Как появилась платформа Jet CyberCamp?
Реальные бизнес-кейсы из нашей практики?
Как проходит обучение специалистов на киберучениях?
Что такое Jet CyberCamp
По данным Check Point, в 2021 г. кибератак стало на 40% больше, чем в 2020-м (в России — на 54% больше). В среднем, каждую неделю хакеры совершали 1153 нападения. Целевые атаки растут пропорционально. Они долго и тщательно планируются и часто основаны на инсайдерской информации. На их реализацию хакерские группировки закладывают от трех месяцев и более. В большинстве случаев злоумышленникам противостоят команды SOC. Проблема в том, что специалисты центров в основном сталкиваются со штатными угрозами, эксплуатацией общеизвестных уязвимостей и скрипт-кидди. У многих из них просто нет опыта работы со сложными, многоступенчатыми атаками, ведь его можно получить только в бою (как говорится, вам нужен опыт работы для первого места работы). Что с этим делать? Отправить ИБ-специалистов на киберучения.
На платформе Jet CyberCamp можно научиться противостоять разным видам атак. Для организации киберучений наши эксперты изучают громкие инциденты и актуальные уязвимости. Затем разрабатывают сценарий, состоящий из цепочки действий злоумышленников — от проникновения в сеть до установки майнера или кражи базы. В результате участники могут отработать навыки расследования и реагирования на инциденты в условиях, близких к реальным.
Изначально Jet CyberCamp закрывал внутренние потребности Jet Security Team. На небольшой инфраструктуре пентестеры исследовали новые уязвимости, а инженеры и специалисты SOC противостояли кибератакам. По мере развития платформа обрастала контентом: мы структурировали знания, создавали гайды по работе с СЗИ и процессами расследования инцидентов. В результате Jet CyberCamp превратился в полноценную площадку для киберучений с развитой инфраструктурой, множеством средств защиты, сильным теоретическим и практическим блоком. Теперь на ней тренируются не только Jet Security Team, но и наши заказчики и партнеры.
Кроме того, платформа включает функционал, позволяющий отслеживать успешность обучения, проверять полученные навыки и выявлять слабые и сильные стороны специалистов. Все это позволяет использовать Jet CyberCamp для решения самых разных бизнес-задач. Ниже приведем пять кейсов использования платформы.
Одна из ключевых задач Jet CyberCamp — регулярная прокачка практических навыков ИБ-специалистов. Мы готовы делиться опытом Jet Security Team, рассказывать об актуальных угрозах, ярких кейсах и лучших практиках защиты. Для этого мы регулярно дополняем платформу свежими сценариями, в основе которых лежат кейсы, с которыми сталкиваются специалисты «Инфосистемы Джет».
Кейс № 1: наем сотрудников
Вводные
Компании А нужно регулярно находить новых специалистов первой линии SOC. Это связано с большим географически распределенным штатом и высокой текучкой на этой позиции. Люди не задерживаются на месте — случается и рост, и разочарование в работе. В целом задача решается на уровне филиалов, где для поиска и обучения специалистов первой линии выделены отдельные сотрудники.
Решение
Проводим один из этапов собеседования в формате киберучений. Формируем для соискателей сценарии, не требующие глубоких навыков работы со средствами защиты, но выявляющие их сильные и слабые стороны. На платформе доступны сами сценарии, тесты до и после обучения, а также раздел Wiki с гайдами по СЗИ.
Компания оперативно получает информацию о прогрессе соискателей, оценивает их аналитические способности и навыки работы с большим объемом информации. Это помогает эффективнее отсеивать незаинтересованных соискателей и ускоряет интеграцию новичков в рабочий процесс. Кроме того, так проще выявлять специалистов, предрасположенных к работе с инцидентами.
Кейс № 2: прокачка и карьерный рост специалистов
Вводные
Компания Б решает другую задачу: массовое стремление специалистов первой линии SOC перейти на вторую линию. Опять же, сотрудники редко задерживаются на своих местах — это связано и с монотонностью работы, и с интересом к новым вызовам. При этом далеко не все сотрудники, переходящие на вторую линию, остаются довольны — их представления о работе не всегда соответствуют действительности.
