5 кейсов противостояния атакам на ИБ платформе Jet CyberCamp
Информационная безопасность Информационная безопасность

Как появилась платформа Jet CyberCamp? Реальные бизнес-кейсы из нашей практики? Как проходит обучение специалистов на киберучениях?

Информационная безопасность Тема номера

5 кейсов Jet CyberCamp

Дата публикации:
09.09.2022
Посетителей:
824
Просмотров:
726
Время просмотра:
3.3 мин.

Авторы

Автор
Екатерина Рудая Эксперт лаборатории практического анализа защищённости центра информационной безопасности компании «Инфосистемы Джет»

 

Как появилась платформа Jet CyberCamp?

 

Реальные бизнес-кейсы из нашей практики?

 

Как проходит обучение специалистов на киберучениях?

 

 

Что такое Jet CyberCamp

 

По данным Check Point, в 2021 г. кибератак стало на 40% больше, чем в 2020-м (в России — на 54% больше). В среднем, каждую неделю хакеры совершали 1153 нападения. Целевые атаки растут пропорционально. Они долго и тщательно планируются и часто основаны на инсайдерской информации. На их реализацию хакерские группировки закладывают от трех месяцев и более. В большинстве случаев злоумышленникам противостоят команды SOC. Проблема в том, что специалисты центров в основном сталкиваются со штатными угрозами, эксплуатацией общеизвестных уязвимостей и скрипт-кидди. У многих из них просто нет опыта работы со сложными, многоступенчатыми атаками, ведь его можно получить только в бою (как говорится, вам нужен опыт работы для первого места работы). Что с этим делать? Отправить ИБ-специалистов на киберучения.


На платформе Jet CyberCamp можно научиться противостоять разным видам атак. Для организации киберучений наши эксперты изучают громкие инциденты и актуальные уязвимости. Затем разрабатывают сценарий, состоящий из цепочки действий злоумышленников — от проникновения в сеть до установки майнера или кражи базы. В результате участники могут отработать навыки расследования и реагирования на инциденты в условиях, близких к реальным.


Изначально Jet CyberCamp закрывал внутренние потребности Jet Security Team. На небольшой инфраструктуре пентестеры исследовали новые уязвимости, а инженеры и специалисты SOC противостояли кибератакам. По мере развития платформа обрастала контентом: мы структурировали знания, создавали гайды по работе с СЗИ и процессами расследования инцидентов. В результате Jet CyberCamp превратился в полноценную площадку для киберучений с развитой инфраструктурой, множеством средств защиты, сильным теоретическим и практическим блоком. Теперь на ней тренируются не только Jet Security Team, но и наши заказчики и партнеры.


Кроме того, платформа включает функционал, позволяющий отслеживать успешность обучения, проверять полученные навыки и выявлять слабые и сильные стороны специалистов. Все это позволяет использовать Jet CyberCamp для решения самых разных бизнес-задач. Ниже приведем пять кейсов использования платформы.

 

Одна из ключевых задач Jet CyberCamp — регулярная прокачка практических навыков ИБ-специалистов. Мы готовы делиться опытом Jet Security Team, рассказывать об актуальных угрозах, ярких кейсах и лучших практиках защиты. Для этого мы регулярно дополняем платформу свежими сценариями, в основе которых лежат кейсы, с которыми сталкиваются специалисты «Инфосистемы Джет».

 

Кейс № 1: наем сотрудников

 

Вводные 

Компании А нужно регулярно находить новых специалистов первой линии SOC. Это связано с большим географически распределенным штатом и высокой текучкой на этой позиции. Люди не задерживаются на месте — случается и рост, и разочарование в работе. В целом задача решается на уровне филиалов, где для поиска и обучения специалистов первой линии выделены отдельные сотрудники.

 

Решение 

Проводим один из этапов собеседования в формате киберучений. Формируем для соискателей сценарии, не требующие глубоких навыков работы со средствами защиты, но выявляющие их сильные и слабые стороны. На платформе доступны сами сценарии, тесты до и после обучения, а также раздел Wiki с гайдами по СЗИ.

 

Компания оперативно получает информацию о прогрессе соискателей, оценивает их аналитические способности и навыки работы с большим объемом информации. Это помогает эффективнее отсеивать незаинтересованных соискателей и ускоряет интеграцию новичков в рабочий процесс. Кроме того, так проще выявлять специалистов, предрасположенных к работе с инцидентами. 

 

Кейс № 2: прокачка и карьерный рост специалистов 

 

Вводные 

Компания Б решает другую задачу: массовое стремление специалистов первой линии SOC перейти на вторую линию. Опять же, сотрудники редко задерживаются на своих местах — это связано и с монотонностью работы, и с интересом к новым вызовам. При этом далеко не все сотрудники, переходящие на вторую линию, остаются довольны — их представления о работе не всегда соответствуют действительности.

 

Решение 

Тренируем в Jet CyberCamp специалистов первой линии и проверяем, готовы ли они к переходу на вторую. Для этого формируем годовой план обучения, основанный на реальных кейсах второй линии. Во время тренировок действия каждого специалиста анализируются: учитываются результаты тестов, скорость прохождения сценариев, частота обращения к платформе и эффективность работы со средствами защиты. 

В результате сотрудники могут поработать с реальными задачами второй линии и решить, насколько им подходит эта роль. Некоторые понимают, что сначала им нужно подтянуть теорию и практические навыки. А те, кто успешно справляются с обучением, переходят на новую позицию и быстрее интегрируются в рабочий процесс.

