vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Сфера кибербезопасности — это постоянная борьба и непрекращающаяся гонка защитников и атакующих. Хакеры становятся всё более изобретательными и проворачивают сложные схемы атак, способные нанести значительный ущерб компаниям любого масштаба.
Чтобы успешно отражать подобные нападения, недостаточно полагаться на традиционные методы защиты. Настоящая безопасность начинается тогда, когда организация готова думать и действовать так же, как её противники.
Именно поэтому мы провели киберучения в формате Red team и в этой статье делимся опытом: подходами, выбором сценариев, шагами для первой успешной реализации, а также ключевыми итогами наших первых учений. Статья пригодится тем, кто задумывается о повышении зрелости процессов безопасности в своей организации.
Меня зовут Александр Негода, я руковожу отделом анализа защищённости в блоке цифровых активов «Газпром-Медиа Холдинга», куда в том числе входит RUTUBE и онлайн-кинотеатр PREMIER. Основная задача моего отдела — обеспечивать устойчивость наших цифровых сервисов: проводить тестирование на проникновение (пентест), а с недавнего времени — и полноценные киберучения в формате red team. Проще говоря, мы ищем уязвимости и моделируем реалистичные сценарии атак на сервисы компании.
Так как наши цифровые площадки — известные и востребованные сервисы с многомиллионной аудиторией, они неизбежно привлекают внимание злоумышленников самого разного уровня подготовки. Мы, в свою очередь, хотим обеспечить защиту и надёжность наших сервисов и не допустить, чтобы атаки повлияли на пользователей или сотрудников компании. Поэтому наши главные задачи это: постоянный мониторинг и анализ возможных угроз, устранение уязвимостей и усовершенствование защитных систем.
В итоге логичным следующим шагом стало внедрение киберучений в формате red team. Обычно под этим понимают комплексное моделирование действий потенциального злоумышленника в условиях, максимально приближённых к реальным. Такой подход позволяет нам учитывать особенности оргструктуры компании, актуальную модель угроз, понимание того, какие точки инфраструктуры критичны, а какие — менее чувствительны. А также предполагаемое поведение атакующей стороны.
Важно понимать, что red team — это не работа одного отдела. Это совместная практика, в которой задействованы и команды безопасности, и SOC, и IT, и эксплуатация, и другие подразделения. Такой формат доступен только зрелым организациям: там, где уже есть выстроенные процессы, определённые модели угроз, представление о зонах ответственности и покрытии SOC, а также готовность работать с комплексной обратной связью, а не только со списком уязвимостей.
Отдельная сложность запуска red team — не превратить его в «расширенный пентест».
Важно помнить, что сценарий red team не должен быть копией конкретной APT-группировки или известного инцидента. Гораздо полезнее опираться на комбинацию типовых тактик и реалистичных для вашей инфраструктуры угроз. В киберучениях «проще» не значит «хуже»: хорошо продуманный, на первый взгляд несложный сценарий часто даёт больше практической пользы, чем сложная и перегруженная конструкция, созданная ради эффектности.
Полезным будет учесть заблаговременное согласование рабочих окон для отдельных этапов учений. Это поможет снизить влияние на бизнес, избежать неожиданных последствий для сервисов и заранее договориться о допустимых рамках активности. При этом здесь важно не переусердствовать: киберучения не должны превращаться в формат «пожарная тревога будет с 13:15 до 13:30, пожалуйста, не ставьте на это время встречи».
При этом сами учения проводились исключительно в рабочее дневное время, без ночных активностей, выходных и праздничных дней. Это принципиальный момент: red team не должен перегружать команду реагирования или отвлекать её от повседневных задач. Наша цель — оценить текущее состояние процессов и реакции SOC в нормальном рабочем режиме, а не создавать искусственный стресс за счёт нехарактерных условий.
Такой баланс между заранее согласованными рамками и неопределённостью внутри них, на наш взгляд, позволяет сохранить практическую ценность киберучений и при этом уважать рабочие процессы и нагрузку команд.
Параллельно мы исследовали доступные внутренние сервисы и процессы. Здесь довольно быстро проявились типичные для многих компаний, на первый взгляд незначительные проблемы. Где-то чувствительная информация могла быть передана в чате, где-то рабочий компьютер оставался разблокированным, пока сотрудник отходил за кофе, а где-то учётные записи по умолчанию продолжали существовать дольше необходимого. По отдельности такие вещи редко воспринимаются как серьёзная угроза, но в рамках целостного сценария они могут складываться в разрушительную цепочку.
