Киберполигон Ampire предназначен для обучения, подготовки и тренировки специалистов по информационной безопасности для государственных организаций, кредитно-финансовой сферы, объектов критической информационной инфраструктуры, телекома и других отраслей.
Ampire решает следующие задачи:
- помогает отработать навыки выявления компьютерных атак и расследования инцидентов информационной безопасности;
- учит оценивать защищённость элементов информационных сетей;
- налаживает взаимодействие между подразделениями;
- показывает способы нейтрализации и предупреждения компьютерных атак.
В ходе киберучений на Ampire сотрудники профильных подразделений получат следующие основные навыки:
- мониторинг и обнаружение компьютерных атак;
- работа со специальным программным обеспечением для обнаружения и анализа событий информационной безопасности;
- настройка и применение средств защиты информации;
- разработка предложений по исправлению выявленных недостатков безопасности;
- проведение расследований и нейтрализация последствий компьютерных инцидентов.
Ampire имеет Свидетельство о государственной регистрации программы для ЭВМ № 2019613098, выданное Роспатентом 07.03.2019 г.
Ampire зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных 20.09.2019 г. (рег. номер ПО 5861).
Как устроен Ampire
В Ampire каждый пользователь принадлежит к одной из трёх категорий: администратор, преподаватель или обучаемый.
Администратор отвечает за развёртывание системы и организацию пользовательской инфраструктуры. Он может создавать/блокировать пользователей, назначать пользователей преподавателями, управлять шаблонами информационных систем (добавлять, редактировать, удалять). Администратор не имеет доступа к интерфейсу преподавателя и интерфейсу обучаемого.
Преподаватель отвечает за проведение киберучений. Он создаёт, редактирует и удаляет профили участников тренировки, включает их в группы мониторинга и реагирования, создаёт тренировки на базе имеющихся шаблонов.
Для отработки навыков обнаружения и устранения последствий компьютерных атак преподаватель управляет виртуальными нарушителями: запускает и останавливает сценарии атак, выполняет отдельные этапы.
Для оценки качества работы группы мониторинга преподаватель может просматривать и оценивать создаваемые обучаемыми карточки инцидентов. Для выдачи рекомендаций обучаемым преподавателю доступна система быстрых сообщений (мессенджер).
Во время тренировки преподаватель может отслеживать статусы заложенных в шаблон уязвимостей, корректность работы всех узлов шаблона, на котором проходит тренировка.
Группа мониторинга следит за событиями информационной безопасности, заводит карточки инцидентов, подтверждает инциденты, заведённые автоматическими средствами.
Участники групп мониторинга и реагирования имеют доступ к встроенным в шаблон средствам обнаружения компьютерных атак и дополнительным системам защиты информации, характерным для выбранной тренировки.
Одно из преимуществ Ampire — это невозможность что-то сломать. Виртуальная инфраструктура, на которой проходит каждая тренировка, разворачивается копированием из шаблона, поэтому команды могут действовать свободно, без опаски повредить какой-либо объект инфраструктуры или сервис. При необходимости, новая копия информационной сети восстанавливается за 3–5 минут (в зависимости от сложности шаблона).
1 – серверное оборудование, 2 – демонстрационное оборудование, 3 – рабочее место преподавателя
Ampire позволяет моделировать типовые и специализированные информационные системы (Шаблоны), активировать векторы компьютерных атак, характерные для внешнего и внутреннего нарушителей (Сценарии). Комплекс предоставляет пользователю специализированное ПО для обнаружения следов компьютерных атак и инструменты для повышения уровня защищённости информационной системы, на которой проходит тренировка.
Шаблоны
Шаблон информационной системы в Ampire — это набор виртуальных машин (сервера, рабочие станции, сетевое оборудование и т.д.), которые моделируют работу типовой сети организации (например, офис, банк, предприятие). Состав шаблонов в комплексе определяется на момент поставки, но может быть расширен по требованиям заказчика. Эта потребность возникает в основном из-за желания проводить обучение на макетах информационных систем, максимально близких к уже существующим у заказчика. Шаблон можно дополнить специфическими для конкретного заказчика сервисами, оборудованием и средствами защиты информации (учитывая возможность работы в виртуальной среде и лицензионные ограничения).
Пример логической схемы одного из существующих типовых шаблонов.
При запуске тренировки преподаватель разворачивает экземпляр информационной инфраструктуры на базе одного из имеющихся в комплексе шаблонов.
Сценарии
Сценарий в Ampire — это имитация реальной компьютерной атаки на инфраструктуру. Сценарии атак разрабатывают сотрудники «Перспективного мониторинга», которые проводят десятки проектов по тестированию на проникновение в год («белые хакеры») или работают с инцидентами в Центре мониторинга.
Все действия атакующего автоматизированы в рамках сценария, поэтому для проведения полноценных киберучений нет необходимости привлекать «живую» атакующую команду.
При прохождении командами сценария преподаватель самостоятельно управляет виртуальными нарушителями: активирует, останавливает, даёт задание на выполнение отдельных шагов.
На главном информационном экране киберполигона отображается статус тренировки, статус устранения имеющихся уязвимостей в экземплярах информационных систем, заведённые в рамках прохождения сценария.
Пример описания сценария:
Название сценария: «Защита баз данных предприятия»
Легенда сценария: Внешний злоумышленник находит в сети Интернет сайт Компании и решает провести атаку на него с целью получения доступа к внутренним ресурсам. Обнаружив и проэксплуатировав уязвимость на нём, нарушитель получает доступ к серверу, который помимо основной информационной задачи предоставляет пользователям Компании инструмент для генерации отчётов. С помощью этого вектора нарушитель пробует получить доступ на рабочие машины сотрудников. Главная цель — сделать дамп корпоративной базы данных.
Квалификация нарушителя средняя. Он умеет использовать инструментарий для проведения атак, а также знает техники постэксплуатации.
Форматы проведения киберучений
Очно или онлайн
При очном формате киберучений группы студентов работают непосредственно в классе одного из учебных заведений, оборудованных комплексом Ampire или имеющих подключение к облачной версии комплекса.
С командами на месте работают один-два преподавателя, помогая отрабатывать запланированные сценарии. Преподаватели оценивают карточки инцидентов, отвечают на вопросы, дают советы по процессам мониторинга, реагирования и взаимодействия команд.
В онлайн-киберучениях члены команд подключаются к комплексу удалённо по VPN-каналу со своих рабочих мест. Преподаватель работает со студентами в режиме видеоконференцсвязи и через сервисы мгновенных сообщений, в которых созданы чаты для команд.
Преимуществом такого подхода является независимость от географического расположения участников и возможность объединения в команды студентов из разных точек.
С преподавателем и без преподавателя
При проведении киберучений крайне важно наличие преподавателя или координатора. Это может быть сотрудник организации, которая приобрела учебно-тренировочную платформу Ampire (обучение и методические материалы включены в поставку), сотрудник компании-разработчика комплекса АО «Перспективный мониторинг» или сотрудник одного из учебных центров.
Мы также можем предоставить доступ к киберполигону просто как к облачному решению. В данном случае «Перспективный мониторинг» берёт на себя только вопросы работоспособности комплекса; за проведение киберучений полностью отвечает заказчик.
Мобильный комплекс
Команда Ampire Team разработала мобильную версию киберполигона, предназначенную для проведения выездных тренировок на площадке заказчика.
Мобильный Ampire состоит из:
- сервера формата tower, производительности которого достаточно для работы одной копии инфраструктуры предприятия;
- девяти ноутбуков для участников киберучений;
- ноутбука преподавателя;
- маршрутизатора;
- монитора;
- комплекта коммутации и периферии.
Всё оборудование перевозится в жёстком кофре на колёсах, который обеспечивает сохранность устройств и может быть рабочим местом преподавателя.
Предусмотрена возможность покупки или аренды мобильного Ampire и проведения тренировок с привлечением преподавателей «Перспективного мониторинга» или учебных центров.
Помимо описанных, возможны разнообразные комбинации вариантов проведения киберучений в зависимости от организационных (наличие места проведения, необходимость командирования сотрудников на обучение, сроков и т. д.) и технических (интернет-подключение, наличие необходимого числа выделенных рабочих мест и т. д.) возможностей заказчика. Всегда можно подобрать устраивающие все стороны решение и формат.
Соответствие государственным образовательным стандартам
Учебные заведения могут создавать на базе киберполигона Ampire лаборатории для обучения практическим аспектам информационной безопасности как студентов, так и слушателей программ дополнительного образования, в том числе курсов повышения квалификации и профессиональной переподготовки.
Такая лаборатория практически полностью соответствует требованиям федеральных государственных стандартов к материально-техническому и учебно-методическому обеспечению программ по специальностям: Информационная безопасность (10.03.01 и 10.04.01), Информационная безопасность автоматизированных систем (10.05.03), Безопасность информационных технологий в правоохранительной сфере (10.05.05), а также в значительной степени дополняет возможности лабораторий по специальностям Информационные системы и технологии (09.03.02 и 09.04.02) и Информационно-аналитические системы безопасности (10.05.04).
Учебные заведения могут приобрести учебно-тренировочную платформу Ampire на особых условиях по академической лицензии.