Расширенный поиск

Сравнение национальных подходов и доктрин кибербезопасности

В статье исследуются технологические аспекты эволюции форм информационной преступности с момента ее появления в начале 1980-х годов до самых последних проявлений в 2013 г. Исследуя эту эволюцию, мы делаем выводы касательно доктрин, политических решений, инновационных стимулов и планов действий, предполагая возникновение новой парадигмы “поведенческого интеллекта”, с точки зрения как нападения, так и защиты.

Под киберпреступностью понимается противозаконное использование цифровых, электронных и программных средств, направленное на неправомерное применение общедоступных или частных информационных систем, вмешательство в их работу, лишение смысла получаемых ими результатов, влияние на них или их уничтожение. Нанесение ущерба компьютерным и информационным составляющим может и не являться основными целями или конечными результатами действий киберпреступников.

Возникновение киберпреступности сопутствовало деятельности пионеров в сфере новых технологий, с энтузиазмом исследовавших возможности, которые открывали технические инновации. Исследовательский интерес и независимое присвоение до сего момента остаются главными мотивационными стимулами при создании хакерских программ. Джон Дрейпер (John Draper) был одним из таких компьютерных энтузиастов, который помог популяризировать первую попытку “фрикинга”, состоящую в применении многочастотного звукового генератора, позднее получившего название “Blue Box”, подающего сигнал точно на частоте 2600 Гц для взлома телефонной системы дальней связи AT&T в начале 1970-х годов.

Большинство атак на ранних этапах были спонтанными, вызванными духом исследования новых технологий, ненаправленными (не предполагающими конкретных целей) и дающими немедленный эффект. С распространением персональных компьютеров эти хакеры-пионеры начали спонтанно образовывать объединения, разделяющие идеи гражданских свобод, сопротивления властям, и азарт обхода новых технологических решений. Практика фрикинга и хакерских атак стали факторами, надолго обусловившими дружбу разработчиков, пионеров отрасли (Возняк (Wozniak), Джобс (Jobs) и т.д.) и служившими политическими стимулами для действий энтузиастов от технологии. Границы между вновь возникающими культурами андерграунда (хиппи, хакеры) и криминальной субкультурой были расплывчаты и нестабильны, практики саморегулирования практически не существовало; в них входили подростки, “продвинутые” разработчики компьютерных программ и самостоятельно выучившиеся исследователи в новых технологических сферах. Этот период мы называем “эрой декодирования”; талантливые индивидуумы по большей части руководствуются соображениями чисто символической или весьма незначительной выгоды, чувства принадлежности к новым сообществам и самоидентификации.

Тем не менее, в середине 1980-х годов в системах электронных досок объявлений, посвященных техническим вопросам, которые поддерживали хакерские группы, начали публиковаться планы атак нападений, иногда одновременно физических и программных (см., например, первый выпуск Технического журнала группы Legion of Doom LOD/H от 1 января 1987 г.) (1). Впоследствии LOD и MOD (Masters of Deception) стали влиятельными группировками, преобразовавшими эти ранние группы в более организованные общины «взломщиков», сделавшими шаг в сторону от исходной культуры хакеров (см. Рис. 1).

Ранние годы: парадигма декодирования

Рис. 1 Ранние годы: парадигма декодирования

Холодная война и подпольная битва за освобождение Берлина сыграли определяющую роль в развитии хакерской культуры конца 1980-х годов. Происшествие с Клиффордом Столлом (астрономом из Национальной лаборатории имени Лоуренса в Беркли, случайно обнаружившим, что на компьютер в его лаборатории ведется вторжение из Западной Германии) было первым случаем, в котором был поставлен вопрос о важности координации работы разных агентств и сложности установления авторства международных компьютерных атак (Stoll, 1989). Этот пример был также одним из первых (1986) симптомов сформировавшихся в дальнейшем постоянных угроз высокого уровня, указавшим на сложность и изощренность кампаний вторжения (подробности смотри в статье Столла по адресу (2)). Соответственно, начало 1990-х годов сопровождалось возникновением субкультуры преступного хакерства. В 1980-х годах факты компьютерного взлома, приводившие к хищению или масштабным атакам, были редки. Двумя значительными исключениями были логическая бомба Pak Brain (1986), получившая известность как первый вирус, и компьютерное похищение 70 миллионов долларов из Первого национального банка Чикаго (1982). «Великая война хакеров» (конфликт между группировками Masters of Deception и Legion of Doom, около 1991-1992 гг.) служит примером — сегодня, впрочем, нередко считающимся излишне преувеличенной личной конфронтацией — динамики межличностных отношений в начале 1990-х годов. Основным мотивом этих конфронтаций на раннем этапе была смесь желания повысить собственную значимость, показной храбрости и легкомысленности (3). При этом, однако, публикация сведений о вторжениях хакерских групп, пробудило интерес правоохранителей. Последующая операция Sundevil в 1990 г. была первой масштабной операцией по обеспечению кибербезопасности в 15 городах США, в результате чего было произведено три ареста (4). Большинство киберпреступлений были связаны с перехватом телефонных разговоров и подделкой телефонных и кредитных карточек. В результате оказавшейся не слишком успешной операции федеральные агентства стали серьезнее относиться к важности отражения кибератак (Sterling, 1994).

