Платформа операций в области кибербезопасности

Частные компании, а также государственные органы несут ответственность за защиту своих технологий, конфиденциальных данных и интеллектуальной собственности.
Для поддержки этой задачи организациям необходима надёжная политика и процедуры, которые обеспечивают:

• выявление рисков,

• предотвращение компрометации или кражи данных,

• и предоставление адекватного и эффективного реагирования при возникновении инцидентов.

Профессионалы в области безопасности должны быть готовы к работе с первого дня и уметь вносить вклад в коллективные усилия команды по реагированию на каждый инцидент.
Традиционное обучение в аудитории и настольные учения не обеспечивают достаточной подготовки сотрудников первой линии для эффективного выявления и управления сложными киберинцидентами.
Команды безопасности часто тренируются на атаках, не связанных с их текущей сетевой инфраструктурой, инструментами и повседневными процессами.

В результате возросла потребность в практическом обучении на основе реальных ситуаций.
Такой тип обучения позволяет специалистам по кибербезопасности отрабатывать реалистичные сценарии атак и защитных действий в имитированной среде, а также исследовать новые способы снижения рисков в области кибербезопасности.

Основные особенности:

• Простое в использовании решение для оценки кибербезопасности

• Многоарендная архитектура

• Независимость от используемых инструментов безопасности

• Предопределённые и настраиваемые сценарии угроз

• Реалистичные симуляции с использованием инструментов Keysight (по желанию)

• Мероприятия типа Capture the Flag способствуют повышению командного взаимодействия

Наше решение: Платформа операций в области кибербезопасности 

Платформа Keysight Cyber Security Operations Platform — это комплексное решение, обеспечивающее контролируемую и защищённую среду для специалистов по безопасности, позволяя им отрабатывать практические навыки киберзащиты и тестировать уровень защищённости организации.

Решение включает в себя:

• Cyber Security Operations Platform — основа решения с оркестрацией кибер-диапазона, управлением, отчётностью, администрированием платформы и геймификацией экспорта данных (Capture the Flag, CTF).

• Scenario Editor/Builder — для модификации или создания новых сценариев угроз, интеграции виртуальных машин или внешних устройств заказчика с полной гибкостью в определении топологии своей сети, при этом топология отображается в наглядной диаграмме.

• Инструменты — генераторы трафика (например, BreakingPoint), SIEM, инструменты и фреймворки для эксплуатации уязвимостей, веб-серверы, межсетевые экраны, IDS/IPS и другие.

• Сценарии угроз — библиотека предопределённых сценариев угроз и возможность создавать собственные.

• Сценарии событий — предопределённые или настраиваемые сценарии событий, специально предназначенные для командных геймифицированных упражнений, таких как Capture the Flag.

• Учебный контент — образовательные и инструкционные материалы по каждому киберупражнению.

• Консультационные услуги — экспертиза по построению оптимального решения для каждой организации, включая настройку сценариев угроз и событий, а также интеграцию сторонних (коммерческих или открытых) компонентов.

• Обучение — обучение по внедрению решений и использованию инструментов Keysight.

Рисунок 1. Архитектура компонентов решения платформы операций в области кибербезопасности.

Ключевые особенности:

Сценарии угроз и событий:

• Сценарии угроз и событий моделируют сеть, трафик, атаки и действия по защите, позволяя обучать персонал безопасности и знакомить их с новыми методами и технологиями в безопасной контролируемой среде.

• Многоарендная архитектура позволяет нескольким пользователям одновременно запускать готовые или кастомные сценарии атак/защиты через удобный веб-интерфейс.

• Предустановленные сценарии угроз охватывают широкий спектр реальных ситуаций в изолированной песочнице.

• Продвинутый редактор сценариев угроз и событий для легкой кастомизации.

• Пошаговая визуальная документация для каждого предустановленного сценария.

• Динамическая сетевая диаграмма сценариев.

• Сценарии имитируют инфраструктуру организации, позволяя проводить реалистичные атаки и обеспечивать реакцию на инциденты в реальном времени.

• Inventory Editor позволяет пользователям изменять или создавать новые профили ресурсов для каждой виртуальной машины или контейнера.

• Scenario Editor позволяет создавать собственные сценарии угроз с учетом конкретных потребностей клиента.

• Постоянное расширение библиотеки сценариев (уже более 100), обеспечивая современный тренинг и моделирование.

• Включает разнообразные типы сценариев: тактики (например, Phishing, Privilege Escalation, Persistence), техники (например, Wi-Fi Injection, APT, SQL Injection) и соответствие фреймворку NICE NIST для развития конкретных навыков.