В результате проведённые киберучения дали нам объёмное понимание того, как функционируют процессы безопасности в реальных условиях. Мы увидели, что базовые механизмы мониторинга работают эффективно и способны фиксировать даже малозаметные отклонения.
Кроме того, мы усилили сегментацию внутренних ресурсов и актуализировали политику доступа к офисной сети, уделив особое внимание сценариям, начинающимся с внутреннего периметра. Существенно улучшилось и межкомандное взаимодействие: SOC, IT, эксплуатация и другие подразделения получили чёткое понимание ролей, точек ответственности и алгоритмов коммуникации в условиях развивающегося сценария атаки.
Red team показал, что устойчивость компании — это не только результат работы отдельных технологий, но и показатель согласованности процессов и готовности команд действовать в условиях реальных угроз.
Ключевой вывод здесь в том, что максимальную практическую ценность дают не сложные сценарии и не количество найденных уязвимостей, а понимание того, как защита ведёт себя в реальной среде. Такой подход позволяет получить более глубокую и честную оценку безопасности и увидеть зоны развития, которые, как правило, остаются вне фокуса классического пентеста.
Мы планируем продолжать развивать практику киберучений, усложнять сценарии, включать новые модели угроз и расширять участие различных команд. А цель остаётся неизменной: создать устойчивую, зрелую и гибкую систему безопасности, способную противостоять современным атакам и защищать сервисы компании на высоком уровне.
Источник
Чтобы успешно отражать подобные нападения, недостаточно полагаться на традиционные методы защиты. Настоящая безопасность начинается тогда, когда организация готова думать и действовать так же, как её противники.
Именно поэтому мы провели киберучения в формате Red team и в этой статье делимся опытом: подходами, выбором сценариев, шагами для первой успешной реализации, а также ключевыми итогами наших первых учений. Статья пригодится тем, кто задумывается о повышении зрелости процессов безопасности в своей организации.
Меня зовут Александр Негода, я руковожу отделом анализа защищённости в блоке цифровых активов «Газпром-Медиа Холдинга», куда в том числе входит RUTUBE и онлайн-кинотеатр PREMIER. Основная задача моего отдела — обеспечивать устойчивость наших цифровых сервисов: проводить тестирование на проникновение (пентест), а с недавнего времени — и полноценные киберучения в формате red team. Проще говоря, мы ищем уязвимости и моделируем реалистичные сценарии атак на сервисы компании.
Так как наши цифровые площадки — известные и востребованные сервисы с многомиллионной аудиторией, они неизбежно привлекают внимание злоумышленников самого разного уровня подготовки. Мы, в свою очередь, хотим обеспечить защиту и надёжность наших сервисов и не допустить, чтобы атаки повлияли на пользователей или сотрудников компании. Поэтому наши главные задачи это: постоянный мониторинг и анализ возможных угроз, устранение уязвимостей и усовершенствование защитных систем.
Почему пентеста уже недостаточно
Классические проверки безопасности — пентест — по-прежнему остаются важной частью защиты. Они позволяют выявлять слабые места в отдельных компонентах инфраструктуры. Однако со временем стало очевидно, что пентесты дают лишь фрагментарное представление о рисках и не показывают, каким образом может действовать реальный атакующий и каких целей он способен достичь. Они отвечают на вопрос «какие уязвимости есть здесь и сейчас», но не отвечают на более важный вопрос: «как связка технических и организационных факторов может привести к действительно критичным последствиям».Что такое киберучения и зачем они нужны
В какой-то момент мы ясно увидели, что компании нужен более комплексный подход — такой, который позволит посмотреть на инфраструктуру глазами настоящего злоумышленника, а не только через призму заранее определённых чек-листов.В итоге логичным следующим шагом стало внедрение киберучений в формате red team. Обычно под этим понимают комплексное моделирование действий потенциального злоумышленника в условиях, максимально приближённых к реальным. Такой подход позволяет нам учитывать особенности оргструктуры компании, актуальную модель угроз, понимание того, какие точки инфраструктуры критичны, а какие — менее чувствительны. А также предполагаемое поведение атакующей стороны.
