Кібербезпека вже давно перестала бути новим напрямком. Феномен кіберпростору та його вплив на бізнес, суспільство та міжнародні відносини, включаючи глобальні конфлікти, активно вивчається науковцями. Академічні роботи з цього питання регулярно публікуються, а знання накопичуються з разючою швидкістю. Проте, на практиці, люди досі схиляються до особистих переконань та відчуття “здорового глузду”, які без належної підготовки вже не справляються з викликами цієї області.
Наприклад, більшість людей досі займається “моральною оцінкою” атаки та захисту, розділяючи учасників кіберконфлікту на (відповідно) “поганих” та “гарних” хлопців. Дарма, що присвоєння моральних характеристик особам на основі їх завдань виглядає абсурдно. Наприклад, чи вважаєте ви адміністраторів безпеки серверів ISIS, Hamas чи ФСБ “гарними”?
Як і всі нормальні люди, захисники міркують відповідно до своїх переконань, але, на жаль, більшість з цих переконань виявляються помилковими. Потреба в способі мислення, який би враховував взаємодію між нападниками та захисниками систем та мереж в кіберпросторі, відчувалася давно. Для адекватного розуміння динаміки кіберконфлікту необхідна теорія, підкріплена історичними даними, яка пояснює їх, а також, що найважливіше, передбачає майбутні події та пропонує ефективні стратегії безпеки в кіберпросторі.
На щастя, існує кандидат на роль такої теорії, про який йтиметься далі. Я впевнений, що більшість із вас не читає академічні книжки по наступальному кіберу, тому я зробив це для вас. Отже, зустрічайте: Cyber Persistence Theory або (у моєму вільному перекладі бігуна) теорія кібервитривалості.
Формулювання теорії
Теорія кібервитривалості (Cyber Persistence Theory) розглядає стратегічну поведінку в кіберпросторі, стверджуючи, що основна мета полягає в експлуатації, а не примусі суперників. Теорія окреслює стратегічну парадигму, в рамках якої сторони неперервно прагнуть захопити та утримати ініціативи, що сприяють їхнім умовам безпеки, тим самим впливаючи на баланс сил. Ця теорія ставить під сумнів застосування конвенційних примусових стратегій в кіберпросторі, виступаючи за глибше розуміння кіберпростору як окремого середовища стратегічного конфлікту. Ефективність у цій теорії полягає у здатності передбачати та пом’якшувати майбутні кіберзагрози, наголошуючи на потребі в проактивній, а не реактивній стратегії в кіберпросторі.
Інакше кажучи, теорія кібервитривалості стверджує, що ключем до успіху в кіберконфлікті є захоплення та утримання ініціативи. Якщо ви зберігаєте ініціативу, адже саме ви дієте, а ваш противник лише реагує на ваші дії, ви слідуєте виграшній стратегії. Це принцип, який однаково застосовується до нападу та захисту, оскільки ці поняття в кіберпросторі стають менш відмінними та втрачають свою первинну суть. Тепер мають значення лише дія та протидія, акція та реакція.
Суть теорії в нападі та захисті
В контексті атаки, теорія кібервитривалості описується простіше, адже активність нападу інтуїтивно прийнятна для всіх. Ініціативний нападник аналізує кіберпростір противника, виявляє вразливості, експлуатує їх, отримуючи перевагу: чи то шляхом здобуття та використання даних, чи то шляхом створення негативного впливу на системи та мережі противника. Безперечно, зазвичай дії нападника є проявом ініціативи, а дії захисника — лише реакцією на дії нападника. Чим наполегливішим та витривалішим є нападник, тим довше він утримує ініціативу, і тим складніше захисникові її перехопити.
У контексті захисту ситуація трохи нестандартна, але при детальному розгляді все стає вельми простим. Ініціатива захисника виявляється в активному очікуванні дій нападника. Що означає “активне” очікування? Захисник не просто ускладнює завдання нападника, налаштовуючи параметри безпеки своєї інфраструктури відповідно до стандартів та “гарних практик”, оскільки такий підхід був би надто пасивним. Замість цього, захисник неперервно шукає нападника у своїй інфраструктурі. Як саме він це робить? За допомогою даних розвідки про загрози, отриманих від інших захисників та спеціалізованих команд, які експертно відстежують тактики та техніки нападників. (Дієвим методом активізації захисту є припущення, що інфраструктура вже може бути скомпрометована, тоді й працюється жвавіше.)
