В кібербезпеці є багато міфів, але один із найстійкіших – це віра в те, що нападники завжди мають перевагу. Вони швидші, розумніші, краще оснащені, їх не спинити. Цей міф живе у звітах, презентаціях і навіть у нашій щоденній мові. Ми говоримо про виявлення загроз, реагування на інциденти та зниження ризиків, тобто мислимо так, ніби кібератака – це завжди чийсь перший хід. Настав час змінити це мислення.
Kill Chain і її пастка
Класична модель Cyber Kill Chain пояснює кібератаку як послідовність етапів: розвідка, експлуатація, персистентність, рух по мережі, ексфільтрація. Вона допомогла сформувати сучасну захисну аналітику, але водночас створила ілюзію детермінізму – ніби кібероперації відбуваються по чіткому плану, а наша робота полягає в тому, щоб десь на цьому ланцюгу спрацювати швидше за нападника.
Проблема в тому, що реальні кібероперації відбуваються в стохастичному середовищі. В APT задіяні десятки людей, сотні систем, бюрократія, звітність, міскомунікації, помилки, вигорання, неузгодженість дій. Вони не всемогутні. Вони просто звичайні організації, в яких незвичайні цілі. І саме тому ми можемо їх перемагати.
APT як бюрократичний організм
Державні та великі кримінальні угруповання працюють не як фрілансери з даркнету чи групи волонтерів. Вони більше нагадують корпорації: у них є напрями діяльності, такі як аналітика, навчання, дослідження, розробка, інфраструктура, підтримка, і власне операції. Вони мають бюджети, KPI, процедури і дедлайни. А отже, мають і вразливості, які притаманні будь-якій великій організації: інерцію, фрагментованість, страх помилки, залежність від людського фактору.
Саме ці властивості можна експлуатувати. Коли ми перестаємо мислити категоріями «атака-захист» і починаємо мислити категоріями саботажу, ми отримуємо стратегічну перевагу.
Саботаж як стратегія кібероборони
Американський дослідник Джошуа Ровнер визначив саботаж як перетворення тертя на зброю. Тобто, не знищення противника, а створення йому проблем. Кожен додатковий бар’єр, кожна зміна у вашому середовищі, кожна невизначеність змушує нападника витрачати більше часу, нервів і ресурсів. Кібероперації успішні лише тоді, коли вони передбачувані та ритмічні. Збийте ворогу операціний темп – і ви виграли.
Offence Death Cycle
Замість того, щоб чекати, коли чергове виявлення кібератаки зʼявиться на вашому SIEM, пропоную іншу логіку.
В планах нападників по закріпленню в вашій мережі скоріш за все значно більше точок персистентного доступу, ніж вам вдасться виявити, розслідуючи інцидент від “нульового пацієнта” до локалізації та видалення імплантів. Просунуті нападники, якими вважаються APT, використовують численні, різні та незалежні методи імплантації доступу, конструюють паралельні початкові проникнення в мережі та підкладають розслідувачам хибні ознаки компрометації. Тому замість ортодоксального реагування на інцидент, яке виявить один факт первинного доступу та кілька однакових імплантів, спробуйте діяти по-новому.
- Вивчайте противника. Розберіться, як він мислить і діє, які в нього стандартні операційні процедури (SOP), переваги та вразливості. Діяльність APT добре досліджена та описана в літературі, в тому числі від першої особи.
- Створюйте тертя. Змінюйте середовище так, щоб нападникам доводилось адаптуватися, рухатися, нервуватися. “Працює – не чіпай” – улюблений принцип нападників, тому що так вони контролюватимуть вашу мережу вічно.
- Підштовхуйте до помилок. Кожна зміна – це шанс, що противник себе викриє, адже йому доведеться здійснювати незвичні для нього дії, імпровізувати, бажано під тиском часу.
- Перехоплюйте ініціативу. Змушуйте нападника реагувати на ваші дії, а не навпаки. Шанс на перемогу в кіберконфлікті дає не право першого ходу або початкова ініціатива, а вміння цю ініціативу перехопити і утримувати.
