Киберполигон Ampire предназначен для обучения, подготовки и тренировки специалистов по информационной безопасности для государственных организаций, кредитно-финансовой сферы, объектов критической информационной инфраструктуры, телекома и других отраслей.

Ampire решает следующие задачи:

• помогает отработать навыки выявления компьютерных атак и расследования инцидентов информационной безопасности;
• учит оценивать защищённость элементов информационных сетей;
• налаживает взаимодействие между подразделениями;
• показывает способы нейтрализации и предупреждения компьютерных атак.

В ходе киберучений на Ampire сотрудники профильных подразделений получат следующие основные навыки:

• мониторинг и обнаружение компьютерных атак;
• работа со специальным программным обеспечением для обнаружения и анализа событий информационной безопасности;
• настройка и применение средств защиты информации;
• разработка предложений по исправлению выявленных недостатков безопасности;
• проведение расследований и нейтрализация последствий компьютерных инцидентов.

Ampire имеет Свидетельство о государственной регистрации программы для ЭВМ № 2019613098, выданное Роспатентом 07.03.2019 г.

Ampire зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных 20.09.2019 г. (рег. номер ПО 5861).

Как устроен Ampire

Администратор отвечает за развёртывание системы и организацию пользовательской инфраструктуры. Он может создавать/блокировать пользователей, назначать пользователей преподавателями, управлять шаблонами информационных систем (добавлять, редактировать, удалять). Администратор не имеет доступа к интерфейсу преподавателя и интерфейсу обучаемого.

Преподаватель отвечает за проведение киберучений. Он создаёт, редактирует и удаляет профили участников тренировки, включает их в группы мониторинга и реагирования, создаёт тренировки на базе имеющихся шаблонов.

Для отработки навыков обнаружения и устранения последствий компьютерных атак преподаватель управляет виртуальными нарушителями: запускает и останавливает сценарии атак, выполняет отдельные этапы.

Для оценки качества работы группы мониторинга преподаватель может просматривать и оценивать создаваемые обучаемыми карточки инцидентов. Для выдачи рекомендаций обучаемым преподавателю доступна система быстрых сообщений (мессенджер).

Во время тренировки преподаватель может отслеживать статусы заложенных в шаблон уязвимостей, корректность работы всех узлов шаблона, на котором проходит тренировка.

Группа мониторинга следит за событиями информационной безопасности, заводит карточки инцидентов, подтверждает инциденты, заведённые автоматическими средствами.

Участники групп мониторинга и реагирования имеют доступ к встроенным в шаблон средствам обнаружения компьютерных атак и дополнительным системам защиты информации, характерным для выбранной тренировки.

Одно из преимуществ Ampire — это невозможность что-то сломать. Виртуальная инфраструктура, на которой проходит каждая тренировка, разворачивается копированием из шаблона, поэтому команды могут действовать свободно, без опаски повредить какой-либо объект инфраструктуры или сервис. При необходимости, новая копия информационной сети восстанавливается за 3–5 минут (в зависимости от сложности шаблона).

1 – серверное оборудование, 2 – демонстрационное оборудование, 3 – рабочее место преподавателя

Ampire позволяет моделировать типовые и специализированные информационные системы (Шаблоны), активировать векторы компьютерных атак, характерные для внешнего и внутреннего нарушителей (Сценарии). Комплекс предоставляет пользователю специализированное ПО для обнаружения следов компьютерных атак и инструменты для повышения уровня защищённости информационной системы, на которой проходит тренировка.

Шаблоны

Шаблон информационной системы в Ampire — это набор виртуальных машин (сервера, рабочие станции, сетевое оборудование и т.д.), которые моделируют работу типовой сети организации (например, офис, банк, предприятие). Состав шаблонов в комплексе определяется на момент поставки, но может быть расширен по требованиям заказчика. Эта потребность возникает в основном из-за желания проводить обучение на макетах информационных систем, максимально близких к уже существующим у заказчика. Шаблон можно дополнить специфическими для конкретного заказчика сервисами, оборудованием и средствами защиты информации (учитывая возможность работы в виртуальной среде и лицензионные ограничения).

Пример логической схемы одного из существующих типовых шаблонов.

При запуске тренировки преподаватель разворачивает экземпляр информационной инфраструктуры на базе одного из имеющихся в комплексе шаблонов.

Сценарии

Сценарий в Ampire — это имитация реальной компьютерной атаки на инфраструктуру. Сценарии атак разрабатывают сотрудники «Перспективного мониторинга», которые проводят десятки проектов по тестированию на проникновение в год («белые хакеры») или работают с инцидентами в Центре мониторинга.

