В дни между 24 и 28 апрель проводился на Центр передового опыта совместной киберзащиты НАТОв Таллине - учение «Запертые щиты», крупнейшее и самое передовое учение о киберзащите в мире.
Это упражнение направлено на то, чтобы привлечь экспертов по кибербезопасности к защите национальных систем ИТ.
Задача участвующих групп состояла в защите и поддержании систем и услуг гипотетической нации (эти группы людей со всего мира называются Синяя команда). В упражнении команды проходят ряд тестов, начиная от управления кибер-инцидентами и заканчивая более широкими юридическими, юридическими или стратегическими соображениями. Все должно быть как можно более реалистичным, чтобы широко использовались новые методы защиты и атаки, а также использовались все доступные новые технологии.
В частности, с помощью теста этого года мы пытались поддерживать работу сетей и служб военной авиабазы фиктивного государства, подверженных сложным атакам на систему электроснабжения, БЛА (беспилотные летательные аппараты), для систем управления и контроля, для критически важных ИТ-инфраструктур и т. д. Я думаю, что ясно, что размер этого упражнения и тип проблем, которым они подвергаются Синяя команда создает проблемы, которые охватывают все киберпространство, независимо от принятого определения1.
Больше чем 2500 возможные различные типы атак могут быть выполнены, чтобы проверить возможности Синяя команда, Для этого вызова противостоящим сторонам на самом деле есть также Красная Команда которые играют противоположную роль Синяя командаили атаковать и уничтожать (или красть данные, изменять их, делать их бесполезными и, таким образом, разрушать возможности противостоящих командования и управления), сети и служб.
В дополнение к тактическим аспектам операции, которые направлены на получение практических преимуществ в этой области, операция по киберзащите (или кибер-атаке!) Может иметь стратегические аспекты, например, воздействуя на моральное состояние всей нации или подвергая риску отрасль. мир программного обеспечения. Учения «Запертые щиты» впервые также приняли во внимание стратегические аспекты операций, проводимых в киберпространстве.
Упражнение не открыто для всех, но участие по приглашению. В текущем издании они участвовали Команда стран 25 для участников 800. Местом проведения учений был Таллин, в Эстонии, но «голубые команды» также могли участвовать из своей страны через безопасный доступ к сети.
Мероприятие проходило в два этапа. Сначала, 18 и 19 апреля, всем желающим была предоставлена возможность изучить сеть учений. На этом этапе синие команды смогли построить карты, необходимые для защиты.
Второй этап, активный, включал в себя соперников, в том числе Синяя команда Итальянский.
После этого небольшого вступления, которое направлено на то, чтобы дать каждому минимум знаний об этой деятельности, теперь давайте посмотрим более подробно, что произошло, через голос некоторых участников Синяя команда Итальянский Отдел компьютерных наук Римского университета Сапиенца.
Профессор Манчини, как сложилась сборная? Вы все играли как Blue Team?
Да, команда состояла из компонентов обороны, университетов и промышленности, все мы работали в качестве синей команды, но с конкретными задачами, такими как юридические вопросы, криминалистика, быстрое реагирование, информирование общественности, продажа билетов и т. Д. И т. Д.
Насколько вы можете судить, упражнение должно быть очень сложным. Какая документация была предоставлена? Вы реконструировали схемы сети?
Конечно, у нас был доступ к общей платформе, использованной для учебника, где у нас было краткое описание систем. Мы получили эффективный доступ только с ознакомлением 18-19 апреля, чтобы прикоснуться к некоторым настройкам.
У нас была схема сети, не очень подробная и включающая только те системы, которые должны были нам быть известны. Полная схема, с какой-либо AP Rouge или немаркированными машинами, была неизвестна.
Каковы были цели Синей команды?
Наша цель, как Blue Team, заключалась в мониторинге сети и управлении любыми инцидентами с технической, юридической и коммуникационной точек зрения.
Кто играл роль Red Team?
Красная команда состоит из членов самих стран, расположенных в Таллинне, в дополнение к членам CCDCOE и компаниям. Он представляет техническую группу, которая заранее знает всю инфраструктуру и связанные с ней уязвимости и систематически атакует различные группы для оценки возможностей реагирования и мониторинга.
Профессор Манчини, по вашему опыту, как такое упражнение можно считать реалистичным? В реальном мире киберпространство подвергается постоянным изменениям в своих компонентах, и у возможных злоумышленников есть время самостоятельно (APT считается наибольшим риском), в этом упражнении вместо этого нет времени изучать привычки пользователя и исследовать способы атаки. Это сильно ограничивает возможность атаковать подмножество реального. Что ты думаешь? Как организовать и осуществить упражнение, чтобы оно было максимально реалистичным?
Составленное таким образом упражнение, безусловно, является способом обучения в реальных сценариях, оно начинается с предположения, что системы скомпрометированы, поэтому, безусловно, образ мышления, который следует использовать чаще. Управление сложной инфраструктурой, такой как Locked Shields, безусловно, является стимулом для технических специалистов и должно использоваться системой для экспериментов с инновационными решениями или тестирования новых продуктов, будь то проприетарные продукты или продукты с открытым исходным кодом.
Один из самых сложных аспектов упражнения, безусловно, связан с ограничениями, например, вы не можете контролировать все в полной мере, но вам необходимо сделать выбор и последующую сортировку событий, чтобы понять, что следует рассматривать более подробно или нет, и все это, гарантируя пользовательский опыт, который должен продолжать работать без каких-либо проблем. Мы столкнулись с действиями пользователя, которые привели к угрозам безопасности, и поэтому нам нужно было смягчить эти действия, не затрагивая операции пользователя.
Профессор, мы благодарим вас за эти первые ответы, надеясь глубже погрузиться в некоторые аспекты этого упражнения и, в более общем смысле, в это «киберпространство», которое мы начинаем узнавать день за днем.
Примечание:
1 Нет общего определения киберпространства. Мы могли бы принять итальянскую версию, предусмотренную в недавнем DPCM февральского 17 2017, опубликованного в GU 13 в апреле 2017. Ст. 2.h определяет кибернетическое пространство как: «набор взаимосвязанных ИТ-инфраструктур, включая аппаратные средства, программное обеспечение, данные и пользователей, а также логические отношения между ними, как бы они ни устанавливались». Другие официальные определения можно найти по ссылке: https://ccdcoe.org/cyber-definitions.html.
источники:
https://ccdcoe.org/locked-shields-2017.html;
https://ccdcoe.org/cyber-definitions.html
http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-eser...
