RU2808388C1 - Method and system of cyber training - Google Patents
Method and system of cyber training Download PDFInfo
- Publication number
- RU2808388C1 RU2808388C1 RU2022130614A RU2022130614A RU2808388C1 RU 2808388 C1 RU2808388 C1 RU 2808388C1 RU 2022130614 A RU2022130614 A RU 2022130614A RU 2022130614 A RU2022130614 A RU 2022130614A RU 2808388 C1 RU2808388 C1 RU 2808388C1
- Authority
- RU
- Russia
- Prior art keywords
- cyber
- virtual
- infrastructure
- personal computer
- server
- Prior art date
Links
- 238000012549 training Methods 0.000 title claims abstract description 128
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000004044 response Effects 0.000 claims abstract description 37
- 230000003993 interaction Effects 0.000 claims abstract description 13
- 230000000694 effects Effects 0.000 claims abstract description 7
- 230000002085 persistent effect Effects 0.000 claims abstract description 7
- 230000015572 biosynthetic process Effects 0.000 claims abstract description 4
- 238000012423 maintenance Methods 0.000 claims abstract description 4
- 239000000126 substance Substances 0.000 claims abstract description 4
- 238000012544 monitoring process Methods 0.000 claims description 13
- 238000013515 script Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 6
- 238000011835 investigation Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 239000000463 material Substances 0.000 claims description 4
- 230000008520 organization Effects 0.000 claims description 4
- 238000011161 development Methods 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000003860 storage Methods 0.000 claims description 3
- 239000013589 supplement Substances 0.000 claims description 3
- 230000036541 health Effects 0.000 claims description 2
- 230000035515 penetration Effects 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 241001397173 Kali <angiosperm> Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Abstract
Description
Область техники, к которой относится изобретениеField of technology to which the invention relates
Изобретение относится к компьютерным способам и системам обучения и тренировки.The invention relates to computer methods and systems for teaching and training.
Такие способы и системы предназначены для обучения персонала и привития обучаемым практических навыков без задействования объектов, функционирующих в реальных условиях.Such methods and systems are intended for training personnel and instilling practical skills in students without involving objects operating in real conditions.
Здесь и далее обозначены:Hereinafter indicated:
термином «кибератака» - любой наступательный маневр, нацеленный на компьютерные информационные системы, компьютерные сети, инфраструктуру или персональные компьютерные устройства;the term “cyber attack” is any offensive maneuver aimed at computer information systems, computer networks, infrastructure or personal computer devices;
термином «злоумышленник» - человек или процесс, который пытается получить доступ к данным, функциям или другим ограниченным областям системы без разрешения, потенциально со злым умыслом;an attacker is a person or process that attempts to gain access to data, functions, or other restricted areas of a system without permission, potentially with malicious intent;
термином «инцидент» - появление одного или нескольких нежелательных, или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности;the term “incident” is the occurrence of one or more unwanted or unexpected information security events that are associated with a significant likelihood of compromising business operations and creating a threat to information security;
термином «киберполигон» - система моделирования киберугроз и ликвидации инцидентов безопасности в информационных инфраструктурах;the term “cyber testing ground” means a system for modeling cyber threats and eliminating security incidents in information infrastructures;
терминами «кибертренировка», «киберучение» - «репетиция» действий обучаемых по обнаружению и реагированию на инциденты информационной безопасности, проводимых с целью привития и совершенствования практических навыков у обучаемых.terms “cyber training”, “cyber training” - “rehearsal” of trainees’ actions to detect and respond to information security incidents, carried out with the aim of instilling and improving practical skills in trainees.
Уровень техникиState of the art
С развитием информационных и телекоммуникационных инфраструктур появляются новые угрозы, связанные с информационной безопасностью, влияющие на государственную и коммерческую деятельность. Неправомерный доступ, передача, применение и уничтожение конфиденциальной информации, как и нарушение процессов ее обработки в информационных системах, причиняют существенный материальный и (или) моральный ущерб участникам информационного взаимодействия.With the development of information and telecommunications infrastructures, new threats related to information security appear, affecting government and commercial activities. Unauthorized access, transfer, use and destruction of confidential information, as well as disruption of its processing in information systems, cause significant material and (or) moral damage to participants in information interaction.
С ростом зависимости от технологий информационных систем и Интернета количество кибератак растет угрожающими темпами. Киберугрозы продолжают развиваться, и с каждым днем они все более усложняются, воздействуя на потребителей, предприятия и государственные учреждения.With the increasing dependence on information systems technology and the Internet, the number of cyber attacks is growing at an alarming rate. Cyber threats continue to evolve and become more complex every day, affecting consumers, businesses and government agencies.
Основными направлениями обеспечения информационной безопасности являются оперативное обнаружение и реагирование на инциденты информационной безопасности, вызванные кибератаками, а также применение средств защиты информации и реализация комплекса организационно-технических мероприятий с участием специалистов по информационной безопасности.The main areas of ensuring information security are the prompt detection and response to information security incidents caused by cyber attacks, as well as the use of information security tools and the implementation of a set of organizational and technical measures with the participation of information security specialists.
Поскольку количество кибератак продолжает увеличиваться, а сами они становятся все более изощренными, потребность в квалифицированных специалистах информационной безопасности также растет.As the number of cyber attacks continues to increase and they become more sophisticated, the need for skilled information security professionals is also growing.
Особо востребованы специалисты, владеющие практическими навыками противодействия кибератакам, в частности, специалисты по обнаружению компьютерных атак и расследованию компьютерных инцидентов в составе команды (подразделения) информационной безопасности.Specialists with practical skills in countering cyber attacks are especially in demand, in particular, specialists in detecting computer attacks and investigating computer incidents as part of an information security team (unit).
Обучение в учебном классе, либо под руководством опытных сотрудников, имеющих доступ к работающим системам, мало эффективны для привития обучаемым практических навыков по отражению атак и навыков взаимодействия внутри команды.Training in a classroom, or under the guidance of experienced employees with access to working systems, is not very effective in instilling practical skills in students to repel attacks and interaction skills within a team.
Традиционные способы обучения не могут справиться с быстро меняющимися угрозами безопасности и не позволяют достаточно быстро обучать персонал. Программы обучения, ориентированные на реальные сценарии кибератак, быстро устаревают из-за возникновения новых видов кибератак.Traditional training methods cannot cope with rapidly changing security threats and cannot train personnel quickly enough. Training programs that focus on real-life cyberattack scenarios are quickly becoming outdated as new types of cyberattacks emerge.
Для обучения специалистов по кибербезопасности иногда организуют классические тренинги, деловые игры или киберсоревнования (CTF). Их проведение требует сложной логистики, согласования дат, аренды помещений, перемещения обучаемых и т.п. Кроме этого, в ходе тренингов и киберсоревнований практически отсутствует обратная связь и контроль за действиями участников. Отсутствует возможность выбора защищаемой ИТ-инфраструктуры, подходящей профилю и специализации обучаемых.To train cybersecurity specialists, classical trainings, business games or cyber competitions (CTF) are sometimes organized. Conducting them requires complex logistics, coordination of dates, rental of premises, movement of trainees, etc. In addition, during trainings and cyber competitions there is practically no feedback and control over the actions of participants. There is no possibility of choosing a protected IT infrastructure that suits the profile and specialization of the trainees.
Производственная практика в профильных подразделениях информационной безопасности не всегда возможна, т.к. сопряжена с рисками негативного влияния на функционирование действующих информационных систем.Industrial practice in specialized information security departments is not always possible, because is associated with risks of negative impact on the functioning of existing information systems.
Подобные традиционные подходы к обучению не позволяют сформировать достаточные практические навыки командной работы специалистов по информационной безопасности.Such traditional approaches to training do not allow one to develop sufficient practical skills in teamwork among information security specialists.
