Как увеличит шансы защитников с помощью киберобмана

«Игра с нулевой суммой», или «как увеличить шансы защитников с помощью киберобмана»

Игра с нулевой суммой — игра, в которой выигрыш одного игрока равен проигрышу другого. Это понятие применимо и в информационной безопасности: защитники стараются защитить сеть, а злоумышленники – взломать.

С точки зрения теории игр, сеть компании представляет собой динамическую систему, в которой каждый игрок стремится максимизировать свою выгоду, используя определённые стратегии. Защитники сети направляют усилия на предотвращение атак, а злоумышленники стремятся с минимальными затратами её осуществить (за счёт поиска наиболее эффективного способа проникновения в инфраструктуру предприятия).

К сожалению, в этом противостоянии атакующий имеет ряд преимуществ. Во-первых, он может выбирать время и место проведения атаки, что позволяет ему нанести удар в самый неожиданный момент и избежать детектирования. Во-вторых, защитникам приходится контролировать все уязвимые точки системы, а атакующим достаточно выбрать самую слабую точку и сосредоточить усилия на ней. В-третьих, атакующий может использовать новейшие технологии и инструменты, тогда как защитники часто не успевают адаптироваться к новым угрозам.

Повысить шансы защитников и превратить игру с нулевой суммой в выигрышную позволяет технология киберобмана, которая дезинформирует злоумышленников, заставляя их действовать так, как хочет защитник.

В этой статье мы поговорим об исследованиях, посвящённых эффективности киберобмана и выясним, как эта технология помогает изменить правила игры в пользу защитников и сделать её не нулевой, а положительной для обеих сторон.

О киберобмане

Киберобман (Cyber Deception, Deception) — это технология, которая использует ложные данные и активы (учётные записи, ключи от ИТ-систем, сетевые устройства, информационные сервисы, базы данных) для привлечения злоумышленников и обнаружения кибератак на ранних этапах. Цель защитников заключается не в том, чтобы просто заманить злоумышленников в ловушку, а в предоставлении ложной информации, способной вывести атакующего «из игры». В результате он теряет время и ресурсы, а защитник получает оперативную информацию о проникновении и может быстро отреагировать.

Сторонники «классических» программно-аппаратных комплексов считают, что киберобман — всего лишь разрекламированная разновидность ханипота (honeypot), эффективность которого в борьбе с реальными атаками крайне невелика. На самом деле современная DDP-платформа (Distributed Deception Platform) — это решение, которое может изменить динамику боя между атакующими и защитниками. Оно не только заставляет атакующих впустую тратить время и ресурсы на взлом, но и предоставляет защитникам оперативную информацию о проникновении в систему, что позволяет быстро реагировать на угрозы и предотвращать их последствия. Это возможно благодаря синергии множества типов ложных имитационных активов.

Производители по-разному реализуют ложный слой активов: одни делают упор на сетевые ловушки, другие — на приманки на реальных хостах пользователей.

Приманки (lures/breadcrumbs)  — это ложные артефакты, которые могут быть созданы и оставлены на реальных хостах устройств пользователей или в сети компании, где присутствует постоянная сетевая активность. Задача приманок — завести злоумышленника в ловушку.

Ловушки (network decoys/traps) — это программное обеспечение поверх операционной системы (Linux, Windows) или докеризированные версии устройств, которые имеют свой IP и MAC-адрес. Между ловушками есть передача трафика, поэтому отличить их от реальных активов достаточно сложно.

Когда злоумышленник взаимодействует с приманкой или ловушкой, специалист по информационной безопасности получает уведомление о потенциальном киберинциденте. Ложные срабатывания случаются редко, что позволяет команде сосредоточиться на определении целей и методов злоумышленников, вместо анализа разрозненных данных из систем мониторинга.

DDP также предоставляет аналитические инструменты для анализа данных, собранных в результате атак, что позволяет улучшать меры безопасности в будущем.