Публикации, подобные 2600, и возникновение киберпространства внесли свой вклад в демократизацию технологий взлома, фрикинга и хакерских атак, в результате чего они стали более разнообразными и пригодными для использования «вне технологических рамок». Сосредоточенность на дистанционном управлении и угрозы действия резидентных вирусов (распространенность троянов) повысили организованность криминальной субкультуры и привели к появлению общественной реакции на атаки (см. Рис. 2).

1990-е: демократизация киберпреступности

Рис. 2: 1990-е: демократизация киберпреступности

В то время как целью готовящейся атаки является единственная точка нападения, в начале 2000-х происходит обращение к абсолютно новому сценарию. Развитие электронной коммерции означает переход к коммерциализации киберпреступности, при котором организованная преступность приносит крупные доходы. Внедрение цифровых технологий в сферу культуры (MP3) повысило привлекательность взлома и повсеместное его распространение. Соответственно, профили деятельности хакеров изменяются в двух направлениях: с одной стороны, взломщики-любители (дилетанты и массовые потребители) начинают использовать имеющийся инструментарий, не имея глубокого опыта работы с ним (обмен файлами в формате P2P, рипование компакт-дисков); с другой стороны, производство вредоносных программ становится прибыльным черным рынком. Происходит быстрая монетизация услуг по имитации доменных имен, проведению атак на отказ в обслуживании, кампаний по нарушению работы сайтов и краже корпоративных данных. На 2000-2002 гг. приходится пик разработки вредоносных программ, в частности вирусов ILOVEYOU, Klez.h., Code Red и т.д. Группа Anonymous создана в 2003 году как сообщество слабо связанных между собой и спонтанно координирующих свои усилия лиц с различными интересами, от антиправительственных выступлений до обмена технологиями взлома и графическими материалами на платформе 4chan. На ранних этапах (2003-2006) массовые атаки и выступления, известные как «атаки 4chan», привели к популяризации представления о мотивах хакерской деятельности как смеси антиправительственных настроений, хулиганских побуждений и кампаний по осмеянию любых нежелательных явлений, хотя и с уклонением от участия в политических кампаниях.

В то же время, подготовка и спонсорская поддержка масштабных атак также наращивают обороты по мере ослабления ключевой философии хакерства, основанной на ценностях свободы личности и антиправительственной направленности, что связано с распространением встроенных хакерских инструментов и библиотек. Titan Rain (2003-2006) является примером первых попыток применения кибероружия с использованием методов простейших технологий в продвинутых кампаниях (см. Рис. 3).

Монетизация киберпреступности и первые государственные конфликты

Рис. 3: Монетизация киберпреступности и первые государственные конфликты

Для 2005-2013 гг. характерны двойной сдвиг парадигмы и, в некоторой степени, совпадение целенаправленных и финансируемых кампаний, проводимых государствами или организованной преступностью, и более распространенных спонтанных и обширных кампаний, проводимых группами антиправительственных активистов, командами хакеров и слабо организованными сообществами наподобие Anonymous и LulzSec. Для этого периода также типичен быстрый рост стратегических и политически мотивированных атак (Kerem125, нацеленный против ООН, китайская кампания APT1 мирового масштаба, эстонские DoS атаки, Stuxnet, операция Aurora…) (см. Рис. 4).

За рамками технологии: начало крупномасштабных целевых кампаний (2005-2013)

рис. 4: За рамками технологии: начало крупномасштабных целевых кампаний (2005-2013)

Технология, используемая в этих масштабных кампаниях, не отличается от приемов на заре хакерства каким-либо радикальным образом: 125 строк кода столь же эффективны и в 2013 г., также способны использовать уязвимости систем, даже при том, что объем кода оборонного за последние 25 лет вырос в разы. Наиболее инновационной идеей в начале 21 века стала реализация этих кампаний на основе доступности и распространенности комбинаторного обучения, т.е. умения опережать развитие оборонного потенциала целей с применением средств сбора данных, превосходящих противника по качеству и быстродействию.

