Кибер-учения и их роль в подготовке специалистов информационной безопасности

П остановка проблемы. Кибербезопасность сегодня является необходимым условием успешной цифровой трансформации всех отраслей экономики [Доктрина ИБ, 2016; РФ. ФЗ № 149, 2006]. Практикоориен-тированность при подготовке специалистов по информационной безопасности (ИБ) нацелена на то, чтобы с первого дня работы на предприятии выпускники эффективно применяли полученные в вузе знания с учетом специфики той или иной отрасли. Знания передаются не только через лекции и учебники, но и путем проведения киберучений, через погружение студента в реальные кейсы и сценарии для отработки навыков противодействия киберугрозам.

Иммерсивные технологии обучения – это совокупность технических и педагогических методов и приемов, способствующих погружению и максимальному вовлечению обучающегося в искусственно созданную среду, в условия, приближенные к реальным. Иммерсивные технологии позволяют повысить эффективность образовательного процесса за счет передачи знаний студентам не только традиционным аудиовизуальным способом, но и в форме реального опыта и впечатлений, полученных в имитационной среде, построенной преподавателями исходя из реальных кейсов, связанных с выявлением и обработкой инцидентов ИБ в компаниях и организациях.

Киберучения – отработка практических навыков реагирования на инциденты информационной безопасности специалистов по информационной безопасности, специалистов IT и пользователей информационных систем, подлежащих защите. Киберучения, не связанные с использованием средств вычислительной техники и сетевым оборудованием, ограниченные устным обсуждением и выработкой решений, называются штабными киберучениями .

Киберполигон – это комплекс программноаппаратных решений, собранных в единую сеть для эмуляции действий реальной информационной инфраструктуры, по возможности полностью копирующий все протекающие в ней процессы, но не обрабатывающий какую-либо критичную информацию. Основное его назначение – отработка имитации кибератак, методов защиты и изучения инцидентов в условиях, максимально приближенных к реальным. Учебный киберполигон позволяет решить основную проблему – отсутствие реальной комплексной инфраструктуры для отработки навыков использования определенных средств и методов защиты данных и информационных ресурсов. Киберполигон позволяет проводить киберучения, которые делают аудиторные занятия более интересными и актуальными. Это дает реальный опыт защиты информационных систем, позволяет комплексно закрепить все полученные знания.

Проблема получения профессиональных навыков выпускниками Российских вузов обозначена уже как минимум с 2016 г.1 Согласно исследованию Министерства науки и высшего образования, проведенному в 2020 г., 91 % работодателей признают недостаток практических навыков у выпускников вузов и более 40 % студентов считают, что обучение оторвано от требований рынка труда. Данная проблема касается и подготовки специалистов по направлению информационной безопасности.

Две основные причины отказа работодателями в трудоустройстве выпускников вузов – отсутствие опыта работы и плохая самопрезен-тация [Гурьянов, 2022]. Студентам направлений, связанных с информационной безопасностью, довольно сложно обеспечить качественные практические занятия, которые дадут навыки и знания для реальной работы по специальности, так как даже в ходе прохождения производственной и преддипломной практики организации, где уже выстроена система управления информационной безопасностью, не допускают обучающихся к реальным информационным процессам. Там, где требуется проведение исследований на предмет надежности системы ИБ, студентам не доверяют тестирование IT-инфраструктуры предприятия на наличие уязвимостей и даже не знакомят с системой управления ИБ. Эти ограничения оправданы, ведь даже раскрытие информации о применяемых методах и средствах защиты информации порой может нести угрозы информационной безопасности предприятия [Kucherov, Bogulskaya, 2017; 2018]. С другой стороны, на предприятия выпускники должны приходить с определенными практическими навыками. Данную коллизию можно разрешить при помощи проведения киберучений с использованием учебного киберполигона вуза.

Обзор научной литературы . Педагоги высшего образования отмечают необходимость повышения качества образования, подготовки специалистов с высоким уровнем готовности к профессиональной деятельности. Для технических вузов это вызвано динамизмом научнотехнического прогресса.

