בימים שבין 24 ל- 28 באפריל היא התקיימה בבית מרכז המצוינות בסייבר של נאט"ובטאלין תרגיל ה- Locked Shields, התרגיל להגנה בסייבר הגדול והמתקדם ביותר בעולם.
המדריך מיועד להכשרת מומחי אבטחת סייבר להגנה על מערכות IT לאומיות.
הקבוצות המשתתפות קיבלו את המשימה להגן ולתחזק את המערכות והשירותים היעילים של אומה היפותטית (צוותים אלה של אנשים מכל העולם נקראים קבוצה כחולה). ההדרכה נושאת צוותים לסדרת בדיקות, החל מניהול אירועי סייבר לשיקולים משפטיים, משפטיים או אסטרטגיים רחבים יותר. הכל חייב להיות מציאותי ככל האפשר, ולכן נעשה שימוש נרחב בטכניקות הגנה והתקפה, וכל הטכנולוגיות המתעוררות הזמינות משמשות.
באופן ספציפי, עם משפט השנה, ניסינו לשמור על הפעלת רשתות ושירותים של בסיס צבאי אווירי של מדינה פיקטיבית הנתונה להתקפות מורכבות על מערכת החשמל, מל"טים (כלי רכב אוויריים בלתי מאוישים), למערכות פיקוד ובקרה, תשתיות IT קריטיות וכן הלאה. אני חושב שברור שגודל ההדרכה הזה וסוג האתגרים שעומדים בפניהם קבוצה כחולה מציב אתגרים המשתרעים על שטח הסייבר כולו, לא משנה מה ההגדרה שאומצה1.
ניתן לבצע יותר מ 2500 התקפות מסוגים שונים לבדיקת יכולות ה- קבוצה כחולה. לאתגר זה בפני גורמים מנוגדים, יש למעשה גם את קבוצה אדומה שיש להם תפקיד אנטית קבוצה כחולה, או לתקוף ולהשמיד (או לגנוב נתונים, לשנות אותם, להפוך אותם לחסרי תועלת ובכך להרוס את יכולות הפיקוד והבקרה המנוגדות), הרשת והשירותים.
בנוסף להיבטים הטקטיים של המבצע, שמטרתם להשיג יתרונות מעשיים בתחום, מבצע של הגנת סייבר (או התקפת סייבר!) יכול להיות בעל היבטים אסטרטגיים, למשל על ידי פעולה על המורל של אומה שלמה או על ידי העמדת תעשייה בסדאן. עולם התוכנה. הדרכה של מגן נעול, לראשונה, לקחה בחשבון גם את ההיבטים האסטרטגיים של הפעולות שנערכו במרחב הסייבר.
התרגיל אינו פתוח לכולם אך ההשתתפות מתקיימת בהזמנה. במהדורה הנוכחית הם השתתפו קְבוּצָה מתוך 25 מדינות בסך הכל 800 משתתפים. המושב הקבוע של התרגיל היה טאלין באסטוניה, אך הצוותים הכחולים הצליחו להשתתף גם מארצם באמצעות גישה מאובטחת לרשת.
הפעילות התקיימה בשני שלבים. ראשית, ב -18 וב -19 באפריל, כולם קיבלו את ההזדמנות לחקור את רשת התרגילים. במהלך שלב זה הצליחו הצוותים הכחולים לבנות את המפות הדרושות להגנה.
השלב השני, הפעיל, כלל את המתמודדים, ביניהם קבוצה כחולה איטלקית.
אחרי ההקדמה הקטנה הזו שמטרתה להעניק לכולם מינימום ידע על הפעילות, עכשיו בואו נראה ביתר פירוט מה קרה, דרך קולם של חלק מהמשתתפים ב קבוצה כחולה איטלקית מ- החוג למדעי המחשב מאוניברסיטת Sapienza ברומא.
פרופסור מנצ'יני, איך הורכבה הנבחרת? האם כולכם שיחקו כקבוצה כחולה?
כן. הצוות היה מורכב ממרכיבי ביטחון, אוניברסיטאות ותעשיות, כולנו עבדנו כצוותים כחולים אך עם משימות ספציפיות, כמו משפטי, משפטי, תגובה מהירה, מידע לציבור, כרטיסים וכו '.