Формирование двух четко отличающихся моделей (масштабных спонтанно формирующихся групп и финансируемых целевых масштабных кампаний) является указанием на два пути, которые могут быть использованы при достижении превосходства в коллективном поведенческом обучении. Большие спонтанно формирующиеся группы получают выгоду от дистанционного умелого обучения, т.е. обучения, проводимого отдельными хакерами, способными координировать усилия в очень крупных масштабах, что делает процесс коллективного обучения вездесущим и эффективным. Выгода при реализации целенаправленных финансируемых кампаний (например, APT) состоит в развитии автоматических алгоритмов искусственного интеллекта (ИИ), встраиваемого в технологические решения (напр., Stuxnet, FLAME).

Большинство оборонных систем основаны на распознавании сигнатур («встроенного вредоносного кода») злонамеренных программ или нормативном анализе моделей поведения при сравнении их со «здоровыми образцами» (системы выявления с использованием баз данных). На данный момент коллективный потенциал обучения спонтанно формирующихся групп и потенциал машинного обучения на базе сигнатур опережают системы выявления на базе сигнатур. Природа данного сдвига парадигмы в этом смысле весьма схожа с эволюцией информационных средств ведения войны в начале 1990-х. Мы становимся свидетелями стратегического разрыва, в условиях которого защищающаяся сторона консолидирует свою информационную инфраструктуру, в то время как нападающие ведут информационную войну (Baumard, 1994). Благодаря тонкому анализу, большая осведомленность может быть результатом рассмотрения обрывочных и частичных данных. Более подробная информация, однако, редко способна победить даже плохо сформированную осведомленность.

Парадигма поведенческого интеллекта идет рука об руку с неизбежным усилением «угроз нулевого дня». Всепроникающее, легкодоступное комбинаторное обучение позволяет множество путей компьютерного вторжения (то есть использования уязвимых мест систем) в течение первых 24 часов после их обнаружения. Повторные формирование и комбинирование вторжений с использованием необнаруженных ошибок («атаки нулевого дня») возможны благодаря развитию каузальных технологий обучения или, при невозможности использовать их, очень большому числу спонтанно формирующихся хакерских групп и обмену сведений об их экспериментах по комбинированию. В рамках этой парадигмы сосредоточенность на стратегии защиты «по факту», основанной на сведениях об известных и выявленных уязвимостях, по всей вероятности, приведет к поражению.

Подвергаем собственные доктрины проверке подвижками в технологиях

Собрав данные об опубликованных доктринах кибербезопасности из открытых источников, во второй части нашего анализа мы делаем попытку оценить правильность доводов этих кибердоктрин, выдвигаемых ими при отражении угроз, базирующихся на поведенческом мышлении. Нами проанализированы данные о 38 национальных стратегических документов о борьбе с киберпреступностью, реализации киберобороны и повышении устойчивости информационных инфраструктур и усовершенствования кибербезопасности.

При разнесении видов киберпреступности по четырем категориям мы пользовались рамочной структурой, разработанной ранее при изучении истории вопроса, исходя из соображений конечного назначения действий («целенаправленные, с большим охватом» в отличие от “сиюминутных или ненаправленных») и их подготовленности («спонтанные», в отличие от «подготовленных и финансируемых»). Таким образом, мы выделяем четыре класса киберпреступников: «I — code warriors (воители)», «II — cyber free riders (вольные стрелки)», «III — autonomous collectives (независимые команды)» и «IV — sponsored attackers (финансируемые взломщики)» (см. Рис. 5).

Рис. 5: Классификация киберпреступников

Рис. 5: Классификация киберпреступников

Различные виды атак требуют различной реакции. Сиюминутные, спонтанные атаки (класс I) можно отражать путем налаживания прочной системы информационной безопасности, включая каузативное обучение, способное справляться с ухищренными атаками ИИ. В большинстве национальных доктрин правильно понимается реакция на такие атаки и предусматривается соответствующий спектр контрмер. Подготовленные и финансируемые прямые атаки (компьютерная кража в рамках организованной преступной деятельности, фишинг, взлом — класс II) требуют широкого спектра организованных технических и правовых контрмер. Системы сигнатурного выявления и оборонные меры с применением БД обычно являются достаточными контрмерами для отражения большей части угроз при наличии законодательной основы правоприменения. Социально или общественно обусловленные атаки (антиправительственные хакерские группы, кратковременные объединения управляемых общими целями групп на основе политических, социальных или экономических мотивов — класс III) предполагают ведение репутационных и информационных военных действий и наличие смыслоформирующего потенциала для реагирования на быстротечные и внезапные распределенные нападения. Наконец, наступательные действия с применением встроенного поведенческого интеллекта (класс IV) требуют перекрестного реагирования, охватывающего меры творческого реагирования «за рамками технологии» и «за рамками притязаний». Угрозы класса III и IV требуют распознавания в реальном времени в беспрецедентных масштабах, подразумевающих масштабное когнитивное обучение человека с одной стороны (III) и масштабное поведенческое обучение с другой стороны (IV).