Важно понимать, что red team — это не работа одного отдела. Это совместная практика, в которой задействованы и команды безопасности, и SOC, и IT, и эксплуатация, и другие подразделения. Такой формат доступен только зрелым организациям: там, где уже есть выстроенные процессы, определённые модели угроз, представление о зонах ответственности и покрытии SOC, а также готовность работать с комплексной обратной связью, а не только со списком уязвимостей.
Отдельная сложность запуска red team — не превратить его в «расширенный пентест».
Как подготовить первые киберучения
При подготовке первых киберучений важно начать с методологии, которая позволит проводить их системно и безопасно. На данном этапе нужно определить цели учений, рамки допустимых действий, роли команд и критерии, по которым будут оцениваться результаты. Особое внимание стоит уделить границам учений: какие сегменты и активы входят в сценарий, что является точкой окончания сценария, какие действия мы принципиально не выполняем, чтобы не создавать рисков для пользователей и бизнеса.Важно помнить, что сценарий red team не должен быть копией конкретной APT-группировки или известного инцидента. Гораздо полезнее опираться на комбинацию типовых тактик и реалистичных для вашей инфраструктуры угроз. В киберучениях «проще» не значит «хуже»: хорошо продуманный, на первый взгляд несложный сценарий часто даёт больше практической пользы, чем сложная и перегруженная конструкция, созданная ради эффектности.
Полезным будет учесть заблаговременное согласование рабочих окон для отдельных этапов учений. Это поможет снизить влияние на бизнес, избежать неожиданных последствий для сервисов и заранее договориться о допустимых рамках активности. При этом здесь важно не переусердствовать: киберучения не должны превращаться в формат «пожарная тревога будет с 13:15 до 13:30, пожалуйста, не ставьте на это время встречи».
В нашем случае мы подошли к этому следующим образом: обозначили общие временные рамки проекта — условно, вторая половина марта и конец апреля — не раскрывая при этом точную дату начала активной фазы. У команды SOC было понимание, что в этот период проходят киберучения, однако они не знали, начнём ли мы в конкретный день, через несколько дней или вообще через неделю. Такой подход позволил сохранить реалистичность сценария.
При этом сами учения проводились исключительно в рабочее дневное время, без ночных активностей, выходных и праздничных дней. Это принципиальный момент: red team не должен перегружать команду реагирования или отвлекать её от повседневных задач. Наша цель — оценить текущее состояние процессов и реакции SOC в нормальном рабочем режиме, а не создавать искусственный стресс за счёт нехарактерных условий.
Такой баланс между заранее согласованными рамками и неопределённостью внутри них, на наш взгляд, позволяет сохранить практическую ценность киберучений и при этом уважать рабочие процессы и нагрузку команд.
Выбор легенды учений
Отдельное внимание мы уделили выбору сценария, который лёг в основу первых киберучений. Для проведения учений была выбрана легенда с инсайдером — сотрудником службы эксплуатации, имеющим физический доступ к офису. На первый взгляд такой сценарий может показаться простым, но выбор был сделан осознанно по нескольким причинам.- Во-первых, результаты внутренних фишинговых кампаний показывают, что даже при высоком уровне осознанности сотрудников сохраняется ненулевой риск социальной инженерии: около 9% пользователей продолжают взаимодействовать с потенциально опасными письмами, а до 5% готовы вводить учётные данные на поддельных страницах. В результате обычные, добросовестные сотрудники могут оказаться вовлечёнными в деструктивные действия — под давлением злоумышленников или вследствие социальной инженерии. Поэтому нам было важно проверить, насколько инфраструктура устойчива к угрозам, которые начинаются не с внешнего, а с внутреннего периметра.
- Во-вторых, это были наши первые киберучения в выбранном формате, и мы стремились сбалансировать сложность сценария. Данная модель позволила снизить нагрузку на команду защиты и дозировать интенсивность учений, сохранив при этом высокую практическую ценность.
Как проходили учения
Мы начали с минимальной стартовой позиции, доступной любому сотруднику, и сосредоточились на анализе внутренней среды с точки зрения возможных рисков. По мере продвижения по сети мы наблюдали, на какие активности SOC реагирует сразу, а какие остаются менее заметными. Это позволило лучше понять текущее покрытие мониторинга.Параллельно мы исследовали доступные внутренние сервисы и процессы. Здесь довольно быстро проявились типичные для многих компаний, на первый взгляд незначительные проблемы. Где-то чувствительная информация могла быть передана в чате, где-то рабочий компьютер оставался разблокированным, пока сотрудник отходил за кофе, а где-то учётные записи по умолчанию продолжали существовать дольше необходимого. По отдельности такие вещи редко воспринимаются как серьёзная угроза, но в рамках целостного сценария они могут складываться в разрушительную цепочку.
