Онлайн-варианты ИБ-игры KIPS от Лаборатории Касперского

Прошлый четверг был не только рыбным днем; он был насыщен и событиями по безопасности, среди которых я бы отметил опубликования Cisco пресс-релиза о получении сертификата на отсутствие НДВ, конференцию AntiFraud Russia, где я читал презентацию по модели угроз биометрическим системам, и выступление Президента, где он призвал снижать барьеры для компаний в области ИБ (правда его же распоряжение об ужесточении лицензионного контроля немного противоречит словам из Послания). Но было и еще одно событие, которому я и хотел посвятить эту заметку. Речь о кибермундиале, то есть чемпионате по онлайн-игре Kaspersky Industrial Protection Simulation, о которой я писал год назад и которая тогда была преимущественно «бумажной».

В прошлый раз я высказал идею, что было бы замечательно, если бы игра стала целиком онлайн и вот свершилось. Коллеги из Лаборатории Касперского пригласили меня поучаствовать в чемпионате, в котором приняло участие около 400 команд из разных регионов мира. Поэтому чемпионат разделили на 3 блока, проходящие в разные временные отрезки. Учитывая AntiFraud, я попал только на североамериканский чемпионат, где участвовало 40 команд.

Я не ставил перед собой задачи выиграть — мне было интересно, что получилось из бумажного варианта, который я видел больше года назад. С точки зрения описанной мной в прошлый раз стратегии не поменялось ничего и повторять ее я не буду. Игровое поле тоже мало претерпело изменений — по сути автоматизировали процесс выбора карточек на каждом ходе с последующим автоматическим подсчетом очков, что и позволило целиком перейти в онлайн.

Так как речь шла о чемпионате, где необходима было обеспечить звуковое сопровождение игры, отсчет времени, комментарии и т.п., то ЛК использовала для этого наш Webex, через который был проведен предварительный тренинг по использованию игры, а после чемпионата — проведен анализ игры и даны рекомендации по отдельным шагам игроков. Этот момент был очень ценен, так как действительно позволяет не просто «поиграл и забыл», но и получить обратную связь и понять, что было правильно, а что нет.

Иногда у меня вызывало вопросы то, как принимается решение внутри движка и почему то или иное мое действие приводит к тем или иным результатам. Такое недоумение было и в бумажной версии. По сути игра жестко запрограммирована в соответствие с видением экспертов ЛК, что, допускаю, может вступать в противоречие с мнением других экспертов. Но все равно, вариативность и зависимость между действиями, сделанными на разных ходах, была неплохой.

Меры защиты были не только технические, но и организационные. Была учтена связь ИБ и ИТ, а также необходимость привлечения внешних компаний (пентестеров и аутсорсеров), а также обращения в правоохранительные органы 🙂 Достаточно интересно оказалось, что некоторые карточки не приводили к желаемому результату и похоже (хотя могу и ошибаться) были сделаны для отвлечения внимания. Например, произошедший денежный перевод не тому получателю нельзя было отозвать (так как его уже провели), хотя карточка с такой мерой была предусмотрена 🙂

Интересно, что сценарий игры подразумевал не просто борьбу с угрозами, а еще и необходимость учитывать бизнес-задачи. Например, неустраненная уязвимость Интернет-магазина могла привести к его блокированию со стороны провайдера Интернет, а обновление всех компьютеров — к потере времени сотрудников и снижению доходов компании. Целью игры было не побороть все угрозы, а обеспечить максимальный доход в условиях ограниченного бюджета и времени. На фоне ограничения времения на каждый ход, которое еще и снижалось на каждой новой итерации, это заставляло думать очень быстро.

Новые защитные меры появлялись не сразу, а по мере хода игры, что также добавляло некоторой непредсказуемости результата. Продумываешь один сценарий, а тебя сбивают с толку новыми карточками, да еще и настойчиво рекомендуют их применить «а то будет плохо…».