Наш анализ эволюции национальных доктрин киберпреступности за период с 1994 по 2013 год дал разнородные результаты. Доктрины типа «Power-sovereign (Диктатор)» (P-S, класс IV) делают ставку на крупные специализированные организации, нередко одержимы идеей защиты критически важных инфраструктур, и предполагают разработку, более или менее явную, наступательного потенциала. Хотя они и обеспечивают сбалансированную политику отражения финансируемых на уровне государства кибератак, обычно в их рамках развивается жесткая логика доминирования по отношению к угрозам, что вредит их вовлеченности в текущие перемены общественного характера. Соответственно, риск доктрин типа P-S состоит в отрыве от возникающих хакерских движений и недостаточной способности реагировать на распределенные когнитивные военные действия. Доктрины типа «Societal Resilience (Общественное сопротивление)» (класс III), с другой стороны, проявляют большую чувствительность к изменениям общественного мнения, пытаются воздействовать на общественное пространство и сосредотачивают свой наступательный потенциал на информационной войне. Мотивация этих доктрин далеко не всегда зиждется на демократических и прогрессивных взглядах на Интернет. При этом, однако, цифровое будущее общества явно определяется и как главная угроза, и как главная возможность развития киберобороны и компьютерной сферы в целом. Наконец, доктрины «Social order (Общественный порядок)» (Класс I) и «Technocratic (Технократия)» (класс II) различаются только своим пониманием контроля. Основное различие кроется в том, что одна предполагает контроль на входе (I), а другая — исправление последствий (II). Технократические взгляды нередко страдают задержкой в понимании технологических изменений, вызванным философией реагирования на раздражители или запоздалым выходом в данное поле. Доктрины, отдающие предпочтение общественному порядку, обычно страдают недостатком государственного видения или государственного стратегического подхода или строят соответствующую тактику, заимствуя внешние идеи других государств или приводя свои идеи в соответствие с чужими (см. Рис. 6).

Классификация национальных доктрин

Рис. 6: Классификация национальных доктрин

На графике ниже представлено положение различных национальных стратегий противодействия киберпреступности и киберобороны (год указывает дату публикации первого проанализированного документа). Результаты представляют собой компромисс между национальными тактическими решениями, сосредоточенными на киберпреступности, и решениями, основанными на контроле общественных корней прогресса в компьютерной сфере или их поддержке. Интересно отметить, что российская кибердоктрина ближе к возникающим «общественным» образцам, чем соответствующие положения Китая или США.

рис 7

Рис. 7: Национальные стратегии противодействия киберпреступности и киберобороны

Оценка надежности национальных стратегий: чего ожидать?

Большая часть изученных национальных стратегий в отражении атак киберпреступников отстает от технологического прогресса лет на десять-пятнадцать. Соответственно, потрясения, затрагивающие общество в целом, систематически остаются вне поля зрения. Обычно подготовка киберполитики происходит в четвертом классе, в то время как наиболее разрушительные изменения происходят в третьем.

В период с 1990 по 2012 год основные хакерские технологии оставались на достаточно стабильном уровне. Стойкие угрозы продвинутого технологического характера (APT) сами по себе являются не результатом спада ключевых вторжений, но, скорее, изменением парадигмы, связанным с периферийными технологиями (в основном: машинным обучением, автоматизацией, комбинаторной конфигурацией). Такое изменение парадигмы процветает благодаря устареванию инфраструктуры. Комбинации возможны, когда ошибки могут использоваться кросс-системно. Все возрастающая способность уязвимых систем к взаимодействию увеличивает вероятность импровизированной эксплуатации кросс-системной уязвимости. В таком контексте разработчики, принуждая противодействие киберпреступности сводить к оценке уязвимости «точек доступа», мешают производить инвестиции в поведенческие технологии обучения (поддерживая малоэффективную, но чрезвычайно доходную сигнатурную парадигму обороны).

