Від кіберволонтерства до освітньої програми з колективного кіберзахисту: досвід SOC Prime

За перші 2,5 місяці від початку повномасштабної війни в Україні команда CERT-UA зафіксувала 551 кібератаку (станом на вересень — 1600). У звіті команди з кібербезпеки Microsoft зафіксовано підтвердження того, що значна частина кібератак була чітко синхронізована з наземними операціями ворога. Цей зв’язок наочно показує важливість захисту ресурсів України в кіберпросторі та потребу у фахівцях з кіберзахисту. І на цьому фронті потрібні ті, хто протистоятиме ворогові — фахівці з кіберзахисту. Таких людей і Україні, і світу поки що помітно не вистачає.

Разом з AIN.UA експерти компанії SOC Prime розповідають, як організовують навчання з інноваційних технологій у кібербезпеці на базі українських вишів. А також про перспективи такої освіти.

Чому кіберзахисники зараз потрібні як ніколи досі

Американська воєнна доктрина відрізнялася далекоглядним мисленням та заздалегідь передбачила, що сучасна війна розгортатиметься у п’яти доменах: на землі, у воді, у повітрі, в космосі та у кіберпросторі. Останній вимір — неймовірно важливий, і це доводить не теорія, а реальність: адже поточна загроза третьої світової війни зародилася саме у кіберпросторі. 

За публічною інформацією ГУР, окупанти готували масштабні кібератаки довгий час, зокрема, спецслужби кремля заздалегідь планували масовані кібератаки на об’єкти критичної інфраструктури українських підприємств й установ критичної інфраструктури союзників України, що свідчить про розгортання векторів атаки світового масштабу в кіберпросторі.

російські спецслужби активно намагаються заподіяти шкоду українським держорганам, сервісам та інфраструктурі ще з 2014 року. Цьогоріч такі дії лише активізувалися і не вщухають від початку війни. Наприклад, 16 серпня стало відомо про потужну атаку на сайт НАЕК «Енергоатом», до якої росіяни залучили мережу з 7,25 млн ботів. 

За таких обставин попит на спеціалістів у кіберзахисті зростає. Цей тренд виходить за межі України: лише в США є дефіцит у 600 тис. спеціалістів з кіберзахисту. А за даними Cybersecurity Ventures, у період з 2013 до 2021 кількість незайнятих позицій, на які шукають і не можуть знайти людей, зросла на 350% у всьому світі — з 1 млн до 3,5 млн робочих місць. За прогнозом цієї ж організації, за 5 років попит на таких фахівців лишиться щонайменше на тому ж рівні.

Як задовольнити попит на кіберспеціалістів

«Недостатньо фокусуватися на перемозі тут і зараз, адже після перемоги України у війні загрози в кіберпросторі нікуди не зникнуть. А щоб і надалі панувати в цьому просторі, нам потрібно готувати кадри. Вже зараз час планувати майбутнє», — підкреслює Володимир Гаращенко, CISO SOC Prime. 

Найпростіший шлях до цього: піти до українських (а згодом і закордонних) університетів та запропонувати студентам вивчати передові технології кіберзахисту не в теорії, а на практиці. Саме цим і займається команда SOC Prime.

Які нові технології з кіберзахисту викладатимуть в університетах

Компанія наразі організовує навчання у двох українських вишах: Cyberport Institute at Biotech, що працює при Державному біотехнологічному університеті, та Волинському національному університеті імені Лесі Українки. Але з часом перелік закладів освіти та форм співпраці може розширитися.

Йдеться не про загальне навчання основ кібербезпеки або теорікрафтинга — цього в сучасних вишах і так достатньо, а про опанування таких технологій, як мова Sigma та фреймворк MITRE ATT&CK®, про які ми детальніше вже розповідали раніше.

Sigma, як універсальна мова для кіберекспертів на відкритому коді, дає змогу писати сигнатури (як у базах антивірусів) під будь-які системи моніторингу та реагування на події інфобезпеки під будь-яку технологію. Вони дозволяють виявляти підозрілі активності та детектувати різноманітні загрози в IT-інфраструктурі бізнесу чи організації.

Експерти SOC Prime одними з перших у світі почали застосовувати Sigma-правила для ідентифікації загроз, а також першими поєднали Sigma із фреймворком ATT&CK, який фактично є величезною бібліотекою знань про вже відомі загрози. Комбінація Sigma з ATT&CK фактично дає величезну базу знань про кіберзагрози разом із засобом її постійного поповнення. 

І ще один плюс Sigma: вона відносно проста і може слугувати «точкою входу» до кібербезпеки, якщо в людини вже є певні знання в IT. 

«Коли людина опанує Sigma, після цього вона вже може спеціалізуватись у кібербезпеці й далі. Це можна порівняти з іграми RPG: спочатку прокачуєш базові характеристики, а потім вже конкретні навички. На відміну від Yara від Google, яка дуже складна і спеціалізується лише на файлах, чи Snort, яка працює лише з мережевими пакетами, Sigma — універсальна. Тобто її вивчення — це оптимальна точка входу в професію», — говорить CEO SOC Prime Андрій Безверхий.

Студентам пропонуватимуть отримати практичні навички з технологій Sigma та ATT&CK, а також навчитися працювати з платформою й продуктами SOC Prime. 

