Скачать отчет о результатах Cyber Polygon 2019
Итоговые показатели участников Cyber Polygon 2019 говорят о следующем:
Обучение ускоряет процесс реагирования
В каждом сценарии на отражение атаки при повторном запуске уходило меньше времени, чем затратил самый быстрый участник при первом запуске. Отчасти это объясняется тем, что после практики первого раунда команды лучше понимали, как противостоять атаке. Во втором запуске сценария менялись только значения IoC, а не логика атаки, поэтому участники реагировали на угрозу намного быстрее. Это подтверждает эффективность практического обучения: команды за короткое время улучшили навыки отражения атак и сразу же продемонстрировали прогресс.
Сотрудничество — ключ к успеху
Работа с платформой обмена данными разительно сократила среднее время реагирования на атаку. Наилучший результат при использовании платформы был получен во втором сценарии: отражение атаки на веб-приложение при повторном запуске сценария заняло в 7 раз меньше времени, чем в среднем при первом запуске. Обмениваясь данными, участники отразили атаку за 2 минуты 31 секунду, а самое долгое самостоятельное реагирование отняло 24 минуты 24 секунды — разница между показателями составила почти 22 минуты при общей длительности сценария в 30 минут.
Разные компании — разные компетенции
В ряде случаев совместная работа позволяла отразить даже те атаки, которые иначе были бы пропущены. Так, организация 3 не справилась с первым сценарием самостоятельно — однако при повторном запуске использование платформы другими участниками позволило защитить и ее. В реальной жизни это бы спасло компанию от потерь, связанных с недоступностью ее веб-ресурсов.
Некоторым угрозам противостоять особенно сложно
Атака с шифровальщиком оказалась наиболее сложным сценарием для участников: лишь одна компания смогла ее отразить в индивидуальном порядке. Лучше всего компании справлялись с атакой на веб-приложения.
Результаты первого тренинга показали мировому сообществу эффективность таких учений, а также продемонстрировали важность глобальной кооперации. Мы надеемся, что это привлечет еще больше международных участников к проверке своих возможностей в сфере кибербезопасности и внесению своего вклада в общую цель по борьбе с киберпреступлениями во всем мире.
Cyber Polygon стартовал в 12:00 и длился около трех с половиной часов. За это время были отработаны 3 сценария кибератак с соблюдением следующих правил:
- Каждый сценарий запускался дважды.
- Чтобы добиться полной реалистичности, в дополнение к атакам запускали легитимный трафик, также создаваемый на трафик-генераторе.
- Длительность каждого сценария — 1 час. В этот час входили два запуска сценария.
- Длительность одного запуска — 30 минут, вне зависимости от результатов участников.
При первом запуске каждый участник должен был выявить и отразить атаку самостоятельно. Для остановки атаки командам Blue Team требовалось применить на нужном средстве защиты политику безопасности, которая блокировала бы IP-адреса, файлы с определенной хеш-суммой или иные индикаторы компрометации (IoC), отличающие конкретную атаку. Задача сценария считалась выполненной, когда участник сдавал правильные IoC в личном кабинете своей команды.
Во время второго запуска команды сдавали IoC в платформу обмена данными BI.ZONE ThreatVision. Атака считалась отраженной, когда первый из участников, выявивший и заблокировавший атаку, загружал правильные IoC в BI.ZONE ThreatVision. После этого IoC автоматически передавались на средства защиты остальных участников и атака прекращалась для всех.
Сценарий 3. Атака программы-шифровальщика
В 2017 году эпидемии шифровальщиков WannaCry, Petya и NotPetya заставили пользователей, даже далеких от кибербезопасности, говорить о троянах-вымогателях. Проникнув в систему, этот класс вредоносного ПО шифрует файлы и требует выкуп за их расшифровку. Средний размер требуемой суммы превышает тысячу долларов.
Популярность фишинга только растет. В 2018 году 83% специалистов по кибербезопасности, опрошенных компанией Proofpoint, столкнулись с такой атакой — это на 7 процентных пунктов больше, чем в 2017 году.
