Более двух десятилетий кибербезопасность строилась на реактивной модели. Однако быстрая, скоординированная и автоматизированная среда угроз заставляет переходить к проактивным действиям. Недавние шаги Белого дома и Google отражают этот сдвиг от обороны к попыткам пресечь деятельность противников до атак. — csoonline.com
На протяжении более двух десятилетий кибербезопасность строилась на реактивной модели: обнаружение вторжений, устранение уязвимостей, реагирование на инциденты и повторение цикла. Эта модель сейчас испытывает постоянное давление со стороны среды угроз, которая становится быстрее, более скоординированной и все более автоматизированной.
Два недавних события наглядно демонстрируют, как быстро эта модель разрушается. Ранее в этом месяце Белый дом опубликовал свою долгожданную стратегию в области кибербезопасности, которая ставит проактивную или наступательную кибербезопасность во главу приоритетов. На проходящей в этом году конференции RSA Сандра Джойс, руководитель группы по анализу угроз Google, представила подразделение компании по пресечению угроз, изложив планы по использованию законных полномочий и технических возможностей для активного противодействия группам киберугроз.
В совокупности эти события отражают уже идущий сдвиг — от чисто оборонительных моделей к усилиям по подрыву деятельности противников до того, как атаки достигнут своих целей.
«То, что мы делали последние 20 лет, не работало», — говорит Гленн Герстелл, бывший главный юрисконсульт Агентства национальной безопасности, а ныне старший советник Центра стратегических и международных исследований, в интервью CSO. «Мы по сути играли в догонялки в обороне… и разрыв увеличивается».
Эта оценка теперь формирует как государственную стратегию, так и операции частного сектора. Соединенные Штаты явно пытаются формировать поведение противника, а не поглощать атаки, в то время как крупные технологические провайдеры инвестируют в возможности, предназначенные для подрыва деятельности злоумышленников до того, как они достигнут своих целей.
Этот сдвиг часто описывают как «проактивную кибербезопасность» или «активную защиту», но эта терминология скрывает, насколько ограничено и оперативно это изменение на самом деле.
Крах времени реагирования
Срочность этого сдвига обусловлена скоростью современных атак. Традиционная последовательность — первоначальный доступ, боковое перемещение, эксфильтрация данных — сжалась до тесно скоординированной, почти одновременной активности множества действующих лиц.
«Медианное время между первоначальным доступом и передачей данных вторичной группой угроз сократилось с восьми часов в 2022 году до всего 22 секунд в 2025 году», — подчеркнула Джойс во время своего выступления на RSA.
Это сжатие отражает более широкое структурное изменение. Кибероперации больше не являются линейными кампаниями, а представляют собой экосистемы, где брокеры доступа, операторы и специалисты по монетизации действуют параллельно. Искусственный интеллект ускоряет эту модель, автоматизируя ключевые этапы эксплуатации и перемещения.
«Агентные подходы к разработке эксплойтов позволят противникам опережать управляемые человеком средства контроля», — сказала Джойс.
Джон Халквист, главный аналитик группы по анализу угроз Google, утверждает, что как только вторжение началось, защитники уже отстают. «Активная защита ищет возможности за пределами стен замка, до того как злоумышленник появится внутри или начнет бить по стенам замка».
Герстелл описывает тот же дисбаланс более прямолинейно. «Плохие парни… имеют преимущество», — говорит он.
Что означает «проактивная кибербезопасность»
Несмотря на более агрессивную терминологию, этот сдвиг в сторону участия частного сектора не предполагает актов самосуда со стороны пострадавших организаций. Вместо этого он предполагает более систематические усилия по вмешательству в действия противников на более ранних этапах цепочки атак с использованием уже существующих полномочий и возможностей.
«Чтобы было ясно, это не ответные взломы (hacking back)», — сказала Джойс. «Это законное и этичное использование разведданных для защиты наших собственных платформ».
На практике этот подход сочетает гражданские иски, скоординированные отключения, публичное раскрытие информации об инструментах и укрепление продуктов. Цель состоит в том, чтобы наложить издержки и трение на всю экосистему, а не остановить отдельные вторжения.
«Наша цель — изменить экономику всей экосистемы, сделать операции киберугроз настолько дорогостоящими, настолько сложными, настолько рискованными, чтобы это больше не было жизнеспособным путем для любого противника», — заявила Джойс.
Халквист подчеркивает, что такое вмешательство имеет реальные, но ограниченные последствия. «Мы ищем операции, которые окажут более длительное воздействие на противников, или те, которые мы можем повторять с такой частотой, чтобы фактически поддерживать эффект», — говорит он.
Эта динамика лежит в основе того, как сейчас формулируется проактивная кибербезопасность. Вмешательство — это не постоянное решение; это способ снизить возможности противника и выиграть время.
Герстелл предлагает практическую границу того, когда эта деятельность становится более спорной. «Если вы делаете что-то только в своей собственной сети, это звучит как защита», — говорит он. «Если вы делаете что-то в чужой сети, это звучит как нападение».
Почему частный сектор играет центральную роль
Сдвиг в сторону проактивной кибербезопасности коренится в том, кто контролирует территорию. «Частный сектор управляет самой инфраструктурой, которую злоумышленники используют», — сказала Джойс.