Як проходитиме навчання

Базова ідея курсу — дати студентам ті знання та навички, які підготують до справжньої роботи. 

«У нас в багатьох університетах досі вивчають теорію, протоколи, порти, шифрування на папері, у конспектах. Водночас освітяни розуміють це відставання і хочуть давати студентам актуальні знання. На цьому й побудована наша співпраця», — пояснює Безверхий. 

Це не буде окремий курс, на який можна записуватися, а скоріше — лекції та практичні заняття у межах поточних курсів. Наприклад, одна лекція із Sigma та одна з ATT&CK на тиждень. 

Завдання під час курсу будуть як і теоретичними, так і практичними. Наприклад, студентам пропонуватимуть взяти участь у перекладі ATT&CK-матриці на українську мову. Цією локалізацією опікується SOC Prime, і ці матеріали українською перекладаються вперше. Або ж потрібно буде написати Sigma-правило, що стосуватиметься певної загрози, і розмістити його у Threat Bounty-спільноті.

«Оскільки всі наші інструменти викладені онлайн, для виконання лабораторних достатньо буде доступу в інтернет. Завдання будуть найрізноманітніші. Від простих, на кшталт: ось тобі IoC, напиши Sigma-правило для нього і запость у Slack-бот, він перевірить синтаксис та надасть фідбек. І до складних, як-от: проаналізуй статтю на CERT-UA або звіт про свіжу загрозу і розроби з неї Sigma-правила», — розповідає Ігор Волошин, керівник проектів співпраці з університетами.

Ті студенти, які продемонструють бажання й хист вивчати нові технології, а також підтвердять вміння ними користуватись, після закінчення курсу отримають сертифікати. Сертифікати із Sigma підпишуть їм творці цієї мови — Флоріан Рот та Томас Патцке, які входять до наглядової ради SOC Prime. 

Курси зазвичай платні, і коштують $400-500, але компанія планує видавати гранти на них тим студентам, які справді зацікавляться цією методологією. Але, як попереджає Безверхий, до цього слід буде докласти зусиль:

«Просто прочитати документацію по «мітрі» і все, я знаю кунгфу — так не вийде. Потрібно вже мати якусь базу в IT, щоб добре зрозуміти цей фреймворк. Але воно того варте: ATT&CK фреймворк — це відкрита база знань про кібератаки, винайдена у 2015 році. Уперше в Україні її використала саме наша команда для атрибуції атаки NotPetya до угрупування Sandworm у червні 2017. Це фактично періодична система елементів для кібербезпеки. І ми готові підтримати грантами тих студентів, які по-справжньому зануряться в її вивчення».

Які це відкриє перспективи

За даними Fortune, світовий дефіцит фахівців із кібербезпеки зумовлюється і тим, що компаніям та організаціям потрібні люди з доведеним рівнем експертизи та практичними навичками. Зокрема, сертифіковані спеціалісти. 

На сьогодні Sigma та ATT&CK — одні з технологій у кібербезпеці, якими за нашою статистикою користуються 80% компаній, що входять до переліку Fortune 100 та Forbes Global 2000. Sigma користуються у ФБР та в Канадському центрі кіберзахисту (CCCS), а Агентство з Кібербезпеки та Безпеки Інфраструктури США (CISA) визначає ATT&CK «глобальною базою даних з поведінки зловмисників, засновану на реальних спостереженнях».

За словами CEO SOC Prime, навіть серед клієнтів самої компанії є запит на спеціалістів, що розуміються на таких технологіях. 

«Нещодавно спілкувалися з одним із топових банків: на кібербезпеку їм потрібно 15 людей, які добре знають ці технології. Ще один відомий банк нам казав, що Sigma — це занадто disruptive для них. А третій — що вже три роки працює з цією технологією та автоматизував інтеграцію по CI/CD. І це при тому, що банківська галузь — одна з найконсервативніших», — говорить Андрій Безверхий.

Окрім працевлаштування, знання цих технологій дасть студентам й інші можливості заробляти. Наприклад, учасники програми Threat Bounty, яку проводить SOC Prime, пишуть правила для Sigma та отримують змогу публікувати їх після верифікації експертами на першій у світі платформі колективного кіберзахисту. Ті правила, які виявляються найкориснішими, дають їхнім авторам можливість непогано заробити: виплати за цією програмою іноді сягають $2000-3000 на місяць.  

Які плани

«Загальна ідея: нам потрібно виростити покоління інженерів, які забезпечуватимуть кіберзахист нашої держави та її критичної інфраструктури, а також опікуватимуться кібербезпекою по всьому світі. Таких людей нам зараз дуже не вистачає. А для них вивчення цих технологій — це відкритий шлях до безпекових відділів топових українських та світових компаній, державних установ, а також ініціатив на кшталт Threat Bounty», — підсумовує Андрій Безверхий, CEO SOC Prime. 

За оцінкою команди SOC Prime, світовим компаніям та організаціям із кібербезпеки потрібно 3 млн фахівців з ATT&CK та Sigma. Компанія планує долучитися до підготовки частини цих спеціалістів. Адже курси, які зараз запускаються в українських університетах, з часом зможуть масштабувати, перенести за кордон — у виші Британії, США, Польщі, Нідерландів та інших країн. Їх можуть повністю оцифрувати та зробити з них онлайн-курси, тож ці технології зможуть вивчати всі охочі.