Ущерб от пары секунд работы шифровальщика может исчисляться сотнями тысяч долларов, а реализовать атаку достаточно легко. По этой причине мы решили включить фишинг с шифровальщиком в список сценариев тренинга.
Сценарий 2. Атака на веб-приложение
Согласно данным сообщества Open Web Application Security Project, с 2013 года среди всех атак на веб-приложения первое место занимают атаки с внедрением кода. Внедрение SQL-кода — одна из разновидностей таких атак, направленная на манипуляцию с базами данных сайта.
Грамотно подготовленная атака позволяет направлять запросы к базе данных веб-приложения, минуя все защитные меры, и получать доступ ко всей хранимой там информации: номерам банковских карт, паролям и номерам телефонов пользователей, их адресам и многому другому.
Из-за распространенности и потенциального охвата SQL-инъекций, а также серьезности их последствий мы выбрали этот сценарий для симуляции атаки на веб-приложение в тренировочной инфраструктуре участников Cyber Polygon.
Сценарий 1. DDoS-атака
Подключение к интернету — базовая потребность современного бизнеса. Если нарушить доступность и стабильную работу информационных ресурсов организации, она может потерять клиентов и партнеров, репутацию и прибыль. По этой причине злоумышленники активно используют DDoS-атаки для вымогательства и ведения конкурентных войн.
Уже сегодня большинство организаций не в силах самостоятельно противостоять масштабным DDoS-атакам, а их мощность будет только нарастать. Чтобы обеспечить устойчивость цифровой экономики, важно заранее научиться сокращать уровень воздействия этой угрозы и подготовиться к совместному реагированию на нее.
В ходе Cyber Polygon 2019 была проведена симуляция нескольких распространенных типов атак на тренировочные инфраструктуры глобальных компаний-участников.
Всего было выбрано 3 сценария кибератак, которые актуальны для организаций любой отрасли экономики:
- DDoS-атака.
- Атака на веб-приложение.
- Атака программы-шифровальщика.
В рамках первого Cyber Polygon в качестве основной цели мы выбрали обучение практике совместного реагирования на актуальные киберугрозы посредством своевременного обмена данными о них между участниками.
Исходя из этого, мы сформулировали перед собой и участниками следующие основные задачи:
- Создать реалистичную тренировочную инфраструктуру и организовать симуляцию наиболее распространенных сценариев кибератак.
- Отработать реагирование на инциденты как самостоятельно, так и в кооперации с другими участниками тренинга.
- Сравнить результаты двух подходов к реагированию и оценить эффективность сотрудничества при отражении кибератак.
- Использовать итоги Cyber Polygon для передачи полученных знаний и опыта мировому сообществу.
Повышение киберустойчивости критично в первую очередь для представителей индустрий, которые формируют экосистему цифрового пространства, а также устанавливают правила его функционирования и следят за порядком в нем. Представителей именно таких секторов мы пригласили присоединиться к тренингу Cyber Polygon 2019 в качестве участников:
- Финансовая отрасль — «кровеносная система» нашего мира, которая делает возможной экономическую деятельность.
- Операторы связи — фундамент киберпространства и опора для вывода этой деятельности в новое измерение.
- Профильные государственные структуры — глобальные координаторы и защитники цифровой среды.
В 2019 году в тренинге приняли участие ПАО Сбербанк, Новый банк развития БРИКС, АО «Транстелеком», ПАО МТС, Департамент информационно-коммуникационных технологий Республики Филиппины.
При выстраивании тренировочных инфраструктур для Cyber Polygon нам было важно подобрать такие решения по безопасности, которые хорошо знакомы участникам и позволят им без лишних усилий и специальной подготовки принять участие в тренинге. Поэтому партнерами Cyber Polygon выступили крупнейшие международные игроки отрасли, чьи решения уже много лет защищают компании по всему миру, — IBM и Fortinet.