Практические навыки обнаружения кибератак и реагирования на инциденты наиболее эффективно нарабатываются в ходе кибертренировок на программно-аппаратной учебно-тренировочной базе, позволяющей имитировать реалистические ИТ-инфраструктуры, многократно симулировать сценарии атак и отрабатывать практические навыки реагирования на инциденты с минимизацией негативных последствий. Создание такой программно-аппаратной учебно-тренировочной базы является актуальной задачей.Practical skills in detecting cyber attacks and responding to incidents are most effectively developed during cyber training on a software and hardware training base that allows you to simulate realistic IT infrastructures, repeatedly simulate attack scenarios and practice practical skills in responding to incidents while minimizing negative consequences. The creation of such a software and hardware training base is an urgent task.
В известном решении по патенту US10979448B2 на сервере хранят набор возможных реакций на смоделированную кибератаку, моделируют на сервере атаку на компьютерную сеть, ответ компьютерной сети на кибератаку сравнивают с набором заранее определенных реакций для принятия решения на защиту.In the well-known solution according to the patent US10979448B2, a set of possible reactions to a simulated cyber attack is stored on the server, an attack on a computer network is simulated on the server, and the computer network’s response to the cyber attack is compared with a set of predetermined reactions to make a decision on protection.
Указанное решение позволяет сравнивать ответы (реакции) элементов сети на кибератаки с заранее определенными ответами. В силу таких ограничений возможности указанного решения по привитию индивидуальных и командных практических навыков обучаемым по выявлению кибератак и реагирования на инциденты не достаточны.This solution allows you to compare the responses (reactions) of network elements to cyber attacks with predetermined responses. Due to such limitations, the capabilities of this solution to impart individual and team practical skills to trainees in identifying cyber attacks and responding to incidents are not sufficient.
Известна система и способ локального киберобучения по патенту US2020/0184847A1, содержащая генератор журналов, процессор, сконфигурированный для генерации одного или нескольких фиктивных файлов журналов, идентифицируемых системой мониторинга. Каждый фиктивный файл журнала содержит одну или несколько записей, идентифицируемых системой как атаку на одну информационную систему. Предоставление фиктивных файлов журналов заставляет анализировать фиктивные файлы журналов, выявлять признаки и генерировать одно или несколько предупреждений об атаках.A system and method for local cyber learning is known according to patent US2020/0184847A1, containing a log generator, a processor configured to generate one or more dummy log files identified by the monitoring system. Each dummy log file contains one or more entries that the system identifies as an attack on a single information system. Providing bogus log files forces the bogus log files to be analyzed, detect symptoms, and generate one or more attack alerts.
Возможности данного способа локального киберобучения ограничены лишь предупреждением об атаке и не недостаточны для минимизации негативных последствий атаки.The capabilities of this method of local cyber training are limited only by warning of an attack and are not insufficient to minimize the negative consequences of the attack.
В способе разработки задания для системы киберобучения по патенту US2020/0342779A1 пользователь создает среду для использования в системе киберобучения. Среда миссии может включать виртуальную сеть, содержащую виртуальные машины или устройства. Пользователь с использованием графического интерфейса может создать новую миссию или редактировать существующую миссию из базы данных миссий.In the method for developing a task for a cyber learning system in patent US2020/0342779A1, the user creates an environment for use in the cyber learning system. The mission environment may include a virtual network containing virtual machines or devices. The user using the GUI can create a new mission or edit an existing mission from the mission database.
Данный способ обеспечивает оперативное создание и использование виртуальных сред для киберобучения, однако отсутствие инструментов для обучаемых по мониторингу и реагированию на инциденты не позволяет обучаемым в полной мере выполнять задачи по реагированию на кибератаки и минимизации их последствий.This method ensures the rapid creation and use of virtual environments for cyber training, however, the lack of tools for students to monitor and respond to incidents does not allow students to fully perform the tasks of responding to cyber attacks and minimizing their consequences.
Более близким к заявленному способу является способ кибертренировок (патент US2017/0304707A1) на специальной учебной базе - киберполигоне, сконфигурированным с игровым движком и менеджером виртуальной среды для имитации реалистичной виртуальной ИТ-инфраструктуры в виртуальной программной среде, эмуляции среды функционирования реалистичной виртуальной ИТ-инфраструктуры путем имитации нагрузочного потока данных, инициации кибертренировки управляющими командами посредством прямого или удаленного доступа к виртуальной программной среде, предоставления доступа обучаемым к виртуальной программной среде, имитации, по меньшей мере, одного сценария кибератаки, по меньшей мере, на один из элементов реалистичной виртуальной ИТ-инфраструктуры, обнаружения и идентификации инцидентов, вызванных кибератаками, наблюдения и фиксации действий обучаемых, оценивания практических навыков каждого обучаемого, выявления пробелов в навыках и положительных сторон обучаемых.Closer to the claimed method is a method of cyber training (patent US2017/0304707A1) on a special training base - a cyber training ground, configured with a game engine and a virtual environment manager to simulate a realistic virtual IT infrastructure in a virtual software environment, emulating the operating environment of a realistic virtual IT infrastructure by simulating a load data flow, initiating cyber training by management teams through direct or remote access to a virtual software environment, providing trainees with access to a virtual software environment, simulating at least one cyber attack scenario on at least one element of a realistic virtual IT infrastructure , detecting and identifying incidents caused by cyber attacks, monitoring and recording the actions of trainees, assessing the practical skills of each trainee, identifying gaps in skills and positive aspects of trainees.
Указанный способ и система выбраны за прототип.The specified method and system were chosen as a prototype.
Прототип позволяет проводить тренировки обучаемых с различными видами ИТ-инфраструктур и сценариев кибератак.The prototype allows trainees to train with various types of IT infrastructures and cyber attack scenarios.
Недостатком прототипа является недостаточность арсенала программно-аппаратных средств для развертывания сетевой структуры и обеспечения сетевого взаимодействия для реализации кибертренировок по обнаружению кибератак и реагированию на инциденты информационной безопасности.The disadvantage of the prototype is the insufficiency of the arsenal of software and hardware for deploying a network structure and ensuring network interaction for the implementation of cyber training to detect cyber attacks and respond to information security incidents.
Раскрытие сущности изобретенияDisclosure of the invention
В основу изобретения положена задача расширения арсенала программно-аппаратных средств сетевой структуры и сетевого взаимодействия для реализации кибертренировок по обнаружению кибератак и реагированию на инциденты информационной безопасности.The invention is based on the task of expanding the arsenal of software and hardware tools for network structure and network interaction for the implementation of cyber training to detect cyber attacks and respond to information security incidents.
Техническим результатом заявленного изобретения является обеспечение сетевого взаимодействия для реализации кибертренировок по обнаружению кибератак и реагированию на инциденты информационной безопасности.The technical result of the claimed invention is to provide network interaction for the implementation of cyber training to detect cyber attacks and respond to information security incidents.