В то же время масштаб киберугроз превышает возможности, которые может обеспечить правительство в одиночку.
«Нет такого мира, где правительство могло бы сделать все», — говорит Синтия Кайзер, бывший заместитель директора ФБР по кибербезопасности, а ныне старший вице-президент Halcyon, в интервью CSO. «Когда я работала в ФБР, не было такого мира, где можно было бы сделать все».
Это привело к стремлению к более глубокой оперативной интеграции между правительством и отраслью, сочетающей видимость и скорость частного сектора с полномочиями государственного сектора.
Адам Маруяма, бывший технический директор, аналитик Министерства обороны и АНБ, а также эксперт по борьбе с терроризмом, считает, что сдвиг в сторону более проактивных действий необходим, но ему не хватает четких правил. Он отмечает, что действия на более ранних этапах цепочки атак поднимают вопросы о том, как следует проводить такие операции в разных юрисдикциях и как их следует координировать с союзниками.
«Как только вы начинаете действовать за пределами своей сети, вы немедленно сталкиваетесь с вопросами юрисдикции и координации», — говорит Маруяма в интервью CSO. «Эти вопросы еще не решены».
Без этой ясности более напористые попытки вмешательства рискуют вызвать трения даже среди партнеров, особенно когда инфраструктура находится вне контроля США.
Национальный директор по кибербезопасности Шон Кейрнкросс сформулировал цель как исправление дисбаланса. «Калькуляция рисков на стороне нашего противника в этой области, похоже, откалибрована неправильно», — сказал он на Киберсаммите Института МакКрери в марте.
Однако Кейрнкросс провел четкую границу для действий частного сектора. «Я не говорю о том, чтобы частный сектор или компании вели наступательные киберкампании», — сказал он. «Мы говорим не об этом».
Линии разлома: как далеко можно зайти
Согласие о необходимости действовать раньше не распространяется на согласие о том, насколько далеко могут зайти эти действия.
Кайзер видит практический путь в сосредоточении усилий на криминальных элементах, где правовые основания более ясны, а риски эскалации ниже. «Я думаю, наименее рискованный способ, которым промышленность может помочь в этом направлении, — это работа с криминальными элементами», — говорит она, указывая на отключение инфраструктуры и возврат украденных средств.
Она также утверждает, что правовые рамки могут потребовать доработки. «Главное, что я хотела бы увидеть, — это пересмотр существующих законов и выяснение, есть ли способы, которыми промышленность может больше помочь в отключении инфраструктуры и возврате украденных средств», — говорит она.
Другие более осторожны. Маруяма указывает на сложность глобально распределенной инфраструктуры. «А что, если их инфраструктура размещена не в Северной Корее, а во Франции… или в полусоюзной стране, такой как Малайзия?» — спрашивает он.
Халквист подчеркивает осторожность с оперативной точки зрения, но делает акцент на важности эффективности в выборе целей. Именно поэтому Джойс заявила в своем выступлении, что какую бы тактику ни использовала Google против противников, она намерена, чтобы те «оставались обожженными». Он говорит: «Мы привержены операциям, которые имеют долгосрочные последствия».
Кто может это делать
Даже если эти противоречия будут устранены, возможность осуществлять проактивное вмешательство сосредоточена у небольшого числа игроков.
«Это то, что может сделать Google [и что] делала и может делать Microsoft», — говорит Герстелл. «Среднестатистическая компания, вероятно, не сможет».
Требования включают не только техническую возможность, но и законные полномочия, оперативный масштаб и контроль над инфраструктурой. Крупные поставщики платформ могут действовать в рамках сред, которыми они владеют, и могут принять на себя риски, связанные с вмешательством. Большинство предприятий — нет.
Даже среди организаций, которые могли бы действовать, готовность различается. «Некоторые из них могли бы это сделать, но не хотят», — говорит Герстелл.
Что следует делать CISO
Для руководителей служб безопасности предприятий переход к проактивной кибербезопасности не расширяет их мандат на выполнение наступательных или превентивных функций. Вместо этого приоритетом остается укрепление основных основ кибербезопасности.
«Базовые блоки и приемы по-прежнему критически важны», — говорит Герстелл.
Кайзер определяет роль предприятий как участие, а не инициативу. «Что еще мы все можем сделать?» — спрашивает она, особенно в поддержке усилий по отключению и восстановлению, где промышленность может действовать «быстрее и проворнее, чем правительство».
Это участие требует оперативной готовности: способности быстро обмениваться телеметрией, сохранять доказательства и реагировать в режиме реального времени, когда провайдеры или правоохранительные органы действуют против инфраструктуры противника.
Для CISO это означает, что превентивное вмешательство не снижает потребность во внутренней устойчивости. Даже по мере того, как правительства и крупные поставщики услуг кибербезопасности усиливают давление на злоумышленников, предприятия должны ожидать продолжения активности — часто со стороны тех же действующих лиц, работающих немного по-другому.
В то же время правовые границы остаются четкими. Действия за пределами собственной среды организации влекут за собой риски, которыми большинство предприятий не готовы управлять. Практическая роль CISO заключается не в том, чтобы становиться более агрессивными, а в том, чтобы эффективно действовать в системе, где другие все чаще занимаются пресечением угроз.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield