматизированными системами управления технологическими процессами. В таких сценариях моделируются атаки на промышленные объекты, например, на системы управления электростанциями, железными дорогами или добывающими предприятиями.

Навыки выявления атак, оценки защищённости сетей, предупреждения угроз, взаимодействия между подразделениями особенно важны для специалистов, работающих в критически важных отраслях. Напомним, что в КузГТУ реализуются несколько образовательных программ:

• специалитет по направлению «Информационная безопасность автоматизированных систем»;
• программа среднего профессионального образования «Обеспечение информационной безопасности автоматизированных систем»;
• магистратура по направлению «Информационная безопасность» (профиль «Организация и технология защиты информации»), первый набор на которую состоится уже в этом году.