Первые республиканские киберучения
22 октября 2020 года состоялась 17-я республиканская конференция «Информационные технологии. Защита информации.».
В связи с эпидемиологической ситуацией по коронавирусу в Республике Карелия, конференция проводилась в соответствии с требованиями, указанными в Распоряжении Главы Республики Карелия № 664-р от 16 октября 2020 года.
На конференции участники узнали об изменениях законодательства в области защиты информации, важных изменениях в порядке проведения аттестации объектов информатизации, требованиях по вводу в эксплуатацию объектов критической информационной инфраструктуры, проведении мониторинга событий информационной безопасности и комплексного построения систем защиты информации. Были представлены новые технологии, сертифицированные средства защиты информации, демо-стенды и многое другое...
Впервые в рамках конференции были проведены киберучения, организованные компанией «Инфолайн» и «Перспективный мониторинг» при содействии Администрации Главы РК.
Киберучения прошли на учебно-тренировочной платформе AMPIRE, разработанной «Перспективным мониторингом».
Оргчасть
Киберучения проходили с 14:00 до 16:00 часов. Участие в киберучениях приняли 8 специалистов по информационной безопасности из различных государственных учреждений. Участники были разделены на 2 команды: группа мониторинга и группа реагирования.
Командам были предоставлены следующие методические материалы:
- Руководство пользователя ViPNet IDS NS.
- Логическая схема корпоративной сети предприятия.
- Параметры доступа к виртуальным машинам внутри платформы AMPIRE, панелям администрирования сайтов, сетевому оборудованию.
- Поверхностное описание действий и квалификации нарушителя (легенда сценария).
Сценарии атак
На киберучениях был отработан сценарий «Защита контроллера домена предприятия».
Его легенда:
Внешний злоумышленник находит в интернете сайт Компании и решает провести атаку на него с целью получения доступа к внутренним ресурсам компании. Обнаружив несколько уязвимостей на внешнем периметре и закрепившись на одном из серверов, Злоумышленник проводит разведку корпоративной сети с целью захватить контроллер домена.
Квалификация нарушителя средняя. Он умеет использовать инструментарий для проведения атак, а также знает техники постэксплуатации.
Целями команд стали:
- получить навыки обращения со средствами защиты информации;
- научиться выявлять атаки;
- наладить взаимодействие между подразделениями;
- устранить специально заложенные уязвимости в инфраструктуре в ограниченное время.
Команда мониторинга получала данные со средств защиты информации (ViPNet IDS NS) и заводила карточки инцидентов, которые собирались в IRP киберполигона AMPIRE.
Участники команды реагирования получали информацию из карточек инцидентов, подключались к узлам виртуальной инфраструктуры, и устраняли заложенные в инфраструктуре уязвимости и последствия действий автоматического атакующего.
Результаты и отзывы о киберучениях
С момента как злоумышленник произвел атаку на сеть, у участников было ровно 1 час 30 минут, чтобы выявить атаку, закрыть все уязвимости и «выгнать» злоумышленника из сети. К чести участников они справились с этой задачей, когда оставалось 18 минут до окончания времени.
После окончания киберучений участники заполняли анкеты, делились впечатлениями о мероприятии. Цитаты публикуются с разрешения участников.
Игорь Агеев, инженер-электроник МУ ЦБС г. Петрозаводска: «Без опыта никуда. Платформа AMPIRE помогает в получении практических навыков для выявления компьютерных атак.»
Александр Варыгин, техник по ЗИ ГБУЗ РК «РСЦ»: «Интересный опыт, на данный момент не хватает практики. Благодаря участию в киберучениях получил новый опыт.»
Данил Шестаков, ведущий инженер программист ГКУ РК «ЦБиАС»: «Платформа AMPIRE помогает в получении практических навыков для выявления компьютерных атак: наглядно показывает инфраструктуру сети. С помощью Платформы AMPIRE системный администратор видит уязвимости организации и решает их безболезненно для пользователя. В ходе учений платформа AMPIRE помогла выявить и обезвредить уязвимости организации.»
Галина Ширяева, главный специалист-эксперт ОПФР по РК: «Мне очень понравилось! Предлагаю проводить ежегодно! Спасибо!»