Решение
Тренируем в Jet CyberCamp специалистов первой линии и проверяем, готовы ли они к переходу на вторую. Для этого формируем годовой план обучения, основанный на реальных кейсах второй линии. Во время тренировок действия каждого специалиста анализируются: учитываются результаты тестов, скорость прохождения сценариев, частота обращения к платформе и эффективность работы со средствами защиты.
В результате сотрудники могут поработать с реальными задачами второй линии и решить, насколько им подходит эта роль. Некоторые понимают, что сначала им нужно подтянуть теорию и практические навыки. А те, кто успешно справляются с обучением, переходят на новую позицию и быстрее интегрируются в рабочий процесс.
Платформа помогает компании выявлять талантливых специалистов, которые засиделись на месте, и предоставляет прозрачный путь развития для всех, кто стремится к профессиональному росту. Кроме того, проект положительно влияет на общий уровень лояльности сотрудников.
Во время киберучений мы анализируем прогресс обучающихся по результатам выполнения разных задач. Например, учитываем скорость обнаружения флагов или написания верных правил. Для каждой тренировки выделены техники по матрице MITRE. Сценарии составлены так, чтобы при прохождении годового плана специалисты поработали со всеми актуальными техниками.
Кейс № 3: выбор продукта в рамках импортозамещения
Вводные
Компания В не была ограничена в выборе СЗИ и в основном пользовалась продукцией западных вендоров. Но согласно указу Президента РФ от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» большую часть зарубежных решений нужно заменить на отечественные аналоги. Помимо кадровой проблемы (специалисты привыкли работать с западными продуктами) перед компанией встала задача выбора эффективных отечественных аналогов.
Решение
Здесь Jet CyberCamp выступает в роли площадки для демонстрации средств защиты. Как правило, демостенды оторваны от реальной инфраструктуры и демонстрируют уязвимости в вакууме. Например, работа антивируса показывается в отрыве от SIEM. Кроме того, чтобы протестировать решения разных вендоров, нужно провести массу встреч. Киберполигон же позволяет централизованно и наглядно увидеть совместную работу разных средств защиты.
Для решения задачи можно разработать сценарий атаки, основанный на реальном опыте ИБ-специалистов компании В: они тестируют СЗИ одного класса от разных вендоров и выбирают подходящие решения. Дополнительно мы проводим комплексные киберучения (в том числе с участием вендоров), чтобы сотрудники быстрее познакомились с новыми инструментами.
Кейс № 4: отработка плейбука и взаимодействие в команде
Вводные
Компании Г удалось предотвратить серьезную кибератаку, но буквально в последний момент. Ее редко атакуют, ИБ-специалисты почти не сталкиваются со сложными вызовами, поэтому им банально не хватает практического опыта. При встрече с реальной угрозой они начинают штудировать внутренние регламенты, а не реагируют на инцидент. Кроме того, сотрудники не до конца понимают свою роль в команде, что ведет к простоям и дублированию активностей или работе не по плейбуку.
Решение
Для компании Г уместно проведение классических киберучений, включающих прокачку навыков командной работы и расследования инцидентов. Основная цель — наработка опыта на релевантных кейсах и отработка существующего плейбука.
Кейс № 5: стресс-тесты и проверка знаний сотрудников
Вводные
ИБ-специалисты компании Д часто сталкиваются с угрозами, но большинство из них достаточно просты: фишинговые письма, атаки на портал и подозрительная активность пользователей, которая имеет логическое объяснение. Но даже такие кейсы могут вывести специалистов SOC из строя. Причин две: плохо выстроенные процессы и трудности при работе с большим объемом данных.
Сотрудникам компании сложно приоритизировать задачи. Они признают, что не успевают и не знают, в каком порядке нужно реагировать на инциденты. И, как в прошлом кейсе, не все специалисты четко осознают свою зону ответственности. Один из показательных инцидентов: при очередной фишинговой рассылке один из технических специалистов поддался панике и написал письмо на всех ИБ-коллег с темой «Нас ломают!». После этого о работе по плейбуку речи не шло.
Решение
Компании Д подходит годовая программа тренировок, включающая стресс-тесты и прокачку навыков командной работы. В ходе киберучений анализируем скорость прохождения сценариев и роли, которые выбирают для себя специалисты. Основная цель — улучшить навыки реагирования на инциденты и проверить знания о лучших практиках расследований.