• Все сценарии сопоставлены с NICE NIST Framework.

• Сертификат завершения выдается за успешное прохождение конкретных сценариев.

Геймификация:

• Многоарендная архитектура позволяет нескольким командам соревноваться, набирая очки в рамках совместного события.

• Создание и управление геймификационными мероприятиями: управление командами, планирование и публикация результатов.

• Отчётность по событиям (доска результатов, журнал событий).

• Встроенный чат для коммуникации в реальном времени во время событий.

• Профили пользователей, история, отчётность и групповое управление.

Фреймворк:

• Простой механизм обновлений и поддержка VRF (Virtual Routing Forwarding).

• Автоматическое обновление компонентов VRF.

• Интуитивный интерфейс с единым стилем для разных уровней доступа; реализовано ролевое управление (RBAC).

• Прозрачная среда для развертывания и оркестрации.

• Редактор VLAN для разделения и именования пользовательских логических сетевых сегментов.

Встроенные механизмы и функции:

• Встроенные механизмы изоляции предотвращают взаимное влияние между разными арендаторами.

• Непрерывный мониторинг ресурсов (CPU, RAM, Disk) во всех виртуальных машинах кластера.

• Динамическое изменение шаблонов виртуальных машин «на лету» (vCPU и RAM).

• Экспорт данных событий во внешнюю базу данных (для индивидуальных отчётов и хранения исторических данных).

• Лёгкое добавление викторин и данных флагов прямо из редактора сценариев.

• Возможность сохранения, экспорта и импорта групп виртуальных машин и сетевых сегментов.

Администрирование:

• Инструменты администратора — резервное копирование, восстановление, обновление.

• Централизованный менеджер лицензий для продуктов Keysight.

• Безопасная терминальная консоль + SSH CLI для административных и сетевых настроек.

• Менеджер SSL-сертификатов.

• Централизованное логирование и диагностика.

• Интеграция с LDAP и MeshCentral для удалённого мониторинга и управления (RMM), а также для триажа и записи экрана в ходе обучения под руководством инструктора.

Capture the Flag:

Мероприятие Capture the Flag — это расширенное упражнение по кибербезопасности, в рамках которого несколько команд соревнуются между собой, стремясь найти как можно больше «флагов», скрытых во внутренней виртуальной инфраструктуре. Участники зарабатывают очки, демонстрируя свои навыки и знания как в наступательной, так и в оборонительной киберзащите.

Текущая реализация CTF поддерживает purple teaming — каждая команда может выполнять функции как «красной» (атакующей), так и «синей» (защитной) команды, в зависимости от предпочтений пользователей, вырабатывая совместную стратегию реагирования на угрозы.

Каждая команда получает изолированную виртуальную среду, которая предотвращает вмешательство других участников. Задача команды — найти как можно больше флагов, зарабатывая разное количество очков за каждый, за минимальное время.

White team (команда судей) выступает в роли наблюдателей и контролирует процесс, проверяет подачу флагов, отвечает на запросы из чата и управляет общей игровой средой. Они видят очки всех команд и участников в реальном времени.

Планирование событий:

Члены white team (администраторы) создают и настраивают события. Пользователи и администраторы могут видеть запланированные события заранее и иметь отдельную вкладку для просмотра прошедших мероприятий. События можно запускать напрямую или сохранять как черновики для последующей модификации.

Команды:

Каждый участник кибердиапазона может создать собственную команду в своём профиле пользователя, используя встроенную функцию настройки. Другие пользователи могут присоединяться к команде, отправив запрос владельцу на вступление.

Каждый пользователь может выбрать индивидуальное предпочтение события (или цвета) — например, красный, если он хочет участвовать в атакующей роли, или синий, если предпочитает обороняться. Это помогает команде White поддерживать баланс между атаками и защитой при управлении командами.

Пользователи White team имеют полный контроль над средой. Они могут создавать команды, назначать участников, удалять команды или менять владельцев команд.

Отчётность:

Администраторы полигона или системы могут задать постоянное место хранения (базу данных или сетевое хранилище) для логов, связанных с завершёнными событиями. Это место задаётся один раз и применяется ко всем последующим событиям.

При планировании события можно включить или отключить автоматическую публикацию данных после его завершения (успешного или нет). Если автоматическая публикация отключена, пользователь white team может вручную опубликовать данные по завершению, используя соответствующую кнопку.

