Архітектура кіберполігону: побудова оборонного середовища кібернавчань

Автор: Інженерна команда Corvus Intelligence · Про команду →

11 червня 2026 9 хв читання

Кіберполігон — це найближчий аналог полігону з бойовою стрільбою, який оборонна організація має для розвитку й випробування кіберспроможностей. Як і фізичний полігон, він має бути достатньо реалістичним, щоб забезпечити справжнє перенесення навичок, достатньо безпечним, щоб запобігти шкоді операційним системам, і достатньо повторюваним, щоб вимірювати поліпшення між ротаціями підготовки. На відміну від фізичного полігону, цільове середовище повністю програмно-кероване — а отже, кожне рішення про те, що емулювати, як оркеструвати сценарії та як оцінювати результати тих, хто навчається, є архітектурним вибором, що безпосередньо визначає ефективність підготовки. Ця стаття розглядає головні архітектурні компоненти оборонного кіберполігону й інженерні рішення, що відрізняють функціональні полігони від тих, що не переносяться в операції.

Базова архітектура: чотири шари оборонного кіберполігону

Добре структурований кіберполігон розділяє відповідальності між чотирма шарами, кожен з яких має окремі інженерні вимоги та операційні інтерфейси.

1. Шар віртуалізації та емуляції мережі. Цей шар забезпечує обчислювальну й мережеву фабрику, на якій працює емульоване цільове середовище. Віртуалізація (KVM, VMware ESXi чи еквівалент) розміщує екземпляри операційних систем із реальними образами ОС, реальними стеками застосунків і реальними вразливостями. Фабрика емуляції мережі — зазвичай реалізована за допомогою контролера програмно-керованої мережі (SDN) і віртуальних комутаторів — контролює топологію, що з’єднує ці екземпляри: які VLAN існують, які обмеження пропускної здатності та затримки застосовуються до кожного каналу, які правила брандмауера керують міжсегментним трафіком. Відмінна властивість цього шару полягає в тому, що він запускає реальні бінарні файли: той, хто навчається, запускаючи сканер портів проти цілі полігону, отримує таку саму відповідь, яку отримав би проти живого хоста, бо ціль — це живий хост, лише ізольований у межах фабрики полігону.

2. Шар оркестрації сценаріїв. Оркестрація — це те, що перетворює сукупність працюючих ВМ на навчальну вправу. Оркестратор читає визначення сценаріїв — структуровані файли, що описують початковий стан середовища, послідовність дій противника для впровадження, умови, що просувають чи розгалужують сценарій, і критерії оцінювання — й виконує їх проти шару віртуалізації через API. Коли вправа запускається, оркестратор розгортає середовище зі знімків, конфігурує стан мережі, запускає генератори фонового трафіку й передає керування таймеру вправи. Під час вправи він упроваджує заздалегідь сценаризовані дії противника (скидання файлів, модифікації реєстру, мережеві з’єднання, записи в журналах) за розкладом чи у відповідь на дії тих, хто навчається. Коли вправа завершується, він збирає телеметрію й запускає скидання середовища.

3. Шар генерації трафіку та телеметрії. Полігон без реалістичного фонового трафіку — поганe навчальне середовище: кожна аномалія виділяється, бо базова лінія рівна. Шар генерації трафіку продукує протокольно автентичну фонову активність: сесії перегляду HTTP/S, потоки електронної пошти SMTP та IMAP, послідовності автентифікації в домені Windows, доступ до файлових ресурсів, DNS-запити та, де доречно, обмін протоколами промислових систем керування (Modbus, DNP3, IEC 61850). Шар телеметрії одночасно збирає повний захват пакетів і структуровані журнали з кожного вузла в екземпляр SIEM, який ті, хто навчається, використовують під час вправи. Калібрування обсягу трафіку так, щоб упроваджений трафік противника був виявним, але не тривіально очевидним, — одне з найвимогливіших завдань проєктування контенту в експлуатації полігону.

4. Шар оцінювання, AAR та адміністрування. Оцінювання фіксує результати вправи — захоплені прапори, позначки часу виявлення, дії зі стримування, розгорнуті інструменти — і подає їх контролерам вправ у режимі реального часу, а тим, хто навчається, — у розборі після дій. Шар адміністрування керує користувачами й командами, розподілом середовищ, плануванням вправ і моніторингом справності інфраструктури. Ці дві відповідальності часто об’єднують у єдиний вебзастосунок, але вони мають різні вимоги до контролю доступу: дані оцінювання мають бути захищені від тих, хто навчається, під час вправи, а моніторинг інфраструктури має бути доступним операторам полігону навіть тоді, коли фронтенд вправи недоступний.

Емуляція мережі: достовірність топології та ізоляція

Шар емуляції мережі — це місце, де більшість архітектур оборонних кіберполігонів роблять свої найвагоміші компроміси. Фундаментальний вибір — між повною емуляцією на віртуальних машинах та емуляцією на контейнерах. Віртуальні машини забезпечують найвищу достовірність — кожен хост запускає повне ядро ОС з точним рівнем патчів, конфігурацією та набором сервісів цільового середовища, — але споживають значну пам’ять і потребують довшого часу скидання. Контейнери поділяють ядро хоста, запускаються за секунди й скидаються майже миттєво, але не можуть емулювати вразливості рівня ядра чи специфічні для ОС поведінки, що різняться між дистрибутивами Linux і Windows.

Оборонні полігони часто використовують гібридний підхід: хости Windows та кінцеві точки ICS, що потребують специфічної поведінки ядра, працюють як ВМ; сервіси на основі Linux і мережева інфраструктура працюють як контейнери. SDN-фабрика (Open vSwitch з контролером OpenFlow або комерційний еквівалент) з’єднує обидва без розрізнення, забезпечуючи ті самі правила пропускної здатності, затримки та ACL незалежно від базової технології віртуалізації.

Ізоляція не підлягає обговоренню для будь-якого полігону, що розміщує одночасні вправи. Архітектура полігону, що дозволяє трафіку втекти з мережі одного орендаря вправи в мережу іншого — або, гірше, у продакшн-мережу — це інцидент безпеки, а не навчальне середовище. Ізоляцію має забезпечувати шар SDN явним списком дозволів, а не покладатися на внутрішню конфігурацію брандмауера ВМ, яку ті, хто навчається, можуть змінити в межах вправи. Мережа керування, що використовується операторами полігону та платформою оркестрації, має бути на фізично чи криптографічно відокремленому сегменті, недосяжному для учасників полігону.

Емуляція середовищ ICS та OT

Оборонні організації дедалі частіше потребують полігонів, що емулюють середовища операційних технологій (OT): промислові системи керування, SCADA-мережі та межу IT/OT, яка є основною поверхнею атаки в загрозах, орієнтованих на інфраструктуру. Емуляція ICS на навчальній достовірності потребує як програмних емуляторів логіки PLC та інженерних робочих станцій, так і точної симуляції протоколів для Modbus TCP, DNP3 та IEC 61850. Декілька відкритих платформ забезпечують програмну емуляцію PLC, достатню для навчальних цілей — ключова вимога полягає в тому, щоб емульований PLC відповідав на запити протоколу так, як реальні інструменти атаки й захисту розпізнають живий пристрій.

Оркестрація сценаріїв: площина керування вправою

Оркестрація сценаріїв — це компонент, що найбезпосередніше визначає якість навчального досвіду. Витончений шар віртуалізації, що виконує посередній сценарій, продукує посередню підготовку. Визначення сценарію має кодувати не лише те, які дії противника впроваджуються, а й реалістичні артефакти, що їх продукує кожна дія, — конкретні записи в журналах, ключі реєстру, мережеві потоки та модифікації файлової системи, які компетентний захисник виявив би й розслідував.

Визначення сценаріїв слід версіонувати разом з інфраструктурою, на яку вони посилаються. Сценарій, написаний для конкретної версії образу ОС, може продукувати інші патерни артефактів на оновленому образі — зміни формату журналів, зміни ідентифікаторів подій, відмінності поведінки мережевого стеку — що непомітно ламають валідність підготовки. Ставлення до контенту сценаріїв як до коду, з тією самою дисципліною рецензування й тестування, що застосовується до програмного забезпечення, — це практика, що відрізняє операційно зрілі програми полігонів від тих, що продукують заплутаний і непослідовний досвід тих, хто навчається.

Конвеєр упроваджень — механізм, яким оркестратор імплантує артефакти противника в працюючі ВМ — це чутливий до безпеки компонент. Зазвичай він працює через агента, що працює на кожній ВМ і приймає підписані команди впровадження від шару оркестрації. Агент має перевіряти підписи команд перед виконанням, щоб запобігти впровадженню несанкціонованих артефактів зі скомпрометованої робочої станції того, хто навчається. Канал зв’язку агента впровадження має бути в мережі керування, а не в мережі вправи — якщо він досяжний із мережі вправи, кваліфікований учасник міг би використати його для зміни стану сценарію.