Указанный технический результат достигается тем, что в способе сетевого взаимодействия для реализации кибертренировок, состоящем в том, что системный сервер, содержащий процессор и память, соединяют с персональным компьютером администратора, содержащим по меньшей мере один процессор, по меньшей мере один видеодисплей и по меньшей мере одно устройство ввода администратора. конфигурируют постоянный машиночитаемый код, хранящийся в памяти и исполняемый процессором системного сервера для реализации по меньшей мере одной базы данных ИТ-инфраструктур, связанной с системным сервером, а также для реализации по меньшей мере одного сервера кибертренировки для приема ввода выбранной реалистичной виртуальной ИТ-инфраструктуры по запросу от персонального компьютера администратора и отображения информации, касающейся среды ИТ-инфраструктуры и для реализации диспетчера виртуальной среды, сконфигурированного для генерации в ответ на запрос от сервера кибертренировки виртуальной ИТ-инфраструктуры, содержащей виртуальные элементы, соединенные в виртуальную сеть, и виртуальный инструмент для использования сервером кибертренировки при реализации кибертренировки; имитируют реалистичную виртуальную ИТ-инфраструктуру в виртуальной программной среде системного сервера и эмулируют среду функционирования реалистичной виртуальной ИТ-инфраструктуры путем генерации нагрузочного трафика сервера кибертренировки, сконфигурированного для приема ввода выбранной реалистической виртуальной ИТ-инфраструктуры по запросу от персонального компьютера администратора, инициируют кибертренировку управляющими командами посредством доступа к виртуальной программной среде системного сервера, имитируют, по меньшей мере, один сценарий кибератаки, по меньшей мере, на один из элементов реалистичной виртуальной ИТ-инфраструктуры, обучаемые обнаруживают и идентифицируют инциденты, вызванные кибератаками, наблюдают и фиксируют действия обучаемых, оценивают практические навыки каждого обучаемого согласно изобретательскому замыслу доступ к виртуальной программной среде предоставляют с одного персонального компьютера инструктора и с по меньшей мере одному персонального компьютера обучаемого, при этом указанный персональный компьютер инструктора и указанные персональные компьютеры обучаемых обмениваются данными через веб-сервер, содержащий процессор и память, с сервером кибертренировки и реалистичной виртуальной ИТ-инфраструктурой; конфигурируют постоянный машиночитаемый код, хранящийся в памяти и исполняемый процессором веб-сервера, для реализации интерфейса обмена данными с указанным персональным компьютером инструктора и с указанными персональными компьютерами обучаемых; дополнительно конфигурируют постоянный машиночитаемый код, хранящийся в памяти и исполняемый процессором системного сервера для реализации по меньшей мере одной базы данных кибертренировок; сервер кибертренировки используют для: генерации по запросу от персонального компьютера инструктора нагрузочного трафика, скриптов хакерских атак и отчетов о кибертренировке; формирования и ведения обучаемыми электронных карточек инцидентов; отображения указанным персональным компьютером инструктора и указанными персональными компьютерами обучаемых информации, касающейся среды реалистичной виртуальной ИТ-инфраструктуры и информации из электронных карточек инцидентов; а также для ведения скоринга кибертренировки и накопления статистических данных в базе данных кибертренировок; кибертренировку инициируют управляющими командами с персонального компьютера инструктора, обучаемые обнаруживают и идентифицируют инциденты путем выявления признаков инцидентов в среде виртуальной ИТ-инфраструктуры, заносят с использованием персонального компьютера сведения о каждом обнаруженном ими инциденте в электронную карточку инцидента, дополняют электронную карточку инцидента результатами расследования с указанием мер реагирования, минимизирующих последствия инцидента и предотвращающих повторение инцидента в будущем, реализуют меры реагирования, электронную карточку инцидента сохраняют в базе данных кибертренирновок и используют ее в последующих кибертренировках, при оценивании практических навыков обучаемых используют сведения из базы данных кибертренировок.This technical result is achieved in that in the method of network interaction for implementing cyber training, which consists in the fact that a system server containing a processor and memory is connected to an administrator’s personal computer containing at least one processor, at least one video display and at least one administrator input device. configuring persistent machine-readable code stored in memory and executed by a processor of the system server for implementing at least one IT infrastructure database associated with the system server, and also for implementing at least one cyber training server for receiving input from the selected realistic virtual IT infrastructure according to request from the administrator's personal computer and display information regarding the IT infrastructure environment and to implement a virtual environment manager configured to generate, in response to a request from a cyber training server, a virtual IT infrastructure containing virtual elements connected in a virtual network, and a virtual tool for use cyber training server when implementing cyber training; simulate a realistic virtual IT infrastructure in a virtual software environment of a system server and emulate the operating environment of a realistic virtual IT infrastructure by generating load traffic of a cyber training server configured to receive input of a selected realistic virtual IT infrastructure upon request from the administrator’s personal computer, initiate cyber training with control commands via access to the virtual software environment of the system server, simulate at least one cyber attack scenario on at least one element of a realistic virtual IT infrastructure, students detect and identify incidents caused by cyber attacks, observe and record the actions of students, evaluate practical skills each student, according to the inventive concept, access to the virtual software environment is provided from one personal computer of the instructor and from at least one personal computer of the student, while the specified personal computer of the instructor and the specified personal computers of the students exchange data through a web server containing a processor and memory, with cyber training server and realistic virtual IT infrastructure; configuring a permanent machine-readable code stored in memory and executed by the web server processor to implement a data exchange interface with the specified personal computer of the instructor and with the specified personal computers of the students; further configuring permanent machine-readable code stored in memory and executed by the system server processor to implement at least one cyber training database; The cyber training server is used to: generate load traffic, hacker attack scripts and cyber training reports upon request from the instructor’s personal computer; formation and maintenance of electronic incident cards by trainees; displaying by the specified personal computer of the instructor and the specified personal computers of the students information regarding the environment of a realistic virtual IT infrastructure and information from electronic incident cards; as well as for scoring cyber training and accumulating statistical data in the cyber training database; cyber training is initiated by control commands from the instructor’s personal computer, trainees detect and identify incidents by identifying signs of incidents in a virtual IT infrastructure environment, use a personal computer to enter information about each incident they detect into an electronic incident card, supplement the electronic incident card with the results of the investigation indicating measures response, minimizing the consequences of the incident and preventing a recurrence of the incident in the future, implement response measures, save the electronic incident card in the cyber training database and use it in subsequent cyber training, and use information from the cyber training database when assessing the practical skills of trainees.
Первое дополнительное отличие состоит в том, что реалистичную виртуальную ИТ-инфраструктуру имитируют в одном из вариантов: корпоративная информационная сеть организации; автоматизированная система управления производственными и технологическими процессами; телекоммуникационная сеть; информационная сеть банка; информационная сеть организации здравоохранения, транспорта, электроэнергетики, атомной энергетики, металлургической и химической промышленности.The first additional difference is that a realistic virtual IT infrastructure is simulated in one of the options: a corporate information network of an organization; automated control system for production and technological processes; telecommunications network; bank information network; information network of health care, transport, electric power, nuclear power, metallurgical and chemical industries.
Второе дополнительное отличие состоит в том, что в качестве виртуальной программной среды используют гипервизор с низкоуровневой программно-аппаратной оболочкой с одновременным выполнением на одном компьютере нескольких операционных систем с разделением между ними ресурсов компьютера.The second additional difference is that a hypervisor with a low-level software and hardware shell is used as a virtual software environment with the simultaneous execution of several operating systems on one computer, dividing computer resources between them.
Третье дополнительное отличие состоит в том, что сценарий кибератаки имитируют в виртуальной программной среде путем генерации скриптов хакерской активности или сценарий кибератаки выбирают из перечня заранее сгенерированных сценариев, хранящихся в базе данных кибертренировок.The third additional difference is that the cyber attack scenario is simulated in a virtual software environment by generating hacker activity scripts, or the cyber attack scenario is selected from a list of pre-generated scenarios stored in the cyber training database.
Четвертое дополнительное отличие состоит в том, что нагрузочный поток данных имитируют в виртуальной программной среде путем генерации внешнего и внутреннего трафика виртуальной ИТ-инфраструктуры в виде скриптов на рабочих станциях.The fourth additional difference is that the load data flow is simulated in a virtual software environment by generating external and internal traffic of the virtual IT infrastructure in the form of scripts on workstations.