Практична реалізація в передових країнах
Застосування теорії кібервитривалості поки що не отримало офіційного доктринального визнання у провідних країнах, але вже зараз можна спостерігати ознаки її впровадження та застосування. Наприклад, коли американці або британці вживають терміни з уточненням “forward” (вперед, на випередження), це, швидше за все, вказує на прояв ініціативи відповідно до принципів CPT.
Наприклад, операції Hunt Forward (“полювання на випередження”, йдеться про threat hunting), під час яких кіберсили США або Великої Британії “висаджуються” у мережах своїх союзників для полювання на спільних противників, націлені не лише на захист союзників, а більшою мірою на збільшення та покращення розвідувальних даних щодо наступальних можливостей противників.
Коли зазначені вище кіберсили вживають термін Defend Forward, це вказує на застосування кіберсил у мережах противника, що, по суті, є наступальною або розвідувальною операцією в кіберпросторі. Цікаве питання, чому не називати речі своїми іменами? Це може бути гарною темою для окремого допису в майбутньому. На даному етапі лише зазначу, що серед союзників досі немає консенсусу щодо концепцій на кшталт “відповідальна поведінка в кіберпросторі” або “доцільність та пропорційність кібердій”.
Застосування в Україні
Стратегія України в кіберпросторі, яка до повномасштабного вторгнення була переважно реактивною, кардинально змінилась на початку 2022 року. Вже у середині січня неминучість нападу стала підсвідомо прийнятим консенсусом серед експертів з кібербезпеки, особливо після того, як відбулося “повномасштабне кібервторгнення”, точніше “кібер-СВО” (бо масштабність та ефективність цієї низки заходів досі сумнівна).
Термін Hunt Forward став відомий багатьом саме тоді: коли американська операція такого типу тривалістю в понад місяць відбулася в мережах України. Інформація про її успішність обмежена, але багато хто вважає, що саме ця операція сприяла відносній готовності українських мереж до повномасштабного вторгнення 24 лютого. Адже катастрофічні кіберефекти не відбулися ні тоді, ні пізніше, бо згодом росіяни, здається, зрозуміли, що війна буде довготривалою, та перемкнути свою увагу на операції кіберзбору та інформаційного впливу.
Іншим очевидним проявом мислення згідно з теорією кібервитривалості була міграція ключових українських інформаційних систем у хмарні інфраструктури за кордоном. Такий крок позбавив нападників можливості використати попередній успіх: засоби віддаленого доступу та потенційного втручання, розміщені на рівні інфраструктури (тобто в прошивках обладнання, операційних системах та іншому системному ПЗ). Враховуючи обставини, структурну складність кіберпростору та технологічні особливості кібероперацій, це можна розглядати як ризиковане перехоплення ініціативи, яке виявилося досить успішним.
Хоча і може здатися, що поведінка України в кіберпросторі відображає принципи теорії кібервитривалості, насправді це не зовсім так. Застосування CPT в Україні є нерівномірним і трапляється радше там, де є симбіоз приватного та державного секторів у кіберзахисті інфраструктури країни, або де відбувається залучення міжнародних партнерів.
Рекомендації
Перефразовуючи філософа Гейлена Стросона, теорія кібервитривалості виглядає божевільно, але скоріш за все є правдою. (В оригіналі йдеться про панпсихізм: гіпотезу, що все матеріальне, наскільки б мале воно не було, має елемент індивідуальної свідомості. Оце – справжнє божевілля.)
Використання перевірених теорій є ключем до успіху в осмисленні всесвіту та нашої ролі в ньому. Теорія кібервитривалості досі є предметом жвавого обговорення в науковій спільноті, але кількість її прихильників зростає з кожним днем. На практиці ця теорія надає інструменти для розуміння умов безпеки в кіберпросторі та навчає мислити про них у продуктивний спосіб.
Правильне розуміння та застосування CPT може допомогти державам та організаціям безпечно здійснювати навігацію кіберпростором, знижуючи загрози – відомі та невідомі. Адже неважливо, чи знаєте ви нападника в обличчя, головне, що ви утримуєте ініціативу.
Звісно, в теорії кібервитривалості є ризиковані аспекти, адже надмірна ініціативність теоретично може призвести до неконтрольованої ескалації. Проте приклади країн, які ні в чому себе не обмежують, таких як Північна Корея, Іран та росія, ілюструють низьку ймовірність цих ризиків. Тому чим швидше кібербезпекова спільнота, бізнес-лідери, політики та чиновники приймуть теорію кібервитривалості, тим краще буде для всіх.