Пользователи могут создавать детализированные и настраиваемые отчёты по завершённым событиям, используя экспорт данных во внешнюю базу и собственные инструменты аналитики.

Пользовательский интерфейс:

Интерфейс пользователя полигона включает усовершенствованный редактор сценариев (Scenario Editor).
Редактор позволяет пользователям изменять сценарии угроз, включая:

• удаление викторин,

• добавление флагов событий с метаданными, содержащими тип флага, значение, количество очков, категорию и префикс.

Это обеспечивает гибкость настройки сценариев и элементов геймификации под конкретные цели обучения или тренировки.

Рисунок 2. Платформа Cyber Security Operations — библиотека сценариев.

Рисунок 3. Платформа Cyber Security Operations — сценарий угрозы и связанная с ним сетевая диаграмма.

Рисунок 4. Платформа Cyber Security Operations — основная панель активного события для пользователя белой команды.

Рисунок 5. Платформа Cyber Security Operations — настройки кластера с возможностью перезагрузки или запуска виртуальных машин напрямую из кластера.

Учебные полигоны кибербезопасности на практике

Обучение и тренировки, основанные на распределении ролей, дают пользователям возможность работать вместе, улучшая взаимодействие, коммуникацию и время реагирования во время киберинцидента.

Этапы Kill Chain

Модель Cyber Kill Chain — это теоретическая концепция, разработанная компанией Lockheed Martin для описания структуры кибератаки. Каждая стадия, подобно звену цепи, представляет точку, где специалисты по безопасности могут обнаружить, предотвратить или сорвать атаку.

Предлагаемые киберучения основаны на одной или нескольких упрощённых стадиях Kill Chain в зависимости от целей сценария угроз. Красная команда (Red Team) сосредотачивается на атаках и анализе техник, тактик и процедур (TTP), используемых для обхода механизмов защиты. Синяя команда (Blue Team) специализируется на защите, уделяя внимание снижению угроз и повышению видимости.

Компания Keysight выступает за совместную работу команд для разработки более эффективных стратегий и методов защиты. Это способствует лучшему пониманию причин существования конкретных мер безопасности, а также методов, которыми злоумышленники пытаются их обойти.

Таблица 1. Функции команд Red Team и Blue Team в стадиях Kill Chain

Красная команда		Синяя команда
Этап Kill Chain	Упрощённый этап	Этап Kill Chain	Упрощённый этап
Разведка	Разведка	Защита	Визуализация
Вооружение	—	Обнаружение	—
Доставка	Эксплуатация	Запрет	Защита
Эксплуатация	—	Нарушение	—
Командование и контроль	Удержание	Сдерживание	Сдерживание
Цель / Объект	—	Восстановление	—

Каждый сценарий угрозы сопоставляется с NICE NIST Framework (SP 800-181, версия 2 в разработке).
Эта структура помогает работодателям развивать киберкомпетенции сотрудников, формируя общую терминологию для описания задач специалистов в области кибербезопасности и их роли в частных, государственных и академических организациях.

Требования к оборудованию

Платформа Keysight Cyber Security Operations Platform состоит из следующих компонентов:

• CySOP VM image — виртуальная машина, которая запускает основные сервисы и веб-интерфейс платформы.

• CySOP VRF image — виртуальная машина, обеспечивающая соединение Virtual Routing Forwarding между пользовательской сетью и киберполигонами.

• CySOP Global Web Server — виртуальная машина, размещённая в общем сегменте, содержащая конфигурации и сценарные скрипты.

• Scenario’s VM Templates — полностью преднастроенные образы операционных систем, используемые для развертывания виртуальных машин/контейнеров. После завершения сценария угроз связанные ВМ уничтожаются, а ресурсы возвращаются гипервизору.

	CySOP VM	CySOP VRF	CySOP Global Web Server	Scenarios’ Templates	Template Sync Tool
vCPU	8 vCPUs	2 vCPUs	1 vCPU	В зависимости от числа арендаторов	1 vCPU
Memory	16 GB RAM	2 GB RAM	1 GB RAM	—	0.5 GB RAM
Disk	120 GB	32 GB	20 GB	Минимум 3 TB	1 GB