Пятое дополнительное отличие состоит в том, что нагрузочный поток данных имитируют трафиком одного вида или комбинацией из нескольких видов трафиков, выбираемых из перечня: web-трафик, почтовый трафик, трафик технологической сети, трафик вредоносной активности, трафик Интернета вещей, трафик взаимодействия с сетевыми хранилищами, подключением по протоколу удаленного рабочего стола RDP (Remote Desktop Protocol), обращением к контроллеру домена (DC), копия реального трафика корпоративной или технологической сети.The fifth additional difference is that the load data flow is simulated with one type of traffic or a combination of several types of traffic selected from the list: web traffic, email traffic, technological network traffic, malicious activity traffic, Internet of Things traffic, traffic interacting with network storages , connecting via the remote desktop protocol RDP (Remote Desktop Protocol), accessing a domain controller (DC), a copy of the real traffic of a corporate or technological network.
Шестое дополнительное отличие состоит в том, что кибератаки на виртуальную ИТ-инфраструктуру имитирует один из атакующих или несколько атакующих из команды атаки путем выявления и эксплуатации уязвимостей в виртуальной ИТ-инфраструктуре, сведения о выявленных уязвимостях виртуальной ИТ-инфраструктуры заносят в электронные карточки уязвимостей, а при оценивании индивидуальных и командных практических навыков атакующих учитывают время, затраченное на выявление уязвимостей и эксплуатацию выявленных уязвимостей, достоверность и полноту отражения сведений, указанных в электронной карточке уязвимостей.The sixth additional difference is that cyber attacks on a virtual IT infrastructure are imitated by one of the attackers or several attackers from the attack team by identifying and exploiting vulnerabilities in the virtual IT infrastructure, information about the identified vulnerabilities of the virtual IT infrastructure is entered into electronic vulnerability cards, and When assessing individual and team practical skills of attackers, they take into account the time spent identifying vulnerabilities and exploiting identified vulnerabilities, the reliability and completeness of the information specified in the electronic vulnerability card.
Седьмое дополнительное отличие состоит в том, что доступ обучаемым к виртуальной программной среде предоставляют посредством веб-интерфейса и механизма аутентификации по логину и паролю.The seventh additional difference is that students have access to the virtual software environment through a web interface and an authentication mechanism using a login and password.
Восьмое дополнительное отличие состоит в том, что к признакам инцидента, вызванного кибератакой, относят: аномалии в трафике, изменение файловой структуры, несанкционированные транзакции и иные отклонения от штатного режима работы, по меньшей мере, одного из элементов реалистичной виртуальной ИТ-инфраструктуры.The eighth additional difference is that signs of an incident caused by a cyber attack include: traffic anomalies, changes in file structure, unauthorized transactions and other deviations from the normal operation of at least one element of a realistic virtual IT infrastructure.
Девятое дополнительное отличие состоит в том, что сведения об обнаруженном инциденте заносят в электронную карточку инцидента в текстовом формате с приложением скриншотов, файлов, ссылок на журнал событий, извещений от средств защиты информации и иных материалов, идентифицирующих инцидент.The ninth additional difference is that information about a detected incident is entered into an electronic incident card in text format with attached screenshots, files, links to the event log, notifications from information security tools and other materials identifying the incident.
Десятое дополнительное отличие состоит в том, что электронные карточки инцидентов распределяют между обучаемыми для выполнения задач реагирования на инциденты с учетом выявленных сведений об инцидентах и с учетом компетенций и загруженности обучаемых.The tenth additional difference is that electronic incident cards are distributed among trainees to perform incident response tasks, taking into account the identified information about incidents and taking into account the competencies and workload of the trainees.
Одиннадцатое дополнительное отличие состоит в том, что действия обучаемого по каждому инциденту фиксируют в базе данных кибертренировок с указанием результатов расследования, принятых мерах реагирования и времени, затраченного на обнаружение и фиксацию сведений об обнаруженном инциденте в электронной карточке инцидента.The eleventh additional difference is that the trainee’s actions for each incident are recorded in the cyber training database, indicating the results of the investigation, the response measures taken and the time spent on detecting and recording information about the detected incident in the electronic incident card.
Двенадцатое дополнительное отличие состоит в том, что при расследовании инцидента фиксируют сведения о типе и об источнике кибератаки, вызвавшей инцидент, о последовательности ее развития, особенностях, степени и характере ее влияния на элементы виртуальной ИТ-инфраструктуры и на средства защиты информации, нарушениях целостности данных и другие сведения, характеризующие инцидент.The twelfth additional difference is that when investigating an incident, information is recorded about the type and source of the cyber-attack that caused the incident, the sequence of its development, features, degree and nature of its impact on elements of the virtual IT infrastructure and on information security measures, violations of data integrity and other information characterizing the incident.
Тринадцатое дополнительное отличие состоит в том, что в качестве средств скоринга и статистики используют программный модуль скоринга и статистики и программный модуль генерации отчетов.The thirteenth additional difference is that the scoring and statistics software module and the report generation software module are used as scoring and statistics tools.
Четырнадцатое дополнительное отличие состоит в том, что индивидуальные практические навыки обучаемого по мониторингу оценивают по своевременности, достоверности и полноте сведений, указанных им в электронной карточке инцидента, а индивидуальные практические навыки обучаемого по реагированию оценивают по количеству устраненных инцидентов и времени, затраченного на устранение инцидентов.The fourteenth additional difference is that the individual practical skills of the student in monitoring are assessed by the timeliness, reliability and completeness of the information specified by him in the electronic incident card, and the individual practical skills of the student in response are assessed by the number of incidents resolved and the time spent on eliminating incidents.
Пятнадцатое дополнительное отличие состоит в том, что практические навыки командной работы обучаемых оценивают по количеству обнаруженных и расследованных инцидентов, а также времени, затраченного командой обучаемых на обнаружение и реагирование на инциденты.A fifteenth additional difference is that trainees' practical teamwork skills are assessed by the number of incidents detected and investigated, as well as the time spent by the trainee team detecting and responding to incidents.
В систему сетевого взаимодействия для реализации кибертренировок, включающую персональный компьютер администратора, содержащий по меньшей мере один процессор, по меньшей мере один видеодисплей и по меньшей мере одно устройство ввода администратора; системный сервер, содержащий процессор и память, при этом системный сервер обменивается данными с персональным компьютером администратора; постоянный машиночитаемый код, хранящийся в памяти и исполняемый процессором системного сервера для реализации по меньшей мере одного сервера кибертренировки, который сконфигурирован для приема ввода выбранной виртуальной ИТ-инфраструктуры по запросу от администратора и отображения информации, касающейся среды ИТ-инфраструктуры; по меньшей мере одну базу данных ИТ-инфраструктур, связанную с системным сервером; постоянный машиночитаемый код, хранящийся в памяти и исполняемый процессором системного сервера для реализации диспетчера виртуальной среды, сконфигурированного для генерации в ответ на запрос от сервера кибертренировки виртуальной ИТ-инфраструктуры, содержащей виртуальные элементы, соединенные в виртуальную сеть, и виртуальный инструмент для использования сервером кибертренировки при реализации кибертренировки, согласно изобретательскому замыслу дополнительно введены веб-сервер, содержащий процессор и память, по меньшей мере один персональный компьютер инструктора, по меньшей мере один персональный компьютер обучаемого команды мониторинга и по меньшей мере один персональный компьютер обучаемого команды реагирования, указанный персональный компьютер инструктора и указанные персональные компьютеры обучаемых обмениваются данными через веб-сервер с сервером кибертренировки и виртуальной ИТ-инфраструктурой; постоянный машиночитаемый код, хранящийся в памяти и исполняемый процессором веб-сервера, реализует интерфейсы обмена с указанным персональным компьютером инструктора и с указанными персональными компьютерами обучаемых; постоянный машиночитаемый код, хранящийся в памяти и исполняемый процессором по меньшей мере одного системного сервера для реализации по меньшей мере одной базы данных кибертренировок; указанный сервер кибертренировки дополнительно сконфигурирован для: генерации по запросу от ведения обучаемыми электронных карточек инцидентов; генерации по запросу персонального компьютера инструктора отчетов о кибертренировке, ведения скоринга кибертренировки и накопления статистических данных в базе данных кибертренировок, а также для отображения указанным персональным компьютером инструктора и указанными персональными компьютерами обучаемых информации, касающейся среды виртуальной ИТ-инфраструктуры и информации из электронных карточек инцидентов.A network interaction system for implementing cyber training, including an administrator's personal computer containing at least one processor, at least one video display and at least one administrator input device; a system server containing a processor and memory, wherein the system server communicates with the administrator's personal computer; persistent machine-readable code stored in memory and executed by a system server processor for implementing at least one cyber training server that is configured to receive input of a selected virtual IT infrastructure upon request from an administrator and display information regarding the IT infrastructure environment; at least one IT infrastructure database associated with the system server; persistent machine-readable code stored in memory and executed by a system server processor to implement a virtual environment manager configured to generate, in response to a request from a cyber training server, a virtual IT infrastructure containing virtual elements connected in a virtual network, and a virtual tool for use by the cyber training server in implementation of cyber training, according to the inventive concept, a web server is additionally introduced containing a processor and memory, at least one personal computer of the instructor, at least one personal computer of the student of the monitoring team and at least one personal computer of the student of the response team, the specified personal computer of the instructor and the specified personal computers of the trainees exchange data via a web server with the cyber training server and virtual IT infrastructure; permanent machine-readable code, stored in memory and executed by the web server processor, implements exchange interfaces with the specified personal computer of the instructor and with the specified personal computers of the students; permanent machine-readable code stored in memory and executed by a processor of the at least one system server for implementing the at least one cyber training database; the specified cyber training server is additionally configured to: generate, upon request, electronic incident cards from trainees; generating, at the request of the instructor’s personal computer, reports on cyber training, scoring cyber training and accumulating statistical data in the cyber training database, as well as for displaying by the specified personal computer of the instructor and the specified personal computers of the trainees information relating to the virtual IT infrastructure environment and information from electronic incident cards.
