Cyberpoligon (Cyber Range) to w szerokim rozumieniu wyspecjalizowana platforma, której głównym przeznaczeniem jest podnoszenie kompetencji z obszaru cyberbezpieczeństwa poprzez możliwość uruchamiania w wirtualnym środowisku praktycznych scenariuszy treningowych, o różnym stopniu skomplikowania i o różnorodnej zawartości. Taka mocno ogólna definicja powoduje, że platformy o bardzo odmiennych możliwościach, funkcjonalnościach i skali realizowanych treningów, należą do tej kategorii produktów. Owa różnorodność sprawia, że koszty cyberpoligonów, jak i ich przeznaczenie, mogą być bardzo odmienne.
W tym artykule dowiesz się, od czego zależy koszt platformy Cyber Range oraz jakim kwestiom warto się bliżej przyjrzeć, dokonując jej wyboru dla organizacji czy uczelni. Pomoże Ci to w zdefiniowaniu istniejących potrzeb i odpowiednim przeanalizowaniu ofert różnych dostawców, a w konsekwencji – dokonaniu najwłaściwszego wyboru.
Table of Contents
Kupić czy Stworzyć?
Kiedy organizacja dojrzewa do podjęcia decyzji, że potrzebuje platformy klasy Cyber Range, pojawia się pytanie czy warto kupić gotowy produkt z rynku, czy też stworzyć platformę samemu. Po wykonaniu pobieżnej analizy wiele organizacji może dość do wniosku, że posiada odpowiednie zasoby kadrowe do samodzielnej realizacji takiego projektu. Często może być to prawda, jeśli posiadamy duże zespoły programistów i DevOpsów w swoich szeregach. Istnieje jednak cały szereg powodów, dla których decyzja o samodzielnej realizacji takiej platformy jest pozbawiona sensu.
Po pierwsze trzeba zadać sobie pytanie czy przeprowadzona analiza wykonalności rzeczywiście objęła wszystkie niezbędne prace, w tym przede wszystkim wszelkie funkcjonalności (nawet te na pierwszy rzut oka najbardziej błahe), jakie powinny pojawić się na platformie typu Cyber Range. W kosztach realizacji projektu trzeba również pamiętać o testach funkcjonalnych i wydajnościowych platformy oraz o kosztach utrzymania projektu od momentu wdrożenia do zakończenia użytkowania. W toku realizacji projektu z pewnością pojawią się również prace badawcze, dotyczące zwłaszcza analizy doboru technologii. Część z nich może wymagać nawet stworzenia działającego prototypu. Wspomniane kwestie to jednak nic na tle pracochłonności, jakiej wymaga stworzenie odpowiedniej bazy scenariuszy treningowych – w końcu bez nich platforma jest mało przydatna. Bardzo istotne jest również kryterium czasu. Kupując gotowy produkt możemy zacząć używać platformę w ciągu dni lub kilku tygodni zaś w przypadku tworzenia autorskiego rozwiązania będziemy musieli poczekać przynajmniej rok lub dwa.
Jeśli na jakimś etapie naszych analiz posiadamy jakieś specyficzne potrzeby, które uzasadniają tworzenie własnego rozwiązania, to warto zwrócić się do producentów cyberpoligonów z pytaniem o możliwość realizacji naszych szczególnych potrzeb. Może się okazać, że jednak istnieją platformy oferujące te szczególne cechy albo, że dany producent jest w stanie zrealizować dla nas dany mechanizm w cenie o wiele niższej od kosztów samodzielnego stworzenia całego produktu. Podejście do wyboru platformy nie powinno odbiegać od wyboru innych rozwiązań z obszaru cyber security. Mało która firma rozważa tworzenie np. EDR/AV, SIEM czy Firewall na własne potrzeby. Dlaczego w przypadku cyberpoligonu miałoby być inaczej?
On-premise, Cloud-based oraz Model Niezależny Technologicznie
Najistotniejszy podział produktów klasy Cyber Range, od którego zależy ich cena, dotyczy sposobu ich dystrybucji do odbiorcy końcowego. Możemy mówić o trzech kategoriach.
Pierwsza z nich to platformy dostępne wyłącznie w formie On-premise, które nie posiadają de facto wariantu chmurowego. Zwykle są to produkty, które zaczęły powstawać wiele lat temu, kiedy chmury obliczeniowe nie były jeszcze popularne. Albo były postrzegane jako środowiska, które nie wzbudzają przesadnego zaufania, jeśli chodzi o bezpieczeństwo przechowywanych tam danych. W przypadku części platform brak wsparcia dla wariantu uruchamianego w chmurze wynika z wyboru technologii wirtualizacji, które nie oferują wsparcia dla chmur obliczeniowych lub ich użycie w ten sposób jest wyjątkowo skomplikowane, problematyczne lub kosztowne.
Platformy oferowane w wariancie On-premise mają niewątpliwe zalety takie jak możliwość łączenia ich z fizycznymi urządzeniami oraz pełna kontrola nad przechowywanymi danymi (jeśli jesteśmy typem organizacji, dla której jest to istotne). Trzeba jednak zwrócić uwagę na znaczące koszty początkowe. Są one związane z zakupem odpowiednich serwerów, na których działać będzie platforma oraz z wygospodarowaniem na nie miejsca w data center.
Druga kategoria produktów to zupełne przeciwieństwo pierwszej. Mowa o cyberpoligonach, które zaprojektowane zostały wyłącznie do działania w ramach chmury obliczeniowej i nie posiadają wariantu typu On-premise. Przyjęcie takiego modelu związane jest zwykle z chęcią wykorzystania gotowych, natywnych rozwiązań, oferowanych przez daną chmurę obliczeniową, zamiast tworzenia własnej funkcjonalności. Wynikać może również z kwestii czysto biznesowych i powiązań pomiędzy danym dostawcą Cyber Range, a dostawcą rozwiązań chmurowych.
Dwie oczywiste implikacje tego podejścia to przywiązanie do konkretnego dostawcy chmury, które nie każdemu potencjalnemu klientowi może odpowiadać oraz brak wsparcia dla wykorzystania w scenariuszach treningowych urządzeń fizycznych. Niewątpliwi plusami rozwiązań z tej kategorii jest krótki czas potrzebny producentowi na przygotowanie instancji platformy dla klienta, niewielkie koszty początkowe, elastyczność w zakresie trwania umowy (w końcu to model typowy dla SaaS) oraz pozostawienie po stronie dostawcy wszystkich kwestii związanych z obsługą i prawidłowym działaniem platformy.
Trzecia kategoria to cyberpoligony, które oferują zarówno instalację On-premise, jak i wariant dostępny w chmurach obliczeniowych. Platformy tego rodzaju zostały zbudowane w oparciu o technologie, które nie wiążą ich ani z konkretnymi platformami sprzętowymi, ani z konkretnymi dostawcami chmur obliczeniowych. Poza oczywistym plusem, jakim jest duża elastyczność, inną bardzo istotną korzyścią rozwiązań tej kategorii jest możliwość instalacji danego rozwiązania w prywatnej chmurze obliczeniowej dowolnego rodzaju.
Koszty Cyberpoligonu Obejmujące Podstawowe Funkcjonalności
Omówienie wszystkich funkcjonalności jakie mogą pojawić się w platformie klasy Cyber Range wykracza poza zakres tego artykułu. Istnieje jednak zestaw najważniejszych mechanizmów, jakie powinny pojawić się w produkcie aspirującym do miana dojrzałego cyberpoligonu i, rzecz jasna, będą rzutować na jego cenę.
Virtualized Networks Management
Mechanizm pozwalający na wygodne i intuicyjne tworzenie i modyfikowanie schematów sieci, które wykorzystywane będą w scenariuszach treningowych. Warto zwrócić uwagę na to, czy w prosty sposób sterować możemy adresacją sieciową oraz czy możemy dodawać nie tylko poszczególne maszyny, ale również całe podsieci.
Orchestration
Mechanizm pozwalający na sterowanie zawartością poszczególnych maszyn na etapie uruchamiania scenariusza treningowego oraz w trakcie trwania treningu.
Internet Services Simulation
Zestaw gotowych do wykorzystania usług, które symulować będą Internet i znajdujące się w nim neutralne serwisy. Wartosprawdzić, ile zasobów konsumuje ten mechanizm, jakie protokoły wspiera oraz jakie są możliwości jego konfiguracji.
Attack Simulation
To zestaw wszystkich mechanizmów obecnych w platformie, które umożliwiają tworzenie pojedynczych ataków, jak również całych ich ścieżek. Warto zwrócić uwagę na to, czy platforma posiada integrację z popularnymi narzędziami hakerskimi i na ile jest to wygodne dla osoby, która ma tworzyć lub modyfikować zawartość scenariuszy treningowych.
Physical Devices Integration
Mechanizm pozwalający na podłączanie urządzeń fizycznych do sieci wirtualnych, używanych w scenariuszach treningowych. Wskazanym jest sprawdzenie w jaki sposób zrealizowany jest ten mechanizm i jakie rodzaje fizycznych urządzeń możemy podłączyć do platformy.
User Activity Simulation
To zestaw mechanizmów, których przeznaczeniem jest symulowanie aktywności neutralnych użytkowników w scenariuszach treningowych. Dobrze byłoby dowiedzieć się jakie predefiniowane aktywności przewidział dany dostawca Cyber Range i w jaki sposób możliwe jest dodawanie autorskich aktywności.
Competency Management
Pozwala na śledzenie postępów danego użytkownika. Samo uczestnictwo w treningu niewiele mówi o postępach danej osoby. Warto zapytać dostawcę danego Cyber Range w jaki sposób można śledzić postępy poszczególnych pracowników i na ile są to szczegółowe i użyteczne informacje.
Scoring and Reporting
Mechanizm gromadzący informacje na temat wydarzeń, które mają miejsce w danym scenariuszy treningowym. Dobrym pomysłem jest zwrócenie uwagi jakie informacje są zbierane przez platformę i jak wygląda raport końcowy z przykładowego scenariusza treningowego.
Instructor Tools
Zestaw narzędzi przeznaczonych dla Instruktorów pozwalających na interakcję z uczestnikami treningu, rozwiązywanie ewentualnych problemów oraz ocenę poczynań.
Traffic Generator
Mechanizm pozwalający na wypełnienie sieci scenariuszy treningowych wiarygodnym ruchem sieciowym. Warto zapytać czy producent oferuje wsparcie dla sprzętowych generatorów ruchu sieciowego, jakie programowe generatory ruchu sieciowego używa oraz jakie protokoły mogą być symulowane.
Integration Capabilities
To API oferowane przez dany cyberpoligon, pozwalające na integrację z zewnętrznymi systemami. Dobre API powinno umożliwiać nie tylko integrację z Active Directory, ale również sterowanie wieloma mechanizmami obecnymi w platformie – uruchamianie scenariuszy treningowych, dodawanie do nich uczestników, generowanie raportu końcowego.
Oczywiście nasza konkretna wizja wykorzystania w organizacji platformy klasy Cyber Range nie zawsze musi wymagać obecności wszystkich wymienionych funkcjonalności, a zwłaszcza dodatkowych mechanizmów, które oferuje dany dostawca. W tej sytuacji warto zwrócić uwagę czy dany producent ma elastyczne podejście i jest w stanie zaproponować nam produkt odpowiednio dostosowany do naszych potrzeb.
Poza dostępnością konkretnych funkcjonalności, należy jeszcze wziąć pod uwagę kwestie jakości danego produktu. Ważne jest, aby obsługa platformy była odpowiednio intuicyjna, a wykonanie poszczególnych działań wymagało tylko kilku kroków. Dobrze zaprojektowany interfejs aplikacji powinien oferować komfort jej użytkowania.
Istotnym kryterium jest również stabilność działania danej platformy i mechanizmy radzenia sobie z ewentualnymi awariami. Dobrym pomysłem jest poproszenie dostawcy rozwiązania, którym jesteśmy zainteresowani, nie tylko o pokaz na żywo, ale również kilkudniowy dostęp do wersji demonstracyjnej.
Scenariusze Treningowe i Materiały Dydaktyczne
Sama platforma klasy Cyber Range to za mało, aby program rozwoju umiejętności z obszaru cyber security mógł przynosić realne korzyści dla naszej organizacji. Równie ważnym elementem są uruchamiane na niej scenariusze treningowe oraz materiały dydaktyczne wspierające takie treningi. Warto wspomnieć, że nakład pracy potrzebny do przygotowania ich bogatej bazy jest równie duży, co wysiłek wymagany do stworzenia samej platformy. Jeśli w ramach wykonanych przez nas analiz doszliśmy do wniosku, że samodzielne budowanie i utrzymywanie cyberpoligonu jest dla naszej organizacji zbyt kosztowne i problematyczne, to podobnie może być również w przypadku tworzenia scenariuszy treningowych, które będą wykorzystywane na platformie.
