У світі кібербезпеки ми створили вражаючий фундамент. Завдяки глобальному ринку комплексних рішень та керованих послуг, що пропонують готовий кіберзахист, існує базовий рівень кібербезпеки для бізнесу, урядів та об’єктів критичної інфраструктури. Але цього базового рівня вже недостатньо.
Коли справа доходить до наступальних кібероперацій – особливо тих, що проводяться національними державами – час визнати сувору правду: конвенційне мислення в галузі кібербезпеки є неадекватним, а підходи, які воно породжує, – недостатніми.
Обмеження конвенційної кібербезпеки
Загальноприйнятий підхід до кібербезпеки часто спирається на модель «ланцюга ураження» (Kill Chain), розбиваючи атаку на окремі етапи з припущенням, що руйнування однієї або декількох ланок нейтралізує загрозу. Хоча це допомагає пояснити звичайні загрози, такий підхід не спрацьовує проти добре забезпечених, підготовлених та наполегливих супротивників.
Кібероперації – особливо ті, що проводяться державними суб’єктами – не лише стійкі, вони розроблені так, щоб бути стабільними та довготривалими. Ці операції передбачають багаторівневе планування, всебічний аналіз і підготовку цілей, незалежні резервні інструменти, надлишкові методи доступу і ексфільтрації даних, а також глибоку операційну безпеку. Зловмисники не імпровізують – вони готуються, планують на випадок непередбачуваних обставин, вживають заходів безпеки і діють з військовою дисципліною. Через це їх важко зупинити звичайними методами. Тому що більше немає ланцюга ураження – є кольчуга ураження.
Кібербезпека — це нацбезпека, чи ні?
Давайте усвідомимо: захист від кібероперацій на рівні національних держав – це завдання не лише для приватного сектору. Якщо ми погоджуємося з тим, що такий вид кібербезпеки є питанням національної безпеки, тоді ми також повинні погодитися з тим, що національна безпека є відповідальністю уряду.
Звичайно, не всі загрози піднімаються до цього рівня. Захист від хактивістів та кіберзлочинців – в межах можливостей окремих організацій. Але коли противники демонструють операційний досвід і стратегічні наміри, організації не можна залишати напризволяще. Приватна крамниця може захиститися від дрібних крадіжок, але збройне пограбування вимагає втручання поліції. А перехоплення керованих боєприпасів взагалі є військовим завданням.
Уряди повинні прийняти операційний підхід до кіберзахисту – вийти за рамки вимагання дотримання нормативних вимог і перейти до активної оборони. Інструменти і методології вже існують. Такі концепції, як операції з захисту комп’ютерних мереж (Computer Network Defense Operations, CNDO) і захист на випередження (Defend Forward), були розроблені, випробувані і кодифіковані в стратегічній літературі та військових доктринах. Виклик полягає в їх прийнятті на озброєння.
Операційна кібероборона в дії
Давайте подивимось, чим оперативний захист відрізняється від звичайної кібербезпеки, розглянувши реальний сценарій: DDoS-атаку на фінансовий сектор з використанням ботнету.
Концепція операції проста: створити або орендувати ботнет, подібний до Mirai, зі скомпрометованих пристроїв і використовувати їх для перевантаження фінансових сервісів шкідливим трафіком, змушуючи їх відмовляти в обслуговуванні легітимним користувачам.
Традиційні заходи кібербезпеки зосереджуються на пом’якшенні наслідків:
- Розгортання пристроїв або сервісів для захисту від DDoS-атак.
- Блокування шкідливого трафіку зі скомпрометованих IP-адрес.
(Ці IP-адреси, ймовірно, належать маршрутизаторам побутового рівня, можливо, навіть використовуються законними клієнтами банків).
Операційна кібероборона включає в себе все вищезазначене, але йде далі, позбавляючи зловмисника можливості продовжувати операцію:
- Складає карту інфраструктури ботнету та ідентифікує заражені пристрої.
- Ізолює, вимикає або знезаражує виявлені мережеві пристрої.
- Знаходить і виводить з ладу інфраструктуру командування і управління операції.
Контраст разючий. Традиційний захист змушує зловмисників працювати важче, масштабуючи доступні засоби. Операційна кібероборона позбавляє їх можливості продовжувати без значних змін у засобах. Звичайні заходи збільшують вартість атаки. Оборонна кібероперація змушує нападника інвестувати капітал, час і таланти в розробку нової інфраструктури.
Поза межами кіберстійкості: стратегічні оборонні операції
Коли стикаєшся з комп’ютерними мережевими атаками (Computer Network Attack, CNA) або комп’ютерною мережевою експлуатацією (Computer Network Exploitation, CNE), звичайних засобів захисту недостатньо. Ми повинні ініціювати операції з захисту комп’ютерних мереж (CNDO) для досягнення стратегічних цілей:
- Зберігати докази до початку відновлення постраждалої мережі і витягти з них розвідувальні дані щодо агентів загроз та їхніх методів та інфраструктур.
- Розгортати команди «полювання на випередження» (Hunt Forward) для проактивного усунення ворожої присутності у важливих мережах.
- Розширити масштаби реагування, застосовуючи отриманий досвід у різних мережах і секторах.
- Руйнувати операційний контроль противника, усуваючи його доступ до сторонньої інфраструктури та ліквідуючи його вузли керування (C2).
Саме в цьому модель Defend Forward досягає успіху. Кіберкомандування США продемонструвало її ефективність: розгортання команд експертів у скомпрометованому середовищі, виявлення присутності супротивника та його витіснення. Досвід України у протидії російській агресії в кіберпросторі ще раз доводить, що операційна кібероборона не лише можлива, а й необхідна та масштабована.
Час діяти зараз
Це не наукова фантастика. Оперативна кібероборона є реальною, дієвою і критично важливою. Уряди вже мають правові повноваження, інституційну спроможність і розвідувальні можливості для того, щоб взяти на себе ініціативу. Єдине, чого не вистачає – це бажання діяти.