Одним из ведущих направлений повышения качества образования называют формирование конкурентоспособности выпускников вузов [Ершова, Муллина, 2015]. При этом отмечается, что выпускники вузов часто проигрывают более опытным работникам из-за отсутствия профессиональных навыков [Гурьянов, 2023].

Необходимость повышения качества образования требует обновления форм, методов и средств обучения в вузах [Селеменева, 2016; Гринберг, 2011; Гринберг и др., 2017; Дрозд, 2023].

Киберучения – это один из новых форматов, учитывающий специфику подготовки специалистов по информационной безопасности [Анисимова, 2022]. Киберполигоны нужны не только для студентов, но и для уже действующих специалистов. При наличии учебного киберполигона сотрудники органов власти и предприятий могут повысить здесь свой уровень готовности к цифровым атакам, не нарушая реальные производственные процессы.

Результаты исследования. В статье выполнен анализ эффективности методов, применяемых для подготовки специалистов по информационной безопасности в Сибирском федеральном университете. Обоснован выбор формата киберучений.

В пользу киберучений говорят исследования, касающиеся эффективности учебного процесса. Эффективность подтверждается не только результирующим уровнем знаний и навыков студента, но и другими параметрами [Щеглова2, 2021], а именно:

• –    успеваемость обучающегося, выраженная оценками в баллах;

• –    качество знаний, умений и навыков;

• –    уровень обучаемости, отражающий способность к усвоению знаний, и количество необходимой помощи для этого;

• –    степень адаптации выпускника вуза к жизни и профессиональной деятельности;

• –    темпы процесса самообразования;

• –    уровень общей образованности и приобретаемого профессионального мастерства;

• –    готовность к дальнейшему продолжению образования.

Эти показатели являются ключевыми для выбора студентом будущей деятельности, будь то поиск работы или продолжение образования.

В свете приобретения практических навыков у студентов специальностей, связанных с информационной безопасностью, рассматривают три метода ведения образовательной деятельности – пассивный, активный, интерактивный

[Вербицкий, 1991; Захарова, 2008; Пак, Хегай, 2012; Роберт, 2010; Стебеняева, Ларина, 2016]. При этом интерактивный основан на продолжении и развитии идеи активного метода и становится еще более актуальным с применением иммерсивных технологий.

При пассивном методе, например на лекции, студенты получают знания от преподавателя в том виде, в котором его подготовил преподаватель, и не могут активно с ним взаимодействовать. Активный метод, применяемый, например, на семинаре, позволяет студентам влиять на ход проведения занятия, задавать вопросы, ставить проблемы или обсуждать материал с преподавателем во время занятия. Интерактивный метод является развитием активного и подразумевает взаимодействие студентов как с преподавателем, так и друг с другом, например в формате штабных киберучений. В ходе таких обсуждений обучающиеся либо действуют как одна команда экспертов, либо разделяются на несколько команд, и тогда занятие носит соревновательный характер [Хириев, 2007; Худякова, Давыдов, Васильев, 2011; Селезнева, Белая, Грузинцев, 2021].

Эффективное проведение киберучений требует от преподавателя умелого сочетания всех трех методов подачи материала [Осипов, 2022; Новиков, 2023; Olsson, Mozelius, Collin, 2015; Смирнов, 2010]. В ходе лекций или предварительной части семинарского занятия требуется наряду с теоретической частью, касающейся вопросов обеспечения информационной безопасности на предприятиях и в организациях, дать информацию о кейсах по реальным инцидентам информационной безопасности. Если в ходе киберучений предполагается использовать оборудование и программные средства учебного киберполигона, то предварительно необходимо дать описание возможностей данных конкретных технических решений. Это может быть описание DLP или SIEM-систем, межсетевых экранов, XDR-решений и т.д., которые будут применяться в киберучениях, проводимых с использованием учебного киберполигона. Желательно также дать описание

встроенных средств контроля операционных систем, таких, например, как ведение и анализ электронных журналов событий, как одного из способов расследования инцидента ИБ.