Первое дополнительное отличие состоит в том, что постоянный машиночитаемый код, хранящийся в памяти и исполняемый процессором системного сервера, реализует работу программной платформы по технологии виртуализации гипервизора с низкоуровневой программно-аппаратной оболочкой с одновременным выполнением нескольких операционных систем с разделением между ними ресурсов системного сервера.The first additional difference is that permanent machine-readable code, stored in memory and executed by the system server processor, implements the operation of the software platform using hypervisor virtualization technology with a low-level hardware-software shell with the simultaneous execution of several operating systems with the division of system server resources between them.
Второе дополнительное отличие состоит в том, что персональный компьютер инструктора и по меньшей мере один персональный компьютер обучаемого обмениваются данными с сервером киберучений и виртуальной ИТ-инфраструктурой по виртуальной частной сети (VPN) и (или) путем прямого сетевого доступа.The second additional difference is that the instructor's personal computer and at least one student's personal computer communicate with the cyber training server and virtual IT infrastructure via a virtual private network (VPN) and/or through direct network access.
Третье дополнительное отличие состоит в том, что дополнительно введен по меньшей мере один персональный компьютер атакующего, который обменивается данными с сервером кибертренировки и виртуальной ИТ-инфраструктурой.The third additional difference is that at least one personal computer of the attacker is additionally introduced, which communicates with the cyber training server and the virtual IT infrastructure.
Заявленное изобретение обеспечивает:The claimed invention provides:
во-первых, сетевую структуру и сетевое взаимодействие программно-аппаратных средств для реализации кибертренировок по обнаружению кибератак и реагированию на инциденты информационной безопасности;firstly, the network structure and network interaction of software and hardware for the implementation of cyber training to detect cyber attacks and respond to information security incidents;
во-вторых, гибкость и быстроту организации кибертренировок за счет выбора и настройки необходимой реалистичной виртуальной ИТ-инфраструктуры и генерации кибератак;secondly, the flexibility and speed of organizing cyber training through the selection and configuration of the necessary realistic virtual IT infrastructure and the generation of cyber attacks;
в-третьих, привитие практических навыков обучаемым по выявлению уязвимостей в ИТ-инфраструктурах и выполнению тестов на проникновения;thirdly, instilling practical skills in students to identify vulnerabilities in IT infrastructures and perform penetration tests;
в-четвертых, автоматизацию оценивания действий обучаемых и построения рейтингов по результатам кибертренировки с использованием средств скоринга и статистики;fourthly, automation of evaluation of trainees’ actions and construction of ratings based on the results of cyber training using scoring and statistics tools;
в-пятых, сохранение в базе данных кибертренировок статистических данных по кибератакам и по реагированию на инциденты, способствует накоплению практического опыта у обучаемых.fifthly, storing statistical data on cyber attacks and incident response in the cyber training database contributes to the accumulation of practical experience among trainees.
Краткое описание чертежейBrief description of drawings
Далее сущность изобретения поясняется подробным описанием способа и системы со ссылками на чертеж, где изображена на фиг. 1 общая схема системы.Next, the essence of the invention is explained by a detailed description of the method and system with reference to the drawing, which is shown in FIG. 1 general system diagram.
Осуществление изобретенияCarrying out the invention
В заявленном изобретении (фиг. 1) для проведения кибертренировки администратор управляющими сигналами с персонального компьютера 2 запускает на исполнение машиночитаемый код системного сервера 1 для имитации сервера 3 кибертренировки, виртуальной ИТ-инфраструктуры 4, базы данных 5 кибертренировок.In the claimed invention (Fig. 1), to conduct cyber training, the administrator uses control signals from a personal computer 2 to launch the machine-readable code of the system server 1 to simulate the cyber training server 3, the virtual IT infrastructure 4, and the cyber training database 5.
Машиночитаемый код системного сервера 1 может строиться на программной платформе (гипервизоре) на основе технологии виртуализации типа Proxmox VE (KVM, LXC).The machine-readable code of system server 1 can be built on a software platform (hypervisor) based on virtualization technology such as Proxmox VE (KVM, LXC).
Виртуальную ИТ-инфраструктуру 4 имитируют в одном из вариантов: корпоративная информационная сеть организации; автоматизированная система управления производственными и технологическими процессами; телекоммуникационная сеть; информационная сеть банка; информационная сеть организации здравоохранения, транспорта, электроэнергетики, атомной энергетики, металлургической и химической промышленности или иной вариант объекта критической инфраструктуры.Virtual IT infrastructure 4 is simulated in one of the options: corporate information network of the organization; automated control system for production and technological processes; telecommunications network; bank information network; information network of healthcare organization, transport, electric power industry, nuclear energy, metallurgical and chemical industry or another version of a critical infrastructure facility.
Виртуальные ИТ-инфраструктуры имитируют непосредственно перед кибертренировкой (киберучением) или набор ИТ-инфраструктур формируют заранее и сохраняют в базе данных 8 ИТ-инфраструктур.Virtual IT infrastructures are simulated immediately before cyber training (cyber training) or a set of IT infrastructures are formed in advance and stored in a database of 8 IT infrastructures.
Для кибертренировки выбирают подходящий тип виртуальной ИТ-инфраструктуры 4, исходя из специализации обучаемых и с учетом целей кибертренировок.For cyber training, the appropriate type of virtual IT infrastructure 4 is selected based on the specialization of the trainees and taking into account the goals of cyber training.
Эмуляцию нагрузочного трафика (потока данных) в виртуальной ИТ-инфраструктуре 4 реализуют программными средствами сервера кибертренировки 3, например, программным генератором сетевого трафика 6 (Network Activity Generator). Генератор имитирует действия легитимных пользователей внутри ИТ-инфраструктуры 4 на уровнях L2-L7 модели OSI в виде скриптов на рабочих станциях.Emulation of load traffic (data flow) in the virtual IT infrastructure 4 is implemented by software of the cyber training server 3, for example, by a software network traffic generator 6 (Network Activity Generator). The generator simulates the actions of legitimate users within the IT infrastructure 4 at levels L2-L7 of the OSI model in the form of scripts on workstations.