Платформа помогает компании выявлять талантливых специалистов, которые засиделись на месте, и предоставляет прозрачный путь развития для всех, кто стремится к профессиональному росту. Кроме того, проект положительно влияет на общий уровень лояльности сотрудников.

 

Во время киберучений мы анализируем прогресс обучающихся по результатам выполнения разных задач. Например, учитываем скорость обнаружения флагов или написания верных правил. Для каждой тренировки выделены техники по матрице MITRE. Сценарии составлены так, чтобы при прохождении годового плана специалисты поработали со всеми актуальными техниками.

 

Кейс № 3: выбор продукта в рамках импортозамещения

 

Вводные 

Компания В не была ограничена в выборе СЗИ и в основном пользовалась продукцией западных вендоров. Но согласно указу Президента РФ от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» большую часть зарубежных решений нужно заменить на отечественные аналоги. Помимо кадровой проблемы (специалисты привыкли работать с западными продуктами) перед компанией встала задача выбора эффективных отечественных аналогов. 

 

Решение 

Здесь Jet CyberCamp выступает в роли площадки для демонстрации средств защиты. Как правило, демостенды оторваны от реальной инфраструктуры и демонстрируют уязвимости в вакууме. Например, работа антивируса показывается в отрыве от SIEM. Кроме того, чтобы протестировать решения разных вендоров, нужно провести массу встреч. Киберполигон же позволяет централизованно и наглядно увидеть совместную работу разных средств защиты. 

Для решения задачи можно разработать сценарий атаки, основанный на реальном опыте ИБ-специалистов компании В: они тестируют СЗИ одного класса от разных вендоров и выбирают подходящие решения. Дополнительно мы проводим комплексные киберучения (в том числе с участием вендоров), чтобы сотрудники быстрее познакомились с новыми инструментами. 

 

Кейс № 4: отработка плейбука и взаимодействие в команде

 

Вводные 

Компании Г удалось предотвратить серьезную кибератаку, но буквально в последний момент. Ее редко атакуют, ИБ-специалисты почти не сталкиваются со сложными вызовами, поэтому им банально не хватает практического опыта. При встрече с реальной угрозой они начинают штудировать внутренние регламенты, а не реагируют на инцидент. Кроме того, сотрудники не до конца понимают свою роль в команде, что ведет к простоям и дублированию активностей или работе не по плейбуку. 

 

Решение 

Для компании Г уместно проведение классических киберучений, включающих прокачку навыков командной работы и расследования инцидентов. Основная цель — наработка опыта на релевантных кейсах и отработка существующего плейбука. 

 

Кейс № 5: стресс-тесты и проверка знаний сотрудников

 

Вводные 

ИБ-специалисты компании Д часто сталкиваются с угрозами, но большинство из них достаточно просты: фишинговые письма, атаки на портал и подозрительная активность пользователей, которая имеет логическое объяснение. Но даже такие кейсы могут вывести специалистов SOC из строя. Причин две: плохо выстроенные процессы и трудности при работе с большим объемом данных.

Сотрудникам компании сложно приоритизировать задачи. Они признают, что не успевают и не знают, в каком порядке нужно реагировать на инциденты. И, как в прошлом кейсе, не все специалисты четко осознают свою зону ответственности. Один из показательных инцидентов: при очередной фишинговой рассылке один из технических специалистов поддался панике и написал письмо на всех ИБ-коллег с темой «Нас ломают!». После этого о работе по плейбуку речи не шло.  

 

Решение

Компании Д подходит годовая программа тренировок, включающая стресс-тесты и прокачку навыков командной работы. В ходе киберучений анализируем скорость прохождения сценариев и роли, которые выбирают для себя специалисты. Основная цель — улучшить навыки реагирования на инциденты и проверить знания о лучших практиках расследований. 

Как Jet CyberCamp помогает бороться с киберугрозами. Проблемы и решения.

Уведомления об обновлении тем – в вашей почте

SOC за четыре недели? А что, так можно было?

Что такое «быстро SOC»? Создание базовой конфигурации решения. Кейс «100 дней на SOC с нуля».

Mobile Forensics Day 2022: фокус на XDR

Какие факторы негативно влияют на ИБ-расследования? Как выглядит типовое расследование? Зачем нужны и как работают XDR-системы?

Пара слов об XDR

Что такое XDR? Варианты построения системы? Must have продукты экосистемы XDR?

«Эффект зарубежного банка»: Росбанк в новой ИБ-реальности

Почему уход западных вендоров не сильно повлиял на Росбанк? Как изменилась ИБ-стратегия банка в связи с кризисом? «Серые носороги» на российском рынке ИБ?

О банковском мошенничестве в целом и многообразии внутреннего в частности

Как автоматизировать контроль прав линейных сотрудников банка? Что лежит в основе моделей выявления аномального поведения? От чего зависит безопасность банковских бизнес-операций?

Новые Руководящие документы Гостехкомиссии России

Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.   ...

Информационная безопасность - обзор основных положений. Часть 2

Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Президенте РФ  В 1992 году Гостехкомиссия при Президенте РФ опубликовала пять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа ...

Собственный киберполигон, пентесты, биометрия и «Модель Аэропорт»: о чем рассказали на Jet Security Conference

Что такое ИБ-фреймворк «Модель Аэропорт»? Зачем «Инфосистемы Джет» решили вывести на рынок киберполигон? Почему всех заинтересовала биометрия, особенно способ открыть холодильник с просекко?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня