Информационно-коммуникационные технологии (ИКТ) в настоящее время являются неотъемлемой частью почти каждого аспекта нашей повседневной деятельности. Однако пагубным аспектом зависимости от ИКТ является то, что это делает нас восприимчивыми к воздействию кибернетических инцидентов. Преступники могут красть и вымогать деньги или информацию, террористы могут разрушать общество или приводить к гибели людей, а эффективность вооруженных сил может быть подорвана - и все это из-за способности создавать последствия инцидентов в киберпространстве, причем зачастую без каких-либо требований в отношении физической близости.
Защита ИКТ от последствий инцидентов в киберпространстве или уменьшение их воздействия на оперативную деятельность приобрела международное значение. Возрастает настоятельная необходимость выявления и минимизации операционного кибербезопасности.
Практически во всех обстоятельствах мы заинтересованы в достижении оперативной устойчивости: способности систем продолжать приемлемо выполнять свои функции перед лицом инцидентов, делая при этом все возможное для выполнения других требований безопасности.
Достижение такой устойчивости почти всегда должно осуществляться в условиях ограниченности ресурсов. Зачастую нам необходимо обосновать затраты и ресурсы, необходимые для достижения устойчивости, поэтому проблема состоит в том, что нам нужен способ ее измерения, включая определение того, являются ли усилия по ее повышению успешными или нет. Если оперативная устойчивость определяется качественно, а не количественно, то для ее повышения может быть предложено очень мало предписывающих рекомендаций. Многие из современных методов управления рисками предоставляют лишь общие рекомендации или рекомендуемые передовые методы и позволяют составлять только рейтинг рисков.
Как описано в рейтинге рисков, отсутствует информация, необходимая для оптимального распределения ресурсов для управления этими рисками, а главное: рейтинг не содержит информации о том, как злоумышленник может изменить свое поведение перед лицом действий защитника.
Трудность управления кибербезопасностью заключается в том, что для этого требуется целостный взгляд на то, как система выполняет поставленные перед ней задачи. Это требует знания цели, всего спектра возможных опасностей, а также учета всех возможных способов нападения.
Из-за взаимосвязанности киберсистем злоумышленники могут использовать, казалось бы, некритические киберкомпоненты для обхода средств контроля безопасности и других средств защиты. Примерами могут служить Stuxnet и Target data break, где некритические системы были скомпрометированы для доступа к важным системам.
Иными словами, эффективная кибербезопасность подразумевает не только защиту сильнодействующих ресурсов, но и всех взаимосвязанных ресурсов, которые обеспечивают путь к тем, которые имеют критически важное значение для выполнения поставленных задач. Некоторые из них предлагают методы, при которых защитник учитывает только те ресурсы, которые непосредственно вызывают воздействие.
Но без четкого представления того, как компоненты ИКТ взаимосвязаны между собой, этот подход не защищает казалось бы, некритические ресурсы, которые служат отправной точкой, и, следовательно, не защищает непрямые пути атак, которыми атакующий может воспользоваться, чтобы обойти оборону.
Злоумышленник может выбрать любой метод атаки, начиная от ожидаемых и заканчивая спекулятивными зондами, которые могут выявить слабость, не проявляющуюся сразу же для защитника, помешанного только на "драгоценностях короны".
Защита только от наиболее очевидных путей атаки позволяет злоумышленнику просто выбрать следующий, наиболее перспективный и т.д., пока не будет обнаружена эксплуатационная щель в доспехах. Таким образом, без целостного понимания системы, скорее всего, будет допущена ошибка в рассмотрении только некоторых опасностей, но не других, или же будут чрезмерно вложены средства в решение некоторых из них, даже если риски, связанные с другими опасностями, выше. Необходимо провести всестороннюю оценку, чтобы дать рекомендации по определению того, какие оборонительные средства и методы необходимы и где.
Игра в кибербезопасности
CSG - это алгоритмический метод, основанный на моделях, описывающих систему, ее назначение, среду угроз и возможности защиты. Он запускает алгоритмы на этих моделях для получения результатов.
Алгоритмы CSG автоматизируют несколько функций экспертного уровня, таких как комбинация возможных инцидентов, обнаружение путей атаки и анализ портфеля, так что аналитики не могут делать это вручную. Когда изменяются аспекты системы, средства защиты или угрозы (т.е. обнаруживаются новые уязвимости), защитник просто обновляет соответствующую модель и повторно запускает CSG для оценки воздействия изменений.
Формулировка игры CSG позволяет искать комбинации кибернетических инцидентов, путей атаки, ударов и методов защиты с помощью Minimax. CSG сформулирована как игра с нулевой суммой для двух игроков. Таким образом, он реализует рациональное принятие решений, где оба игрока работают над тем, чтобы наилучшим образом противодействовать шагам друг друга.
CSG предполагает, что злоумышленник знает о системе, на которую он нападает. Это разумно, поскольку CSG ориентирована на долгосрочную оборону, предполагая, что злоумышленники смогут узнать о целях и могут преследовать их в течение всего срока службы системы. Методы обмана, задержки или сдерживания атакующего в краткосрочной перспективе могут мотивировать его на другую постановку игры.
Системная метрика в CSG - это показатель системного риска. Этот балл получен при расчете различных воздействий, которые может вызвать атакующий, в зависимости от того, насколько сложно архитектура системы и средства защиты заставляют ее вызывать такие воздействия.
В игре защитник пытается минимизировать это значение. Состояние в игре представляет собой конфигурацию системы, в которой либо не используются средства защиты, либо используется какая-либо версия системы status quo, которую хочется улучшить. Чтобы рассчитать оценку риска для этого состояния, игрок-атакующий генерирует дерево атак, которое выглядит на несколько шагов впереди, чтобы определить возможные последствия.
Листовые узлы дерева атаки дают ожидаемое значение (УД), рассчитанное на основе ударов и вероятностей. Затем защитник использует оборону, чтобы уменьшить ожидаемое значение воздействия, которое может оказать атакующий, и игра продолжается в типичном игровом дереве. Начиная с начального состояния, он использует MiniMax для оценки перемещения пар защищающихся действий (min), а атакующие пересматривают дерево атак с учетом изменений в защищаемом элементе (max).
Полученное в результате игровое дерево оценивает, как каждый метод защиты может наилучшим образом снизить оценку риска. Поскольку использование каждого метода защиты сопряжено с определенными затратами, игра заканчивается либо с определением оптимального набора методов защиты, либо с вычислением оптимального набора из выделенных обороняющимся средств, либо с проведением полного портфельного анализа для расчета границы Парето для каждой ценовой точки.
В этой была описана игра в кибербезопасность (CSG). CSG - это как метод, так и программное обеспечение, реализующее этот метод. CSG реализует подход, который представляет собой количественную оценку кибербезопасности системы.
CSG формализует деятельность по сбору информации, которая происходит во время традиционной оценки риска, в вычислимые модели, артефакты, описывающие систему (т.е. топологическую модель системы и модель воздействия). CSG также алгоритмически инкапсулирует экспертные возможности в программное обеспечение, которое использует эти вычислимые артефакты для последовательной и всеобъемлющей оценки кибербезопасности.
Артефакты CSG также позволяют постоянно обновлять оценки рисков по мере изменения системы или задач. Защитник должен только обновить соответствующую модель (модели) CSG, чтобы отразить изменения, и повторить CSG, чтобы обновить оценку.