Нагрузочный трафик генерируют в виде одного или комбинацией нескольких типов трафика из списка: web-трафик, почтовый трафик, трафик технологической сети, трафик Интернета вещей/трафик взаимодействия с сетевыми хранилищами, подключением по протоколу удаленного рабочего стола RDP (Remote Desktop Protocol), обращением к контроллеру домена (DC) и т.п.Load traffic is generated as one or a combination of several types of traffic from the list: web traffic, email traffic, technological network traffic, Internet of Things traffic/traffic for interaction with network storage, connection via the Remote Desktop Protocol (RDP), access to domain controller (DC), etc.
Возможно комбинирование нескольких видов трафика вручную, включая проигрывание собственного трафика или направление копии реального трафика корпоративной или технологической сети.It is possible to combine several types of traffic manually, including playing your own traffic or sending a copy of real traffic to a corporate or technological network.
Сценарии хакерских атак также генерируют в автоматическом режиме программными средствами сервера кибертренировки 3, например, с помощью программного генератора 7 хакерских атак или выбирают сценарий кибератаки из перечня заранее сгенерированных сценариев, хранящихся в базе данных 5 кибертренировок.Scenarios of hacker attacks are also generated automatically by software of the cyber training server 3, for example, using the software generator 7 of hacker attacks, or a cyber attack scenario is selected from a list of pre-generated scenarios stored in the cyber training database 5.
Программный генератор хакерских атак может содержать набор скриптов на подходящем языке программирования «PowerShell» («Ruby», «Python» или «Bash»), реализующих сценарии атак внутреннего и внешнего злоумышленника.The software generator of hacker attacks may contain a set of scripts in a suitable programming language “PowerShell” (“Ruby”, “Python” or “Bash”) that implement attack scenarios for internal and external attackers.
Сценарии атак внутреннего злоумышленника могут быть типа «WMI» (скрытное передвижение злоумышленника внутри сети), типа «Data Compressed Exfiltration» (проникновение во внутреннюю сеть и вывод чувствительных данных в обход средств защиты), типа «No Oday» (атака «нулевого дня»), типа «EIS Takeover - Advanced» и др.Scenarios of attacks by an internal attacker can be of the “WMI” type (secret movement of an attacker within the network), the “Data Compressed Exfiltration” type (penetration into the internal network and output of sensitive data bypassing security measures), the “No Oday” type (zero-day attack) ), such as “EIS Takeover - Advanced”, etc.
Сценарии атак внешнего злоумышленника могут быть типа «Social Engineering» (социотехническая атака), типа «Remote File Сору» (внешнее проникновение во внутреннюю сеть и вывод критичных данных с применением вредоносного ПО), типа «Server Corruption» (остановка и вывод из строя критичных серверов), типа «Ransomware Attack» (доставка и распространение вируса-шифровальщика по сети) и др.Scenarios of attacks by an external attacker can be of the “Social Engineering” type (sociotechnical attack), the “Remote File Copy” type (external penetration into the internal network and withdrawal of critical data using malware), the “Server Corruption” type (stopping and disabling critical servers), such as “Ransomware Attack” (delivery and distribution of a ransomware virus over a network), etc.
С целью привития практических навыков по выявлению угроз и выполнению тестов на проникновение (pen-тестов) кибератаки могут имитировать в ручном режиме один из обучаемых или команда из нескольких обучаемых (команда атаки Red Team) с персонального компьютера 16 атакующего.In order to instill practical skills in identifying threats and performing penetration tests (pen tests), cyber attacks can be simulated manually by one of the trainees or a team of several trainees (Red Team attack team) from the personal computer 16 of the attacker.
Задачи атакующей команде ставит инструктор на этапе планирования кибертренировки. Возможно руководствоваться опытом постановки задач, практикуемым на CTF-чемпионатах. Например, такими задачами атаки могут быть:The tasks of the attacking team are set by the instructor at the planning stage of cyber training. It is possible to be guided by the experience of setting tasks practiced at CTF championships. For example, such attack objectives could be:
- задача «reverse» (обратная разработка) - определение принципа работы программного обеспечения без доступа к исходным кодам, поиск уязвимостей и модификация программного обеспечения, позволяющая изменить логику работы для обхода имеющихся ограничений;- “reverse” task (reverse engineering) - determining the operating principle of the software without access to source codes, searching for vulnerabilities and modifying the software, allowing you to change the operating logic to bypass existing limitations;
- задача «pwn» (бинарная эксплуатация) - поиск уязвимостей и написание программы эксплойта для изменения работы скомпилированного программного обеспечения и выполнения кода, изначально не предусмотренного программой;- task “pwn” (binary exploitation) - searching for vulnerabilities and writing an exploit program to change the operation of compiled software and execute code not originally intended by the program;
- задача «web» - поиск и эксплуатация уязвимостей в веб-сервисах, обход авторизации, небезопасная десериализация, приводящая к исполнению кода на сервере; и т.п.- task “web” - search and exploit vulnerabilities in web services, bypassing authorization, unsafe deserialization, leading to code execution on the server; and so on.
Атакующие могут использовать инструменты из дистрибутива Kali Linux, а также иные инструменты, поддерживаемые операционными системами Windows и Linux.Attackers can use tools from the Kali Linux distribution, as well as other tools supported by Windows and Linux operating systems.
Вектора атак в каждом сценарии могут быть разнообразными и формироваться из перечня:The attack vectors in each scenario can be varied and formed from the list:
«web» - поиск и эксплуатация уязвимостей в веб-сервисах, обход авторизации, небезопасная десериализация, приводящая к исполнению кода на сервере;“web” - searching and exploiting vulnerabilities in web services, bypassing authorization, unsafe deserialization leading to code execution on the server;
«binary exploitation» (бинарная эксплуатация) - поиск уязвимостей и написание программы эксплойта для изменения работы скомпилированного программного обеспечения и выполнения кода, изначально не предусмотренного программой;“binary exploitation” - searching for vulnerabilities and writing an exploit program to change the operation of compiled software and execute code not originally intended by the program;
«password attacks» - перебор паролей и/или использование слабой криптографии;“password attacks” - brute force passwords and/or use of weak cryptography;
«bruteforcing» - перебор паролей методом «грубой силы», включая пароли, достоверно неизвестных злоумышленнику, но имеющие такую логику, что перебор всех значений возможен за конечное время;“bruteforcing” - brute-forcing passwords using the “brute force” method, including passwords that are reliably unknown to the attacker, but have such logic that brute-forcing all values is possible in a finite time;
«DoS/DDoS» - отказ в обслуживании;"DoS/DDoS" - denial of service;
«exfiltration» - выгрузка конфиденциальной информации за пределы атакуемого ресурса (ИТ-инфраструктуры);“exfiltration” - uploading confidential information outside the attacked resource (IT infrastructure);
«lateral movement» - перемещение и закрепление на соседних компьютерах в рамках атакуемого ресурса (ИТ-инфраструктуры);“lateral movement” - moving and securing on neighboring computers within the attacked resource (IT infrastructure);
«client side attacks» - компрометация клиентов определенного программного обеспечения (чаще веб-сервисов), для последующего доступа в систему с правами пользователя и др.“client side attacks” - compromising clients of certain software (usually web services), for subsequent access to the system with user rights, etc.
Обучаемые команды атаки могут формировать электронные карточки 11 уязвимостей, в которых фиксировать сведения о выявленных уязвимостях и результатах их эксплуатации. Электронные карточки 11 уязвимостей сохраняют в базе данных 5 кибертренировок.Trained attack teams can generate electronic cards of 11 vulnerabilities, in which they record information about identified vulnerabilities and the results of their exploitation. Electronic cards of 11 vulnerabilities save 5 cyber trainings in the database.
