В состоянии готовности

В состоянии готовности

Совершенствуя немецкий киберрезерв

Руперт Брандмайер, Йорн-Александр Хей, д-р Флориан Рупп и Клеменс Войвод – офицеры запаса, германская Служба кибернетики и информатики

После распада Советского Союза в 1991 г. напряженность между восточным и западным политическими блоками быстро и существенно снизилась. Вследствие этого политики в объединенной Германии все чаще стали подвергать сомнению необходимость обязательной военной службы, и в 2011 г. она была сначала приостановлена, а затем и почти вовсе отменена. После этого Бундесвер превратился в армию на добровольной основе, постоянно сталкивающуюся с растущей проблемой набора в свои ряды необходимого количества подходящих для службы новобранцев. В связи с этим в последние годы возросло значение сил резерва и стала популярной идея передачи части ответственных задач от военнослужащих действительной службы резервистам. Краеугольным камнем соответствующего генерального плана Министерства обороны (МО) является призыв на службу квалифицированных резервистов-кибернетиков.

Военная служба информатики и кибернетики (MCS) занимается организацией всех аспектов службы резервистов по специальности «кибернетика». MCS является самым молодым подразделением федеральных сил обороны Германии, которые также включают в себя Сухопутные силы, ВМФ, ВВС, Объединенные силы обеспечения и Объединенную медицинскую службу. В ведении MCS находятся подразделения, отвечающие за компьютерные и информационные технологии (ИТ), военную разведку, геоинформацию и оперативные коммуникации. В отличие от традиционных видов войск, MCS в основном работает в автономном режиме.

Доклад «Состояние дел в сфере кибернетики и информатики», подготовленный Министерством обороны в 2016 г., определил основы формирования и функционирования военного резерва специалистов-компьютерщиков, сформулировав три главные цели:

  • Создание дополнительных сил, способных оказать поддержку MCS в случае крупномасштабной кибератаки.
  • Создание квалифицированных киберподразделений, состоящих из экспертов в области ИТ, путем проведения совместных учений отдельными группами.
  • Укрепление сотрудничества и диалога между экспертами ИТ в частном, общественном и военном секторах.

Министерство обороны понимает, насколько важны квалифицированные кадры в деле укрепления киберзащиты. Для того, чтобы сделать для соответствующих критериям призывников службу в действующих подразделениях или в резерве привлекательной, Бундесвер предлагает три пути, в основе каждого из которых лежит компонент образования: принять новую программу кибербезопасности, предлагаемую Университетом Бундесвера; ввести особую модель призыва для специалистов-компьютерщиков, которые не хотят проходить военную службу в традиционном ее понимании; и увеличить набор резервистов, особенно экспертов ИТ. Последние два пути представляют определенную проблему из-за неоднородной структуры распределения «ноу-хау» информационных технологий как в обществе в целом, так и среди резервистов. Более того, кадры MCS и опытные специалисты-резервисты могут установить связь с общественностью путем проведения бесед, групповых дискуссий и других мероприятий с целью вызвать интерес либо к действительной службе в подразделениях MCS, либо к поступлению в резерв в качестве специалиста по кибертехнологиям.

СТРУКТУРА КИБЕРОБОРОНЫ

В анализе, проведенном Центром исследований проблем безопасности при Университете Цюриха в апреле 2020 г., сравнивались силы киберрезерва Эстонии, Финляндии, Франции, Израиля, Швейцарии и США. Исследование пришло к выводу, что организационные формы киберрезерва в этих странах существенно различаются из-за культурных особенностей бюрократического аппарата и вооруженных сил. Хотя во Франции, США и Нидерландах армии создаются на добровольной основе (как и в Германии), исходные условия для создания киберрезерва довольно сильно разнятся из-за особенностей систем образования, военных структур и состояния рынка рабочей силы.