Информация для заказа

P/N	Описание
983-4101	TAA Compliant, Cyber Security Operations Platform (CySOP) Promotional Bundle – до 10 арендаторов, лицензия по подписке (1 год), плавающая (FLOATING)Включает:• лицензии для поддержки администрирования пользователей, обучения, оркестрации, сценариев угроз и функции Capture the Flag (CTF) в рамках решения киберполигона;• 10 арендаторов на развертывание;• первый год обслуживания и поддержки;• 1× BreakingPoint Virtual Edition (VE) – 1GE, годовая подписка (939-9600).Не включает профессиональные услуги, генераторы трафика или сетевые компоненты (приобретаются отдельно).
983-4102	TAA Compliant, Cyber Security Operations Platform (CySOP) Promotion optional add-on для добавления арендаторов, лицензия по подписке (1 год), плавающая (FLOATING)Включает:• 5 дополнительных арендаторов для сценариев угроз и Capture the Flag (CTF);• может использоваться накопительно, максимум до 120 арендаторов на одну установку.Требуется наличие 983-4101.
972-5911	TAA Compliant, Cyber Security Operations Platform (CySOP), лицензия по подписке, плавающая (FLOATING)Включает:• лицензии для администрирования пользователей, обучения, оркестрации и сценариев угроз в решении киберполигона;• цена указана за единицу в год;• поддержка до 120 арендаторов.Требуется:• срок лицензии указывается в годовых интервалах, максимум 5 лет;Не включает профессиональные услуги, генераторы трафика или сетевые компоненты.
972-5912	TAA Compliant, Cyber Security Operations Platform (CySOP) – Capture the Flag Feature, лицензия по подписке, плавающая (FLOATING)Включает:• лицензии для активации функции Capture the Flag в рамках CySOP;• поддержка до 120 арендаторов.Требуется:• наличие 972-5911;• срок лицензии указывается в годовых интервалах, максимум 5 лет;Не включает профессиональные услуги, генераторы трафика или сетевые компоненты.

Постоянные лицензии (Perpetual licenses)

P/N	Описание
983-4001	TAA Compliant, Cyber Security Operations Platform (CySOP) Promotional Bundle – до 10 арендаторов, бессрочная лицензия, плавающая (FLOATING)Включает:• лицензии для поддержки администрирования пользователей, обучения, оркестрации, сценариев угроз и Capture the Flag (CTF);• 10 арендаторов на развертывание;• первый год обслуживания и поддержки;• 1× BreakingPoint Virtual Edition (VE) – 1GE, бессрочная лицензия (939-9609).Не включает профессиональные услуги, генераторы трафика или сетевые компоненты (приобретаются отдельно).
983-4002	TAA Compliant, Cyber Security Operations Platform (CySOP) Promotion optional add-on для добавления арендаторов, бессрочная лицензия, плавающая (FLOATING)Включает:• 5 дополнительных арендаторов для сценариев угроз и Capture the Flag (CTF);• может использоваться накопительно, максимум до 120 арендаторов на одну установку.Требуется наличие 983-4001.

Информация для заказа

P/N	Описание
972-5921	TAA Compliant, Cyber Security Operations Platform (CySOP) – бессрочная лицензия, плавающая (FLOATING)Включает:• лицензии для администрирования пользователей, обучения, оркестрации и сценариев угроз в рамках решения киберполигона;• первый год обслуживания и поддержки;• поддержка до 120 арендаторов.Не включает профессиональные услуги, генераторы трафика или сетевые компоненты (приобретаются отдельно).
972-5922	TAA Compliant, Cyber Security Operations Platform (CySOP) – Capture the Flag Feature, бессрочная лицензия, плавающая (FLOATING)Включает:• лицензии для активации функции Capture the Flag в рамках CySOP;• поддержка до 120 арендаторов.Требуется наличие 972-5921.Не включает профессиональные услуги, генераторы трафика или сетевые компоненты (приобретаются отдельно).

Продление бессрочных лицензий:

P/N	Описание
909-4101	TAA Compliant, Cyber Security Operations Platform (CySOP), продление технического обслуживания для бессрочных лицензий CySOP (Extended Maintenance Renewal)Применимо к SKU: 972-5921, 972-5922, 972-5971, 983-4001 и 983-4002.Годовая стоимость: 18% от текущей цены программного обеспечения.

¹ Для 983-4101 — поддерживается до 120 арендаторов в системе. Дополнительно можно приобрести пакеты по 5 арендаторов (9xx-xxxx-5-tenants add-on). Опционально можно заказать дополнительную годовую лицензию BreakingPoint Virtual Edition 1GE (939-9600).
² Для 983-4001 — поддерживается до 120 арендаторов в системе. Дополнительно можно приобрести пакеты по 5 арендаторов (9xx-xxxx-5-tenants add-on). Опционально можно заказать бессрочную лицензию BreakingPoint Virtual Edition 1GE (939-9609).