В результате проведённые киберучения дали нам объёмное понимание того, как функционируют процессы безопасности в реальных условиях. Мы увидели, что базовые механизмы мониторинга работают эффективно и способны фиксировать даже малозаметные отклонения.
Культура безопасности и совместная работа
Мы также убедились, что культура безопасности играет не меньшую роль, чем технологии. Осознанность сотрудников, корректное обращение с рабочими материалами, своевременное обновление учётных записей и строгое соблюдение принципов минимально необходимого доступа — всё это напрямую влияет на устойчивость инфраструктуры. Отдельно проявилась важность совместной работы. Red team по своей природе опирается на взаимодействие многих подразделений: SOC, IT, эксплуатации, владельцев сервисов.Хорошей иллюстрацией этого стал один из эпизодов в ходе учений. В рамках сценария мы получили доступ к почте одного из сотрудников и инициировали попытку сброса двухфакторной аутентификации для корпоративного мессенджера. На телефон сотрудника пришло push-уведомление, однако при проверке почты он не обнаружил соответствующего письма. Это показалось ему подозрительным, и он оперативно обратился в SOC. Это позволило команде реагирования быстро отработать ситуацию и пресечь один из потенциальных векторов развития атаки.
Как фиксировать результаты
Важно не только провести киберучения, но и корректно оформить результат. В red team нас интересуют не только отдельные уязвимости, но и вся цепочка действий от начальной точки до достижения цели тестирования. Поэтому в итоговый отчёт по критическим эпизодам мы фиксируем не просто факт «удачной атаки», а детализированную хронологию событий, включая:- дату и время компрометации ресурса;
- IP-адрес, с которого осуществлялась атака;
- IP-адрес и, при наличии, hostname атакованного хоста;
- имя пользователя или сервисной учётной записи, которая была скомпрометирована;
- дату и время проникновения в сегмент или к конкретному активу;
- дату и время закрепления на хосте;
- идентификатор уязвимости (CVE), которая была проэксплуатирована. В случае, если использовался самописный эксплойт, в отчёт включается его код и описание.
Что изменилось после первых киберучений
Первые киберучения стали отправной точкой для целого ряда улучшений, которые усилили устойчивость наших процессов и инфраструктуры. По итогам анализа мы обновили часть процедур мониторинга и реагирования. Были уточнены правила работы с рабочими материалами и повышены требования к своевременному обновлению ПО и парольной политике.Кроме того, мы усилили сегментацию внутренних ресурсов и актуализировали политику доступа к офисной сети, уделив особое внимание сценариям, начинающимся с внутреннего периметра. Существенно улучшилось и межкомандное взаимодействие: SOC, IT, эксплуатация и другие подразделения получили чёткое понимание ролей, точек ответственности и алгоритмов коммуникации в условиях развивающегося сценария атаки.
Значение Red Team для компании и дальнейшие шаги
Внедрение практики red team стало важным этапом повышения уровня зрелости системы информационной безопасности компании. Учения позволили взглянуть на защиту комплексно: увидеть не только точечные уязвимости, но и взаимосвязи между процессами, доступами, действиями сотрудников и скоростью межкомандного взаимодействия.Red team показал, что устойчивость компании — это не только результат работы отдельных технологий, но и показатель согласованности процессов и готовности команд действовать в условиях реальных угроз.
Ключевой вывод здесь в том, что максимальную практическую ценность дают не сложные сценарии и не количество найденных уязвимостей, а понимание того, как защита ведёт себя в реальной среде. Такой подход позволяет получить более глубокую и честную оценку безопасности и увидеть зоны развития, которые, как правило, остаются вне фокуса классического пентеста.
Мы планируем продолжать развивать практику киберучений, усложнять сценарии, включать новые модели угроз и расширять участие различных команд. А цель остаётся неизменной: создать устойчивую, зрелую и гибкую систему безопасности, способную противостоять современным атакам и защищать сервисы компании на высоком уровне.
Источник