Analizując oferty różnych dostawców należy zwrócić uwagę na ilość, jakość oraz zakres tematyczny dostarczanych scenariuszy treningowych. Ogromnym plusem jest zobowiązanie dostawcy do stałego rozwijania istniejącej bazy. Jak z kolei ocenić jakość scenariuszy treningowych różnych producentów? Z pewnością wymagane jest umiejętne podejście. Lepiej unikać stosowania prostego kryterium ilościowego, ponieważ twórcy cyberpoligonów w odmienny sposób podchodzą do liczenia oferowanych przez siebie scenariuszy. Znacznie lepszym kryterium oceny jest liczba unikalnych łańcuchów ataku (Cyber Kill Chain) lub też pokrycia matrycy MITRE ATT&CK. Więcej o aspektach szkoleń z zakresu cyberbezpieczeństwa przeczytasz w naszym artykule.
Obok gotowych scenariuszy treningowych, serwowanych przez dostawcę rozwiązania, warto zwrócić uwagę na możliwości danej platformy w zakresie ich modyfikowania do naszych potrzeb, jak również tworzenia autorskich scenariuszy. Aby było to możliwe, odpowiednie narzędzia powinny być wbudowane w interfejs graficzny administratora platformy, a proces dokonywania zmian i ich utrwalania powinien być prosty i intuicyjny. Warto również zwrócić uwagę czy dany producent dostarcza pojedyncze obrazy maszyn wirtualnych, należących do różnych rodzin systemów operacyjnych, czy istnieje możliwość tworzenia własnych maszyn wirtualnych w oparciu o obrazy instalacyjne ISO oraz czy obecny jest mechanizm importu/exportu maszyn wirtualnych do/z platformy.
Dobór Technologii i Skalowalność
Nie tylko sposób dostarczenia platformy Cyber Range, dostępne funkcjonalności i baza scenariuszy treningowych wpływają na cenę końcową takiego produktu. Znaczący wpływ ma dobór technologii. Część producentów wybiera podejście, w którym opierają się mocno o komercyjne rozwiązania wirtualizacyjne (np. oferowane przez VMWare). Inni wolą postawić na autorskie rozwiązania, oparte o publicznie dostępne technologie, takie jak OpenStack.
W przypadku wykorzystanie komercyjnego oprogramowania zmniejsza się ilość prac niezbędnych do stworzenia platformy. Konsekwencją jest jednak wzrost ceny takiego produktu oraz pewne ograniczenia wynikające wprost z ograniczeń technicznych rozwiązania, o które oparto projekt.
Wykorzystanie technologii takich jak OpenStack wymagać może od dostawcy nieco większego nakładu prac na etapie budowy aplikacji, ale brak drogich licencji umożliwia zachowanie atrakcyjnej ceny. Z kolei brak ograniczeń technicznych pozwala na zachowanie bardzo dużej elastyczności w zakresie rozwoju platformy.
Dobór technologii jest ważny z uwagi na jeszcze jedną cechę, którą jest skalowalność. Cyber Range to rozwiązanie, które przez długie lata może aktywnie wspierać działanie danej organizacji. Najczęściej będzie się to wiązać z regularnie rosnącym zapotrzebowaniem na moc obliczeniową oraz przestrzeń dyskową. Najbardziej optymalnym rozwiązaniem jest posiadanie możliwość skalowania wydajności platformy poprzez dodawanie kolejnych serwerów obliczeniowych w miarę wzrostu naszych potrzeb.
Dodatkowe Aspekty Wpływające na Koszty Cyberpoligonu
Kalkulując sumaryczne koszty wdrożenia platformy klasy Cyber Range w naszej organizacji, warto zwrócić jeszcze uwagę na kilka dodatkowych aspektów, które mogą mieć odzwierciedlenie w wielkości budżetu:
Model Licencjonowania Platformy
Czy producent oferuje płatność za każdy rok, czy za całość projektu z góry. Czy po zakończeniu umowy nadal będziemy mogli korzystać z platformy, a jeśli tak, to w jakim zakresie.
Koszty Infrastruktury
W zależności od tego, który model wdrożenia wybierzemy (On-premise, Public Cloud, Private Cloud), musimy uwzględnić koszty z tym związane. W przypadku On-Premise jest to rzecz jasna odpowiednio wydajny sprzęt, pozwalający na instalację Cyber Range, przestrzeń w Data Center oraz naturalnie utrzymanie tego sprzętu przez kolejne lata. Prościej mają się sprawy w przypadki wersji Cloud, tu interesować nas będzie miesięczny koszt wynajmu odpowiedniej infrastruktury i ewentualne dodatkowe koszty związane z jej utrzymaniem (np. odpowiednie warunki SLA).
Maintenance
Czy koszt obsługi platformy przez producenta został wliczony w cenę platformy czy jest też dodatkowo płatny (a jeśli tak, to warto dowiedzieć się, na jakich zasadach).