В Германии создание нового киберрезерва привязано к образованию региональных отделений MCS. Помимо штаб-квартиры резерва MCS созданы еще четыре региональных центра резервистов с целью улучшения связи с резервистами-компьютерщиками, живущими в этих регионах. Эти центры, расположенные в районах, где проживают специалисты по ИТ, должны принимать на работу опытных резервистов, которые будут проходить службу на ротационной основе. Такой подход дает необходимые знания и опыт на региональном и местном уровнях, которых в противном случае в распоряжении вооруженных сил не было бы.

В нынешней ситуации пандемии COVID-19 становится очевидной еще одна выгода от децентрализации резерва MCS – геостратегический фактор. Подразделения регулярных войск и резервистов в отдельных регионах страны могут быть не в состоянии выполнять свои обязанности на необходимом уровне эффективности, хотя это может и не отразиться на других частях страны. Задачи могут быть переданы полностью боеготовному региональному центру MCS, который сможет быть доукомплектован дополнительными сотрудниками, что позволит устранить любые недостатки в работе.

Принимая во внимание основные цели Министерства обороны страны, задачи центра резерва MCS начинаются с создания привлекательных для резервистов возможностей обучения одновременно с организацией, проведением и последующим анализом киберучений, в которых будут присутствовать как аспект учебных программ (такие как контент), так и аспект логистики. Сюда входит организация конкурсов по тематике кибербезопасности как на объекте, так и в онлайновом режиме, с тем, чтобы привлечь внимание одаренных специалистов в области компьютерных технологий и стимулировать их интерес к военной карьере. Для поддержки соответствующих учебных курсов и учений потребуется специальное программное и аппаратное обеспечение (своего рода «киберполигон»). Для начала MCS предлагает, чтобы каждый резервист-компьютерщик, в зависимости от опыта в ИТ, подходил для работы в одной из следующих пяти основных областей:

«Красная команда»: имитация хакерской атаки с целью проверки жизнестойкости компьютерной инфраструктуры.

Киберразведка: сбор информации об угрозах для того, чтобы снизить риски кибернападения.

Мониторинг: отслеживание сетей, пользователей и вебсайтов с целью определить слабые места и угрозы.

Разведданные в открытых источниках (OSINT): просмотр общедоступных интернет-источников в поисках информации.

Киберпреступления и ответные действия в случае инцидентов (DFIR): анализ цифровых компонентов с целью обнаружения противозаконной деятельности и принятия надлежащих ответных мер в случае доказанного киберпреступления.

Другие области, как, например, те, которые связаны с задачами MCS в сфере геоинформации, могут быть определены на более позднем этапе. Каждый региональный центр должен будет определить, какими именно навыками должен обладать потенциальный резервист для того, чтобы соответствовать нуждам конкретной зоны ответственности, а затем будет обобщать данные по квалификации каждого резервиста. Совместно с штаб-квартирой MCS региональные центры создадут наборы общих и индивидуальных квалификационных требований к служащим резерва. Когда резервиста отберут для обучения в одной из пяти областей, MCS составит под него индивидуальную программу обучения, которая подготовит из резервиста эксперта в этой области.

В случае киберинцидента эксперты в каждой из пяти областей должны будут объединить свои взаимодополняющие опыт и знания. Такая возможность снизить киберриски и способность к сотрудничеству могут быть проверены в конкурсах специалистов в сфере кибербезопасности. Кроме того, резервисты должны будут оказывать поддержку в таких областях как системное администрирование, оценка надежности и жизнестойкости аппаратного обеспечения и программных продуктов, установка безопасных сетей и защита существующей инфраструктуры ИТ. Резервисты должны быть знакомы с организационными и коммуникационными аспектами (связь с общественностью), быть способными распознать «фейковые новости» и поддерживать на должном уровне свою осведомленность в вопросах информационной безопасности. И наконец, по всем вопросам, касающимся образования резервистов в сфере кибернетики, региональные центры резервистов сотрудничают с соответствующими организациями, такими как Командно-штабное училище Бундесвера (Führungsakademie), Университет Бундесвера, полицейские академии, а также с гражданскими учреждениями. В частности, региональные центры организуют публичные мероприятия, такие как беседы, пропагандирующие возможности, раскрывающиеся перед перспективными кандидатами, если они присоединятся к MCS или киберподразделениям резерва.