Генерація трафіку: створення реалістичної базової лінії

Генерація фонового трафіку — найменш ефектний і найчастіше недоінвестований компонент кіберполігону. Наслідок недоінвестування — полігон, де кожен упроваджений індикатор компрометації одразу очевидний, бо це єдиний нетривіальний трафік на дроті. Це продукує надмірно впевнених у собі тих, хто навчається, які навчаються виявляти очевидні загрози в стерильному середовищі й насилу справляються, коли ті самі техніки застосовуються проти шумної базової лінії реальної мережі.

Достовірний генератор трафіку має продукувати потоки, що є семантично узгодженими, а не лише статистично правдоподібними. Генератор HTTP-сесій, що продукує випадкові послідовності байтів з інтервалами часу у формі HTTP, не обдурить того, хто навчається й вивчає захвати пакетів — корисне навантаження не міститиме валідного HTML, заголовки content-type не збігатимуться з тілом. Інструменти на кшталт відтворення PCAP, агентів симуляції користувачів та спеціалізованих платформ трафіку полігону пропонують різні компроміси між достовірністю та складністю. Відтворення PCAP із захватів реальних корпоративних мереж забезпечує найвищу достовірність корисного навантаження, але не може адаптуватися до конкретної топології полігону чи генерувати нові події автентифікації з валідними обліковими даними.

Ключове розуміння: Найпоширеніший режим відмови в програмах оборонних кіберполігонів — це не контент на боці атаки, а відсутність реалістичної базової лінії. Коли кожен рядок журналу й кожен пакет на полігоні впроваджені оркестратором, захисники навчаються трактувати кожен артефакт як значущий. У реальній мережі навичкою є розрізнення — відокремлення активності противника від легітимного шуму. Полігони, що пропускають інвестицію в базову лінію, систематично не тренують цю навичку розрізнення.

Оцінювання та розбір після дій

Архітектура оцінювання оборонного кіберполігону відрізняється від змагань захоплення прапора в одному важливому аспекті: основна мета підготовки — швидкість виявлення та стримування, а не глибина експлуатації. Модель оцінювання, що винагороджує лише надсилання прапорів (рядки-докази експлуатації), стимулює тих, хто навчається, оптимізуватися під пошук прапорів, а не під побудову робочих процесів виявлення й реагування, що переносяться в операції.

Оцінювання оборонного полігону має інструментувати робочий процес захисника безпосередньо. Метрики виявлення фіксують, коли той, хто навчається, запитує SIEM пошуком, що збігається з упровадженим індикатором, відкриває сповіщення, згенероване впровадженим трафіком, або виконує дію розслідування на скомпрометованому хості. Метрики стримування фіксують, коли той, хто навчається, ізолює хост, блокує адресу зворотного виклику C2 чи скидає скомпрометовані облікові дані — кожна з позначкою часу відносно впровадження, що вимагало цих дій. Ці позначки часу в поєднанні з часовою шкалою сценарію вправи продукують метрику розриву виявлення: інтервал між дією противника та першою реакцією захисника. Ця метрика — основна міра компетентності того, хто навчається, яку вправа червоної команди проти синьої команди покликана зменшити.

Розбір після дій потребує спроможності відтворення: можливості реконструювати повну часову шкалу вправи — впровадження противника, мережевий трафік, запити до SIEM, термінальні команди тих, хто навчається — у синхронізованому вигляді, що дозволяє інструкторам проходити вправу разом із тими, хто навчається. Повний захват пакетів і запис сесій з кожного вузла потребують багато сховища, але є операційно необхідними. Полігон, що продукує детальні метрики оцінювання, але не може пояснити, чому оцінка була такою, дає обмежену навчальну цінність. Для ширшого погляду на те, як архітектури симуляції підтримують результати підготовки в різних доменах, див. статтю про архітектуру програмного забезпечення для військової симуляції підготовки.

Скидання середовища: інфраструктура як повторюваний артефакт

Спроможність скинути середовище полігону до відомо-доброго базового стану швидко й надійно — це те, що відрізняє професійний полігон від імпровізованої лабораторії. Полігон, який скидається годинами між ротаціями вправ, обмежує пропускну здатність підготовки й збільшує операційні витрати. Полігон, що скидається непослідовно — де одні запуски починаються з чистої базової лінії, а інші переносять стан із попередніх вправ — вносить змішувальні змінні, що роблять порівняння продуктивності між ротаціями беззмістовним.