Единственным способом противостоять интеллектуальному поведению и реагировать на него является способность обогнать и перехитрить поведенческий интеллект. Лишь в очень немногих изученных доктринах признавалась эта ключевая системная уязвимость. Меры по укреплению доверия и безопасности (CBSM), соответственно, основываются на понимании технологических и общественных факторов, которые могут стать причиной уязвимости, и оказываются в значительной степени слепы к природе будущих технологических угроз.

Национальные доктрины технократии (класс II) и социального порядка зависят от вертикального развития и правового опыта, в то время как эволюция угроз идет горизонтально и противоправно. Последние крупномасштабные кампании (APT1, Blaster-worm, и т.д.) продемонстрировали ограниченность координации усилий различных правоохранительных органов при реагировании на атаки с непредсказуемым авторством, неизвестными или невыявленными сигнатурами и при использовании каузативного обучения для адаптации к часто встречающимся техническим средствам реагирования.

Большая часть проанализированных доктрин продемонстрировала устаревший подход к понятию авторства и атрибуции. В большинстве доктрин установление авторства соотносится с географической точкой ввода (или несколькими точками), основной целью атаки и формальными перспективами отслеживания источника атаки. Хакерское сообщество давно преуспело в деле уничтожения следов присутствия или вторжения, что позволяет сделать вывод, что дипломатические усилия направлены на разрешение вопроса, который потерял техническую значимость еще до 2007 г.

По мере нашего вхождения в очередной «пионерский» период, странным образом напоминающий годы расцвета фрикинга в хакерской деятельности (1972-1978), критически важным становится понимание социальной психологии развития угроз. Любопытно, что среди предположений, содержащихся в большинстве национальных стратегий, полностью отсутствуют повышение мобильности машинного обучения (загружаемого, распределенного или полностью автономного). Причиной этого может быть перенос принципов эскалации военного потенциала (гонка вооружений, сосредоточение, возможность принятия решений) на противодействие киберпреступникам. Кибернетические наступательные шаги не соответствуют традиционным моделям эскалации и подкрепления. Они черпают силы для повышения своего злонамеренного потенциала из своей способности трансформироваться, распределенного характера, и возможности обучаться быстро и независимо.

Аннотации

1. http://www.textfiles.com/magazines/LOD/lod-1

2. http://pdf.textfiles.com/academics/wilyhacker.pdf

3. http://www.textfiles.com/hacking/modbook4.txt

4. Clapes, Anthony Lawrence (1993). Softwars: the legal battles for control of the global software industry. Westport, Conn.: Quorum Books

Дополнительная литература упоминавшаяся в статье:

1. Barreno Marco, Peter L. Bartlett, Fuching Jack Chi, Anthony D. Joseph, Blaine Nelson, Benjamin I. P. Rubinstein, Udam Saini, and J. D. Tygar (2008), “Open Problems in the Security of Learning”, First ACM Workshop on Security and Artificial Intelligence (AISec), pp. 19-26, Alexandria, Virginia.

2. Baumard, P. (1994), «From Information Warfare to Knowledge Warfare:», in: W. Schwartau (Ed.) (1994), Information warfare, New York: Thunder’s Mouth Press, pp. 611-626

3. Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media.

4. Gaycken, Sandro (2012) “Die sieben Plagen des Cyberwar,” In R. Schmidt-Radefeldt & C Meissler, C. (eds.), Automatisierung und Digitalisierung des Krieges, Berlin: Forum Innere Führung.

5. Rubinstein Benjamin I. P., Blaine Nelson, Ling Huang, Anthony D. Joseph, Shing-hon Lau, Satish Rao, Nina Taft, and J. D. Tygar, (2009), “ANTIDOTE: Understanding and Defending against Poisoning of Anomaly Detectors”, IMC ‘09: Proceedings of the 9th ACM SIGCOMM on Internet Measurement Conference, pp. 1-14, Chicago, IL.

6. Sterling, Bruce (1994). “Part Three: Law and Order”. The Hacker Crackdown: Law And Disorder On The Electronic Frontier. New York: Bantam Books. 7. Stoll, Cliff (1988), “Stalking the wily hacker”, Communications of the ACM, 31(5), pp. 484-500. 8. Stoll, Cliff (1989), The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, New-York: DoubleBay.

Материал подготовлен на основе доклада, представленного на Седьмой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 22-25 апреля 2013 года г.Гармиш-Партенкирхен, Германия.

Об авторе

Филипп Бомард

Профессор политехнической школы Парижа, Президент научного совета французского Высшего совета стратегических исследований.

Написать ответ

Send this to a friend
Перейти к верхней панели