Функциональные возможности системы резерва MCS могут проверяться в ходе конкурсов специалистов в сфере кибербезопасности, проводимых на национальном или международном уровне с задействованием участников из частного, общественного и военного секторов. Конкурсы могут включать ситуацию «захвата флага», задания по выявлению угроз, стресс-тесты по обнаружению слабых мест, позволяющие проникнуть в систему, а также имитацию нападения и защитных мер. Некоторые сценарии для таких конкурсов будут разрабатываться таким образом, чтобы правильное решение нашел один участник, а другие будут предполагать работу команды экспертов в различных областях, каждый из которых будет отвечать за свой участок.

КОНЦЕПЦИЯ ОБУЧЕНИЯ РЕЗЕРВИСТОВ

Ключевая роль резервных военных киберподразделений состоит в том, чтобы во время кризисной военной ситуации (включая кибернападения) в оперативном порядке предоставить специалистов, которые бы компенсировали нехватку экспертов на действительной службе в Бундесвере. Одна из причин сложностей с набором на действительную службу достаточного количества специалистов-кибернетиков состоит в том, что примерно 30 других федеральных и региональных учреждений, занимающихся вопросами кибербезопасности − такие как федеральное Управление безопасности информационных технологий и отделы кибербезопасности в региональных и федеральных управлениях криминальных расследований – полагаются в работе на тех же самых экспертов.

Источником дополнительных трудностей является частный сектор. На рисунке 1 дается сравнение ключевых возможностей специалистов, работающих над компьютерными проблемами в промышленном и военном секторах. «Отчет АНБ», опубликованный в 2017 г. «Corporate Trust GmbH» − немецкой компанией, занимающейся управлением рисками − содержит детальное описание этих возможностей. Мониторинг, как одна из основных областей, имеет прямое отношение как к промышленному, так и к военному сектору. Это означает, что MCS будет пытаться мотивировать промышленных экспертов в этой области перейти на службу в группу мониторинга военного подразделения резерва. В случае приема на службу экспертов в области мониторинга не будет необходимости в масштабном обучении этих новых специалистов, поскольку требования в этой сфере в промышленном и в военном секторах схожи.

Кроме того, значительную часть «требуемого военного «ноу-хау» в сфере кибернетики» невозможно получить из частного сектора по той простой причине, что его там нет. Например, в промышленном секторе трудно найти экспертов, которые бы вошли в «Красную команду» (команду хакеров). Совершенно очевидна необходимость соответствующего повышения квалификации и подготовки резервистов-кибернетиков. В частности, подготовка специалистов для «Красной команды» будет представлять существенную трудность, поскольку хакерская деятельность не может официально входить в список служебных обязанностей и не существует формальных путей получения образования по этому предмету.

Основываясь на анализе желаемых возможностей и имеющихся в наличии ресурсов, могут быть разработаны узкоспециализироваанные курсы и определены конкретные знания и навыки, которые требуются той или иной команде специалистов. В контексте пяти групп экспертов, из которых будут сформированы команды специалистов, следует отметить, что для членов каждой группы достаточно получить чисто теоретические знания в некоторых из 15 областей кибернетики, определенных на рисунке 1, в то время как в отдельных критически важных областях помимо прочной теоретической основы требуется и практический опыт компьютерных операций.

В таблице 1 для пяти групп экспертов в качестве примеров даны задания на теоретическую и практическую компетентность в шести выбранных областях кибернетики. Важно, чтобы для оценки имеющихся возможностей применялись объективные, поддающиеся контролю критерии. С этой целью каждый резервист-кибернетик, до того, как начать программу обучения, должен будет пройти тест на профессиональное соответствие. Анализ расхождения между необходимыми и имеющимися навыками работников позволяет определить количество участников индивидуальных курсов, учебные программы, а также место и время их проведения.

Как уже отмечалось, подготовка членов «Красной команды» будет особенно необходима, поскольку для подразделений киберрезерва будет трудно найти кандидатов с опытом хакерских атак на достаточно высоком уровне.