Применение активного метода возможно на предварительной части подготовки к киберучениям в ходе семинарских занятий или в части лекционного занятия, где следует в ходе описания случаев из судебной практики, или из практики расследования инцидентов ИБ с применением средств защиты информации на предприятиях и в учреждениях вовлекать студентов в дискуссию о возможном ходе инцидента и его расследовании. Такое построение занятия позволит преподавателю при разработке сценария киберучений заранее распределить роли среди студентов.

Интерактивный метод применяется в ходе киберучений. Их проведение требует тщательного планирования занятия и следования определенному сценарию. Желательно при подготовке к занятию сформировать таблицы, где в первой колонке будет содержаться вопрос или описание этапа киберучений, количество остальных колонок определяется количеством команд, в них преподаватель проставляет оценки за каждый пройденный этап. Такие занятия позволяют обсуждать проблемы, максимально идентичные реальным кейсам из практики обеспечения информационной безопасности, а также призваны развивать у студентов навыки общения, работы в команде, формулирования итогов обсуждений и их грамотного описания. Независимо от того, выступают ли студенты как единая команда или две команды экспертов (это касается проведения штабных киберучений), делятся ли на «атакующих» и «защищающих» информационную систему, в командах необходимо назначить «капитана» и «технического писателя». При этом капитан команды должен координировать действия команды, отвечать за ведение дискуссии и принятие решений. Технический писатель при этом выполняет функцию регистрации хода киберучений, готовит письменный отчет о работе команды. Остальные члены команды помогают техническому писателю в формировании отчета.

Так как спецификой подготовки специалистов по информационной безопасности является отсутствие доступа к реальным средствам защиты на объектах информатизации, для формирования практических навыков работы необходимо использовать иммерсивные технологии. Навыки разборов ситуаций с нарушениями информационной безопасности, расследования инцидентов, отражения кибератак студенты приобретают в ходе киберучений и на учебных киберполигонах.

Киберучения безусловно являются самым эффективным подходом, повышающим качество образования по специальностям, связанным с информационной безопасностью. Как показала практика проведения практических занятий в виде киберучений, которые проводились преподавателями кафедры информационной безопасности института космических и информационных технологий Сибирского федерального университета для групп из 10 и более студентов, это помогает участникам в отработке навыков командной работы, коммуникативности, планирования и самоорганизации. Сама структура групповых киберучений подразумевает интенсивный обмен полученной информацией в процессе работы, развитие умения формулировать отчеты о ходе работ и мерах по расследованию инцидента.

Наличие учебного киберполигона крайне желательно для проведения практических занятий как со студентами, так и со слушателями курсов повышения квалификации и переподготовки. Есть мнение, что создание учебного кибер-полигона требует больших финансовых затрат и времени, а также обязательного привлечения внешних специалистов. Безусловно, на российском рынке есть компании, которые создают масштабные киберполигоны «под ключ», но стоимость таких решений оказывается неподъемной для бюджетов вузов. Вместе с тем для создания небольшой инфраструктуры, достаточной для обустройства учебного киберполигона, потребуются лишь одна или несколько компьютерных аудиторий и учебные лицензии программных средств обеспечения информационной безопасности, которые могут быть предоставлены вендорами бесплатно или с большой скидкой, например в рамках договоров о сотрудничестве с вузом. При данном подходе может потребоваться лишь выделение средств на модернизацию серверов и компьютеров учебных аудиторий.

Ниже приведены примеры сценариев киберучений для студентов специальностей, связанных с информационной безопасностью.

Сценарий 1. Анализ подозрительного письма электронной почты.

Описание инцидента. Пользователь получил письмо, которое попало в папку SPAM, но так как в поле адреса отправителя была обозначена организация, с которой он ведет регулярную переписку, он открыл это письмо. Содержимое письма показалось ему странным, и он передал его специалистам по информационной безопасности.

