19 и 20 ноября 2019 года в Москве прошёл SOC-Форум. SOC-Форум — это единственная в России конференция, полностью посвящённая вопросам создания и эксплуатации центров мониторинга и реагирования на инциденты информационной безопасности. Организаторами Форума выступили ФСБ России и ФСТЭК России.

Традиционно на SOC-Форуме происходит обмен опытом и мнениями ведущих экспертов отрасли, обсуждаются практика построения центров мониторинга и управления инцидентами ИБ; вопросы выполнения требований к субъектам критической информационной инфраструктуры; особенности функционирования центров ГосСОПКА и организации взаимодействия в сфере выявления и анализа компьютерных инцидентов; новинки технологической базы, сценарии использования и повышения эффективности центров мониторинга.

В рамках SOC-Форума состоялись киберучения, организованные компанией «Перспективный мониторинг» и медиа-группой «Авангард». Киберучения прошли на учебно-тренировочной платформе AMPIRE, разработанной «Перспективным мониторингом».

Оргчасть

Киберучения проходили в оба дня форума в два раунда с 11 до 13 часов и с 14 до 16 часов. Участие в киберучениях приняли 32 человека (часть из них по предварительной регистрации, часть — по заявкам непосредственно на мероприятии).

Стойку с программно-аппаратным комплексом AMPIRE и рабочие места пользователей привезли прямо на мероприятие, чтобы не зависеть от интернет-соединения.

Командам были предоставлены следующие методические материалы:

• Руководство пользователя ViPNet IDS NS.

• Логическая схема корпоративной сети предприятия.

• Параметры доступа к виртуальным машинам внутри платформы AMPIRE, панелям администрирования сайтов, сетевому оборудованию.

• Поверхностное описание действий и квалификации нарушителя (легенда сценария).

Сценарии атак

На SOC-Форуме были отработаны два сценария.

Сценарий 1 — «Защита баз данных предприятия». Его легенда:

Внешний злоумышленник находит в интернете сайт Компании и решает провести атаку на него с целью получения доступа к внутренним ресурсам. Обнаружив и проэксплуатировав уязвимость на нём, нарушитель получает доступ к серверу, который помимо основной информационной задачи предоставляет пользователям Компании инструмент для генерации отчётов. С помощью этого вектора нарушитель пробует получить доступ на рабочие машины сотрудников. Главная цель – сделать дамп корпоративной базы данных.

Квалификация нарушителя средняя. Он умеет использовать инструментарий для проведения атак, а также знает техники постэксплуатации.

Сценарий 2 — «Защита контроллера домена предприятия». Его легенда:

Внешний злоумышленник находит в интернете сайт Компании и решает провести атаку на него с целью получения доступа к внутренним ресурсам компании. Обнаружив несколько уязвимостей на внешнем периметре и закрепившись на одном из серверов, Злоумышленник проводит разведку корпоративной сети с целью захватить контроллер домена.

Квалификация нарушителя средняя. Он умеет использовать инструментарий для проведения атак, а также знает техники постэксплуатации.

4 раунда киберучений

На SOC-Форуме команда AMPIRE TEAM проводила киберучения оба дня по два раунда. Два сценария — «Защита баз данных предприятия» и «Защита контроллера домена предприятия» — в первый день, и те же сценарии во второй.

Целями команд стали:

• получить навыки обращения со средствами защиты информации;

• научиться выявлять атаки;

• наладить взаимодействие между подразделениями;

• устранить специально заложенные уязвимости в инфраструктуре в ограниченное время.

Команда мониторинга получала данные со средств защиты информации (ViPNet IDS NS) и заводила карточки инцидентов, которые собирались в IRP киберполигона AMPIRE.

Участники команды реагирования получали информацию из карточек инцидентов, подключались к узлам виртуальной инфраструктуры, и устраняли заложенные в инфраструктуре уязвимости и последствия действий автоматического атакующего.

Киберучения на SOC-Форуме стали по-настоящему международными: в них приняли участие специалисты из Беларуси, Киргизии и Казахстана.

Отзывы о киберучениях

После окончания каждого раунда киберучений участники заполняли анкеты, делились впечатлениями о мероприятии. Цитаты публикуются с разрешения участников (некоторые участники разрешили опубликовать отзыв без указания имени и места работы).

Артём Балабанов, специалист СИБ: «Даёт возможность исследовать и классифицировать события безопасности».

Дмитрий Рудковский, эксперт «Приорбанк»: «Практика позволяет держать работников в тонусе. Мне, например, было сложно, так как давно занимаюсь менеджментом, а не практической безопасностью».

Артём Перепелицын, НИЦ ЕЭС, ГК Россети: «Для полноценного участия необходимы базовые знания в ряде областей».

Инженер: «В сжатые сроки можно пройти весь процесс от обнаружения до закрытия инцидента».

Начальник отдела защиты информации и сетей передачи данных: «Визаульно показывает проблемные вопросы по ИБ в режиме реального времени».

Ведущий инженер: «Наглядно можно практически оценить уязвимости, узнать возможные дыры».

Руководитель службы: «Платформа даёт возможность менять любые параметры без опасности сломать систему».

Менеджер: «Хороший опыт мониторинга событий ИБ».