Всем привет! Я Полина Спиридонова, product owner двух продуктов для подготовки специалистов по защите информации — Standoff Cyberbones и Standoff Defend.
В статье я расскажу, как мы прошли путь от формулирования идеи из вопроса «Как создать полигон для синих команд?» до запуска Standoff Defend — инструмента, который помогает командам SOC становиться сильнее. Давайте погрузимся в детали и узнаем, как все начиналось и к чему мы пришли.
Что такое Standoff Defend
Это онлайн‑полигон, который предназначен для комплексной прокачки навыков специалистов SOC. Он представляет собой заранее подготовленную инфраструктуру с сервисами и ПО, которые используются в большинстве компаний. Внутри онлайн‑полигона для «синих» есть специальный модуль Archer, генерирующий легитимный трафик и имитирующий действия хакеров. Кроме того, здесь настроены СЗИ Positive Technologies: PT NAD, MaxPatrol SIEM, PT Sandbox, PT Application Firewall. Они собирают логи и артефакты, доступные для исследования.
Команды SOC могут тренироваться на Standoff Defend не подвергая опасности свою «боевую» инфраструктуру и не тратя время на создание экспериментальных площадок. Для пользователей уже все готово, остается только приступить к расследованию инцидентов и цепочек атак, чтобы прокачать навыки.
Как проходят тренировки на Standoff Defend
Что входит в продукт:
? Регулируемые атаки
Регулируемые атаки на Standoff Defend запускаются с помощью специального модуля Archer, который симулирует пользовательскую активность и действия хакеров. В основе сценариев регулируемых атак — сведения о самых актуальных кибератаках, которые произошли в мире. На старте пользователям доступно три сценария атак, а каждый месяц запускается новая. За основу сценариев регулируемых атак взяты реальные отчеты об атаках, которые APT‑группировки проводили на компании из разных отраслей во множестве стран. Все шаги расписаны по тактикам и техникам MITRE ATT&CK. На старте пользователям доступно три сценария атак, а каждый месяц запускается новая.
? Практические задания
В состав онлайн‑полигона входит специальная версия онлайн‑симулятора Standoff Cyberbones, где собрано более 100 практических заданий на основе кейсов с кибербитвы Standoff.
? База знаний
На онлайн‑полигоне есть библиотека теоретических и практических материалов от экспертов Positive Technologies с индивидуальными подборками для каждого участника команды. Все материалы разделены на домены знаний для удобства.
? Воркшопы с менторами
Раз в квартал пользователям доступен воркшоп с ментором Standoff, который показывает эталонное расследование регулируемых атак, разбирает частые ошибки и отвечает на вопросы.
? Тренировки
В Pro‑версии доступны тренировки в режиме «Реагирование» и мини‑кибербитва с привлечением белых хакеров для проверки командного взаимодействия.
Как выглядит путь пользователя
Начинаем с тестирования, чтобы определить уровень знаний.
Даем доступ к базе знаний и персональные рекомендации для изучения конкретных тем, которые хромают.
Обеспечиваем практику 24/7 с помощью тренажера с реальными инцидентами с кибербитвы Standoff.
Раз в месяц запускаем самую свежую атаку одной из АРТ‑группировок.
Разбираем эталонное расследование на воркшопе с менторами и повторяем эту же атаку по тому же вектору, но с другими параметрами для закрепления навыков.
Вишенка на торте — проводим командную кибербитву с живым трафиком атакующих.
Онлайн‑полигон Standoff Defend — это инструмент для прокачки навыков команды SOC под ключ и на максималках.
Как появился онлайн-полигон для «синих»
С 2016 года мы проводим кибербитву Standoff. Это уникальное событие, где под лучами софитов красные команды атакуют наши реалистичные инфраструктуры (банки, АЭС, нефтепровод) и пытаются реализовать критические или недопустимые события, а команды защитников учатся обнаруживать и отражать сложные атаки.
Для команд защитников кибербитва — это интенсивный, почти экстремальный опыт, который, с одной стороны, дарит невероятные эмоции и дает возможность приобрести уникальные навыки, а с другой — требует повышенной концентрации внимания (алармы летят со страшной скоростью) и отвлечения от работы.