Це і є Offence Death Cycle – цикл, у якому наступальна операція повільно помирає, виснажена невизначеністю, втратою операційного темпу та помилками операторів. Не тому, що ви її зупинили, а тому, що ви змусили її витратитися саму на себе.
Як це виглядає на практиці
Замість традиційного реагування по плану «ізолювати, проаналізувати, видалити, звітувати» команда може перейти до активної оборони. Не треба сидіти і чекати спрацювання інструментів виявлення ворожої присутності. Натомість, треба створювати нападнику операційне тертя: неочікувані обставини – сюрпризи, проти яких не було контролів в плані операції. Розглянемо приклади.
- Simulate Red-on-Red. Запустіть у мережу вправну червону команду, щоб нападник вирішив, що в нього з’явився конкурент. Ризики втрати доступу в його голові змусить його діяти імпульсивно та намагатися позбавляти доступу нову команду. Ці “хакерські війнушки” у вашій мережі буде складно не помітити. Це – саботаж на етапі первинного доступу.
- Trigger Overwatch. Імітуйте наближення змін – наприклад, пілот нової SIEM або MSSP-контракт. Overwatch-команда нападників, яка слідкує за листуванням ключових осіб організації-цілі, виявить це та сповістить операторів. Які почнуть панікувати, рухатися мережею, перевстановлювати імпланти й, можливо, самі себе викриють. Це – саботаж на етапі персистентного доступу.
- Sudden Change Management. Внесіть неочікувані структурні зміни у мережу – сегментацію, оновлення, апгрейди, міграції. Кожна зміна порушує налагоджені схеми вивантаження даних та змушує нападника перебудовувати маршрути, протоколи та код автоматизації. Це – саботаж на етапі ексфільтрації.
- Bad Luck. Просто вимкніть щось. Сервер, роутер, VPN-тунель або акаунт ключового користувача. Імітуйте операційний інцидент. Нехай нападник повірить, що втратив доступ і почне рухатись, створюючи шум. Це – саботаж на всіх етапах операції.
Це не магія і не кібер-психологія, це методичний саботаж. Ви не ловите ворога – ви провокуєте його робити помилки.
Чому це працює
Кібероперації залежать від передбачуваності. APT планують, готуються, автоматизують, тестують. Вони не можуть вічно імпровізувати. Захисник, який періодично змінює середовище, позбавляє їх головного ресурсу – часу. Із кожною ітерацією Death Cycle противник витрачає все більше часу на адаптацію і зрештою починає відставати.
Крім того, а ось тут вже кібер-психологія на грані магії, така стратегія відновлює у команди SOC відчуття контролю та мотивацію. Зазвичай перевагу в мотивації мають нападники, адже вони лише виграють у разі успіху і майже нічого не втрачають у випадку поразки. Захисники ж багато втрачають у випадку поразки і нічого не отримують у разі успіху.
У Offence Death Cycle персонал SOC перестає бути аналітиками реакції – вони стають операторами середовища. Їхня мета не знайти всі погано приховані імпланти, а зробити так, щоб жоден із способів доступу нападника не зміг тривати достатньо довго для успіху кібероперації.
Домашня гра
Ключова ідея тут максимально проста: захисники грають вдома. Вони знають свою мережу, контролюють інфраструктуру, можуть будь-коли вносити зміни. Це неймовірна перевага, якою більшість з них не користується. Ворог не бачить ваших рішень, не знає, які саме системи і коли ви оновите, які дані справжні, а які підроблені, що у вашому листуванні правда, а що дезінформація. Використайте цей туман кібервійни.
Висновок
Offence Death Cycle – це не модель і не методика. Це мислення про кібероборону як про неперервний процес саботажу кібернаступу. У цій грі не потрібно вигравати кожну партію. Достатньо утримувати ініціативу, щоб супротивник виснажував себе, намагаючись вас наздогнати.
Так, нападники грають білими. Так, у шахах, нічию для чорних вважають успіхом. Проте лише якщо білі жодного разу не помилилися.