ככל הידוע, התרגיל כנראה היה מאתגר מאוד. איזה סוג של תיעוד הועמד לרשותך? האם בנית מחדש את תוכניות הרשת?
כמובן שהיה לנו גישה לפלטפורמה המשותפת ששימשה להדרכה שם היה לנו תיאור קצר של המערכות. הייתה לנו גישה יעילה רק עם היכרות בין 18-19 באפריל לגעת בתצורות מסוימות.
הייתה לנו את תוכנית הרשת, לא מאוד מפורטת ועם רק המערכות שהיו צריכות להיות ידועות לנו. התוכנית המלאה, עם כל רוז 'או מכונות לא מסומנות, לא הייתה ידועה.
מה היו המטרות של הקבוצה הכחולה?
מטרתנו, כצוות כחול, הייתה לפקח על הרשת ולנהל אירועים, מבחינה טכנית, משפטית ותקשורתית.
מי מילא את חלק הצוות האדום?
הצוות האדום מורכב מחברי העמים עצמם הממוקמים בטאלין, בנוסף לחברי ה- CCDCOE והחברות. היא מייצגת קבוצה טכנית שיודעת מראש את כל התשתית ואת הפגיעויות הקשורות בה, ותוקפת באופן שיטתי את הצוותים השונים על מנת להעריך את יכולת התגובה והניטור.
פרופסור מנצ'יני, מניסיונך, עד כמה ניתן לשקול מדריך כזה? בעולם האמיתי מרחב הסייבר נתון לשינויים מתמשכים במרכיביו ולתוקפים כלשהם יש את זמנם (APT נחשב לסיכון הגדול ביותר), במדריך זה במקום זה אין זמן ללמוד את הרגלי המשתמשים ולחקור דרכים. של התקפה. זה מגביל מאוד את הסיכויים לתקוף תת קבוצה של הממשי. מה אתה חושב על זה? כיצד יש לארגן ולבצע תרגיל כך שיהיה מציאותי ככל האפשר?
התרגיל שהורכב כך הוא בהחלט דרך אימונים בתרחישים אמיתיים, זה מתחיל בהנחה שהמערכות נפגעות, ולכן בהחלט מנטליות שיש להשתמש בה בתדירות גבוהה יותר. ניהול תשתית מורכבת כמו זו של Locked Shields הוא בהחלט גירוי לטכנאים, ויש להשתמש בה על ידי המערכת להתנסות בפתרונות חדשניים או לבדיקת מוצרים חדשים, בין אם הם קנייניים או קוד פתוח.
אחד ההיבטים המאתגרים ביותר בתרגיל ניתן ללא ספק על ידי המגבלות, למשל אינך יכול לפקח על הכל במקרה הטוב, אך אתה צריך לעשות בחירות ואת שלב האירועים הנובע מכך כדי להבין עם מה להתמודד בפירוט רב יותר או לא, כל זאת כדי להבטיח את חווית משתמש, אשר חייבת להמשיך לעבוד ללא בעיות. מצאנו את עצמנו עומדים בפני פעולות משתמשים שהביאו סיכוני אבטחה, ולכן היינו צריכים למתן פעולות אלה מבלי להשפיע על פעולות המשתמש.
פרופסור, אנו מודים לך על התשובות הראשונות הללו, בתקווה שנוכל להעמיק איתך כמה היבטים של התרגיל הזה, ובאופן כללי יותר, על "מרחב הסייבר" הזה שאנו מתחילים לדעת יום אחרי יום.
הערה:
1 אין הגדרה משותפת לסייבר שטח. נוכל לאמץ את האיטלקית שצפויה בחוק ראש הממשלה שנערך לאחרונה מיום 17 בפברואר 2017 שפורסם ברשומות הרשמית מיום 13 באפריל 2017. אמנות. 2.h מגדירה את המרחב הסיברנטי כ: "מערך תשתיות ה- IT המחוברות ביניהן, כולל חומרה, תוכנה, נתונים ומשתמשים, כמו גם מערכות היחסים ההגיוניות, ככל שנקבעו ביניהן". הגדרות רשמיות אחרות ניתן למצוא בקישור: https://ccdcoe.org/cyber-definitions.html.
מקורות:
https://ccdcoe.org/locked-shields-2017.html;
https://ccdcoe.org/cyber-definitions.html
http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-eser...