В итоге, я занял 28-е место из 40 и получил массу удовольствия. Будь это не первая игра и не надо мне было бы параллельно заниматься с детьми, я бы более внимательно отнесся к заданиям и моей реакции. Может быть и результаты были бы тогда повыше. Во время чемпионата в нашем регионе (EMEA), победитель достиг миллиона с небольшим (максимальное значение было 1.100.000).

А теперь несколько слов о том, чего бы мне хотелось увидеть в следующей версии:

• Возможность участия вне чемпионата. Думаю, что она и так есть, просто чемпионат был способом привлечь внимание к этой игре и сервисам ЛК по повышению осведомленности. В такой игре (вне чемпионата) не нужно звуковое сопровождение, но… нужно реализовывать другие задачи, среди которых:
• анализ проведенной игры (сейчас он был через Webex, а хотелось бы увидеть его по итогам игры с возможностью его сохранения в личном кабинете и последующем обращении к нему для изучения)
• отдельно выгружаемый/сохраняемый лог/история действий
• Увеличение числа защитных мер.
• Наличие конструктора для создания собственных систем защиты и собственных сценариев. Это очень крутая возможность и я понимаю, что сделать ее не так уж и просто. Это необходимо не только научиться описывать систему защиты, но и связать все защитные меры с угрозами и «оцифровать» их влияние. Эта задача в общем малорешаема, так как у нас бесконечное число угроз, но вот для игры это сделать можно, взяв хотя бы за основу привязку к Kill Chain. Такая возможность могла бы продаваться в рамках Premium-пакета для корпоративных заказчиков, которые таким образом могли бы в игровой форме выстраивать свои системы защиты и моделировать угрозы и свои ответные действия.
• Личный кабинет. Если рассматривать игру как долгоиграющий проект, направленный на повышение осведомленности, то надо где-то накапливать свою статистику и иметь возможность видеть динамику.
• Кибермундиаль был ограничен по времени и числу ходов, а хотелось бы иметь более расширенный вариант. И чтобы время можно было делать больше или меньше. И бюджет задавать самому (да и не только CapEx на реализацию карточек, но OpEx на их обслуживание с течением времени). И чтобы число ходов было неограничено пятью.
• Отдельной функцией могла бы стать возможность анализировать действия других игроков и команд. Особенно если рассматривать это как инструмент для холдингов и групп компаний, которые имеют головную и подчиненные ИБ.
•  Предусмотреть влияние регуляторики и внезапные проверки регуляторов, которые могут помешать работе служб ИБ (а уж если реализовать изъятие серверов со стороны МВД…) 🙂
• Хотелось бы иметь возможность высказать несогласие с оценкой хода со стороны игры. Все мы люди и всем нам свойственно ошибаться. Коллективный разум может найти ошибки, которые пропущены разработчиками игры.
• Наконец, можно было бы реализовать возможность играть и на стороне темной силы 🙂 Все-таки у нас немало компаний, которые имеют и собственные Red Team, и занимаются моделированием угроз. Им было бы полезно, как мне кажется, выступать за команду нападающих и проверять на прочность не реальные, а виртуальные бастионы.
• Ну и учитывая разные целевые аудитории для данной игры (я, например, выступал в одиночку и как частное лицо, а многие другие команды состояли из нескольких участников и представляли компании), можно было бы предложить к данной игре разные пакеты и уровни поддержки — для индивидуальных пользователей, для ВУЗов, для среднего бизнеса, для крупных корпоративных заказчиков. А производителям средств защиты еще и product placement можно предлагать (шутка).

Вот такая интересная игра, которая может стать еще лучше. Поддержка разных языков и ориентация на разные вертикалы (финансы, ритейл, промышленность, госы и т.п.) позволит данной игре стать значительным событием в мире ИБ и классным инструментом для повышения осведомленности по вопросам ИБ. Да и как средство анализа этот инструмент очень недурен при правильном подходе. Этакий аналог KSN 🙂