После очередной кибербитвы мы сели и подумали: а почему бы нам не сделать инструмент, доступный чаще, чем два раза в год, и более удобный для синих команд? Тем более у нас уже был онлайн‑полигон для красных команд, доступный 24/7/365. Если есть онлайн‑полигон для «красных», значит, должен быть и для «синих».
От идеи — к первым гипотезам
Мы решили объединить красные и синие команды на нашем полигоне. «Красные» атакуют, «синие» расследуют, но без привлечения жюри.
Первая идея была проста: мы предоставили клиентам доступ к одной из наших инфраструктур онлайн, настроили СЗИ, включили сбор событий. «Красные» ее атаковали, а «синие» — получали отчеты, чтобы расследовать атаки. Пользователи могли расследовать инциденты как в реальной жизни, но с автоматической проверкой.
Обратная связь от клиентов была неоднозначной. С одной стороны, инфраструктура вызвала восторг: она была реалистичной и интересной для изучения, а СЗИ работали безупречно. С другой — атаки показались пользователям слишком примитивными: у атакующих не было мотивации действовать изощренно, в реальной жизни их действия быстро бы обнаружили и пресекли. Клиентам хотелось более сложных цепочек, при этом они отметили, что такой формат напоминает вторую работу: одним глазом нужно следить за реальной инфраструктурой, а вторым — приглядывать за виртуальной. Кроме того, участники хотели больше обратной связи: им не хватало экспертной оценки их действий.
Такие отзывы означали, что нам нужно:
? выдавать сложные атаки;
? обеспечить обратную связь;
? сделать тренировки комфортными.
Развитие продукта: от гипотез — к MVP
Итак, мы поняли, что нам нужно больше контроля над атаками. Поэтому решили сделать регулируемые автоматические атаки с помощью нашего модуля Archer, который уже успешно имитировал действия обычных пользователей, создавая легитимный шум в системах защиты. Так, команда разработки приступила к созданию нового модуля — для имитации хакерских атак.
Параллельно мы составили полную концепцию продукта, который бы закрывал боли клиента. Решили, что тренировки будут не разовыми, и замахнулись сразу на подписочную модель.
Что нам нужно было продумать на старте:
? как удержать интерес пользователей;
? как мотивировать компании продлевать подписку;
? как повысить эффективность тренировок;
? как измерять прогресс пользователей;
? как масштабировать продукт для обслуживания 200 компаний одновременно без лишних затрат.
Challenge accepted ?
Мы очень много штормили и обсуждали бизнес‑процессы, пользовательский путь и таймлайны, формируя образ продукта. Главный вопрос: как закрыть боли пользователей?
Первым делом нужно было сформировать образ продукта так, чтобы клиенты закрыли максимум своих задач. Мы собрали обратную связь, классифицировали проблемы и для каждой подготовили решение.
Проблема № 1: разный уровень подготовки и отсутствие онбординга. В компанию приходит много новеньких — неясно, что с ними делать и как подтянуть их уровень знаний до знаний прожженных аналитиков.
Решение: входное тестирование для определения уровня навыков, выдача персональных рекомендаций, разный уровень сложности заданий.
Проблема № 2: неравномерная загрузка у руководителей и подчиненных и пиковые нагрузки на работе, из‑за которых не хватает времени на тренировки.
Решение: доступ к онлайн‑полигону 24/7 и практические задания, доступные все время действия подписки, комфортное для клиента расписание запуска атак и материалы для быстрого онбординга.
Проблема № 3: необходимость замерять эффективность тренировок и отслеживать прогресс сотрудников.
Решение: мониторинг динамики расследования атак в личном кабинете с доступом руководителя к прогрессу всей команды, возможность проверить навыки в командной битве.
Проблема № 4: слишком мало времени, чтобы самостоятельно изучать новый продукт, и желание поскорее начать использование и получать результаты.
Решение: содействие сервисного менеджера в вопросах настройки атак и их расписания, помощь ментора‑эксперта в разборе атак.
Нам также предстояло ответить на вопрос: как поддерживать интерес заказчиков к онлайн‑полигону и сделать так, чтобы подписку хотели продлить на следующий год? Наше решение — менять инфраструктуру, добавлять актуальные сервисы и атаки, обновлять практические задания, используя артефакты с кибербитв.