Методические материалы. Архив, содержащий исходное письмо в формате HTML, скриншот экрана пользователя «New Fax Massage. pdf», RFC – заголовок письма в текстовом файле.

Задание. Требуется определить, является письмо СПАМом или фишингом, не несет ли оно какую-либо угрозу информационной безопасности, провести анализ и предложить меры, сделать общие выводы, сформулировать ответ пользователю и сообщение руководству организации.

Цели. Отработка навыков в распознавании фишинговой атаки, проведении анализа инцидента и его обработки.

Сценарий 2. Атака через фишинговое письмо.

Описание инцидента. Пользователь организации получил письмо со следующим содержанием: «Вам положены дополнительные выплаты, срок подачи документов истекает через сутки после отправки данного письма. Просим заполнить и направить нам по электронной почте заполненные и отсканированные бланки из прилагаемого архива». Письмо содержит вложение в виде самораспаковывающегося архива «Бланки документов». Пользователь запустил архив на самораспаковку, но не получил папку с документами, после повторного запуска на экране появился пляшущий человечек, после чего пользователь обратился в службу информационной безопасности.

Методические материалы. Виртуальная машина с ОС Winows, самораспаковывающий-ся архив WinRAR, выполняющий при автоматической распаковке следующий сценарий:

– инсталляция пакета r-admin;

– внесение изменений в реестр ОСWindows;

– запуск анимации «Пляшущий человечек»; – удаление следов инсталляции.

Задание. Требуется исследовать содержимое архива, переместив его на виртуальную машину, описать последовательность действий, которые выполняются на компьютере при запуске архива на автоматическую распаковку. Необходимо ответить на вопросы:

– какие цели мог преследовать создатель данного архива?

– какая угроза возникает после запуска архива на автоматическую распаковку?

– какие действия нужно выполнить для устранения угрозы, если пользователь запустил архив на разархивирование?

Необходимо сделать общие выводы по теме противодействия фишингу.

Цели. Отработка навыков анализа фишинговой атаки, применения виртуальной замкнутой среды для безопасного проведения анализа инцидента, его расследования.

Сценарий 3. Внутренняя угроза (нарушение целостности). Выполнение служебного расследования по факту подделки печати в договоре.

Описание инцидента. В ходе подготовки платежных документов в финансовом отделе организации выявлен договор, который не числится в основном реестре договоров организации. Оригинал документа не обнаружен, в ходе визуального анализа скан-копии договора установлено, что при помощи редактора изображений (вероятно, Photoshop) кем-то из пользователей в скан-копию не согласованного договора самовольно вставлена печать организации. Информация для расследования инцидента передана специалистам по информационной безопасности.

Методические материалы. Виртуальная машина с предустановленными компонентами DLPSearchInform «Контур информационной безопасности», методические материалы.

Задание. Требуется определить, кто из инсайдеров внес несанкционированные изменения в договор, сделать общие выводы.

Цели. Отработка навыков проведения расследований при помощи компонентов DLP.

Заключение. Киберучения, в особенности проводимые с использованием учебного киберполигона, позволяют частично или полностью разрешить коллизию, связанную с отсутствием доступа обучающихся к реальным системам информационной безопасности, повысить их практические навыки. Применение иммерсивных практико-ориентированных методов для подготовки специалистов по информационной безопасности, к которым относятся киберучения, являются, по сути, единственным верным подходом в вопросах отработки практических навыков анализа ситуаций, связанных с инцидентами кибербезопасности. При этом необходимо учитывать все нюансы и аспекты, связанные как с внутренними, так и с внешними угрозами информационной безопасности. Обработка инцидентов, их анализ и выработка мер реагирования невозможны без применения специальных программно-аппаратных, других технических средств обеспечения информационной безопасности. В связи с этим необходимо сотрудничество вузов с производителями таких средств. Вендорам такое сотрудничество дает дополнительные возможности в продвижении своих продуктов, вузам – повышение качества подготовки специалистов через применение иммерсивных технологий обучения.