Licencje na Oprogramowanie i Dodatkowy Sprzęt
Musimy mieć świadomość, że całe komercyjne oprogramowanie, jakie pojawi się w scenariuszach treningowych (np. systemy operacyjne, bazy danych, aplikacje), powinno posiadać odpowiednią licencję (zwykle płatną), zakupioną od producenta. Warto dowiedzieć się czy dany dostawca Cyber Range ma ten aspekt dobrze zbadany i pomoże nam w tym temacie. Podobne kwestie dotyczą również fizycznych urządzeń (sterowniki przemysłowe, access pointy Wi-Fi), które planujemy podłączać do scenariuszy.
Wynajęcie Instruktorów lub Red Teamu Dostawcy
Jeśli planujemy przeniesienie kosztów związanych z organizowaniem treningów na producenta, to warto dowiedzieć się czy jest on w stanie zapewnić nam kompetentnych instruktorów lub też cały Red Team na potrzeby treningu blue vs. red. Warto sprawdzić czy w ramach bazowej umowy możemy liczyć na określone wsparcie w tym zakresie oraz jakie stawki za dzień pracy może zaproponować nam dostawca.
Koszty Cyber Range przez Pryzmat Innych Możliwości Jego Wykorzystania
Zupełnie inaczej spojrzeć można na przedstawione koszty zakupu i użytkowania platformy klasy Cyber Range, jeśli weźmie się pod uwagę jej inne, potencjalne zastosowania niż same treningi cyber security.
Możliwość sprawnego uruchamiania wirtualnych sieci i zautomatyzowanego wpływu na wydarzenia mające w niej miejsce, to doskonała przestrzeń do dokonywania ewaluacji produktów związanych z bezpieczeństwem przed dokonaniem zakupu i wdrożeniem w skali całej organizacji. Odtwarzalność środowisk uruchamianych we wnętrzu cyberpoligonu pozwala wykonać serię dokładnie takich samych działań i obserwować efekty pracy różnych produktów. Te same cechy pozwalają wykorzystać omawiane rozwiązanie jako platformę do uruchamiania środowisk testowych, które w różnej skali mogą odtwarzać fragmenty infrastruktury danej organizacji. Takie środowiska testowe, które obecnie często określane są mianem digital twin to wymarzone miejsca, aby weryfikować w bezpieczny i oszczędny sposób istotne zmiany konfiguracyjne przed wdrożeniem ich na środowiskach produkcyjnych.
Oczywistym zastosowaniem dla Cyber Range jest wyjście w scenariuszach treningowych poza ścisłą tematykę cyber security. Tych samych rozwiązań możemy przecież użyć do nauki zarządzania sieciami komputerowymi, administracji systemami operacyjnymi, testowania oprogramowania, czy też wytwarzania oprogramowania. Umiejętne wykorzystanie możliwości takich platform daje więc podmiotom będącym uczelniami technicznymi możliwość prowadzenia jeszcze ciekawszych laboratoriów i ćwiczeń z wielu przedmiotów.
Powinniśmy pamiętać, że cyberpoligon może być użyteczny dla innych działów firmy. Może być przecież używany w procesach rekrutacyjnych oraz innych aktywnościach związanych z Competence Assessment, zarówno kandydatów do naszej organizacji, jak również samych pracowników.
Można wymienić również bardziej zaawansowane technicznie przypadki użycia, takie jak chociażby wykorzystanie wirtualnych środowisk uruchamianych w Cyber Range jako zaawansowanych sandboxów do analizy działania próbek szkodliwego oprogramowania. Naturalnie jest to tylko jeden z przykładów szeroko pojętego zagadnienia Security Research, które może czerpać korzyści z wykorzystania platformy, zamiast realizacji w obsługiwanych ręcznie laboratoriach.
Skontaktuj się z nami, aby dowiedzieć się, jak Cyber Range może Ci pomóc!
Podsumowanie
Różnorodność platform Cyber Range dostępnych na rynku z jednej strony nastręczać może trudności na etapie wyboru odpowiedniego dostawcy. Z drugiej strony mnogość rozwiązań gwarantuje, że któryś z istniejących produktów jest najbliższy naszym wyobrażeniom na temat potrzebnej naszej organizacji platformie. Przedstawione w artykule aspekty związane z wyborem cyberpoligonu – od czego zależy jego cena, jakie istnieją warianty oraz funkcjonalności – stanowią solidny fundament do przeprowadzenia analizy potrzeb naszej organizacji oraz przygotowania się do rozmów z dostawcami.