Все действия атакующего автоматизированы в рамках сценария, поэтому для проведения полноценных киберучений нет необходимости привлекать «живую» атакующую команду.

При прохождении командами сценария преподаватель самостоятельно управляет виртуальными нарушителями: активирует, останавливает, даёт задание на выполнение отдельных шагов.

На главном информационном экране киберполигона отображается статус тренировки, статус устранения имеющихся уязвимостей в экземплярах информационных систем, заведённые в рамках прохождения сценария.

Пример описания сценария:

Название сценария: «Защита баз данных предприятия»

Легенда сценария: Внешний злоумышленник находит в сети Интернет сайт Компании и решает провести атаку на него с целью получения доступа к внутренним ресурсам. Обнаружив и проэксплуатировав уязвимость на нём, нарушитель получает доступ к серверу, который помимо основной информационной задачи предоставляет пользователям Компании инструмент для генерации отчётов. С помощью этого вектора нарушитель пробует получить доступ на рабочие машины сотрудников. Главная цель — сделать дамп корпоративной базы данных.

Квалификация нарушителя средняя. Он умеет использовать инструментарий для проведения атак, а также знает техники постэксплуатации.

Форматы проведения киберучений

Очно или онлайн

При очном формате киберучений группы студентов работают непосредственно в классе одного из учебных заведений, оборудованных комплексом Ampire или имеющих подключение к облачной версии комплекса.

С командами на месте работают один-два преподавателя, помогая отрабатывать запланированные сценарии. Преподаватели оценивают карточки инцидентов, отвечают на вопросы, дают советы по процессам мониторинга, реагирования и взаимодействия команд.

В онлайн-киберучениях члены команд подключаются к комплексу удалённо по VPN-каналу со своих рабочих мест. Преподаватель работает со студентами в режиме видеоконференцсвязи и через сервисы мгновенных сообщений, в которых созданы чаты для команд.

Преимуществом такого подхода является независимость от географического расположения участников и возможность объединения в команды студентов из разных точек.

С преподавателем и без преподавателя

При проведении киберучений крайне важно наличие преподавателя или координатора. Это может быть сотрудник организации, которая приобрела учебно-тренировочную платформу Ampire (обучение и методические материалы включены в поставку), сотрудник компании-разработчика комплекса АО «Перспективный мониторинг» или сотрудник одного из учебных центров.

Мы также можем предоставить доступ к киберполигону просто как к облачному решению. В данном случае «Перспективный мониторинг» берёт на себя только вопросы работоспособности комплекса; за проведение киберучений полностью отвечает заказчик.

Мобильный комплекс

Команда Ampire Team разработала мобильную версию киберполигона, предназначенную для проведения выездных тренировок на площадке заказчика.

Мобильный Ampire состоит из:

• сервера формата tower, производительности которого достаточно для работы одной копии инфраструктуры предприятия;
• девяти ноутбуков для участников киберучений;
• ноутбука преподавателя;
• маршрутизатора;
• монитора;
• комплекта коммутации и периферии.

Всё оборудование перевозится в жёстком кофре на колёсах, который обеспечивает сохранность устройств и может быть рабочим местом преподавателя.

Предусмотрена возможность покупки или аренды мобильного Ampire и проведения тренировок с привлечением преподавателей «Перспективного мониторинга» или учебных центров.

Помимо описанных, возможны разнообразные комбинации вариантов проведения киберучений в зависимости от организационных (наличие места проведения, необходимость командирования сотрудников на обучение, сроков и т. д.) и технических (интернет-подключение, наличие необходимого числа выделенных рабочих мест и т. д.) возможностей заказчика. Всегда можно подобрать устраивающие все стороны решение и формат.

Соответствие государственным образовательным стандартам

Учебные заведения могут создавать на базе киберполигона Ampire лаборатории для обучения практическим аспектам информационной безопасности как студентов, так и слушателей программ дополнительного образования, в том числе курсов повышения квалификации и профессиональной переподготовки.

Такая лаборатория практически полностью соответствует требованиям федеральных государственных стандартов к материально-техническому и учебно-методическому обеспечению программ по специальностям: Информационная безопасность (10.03.01 и 10.04.01), Информационная безопасность автоматизированных систем (10.05.03), Безопасность информационных технологий в правоохранительной сфере (10.05.05), а также в значительной степени дополняет возможности лабораторий по специальностям Информационные системы и технологии (09.03.02 и 09.04.02) и Информационно-аналитические системы безопасности (10.05.04).

Учебные заведения могут приобрести учебно-тренировочную платформу Ampire на особых условиях по академической лицензии.