ФБР строит в Алабаме симулированный город для исследований в области безопасности, чтобы имитировать реальные сценарии кибератак

ФБР построило «фальшивый город» в Хантсвилле, штат Алабама, для изучения и моделирования развития кибератак в реальном мире, охватывающего все: от обычных домов и транспортных систем до критически важных объектов инфраструктуры, таких как больницы и электричество. Этот объект, известный как «Кибер-диапазон», занимает площадь около 22 000 квадратных футов и оборудован заправочными станциями, больницами, магазинами и несколькими полностью меблированными жилыми домами. Общая планировка похожа на небольшое поселение.

По внешнему виду этот сетевой тир больше похож на схему сцены, используемую для традиционных автономных учений, но на самом деле почти все системы внутри объекта подключены к Интернету, подключены и настроены в соответствии с реальной сетевой средой сообщества, так что сетевое поведение различного оборудования и систем может быть максимально приближено к фактическому состоянию использования, что является одной из основных целей его создания. ФБР официально открыло этот объект в прошлом году, а недавно впервые продемонстрировало его работу посредством публичного видео. На кадрах видно, что вся система тесно взаимосвязана и не склеена из нескольких изолированных тестовых сред, а работает как единая и полноценная цифровая экосистема.

Данная конструкция направлена ​​на восстановление пути развития сетевых событий в реальном мире. В действительности сетевые атаки часто не ограничиваются одной системой, а распространяются по сети, используя различные слабые звенья для прорыва линии защиты в неожиданных узлах. Например, взломанное домашнее устройство может стать точкой входа для более масштабного вторжения. В ФБР заявили, что киберполигон предназначен для моделирования таких путей атак, надеясь наблюдать за процессом распространения угроз между различными системами путем приближения к реальным связям и сложности.

На этом объекте все, от домашних сетей до систем уровня предприятия, может быть подвергнуто атакам. Стажеры и следователи будут реализовывать здесь различные смоделированные сценарии, включая информационно-развлекательные системы транспортных средств, инфраструктуру информационных технологий больниц и среды корпоративной безопасности, уделяя особое внимание наблюдению за поведенческой траекторией атак после получения первоначального доступа и за тем, как вредоносный код распространяется между различными взаимосвязанными системами. Благодаря этим практическим упражнениям соответствующие отделы смогут лучше понять каждый этап цепочки атак и их влияние на реальную инфраструктуру.

Киберполигон оснащен небольшим центром обработки данных, в котором развернуто более 200 серверов, который используется для запуска различных симуляций атак, размещения образцов вредоносного ПО и записи эволюции различных типов атак во временном измерении. В этой среде исследователи могут наблюдать за скоростью распространения угроз, конкретными уязвимостями, используемыми злоумышленниками, и фактическими эффектами защитных мер на разных этапах, обеспечивая поддержку данных для последующих стратегий защиты и реагирования на чрезвычайные ситуации.

Ключевой особенностью объекта является его полная изоляция от внешних сетей. В ФБР подчеркнули, что все системы на стрельбище не подключены к Интернету или реальным производственным сетям. Эта физически и логически «закрытая среда» позволяет им проводить высокорискованные экспериментальные учения и испытания, не подвергая опасности внешние системы. В контексте широкого распространения современного сложного вредоносного ПО и высокоавтоматизированных средств атак обеспечение того, чтобы любой экспериментальный код или атакующая нагрузка не могли «ускользнуть» в реальную среду, рассматривается как необходимое условие для работы таких средств.

Что касается содержания учений, спектр кибербезопасности не ограничивается учениями по кибербезопасности в традиционном смысле этого слова. Участники могут изучить, как атака повредила больничную сеть, или проанализировать, как вредоносный код, внедренный в систему, распространяется дальше по взаимосвязанным системам критической инфраструктуры, таким как энергосистемы. В некоторых случаях основное внимание в ходе учений будет уделяться цифровой криминалистике и отслеживанию, при этом основное внимание будет уделяться процессу реконструкции событий после атаки и тому, как следователи могут восстановить путь вторжения и определить источник атаки в сложной среде.

Этот объект также сравнивают с физически смоделированным городом «Аллея Хогана», который долгое время использовалось ФБР. В то время как последний в основном используется для тактической подготовки и обучения правоохранительных органов в физической среде, киберполигон в Хантсвилле нацелен на совершенно иной ландшафт угроз — тот, в котором цифровые системы тесно переплетаются с реальной физической инфраструктурой. ФБР считает, что, поскольку критическая инфраструктура, бизнес-системы и персональные устройства полностью подключены к сети, последствия кибератак больше не ограничиваются утечками данных, а могут напрямую привести к рискам безопасности и эксплуатации в реальном мире.

Благодаря этому кибер-диапазону ФБР и агентства-партнеры могут проверять гипотезы защиты и планы действий в чрезвычайных ситуациях в «контролируемом от сбоев» пространстве. В реальной производственной среде тестирование безопасности и тренировки по атакам должны быть строго ограничены, чтобы не влиять на реальные бизнес-операции, но на стрельбище эти ограничения могут быть намеренно смягчены, чтобы позволить преднамеренно скомпрометировать систему в ходе симулированных атак. Изучение «цепной реакции», вызванной атаками в контролируемых условиях, может помочь соответствующим ведомствам более систематически оценивать уязвимости, оптимизировать конфигурации защиты и улучшать реальные возможности боевого реагирования.

В ФБР отметили, что по мере того, как число подключенных устройств и онлайн-сервисов продолжает быстро расти, потенциальная поверхность атаки также расширяется, что затрудняет полное понимание взаимодействия между сложными системами и проблем безопасности, которые они вызывают, полагаясь исключительно на теоретическое моделирование и традиционные эксперименты. По их мнению, чтобы по-настоящему понять, как эти системы взаимосвязаны и как атаки распространяются внутри них, необходимо иметь «цифровой город», который сможет действительно воспроизводить экспериментальную среду, не вызывая реальных последствий, и этот объект в Хантсвилле является одной из основных платформ, созданных для удовлетворения этой потребности.