На рисунке 2 в качестве примера показана программа, на основе которой MCS может составить график обучения будущих членов «Красной команды».

В этом примере после завершения программы обучения резервист станет экспертом в трех наиболее востребованных отраслях «хакерской науки»: использование Интернета, реверсивное проектирование программного обеспечения и использование системы двоичных кодов. В соответствии с примером, приведенным на рисунке 2, этот конкретный работник должен будет повысить уровень подготовки в сферах использования Интернета и реверсивного проектирования программного обеспечения, в то время как в сфере использования системы двоичных кодов никакое обучение в ближайшее время требоваться не будет.

Для кандидатов в «Красную команду», желающих стать специалистами во всех трех областях, создаются особые модели обучения. В специальности по использованию Интернета обучающиеся должны достичь уровня эксперта в области проверки возможности проникновения в систему, т.е. в ходе смоделированного кибернападения определить уязвимые места компьютерной системы. В вводных теоретических курсах неопытного слушателя ознакомят с платформой KALI Linux и более чем с 600 инструментами кибернападения, которые она предлагает. В качестве следующего шага учащиеся примут участие в занятиях, на которых будет продемонстрировано, как инструменты KALI Linux могут применяться для решения задач, поставляемых сервером «Взломай коробку». Для того, чтобы перейти на следующий уровень, будут проводиться семинары, включающие лекционный компонент и практические упражнения, на которых будут показываться решения задач типа «захвати флаг» при поддержке инструментария Juice Shop − открытого проекта по безопасности веб-приложений.

Ключом к реверсивному проектированию программного обеспечения является анализ программ с целью выделить из них дизайн и имплементирующую информацию. Для того, чтобы стать кандидатом на обучение в этой области, работник в качестве предварительного условия должен быть знаком с языками программирования Java и Assembler. В вводных курсах будут сочетаться лекции на тему реверсивного проектирования и исправления машинного кода и байт-кодов Java и практические занятия. Последующие семинары продемонстрируют, как в теории, так и на практике, как навыки в реверсивном проектировании могут быть использованы для снижения рисков, связанных с вирусами.

Наконец, в использовании системы двоичных кодов манипулирование с двоичными кодами преследует цель получить доступ к защищенной информации. Обычно это уже более сложный предмет изучения и относится к языку программирования среднего уровня, такому, как язык С, и знание низкоуровневого языка Assembler является обязательным для этого курса подготовки. Здесь на лекциях сначала расскажут об уязвимых функциях языка С, использовании простых брешей, структуре Global Offset Table, введенных в системы смягчающих элементах и о важности возвратно-ориентированного программирования с целью избежать использования смягчающих элементов. Затем у слушателей будет возможность применить эти методы к бинарным кодам. В дальнейшем занятия будут сосредоточены на повреждении компьютерной памяти, начиная с объяснений того, как использовать переполнение Windows, и с последующим переходом к инструкциям по использованию Интернет-браузеров. В процессе обучения будут сочетаться лекции и практические занятия.

ЗАКЛЮЧЕНИЕ

Министерство обороны Германии в 2016 г. признало, что с основными вызовами обществу и вооруженным силам в сфере безопасности могут справиться военные резервисты-кибернетики. Более того, считается, что эти резервисты играют очень важную роль в повышении информированности общества в вопросах кибербезопасности. Министерство обороны признает, что создание резервных подразделений, специализирующихся на кибербезопасности и способных оказать эффективную поддержку MCS, потребует значительных усилий по набору достаточного количества соответствующих требованиям резервистов и организации их дальнейшего обучения. В ответ на эти потребности создается новая организационная структура киберобороны с целью укомплектовать MCS резервистами-компьютерщиками. Региональные центры резерва MCS будут распределены по всей стране с тем, чтобы усовершенствовать механизм набора резервистов и обеспечить постоянное повышение их квалификации. В этой статье мы изложили план подбора «идеальной группы» киберэкспертов с различными специализациями. Из этого пула резервистов MCS будет создавать команды, соответствующие требованиям MCS по повышению безопасности ИТ и противодействию различным киберугрозам.