Итого — концепция продукта к киберфестивалю Positive Hack Days 2024 года была такая:
? Онлайн‑полигон с подготовленной и изменяемой инфраструктурой, наш комплект СЗИ — и все это онлайн и доступно 24/7.
? Обширная база знаний и практических заданий с прошлых кибербитв.
? Регулярные запуски сложных атак и воркшопы по их разбору с менторами.
? Командная мини‑битва в онлайн‑формате, помощь сервис‑менеджеров, техническая и экспертная поддержка.
Мы провалидировали гипотезы на PHDays Fest и провели глубинные интервью с потенциальными клиентами. Обратная связь дала нам зеленый свет на упаковку продукта, потому что он «зашёл» по всем пунктам!
Реальные атаки — реальные навыки
Еще очень хочется поделиться историей о том, как мы смогли упаковать сложные атаки в понятный для клиентов месседж.
Наша основная идея заключалась в том, чтобы одной из ключевых метрик оценки навыков стал процент покрытия по MITRE ATT&CK. Однако просто запускать набор техник друг за другом, добиваясь максимального разнообразия по матрице, довольно скучно.
Мы пришли к тому, что нужно реализовывать не просто набор техник в сценарии, а брать за основу настоящие отчеты об атаках, которые APT‑группировки проводили на компании из разных стран. Это добавило нашему продукту еще больше реализма и практической ценности. Так родилась наша фишка: «Вчера хакеры атаковали банк — сегодня ты разбираешь этот кейс у нас». Правда, мы тут немного лукавим — не на следующий день: актуальная «поставка» атаки пока занимает от 2–3 недель.
А теперь еще раз все проверим
Чтобы убедиться, что продукт действительно решает задачи клиентов, мы провели масштабное исследование: не только организовали глубинные интервью с пользователями, но и решились на запуск демоверсии продукта параллельно разработке.
❗❗Не повторяйте в домашних условиях❗❗
Мы предоставили доступ к онлайн‑полигону семи разным компаниям и предложили протестировать часть функций. В итоге исследование дало нам множество ценных инсайтов, например:
Задания и атаки действительно вызывают интерес. Некоторые пользователи настолько увлеклись, что даже бронировали переговорки после работы и вместе расследовали инциденты.
Команды отметили, что воркшоп очень полезен и после него действительно становится проще расследовать атаки.
Мне особенно запомнилась фраза: «Круто, что можно изучить разные техники, увидеть нетипичные для нашей работы артефакты. Формируются новые нейронные связи, и это здорово».
Пользователи также попросили добавить на полигон следующее:
✅ Возможность получить помощь, если расследование зашло в тупик и не знаешь, куда двигаться дальше, — мы сделали подсказки.
✅ Расширенную статистику по тренировкам для руководителя и участников — тоже услышали и сделали.
☑️ Атаки с учетом модели угроз для России — забрали себе в бэклог и добавим в следующих релизах.
Самое главное, что мы выяснили в рамках этого исследования и что развеяло наши большие опасения:
? Типовая инфраструктура подходит под цели и ожидания клиентов: им не нужна кастомная инфраструктура под специфику их отрасли.
? Пользователей не смущает проведение групповых воркшопов.
? В наших СЗИ тоже интересно практиковаться несмотря на то, что на основной работе могут использоваться другие решения этих классов.
Планы на будущее
Куда же без них! Наш продукт уже идет в двух локализациях — русской и английской, что позволяет работать как на российском рынке, так и на международном.
На всех кастдевах и в общении с клиентами мы слышим вопрос: «А есть ли у вас реагирование?» Понимаем, что многие компании хотят не только прокачивать навыки мониторинга и расследования, но и отрабатывать действия в режиме реального времени. Поэтому в текущем году мы начинаем поэтапно внедрять функциональность, позволяющую пользователям практиковаться в оперативном противодействии угрозам.
А можно попробовать?
В апреле мы провели масштабный онлайн‑марафон, в рамках которого любой желающий в течение месяца мог почувствовать себя пользователем нашего онлайн‑полигона и попробовать все основные фичи. Мы получили большое количество положительных отзывов и слов благодарности, поэтому приняли решение оставить расследование одной APT‑атаки в открытом доступе и после завершения марафона.
Вся информация о Standoff Defend и возможность расследовать APT‑атаку: defend.standoff365.com. Добро пожаловать!