Скидання на основі знімків для ВМ і заміна образів для контейнерів — стандартні механізми. Обидва залежать від того, чи знімок або образ справді чистий — а не знімок, зроблений після попередньої вправи, що внесла дрейф конфігурації. Оператори полігону мають перевіряти справність базової лінії після кожного скидання за допомогою автоматизованих перевірок: зондів доступності сервісів, сканувань відповідності конфігурації та контрольних сигналів генерації трафіку, що підтверджують, що середовище вправи перебуває в очікуваному стані перед передачею його тим, хто навчається.

Інфраструктура як код — це практика, що робить скидання водночас швидким і надійним. Коли кожна ВМ, мережеве правило та конфігурація сервісу визначені у версіонованих шаблонах — а платформа полігону може інстанціювати все середовище з цих шаблонів — скидання стає детермінованою операцією, а не ручною процедурою. Це також дозволяє розгортати полігон на новому обладнанні чи в іншому хмарному регіоні з упевненістю, що отримане середовище ідентичне тому, на якому валідувався контент вправи.

Створюйте й проводьте свої кібернавчання з WARG

WARG — це платформа вогендоплейного моделювання та вправ Corvus Intelligence, створена спеціально для оборонних організацій, яким потрібні повторювані, оцінювані середовища кібернавчань із реалістичною оркестрацією сценаріїв і повним відтворенням після дій. Створена спеціально для темпу й вимог до класифікації оборонних програм підготовки.

Дізнатися про WARG → Замовити брифінг

Цей аналіз підготували інженери Corvus Intelligence, що створюють критично важливе програмне забезпечення для оборонних та урядових організацій. Дізнайтеся про нашу команду →

Часті запитання

Що таке кіберполігон?

Кіберполігон — це ізольоване програмно-кероване мережеве середовище, яке достовірно відтворює цільову інфраструктуру — операційні системи, сервіси, протоколи й патерни трафіку — щоб ті, хто навчається, могли відпрацьовувати техніки атаки та захисту без ризику для робочих систем. Оборонні кіберполігони додатково моделюють специфічні мережеві топології, промислові системи керування й C2-інфраструктуру, які мають захищати військові й урядові оператори.

Чим емуляція мережі відрізняється від симуляції мережі на кіберполігоні?

Симуляція мережі моделює потоки пакетів математично — інструменти на кшталт ns-3 обчислюють, як поводився б трафік, — але не запускають реальні стеки операційних систем чи реальні бінарні файли застосунків. Емуляція мережі запускає справжні екземпляри ОС (як віртуальні машини чи контейнери), з’єднані програмно-керованою фабрикою, що контролює пропускну здатність, затримку та втрати між ними. Кіберполігони для професійної підготовки майже завжди використовують емуляцію, бо ті, хто навчається, мають взаємодіяти з реальними інструментами й реальними вразливостями, а не з абстрактними моделями.

Що таке оркестрація сценаріїв на кіберполігоні?

Оркестрація сценаріїв — це автоматизоване керування станом навчань: розгортання й конфігурування інфраструктури, упровадження дій противника у визначених точках спрацювання, масштабування складності у відповідь на прогрес тих, хто навчається, збирання телеметрії та згортання середовища після завершення. Шар оркестрації розташований над інфраструктурою віртуалізації й надає мову опису сценаріїв, якою проєктувальники навчань описують задуману розповідь — які системи й коли скомпрометовані, які шляхи горизонтального переміщення існують, які виявлення мають спрацювати.

Як оцінюються вправи на кіберполігоні?

Оцінювання поєднує захоплення прапорів (ті, хто навчається, надсилають рядки-докази експлуатації, вбудовані в цільові системи), метрики захисника (час на виявлення впровадженого індикатора, кількість очищених систем до того, як атакувальник перемкнеться) і поведінкову телеметрію (виконані послідовності команд, розгорнуті інструменти, запити до SIEM). Оборонно орієнтовані полігони надають метрикам захисника більшу вагу, ніж оцінюванню в стилі CTF, бо метою підготовки є швидкість виявлення та стримування, а не глибина експлуатації.

Скільки часу потрібно, щоб скинути кіберполігон між вправами?

Час скидання залежить від базового шару віртуалізації та ступеня дрейфу стану, внесеного під час вправи. Відкат ВМ на основі знімків може повернути сотні машин до чистого базового стану менш ніж за п’ять хвилин, якщо знімки зберігаються на швидких NVMe-масивах. Полігони на основі контейнерів із незмінними образами скидаються за секунди на вузол. Вузьким місцем зазвичай є переконфігурація мережі — повторне застосування призначень VLAN, правил брандмауера й таблиць маршрутизації — а не відновлення обчислювального стану. Добре спроєктований полігон досягає повного скидання менш ніж за п’ятнадцять хвилин для середовища зі ста вузлів.