Кибертренировку инициирует инструктор управляющими командами с персонального компьютера 13.Cyber training is initiated by the instructor using control commands from a personal computer 13.
Из числа обучаемых формируют по меньшей мере, две команды защиты от кибератак: команду 14 мониторинга (команда SOC) и команду 15 реагирования на инциденты (команда Blue Team).From among the trainees, at least two teams for protection against cyber attacks are formed: monitoring team 14 (SOC team) and incident response team 15 (Blue Team).
С целью управления командной работой одного из обучаемых назначают на роль лидера команды реагирования.In order to manage teamwork, one of the trainees is assigned to the role of leader of the response team.
Обучаемые из команды 14 мониторинга обнаруживают и идентифицируют инциденты, вызванные кибератаками, путем выявления соответствующих признаков инцидентов, таких как: аномалии в сетевом трафике; подозрительные процессы на рабочих станциях и серверах виртуальной ИТ-инфраструктуры 4, отклонения в протоколах обмена SMTP, DNS, HTTP(S) и др.Trainees from the monitoring team 14 detect and identify incidents caused by cyber attacks by identifying relevant indicators of incidents, such as: anomalies in network traffic; suspicious processes on workstations and servers of the virtual IT infrastructure 4, deviations in the exchange protocols SMTP, DNS, HTTP(S), etc.
Обучаемым команды 14 мониторинга и команды 15 реагирования также предоставляют удаленный веб-доступ к ИТ-инфраструктуре 4 и к серверу кибертренировки 3 посредством веб-сервера 12 по http-протоколу с использованием механизма аутентификации по логину и паролю.The trainees of the monitoring command 14 and the response command 15 are also provided with remote web access to the IT infrastructure 4 and to the cyber training server 3 via the web server 12 via the http protocol using a login and password authentication mechanism.
Возможен вариант подключения персонального компьютера 13 инструктора и (или) персональных компьютеров 14 и 15 обучаемых посредством технологии виртуальной частной сети (VPN - Virtual Private Network). Возможен также прямой сетевой доступ персональных компьютеров инструктора и обучаемых к виртуальной ИТ-инфраструктуре и серверу кибертренировки 3.It is possible to connect the personal computer 13 of the instructor and (or) the personal computers 14 and 15 of the students via virtual private network technology (VPN - Virtual Private Network). Direct network access of personal computers of the instructor and students to the virtual IT infrastructure and cyber training server 3 is also possible.
Веб-интерфейс на персональном компьютере обучаемого может включать: карту сети, доступ к средствам защиты информации и серверам, инструменты ведения электронных карточек инцидентов, данные об обнаруженных и устраненных уязвимостях, инструменты ведения переписки в чате, приборную панель с вспомогательными элементами (Dashboard) и др.The web interface on the student’s personal computer may include: a network map, access to information security tools and servers, tools for maintaining electronic incident cards, data on detected and resolved vulnerabilities, chat tools, a dashboard with auxiliary elements (Dashboard), etc. .
Каждый обучаемый команды мониторинга с помощью своего персонального компьютера 14 наблюдает за состоянием ИТ-инфраструктуры 4 и заносит сведения о каждом обнаруженном им инциденте в электронную карточку 11 инцидента. Сведения могут содержать скриншоты файлов, ссылок на журнал событий, извещений от средств защиты информации и иные материалы, идентифицирующие инцидент.Each student of the monitoring team, using his personal computer 14, monitors the state of the IT infrastructure 4 and enters information about each incident he detects into an electronic incident card 11. The information may contain screenshots of files, links to the event log, notifications from information security tools, and other materials identifying the incident.
Обучаемые передают заполненную электронную карточку 11 инцидента лидеру команды реагирования, который распределяет их по обучаемым команды реагирования для дальнейшего расследования и принятия мер защиты. Карточки распределяют с учетом зафиксированных в них сведений об инциденте и с учетом опыта и загруженности обучаемых команды 15 реагирования.Trainees submit the completed electronic incident card 11 to the response team leader, who assigns them to response team trainees for further investigation and protective measures. Cards are distributed taking into account the information about the incident recorded on them and taking into account the experience and workload of the 15 response team trainees.
Обучаемые из команды 15 реагирования расследуют инциденты, дополняют электронную карточку 11 инцидента результатами расследования с указанием мер реагирования, минимизирующих последствия инцидента, и реализуют меры реагирования (защиты).Trainees from the 15th response team investigate incidents, supplement the electronic incident card 11 with the results of the investigation indicating response measures that minimize the consequences of the incident, and implement response (protection) measures.
Электронные карточки инцидентов хранят в базе данных 5 кибертренировок и применяют в последующих кибертренировках.Electronic incident cards are stored in the 5 cyber training database and used in subsequent cyber training.
Инструктор посредством персонального компьютера 13 наблюдает за действиями обучаемых, фиксирует и оценивает практические навыки каждого обучаемого, выявляет пробелы и отмечает положительные стороны обучаемых.The instructor, using a personal computer 13, observes the actions of the trainees, records and evaluates the practical skills of each trainee, identifies gaps and notes the positive aspects of the trainees.
Веб-интерфейс на персональном компьютере 13 инструктора может содержать: панель управления обучением, управление учетными записями обучаемых, индикатор прохождения кибертренировки (Progress bar), чат с обучаемыми, табло с результатами (scoreboard) и др.The web interface on the personal computer 13 of the instructor may contain: a training control panel, management of student accounts, a progress bar, a chat with students, a scoreboard, etc.
Практические навыки каждого обучаемого учитывают по своевременности, полноте и достоверности сведений, указанных им в электронной карточке инцидента. При оценке командной работы учитывают время, затраченное командой на корректное обнаружение и реагирование на инцидент.The practical skills of each student are taken into account according to the timeliness, completeness and reliability of the information specified by him in the electronic incident card. When assessing teamwork, the time spent by the team to correctly detect and respond to the incident is taken into account.
Команды и обучающиеся оцениваются в зависимости от степени достижения поставленных целей кибертренировки и выполнения отдельных задач. Итоговая оценка складывается из частных оценок по количеству правильно обнаруженных и оформленных инцидентов, по количеству корректно устраненных уязвимостей, по времени реакции и др.Teams and students are assessed based on the degree to which they achieve their cyber training goals and complete individual tasks. The final assessment consists of partial estimates for the number of incidents correctly detected and filed, the number of vulnerabilities corrected correctly, response time, etc.
Индивидуальная оценка за кибертренировку j-го обучаемого из команды мониторинга может рассчитываться по формуле: где: - количество инцидентов, обнаруженных и зафиксированных j-тым учеником в электронных карточках инцидентов, - оценка за электронную карточку i-го инцидента.The individual score for cyber training of the jth student from the monitoring team can be calculated using the formula: Where: - the number of incidents detected and recorded by the jth student in electronic incident cards, - score for the electronic card of the i-th incident.
Оценка за электронную карточку i-го инцидента может рассчитываться по формуле: , где: - коэффициенты своевременности заполнения карточки, достоверности и полноты информации об инциденте.The score for the electronic card of the i-th incident can be calculated using the formula: , Where: - coefficients of timeliness of filling out the card, reliability and completeness of information about the incident.
Оценка за кибертренировку команды мониторинга может рассчитываться по формуле где: NSOC - количество обучаемых в команде мониторинга.The monitoring team's cyber training score can be calculated using the formula where: N SOC - number of trainees in the monitoring team.
Индивидуальная оценка за кибертренировку j-го обучаемого из команды реагирования может рассчитываться по формуле: где: - число обнаруженных и переданных для устранения j-му обучаемому из команды реагирования, устраненных и не устраненных инцидентов j-тым обучаемым, соответственно.The individual score for cyber training of the jth trainee from the response team can be calculated using the formula: Where: - the number of incidents detected and transferred for elimination to the j-th student from the response team, eliminated and not eliminated incidents by the j-th student, respectively.
Оценка за кибертренировку команды реагирования может рассчитываться по формуле: где: Kн - коэффициент исправной работы виртуальной ИТ-инфраструктуры.The response team's cyber training score can be calculated using the formula: where: K n - coefficient of proper operation of the virtual IT infrastructure.
Индивидуальные и командные оценки могут рассчитываться в относительных единицах в интервале от 0 до 1, или в баллах от 0 до 100.Individual and team scores can be calculated in relative units ranging from 0 to 1, or in points from 0 to 100.
При оценивании инструктор использует генератор 9 отчетов и модуль 10 скоринга и статистики.When assessing, the instructor uses a report generator 9 and a scoring and statistics module 10.
Указанные средства отслеживают прогресс кибертренировки в автоматическом режиме, сравнивают и оценивают обучаемых, составляют рейтинг. Посредством подготовленных шаблонов формируют структурированную информацию (отчет) в виде документа с данными о проведенной кибертренировке.These tools track the progress of cyber training automatically, compare and evaluate trainees, and compile a rating. Using prepared templates, structured information (report) is generated in the form of a document with data on the cyber training conducted.
Оценки могут быть повышены за сверхнормативное время обнаружения (реагирования) на инциденты или снижены путем вычитания штрафных баллов за превышение нормативного времени обнаружения (реагирования) инцидентов и (или) за свехнормативные простои в работе ИТ-инфраструктуры, вызванные хакерскими атаками (инцидентами).Scores can be increased for excess detection (response) time to incidents or reduced by subtracting penalty points for exceeding the standard incident detection (response) time and (or) for excess downtime in the operation of the IT infrastructure caused by hacker attacks (incidents).
Допускается корректировка командных оценок из-за сокращенного (увеличенного) численного состава команды относительно оптимального состава.It is allowed to adjust team scores due to the reduced (increased) size of the team relative to the optimal composition.
Нормативные временные показатели, допустимая продолжительность простоев и оптимальная численность команды определяется инструктором кибертренировки по определенной методике или исходя из практического опыта.Standard time indicators, acceptable duration of downtime and optimal team size are determined by the cyber training instructor using a specific methodology or based on practical experience.
Оценивание обучаемых из команды 16 атаки осуществляется по времени, затраченному на выявление уязвимостей и выполнение тестов на проникновение, а также полноте и достоверности сведений, указанных в электронной карточке уязвимостей.Trainees from attack team 16 are assessed based on the time spent identifying vulnerabilities and performing penetration tests, as well as the completeness and reliability of the information specified in the electronic vulnerability card.
Промышленная применимостьIndustrial applicability
Предложенный способ и система могут использоваться в учебных заведениях при подготовке и повышении квалификации специалистов по информационной безопасности, а также в организациях при проведении кибертренировок и киберучений.The proposed method and system can be used in educational institutions for training and advanced training of information security specialists, as well as in organizations when conducting cyber training and cyber exercises.
Claims (20)
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2808388C1 true RU2808388C1 (en) | 2023-11-28 |
Family
ID=
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2248612C1 (en) * | 2004-01-29 | 2005-03-20 | Государственное образовательное учреждение высшего профессионального образования Военный институт радиоэлектроники | Complex automatic mechanism "drainage" for remote professional training of staff of distributed information-control system provided with computer readable information carriers for storing library of changeable program modules and data base related to specialist models, knowledge, skill of trained persons, procedures and preparation results |
| RU106422U1 (en) * | 2010-11-11 | 2011-07-10 | Российская Федерация, От Имени Которой Выступает Министерство Промышленности И Торговли Российской Федерации | INTEGRATED EDUCATIONAL ENVIRONMENT |
| US20170304707A1 (en) * | 2015-09-24 | 2017-10-26 | Circadence Corporation | Mission-based, game-implemented cyber training system and method |
| US20200184847A1 (en) * | 2017-05-23 | 2020-06-11 | Cyberbit Ltd | A system and method for on-premise cyber training |
| US20200342779A1 (en) * | 2015-09-24 | 2020-10-29 | Circadence Corporation | System for dynamically provisioning cyber training environments |
| US10979448B2 (en) * | 2018-11-02 | 2021-04-13 | KnowBe4, Inc. | Systems and methods of cybersecurity attack simulation for incident response training and awareness |
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2248612C1 (en) * | 2004-01-29 | 2005-03-20 | Государственное образовательное учреждение высшего профессионального образования Военный институт радиоэлектроники | Complex automatic mechanism "drainage" for remote professional training of staff of distributed information-control system provided with computer readable information carriers for storing library of changeable program modules and data base related to specialist models, knowledge, skill of trained persons, procedures and preparation results |
| RU106422U1 (en) * | 2010-11-11 | 2011-07-10 | Российская Федерация, От Имени Которой Выступает Министерство Промышленности И Торговли Российской Федерации | INTEGRATED EDUCATIONAL ENVIRONMENT |
| US20170304707A1 (en) * | 2015-09-24 | 2017-10-26 | Circadence Corporation | Mission-based, game-implemented cyber training system and method |
| US20200342779A1 (en) * | 2015-09-24 | 2020-10-29 | Circadence Corporation | System for dynamically provisioning cyber training environments |
| US20200184847A1 (en) * | 2017-05-23 | 2020-06-11 | Cyberbit Ltd | A system and method for on-premise cyber training |
| US10979448B2 (en) * | 2018-11-02 | 2021-04-13 | KnowBe4, Inc. | Systems and methods of cybersecurity attack simulation for incident response training and awareness |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chowdhury et al. | Cyber security training for critical infrastructure protection: A literature review | |
| Chen et al. | Security risks and protection in online learning: A survey | |
| Leune et al. | Using capture-the-flag to enhance the effectiveness of cybersecurity education | |
| Alzahrani | Coronavirus social engineering attacks: Issues and recommendations | |
| Mohammed et al. | A model for social engineering awareness program for schools | |
| Cai | Using case studies to teach cybersecurity courses | |
| Scherb et al. | A cyber attack simulation for teaching cybersecurity | |
| Scherb et al. | A serious game for simulating cyberattacks to teach cybersecurity | |
| RU2808388C1 (en) | Method and system of cyber training | |
| Dorsey et al. | Cybersecurity issues in selection | |
| Karampidis et al. | Digital Training for Cybersecurity in Industrial Fields via virtual labs and Capture-The-Flag challenges | |
| Wylie et al. | The Pentester Blueprint: Starting a career as an ethical hacker | |
| Park et al. | Development of Incident Response Tool for Cyber Security Training Based on Virtualization and Cloud | |
| Chaskos | Cyber-security training: a comparative analysis of cyberranges and emerging trends | |
| Alkazimi | Best Practices to Secure User Privacy from Internet Attacks on E-Learning | |
| Puchkov et al. | Criteria for Classification of Cyber-training and Analysis of Organizational and Technical Platforms for Their Conduct. | |
| Brown | Executive's Cybersecurity Program Handbook: A comprehensive guide to building and operationalizing a complete cybersecurity program | |
| Younis et al. | Teaching Ethical Hacking: Evaluating Students' Levels of Achievements and Motivations | |
| Cigoj et al. | An innovative approach in digital forensic education and training | |
| Huhtakangas | Xamk cyber range: design of concept for cyber training environment | |
| Pirta-Dreimane et al. | CyberEscape approach to advancing hard and soft skills in cybersecurity education | |
| Katsika | Simulation based learning in critical infrastructure security awareness: an empirical study | |
| Kuchar et al. | From Playground to Battleground: Cyber Range Training for Industrial Cybersecurity Education | |
| Cryer et al. | Cybersecurity: Bridging the gap between training and the effective knowledge base of employees in cyberthreat mitigation | |
| Bergan et al. | Otnetic: A Cyber Range Training Platform Developed for the Norwegian Energy Sector |