Разработчики DDP-систем используют разные подходы к внедрению набора ловушек и приманок, поэтому реализация ложного слоя данных может значительно отличаться от платформы к платформе.

Об эффективности киберобмана

Одним из научных исследований, посвящённых эффективности киберобмана, является « Examining the Efficacy of Decoy-based and Psychological Cyber Deception », проведённое в 2018 году командой учёных из Университета Индианы и Университета Аризоны.

В рамках исследования был проведён анализ двух типов киберобмана: технического (decoy-based), базирующегося на использовании ловушек, и психологического (psychological), основанного на манипуляции психологическими факторами.

Ловушки представляют собой ложные ресурсы с уязвимостями и информацией, которая привлекает атакующих и заставляет их тратить ресурсы на взлом. Например, можно создать в сети ложные ресурсы, которые будут имитировать настоящие узлы или сервисы. Если злоумышленник попытается атаковать ложный ресурс, система быстро оповестит защитников об этой попытке и обеспечит быстрое реагирование.

Психологический киберобман или атака на раздражение (frustration attack) основывается на принципах социальной инженерии, т.е. направлена на управление психикой атакующих, чтобы они совершали ошибки во время атак. Например, можно создать ложный узел в сети, который будет замедлять работу злоумышленника или вызывать проблемы в работе его программного обеспечения. Это может привести к тому, что злоумышленник совершит ошибку или потеряет контроль над атакой.

Для организации технического киберобмана исследователи создали специальный ханипот, имитирующий уязвимый компьютер в сети. Он настроен таким образом, чтобы регистрировать все попытки взлома и получать информацию об атакующих.

Для организации психологического киберобмана была разработана специальная схема информационной архитектуры. Исследователи создали фиктивную компанию, которая имела в портфолио высокотехнологичный продукт. На официальном сайте был размещён специальный раздел, имитирующий информацию об уязвимостях в продукте и о том, как их можно использовать для взлома системы. На самом деле продукт был полностью защищён, и недостатка в системе не было.

Далее исследователи измерили эффективность каждого типа киберобмана, а также сравнили их между собой. Результаты показали, что психологический киберобман оказался более эффективным, чем технический. Злоумышленники, которые пытались использовать информацию из фиктивного раздела сайта, были успешно обнаружены, и им не удалось причинить вред системе.

Исследователи проверили четыре гипотезы:

  1. Технический и психологический киберобман мешают злоумышленникам, которые стремятся проникнуть в компьютерные системы и похитить информацию.
  2. Киберобман эффективен, даже если злоумышленник знает о его использовании.
  3. Киберобман эффективен, если атакующий просто предполагает, что он может быть использован (даже если это не так).
  4. Технический и психологический киберобман влияет на когнитивное и эмоциональное состояние атакующего.

Оказалось, что оба типа киберобмана эффективны в борьбе с киберугрозами, однако психологический оказывает более сильное воздействие в сравнении с техническим, так как он направлен на изменение поведения атакующих, а не только на их привлечение в ловушку.

Киберобман и ИИ

Самые эффективные стратегии киберобмана могут быть разработаны с помощью искусственного интеллекта. В книге « Game Theory and Machine Learning for Cyber Security » описаны различные методы киберобмана, в том числе разработанные с помощью генеративных моделей. Это позволяет создавать несуществующие системы и данные, ложные профили пользователей и генерировать агентов для эмуляции атакующих или жертв. Также в книге рассмотрены вопросы применения теории игр к кибербезопасности (в том числе использование игровых моделей для анализа стратегий атакующих и защитников) и разработки алгоритмов принятия решений для определения наиболее оптимальных стратегий защиты.

Игровые модели могут быть использованы для анализа стратегий атакующих и защитников в кибербезопасности. В этом случае кибербезопасность можно рассматривать как игру между атакующим и защитником, где каждый игрок выбирает свою стратегию, основываясь на информации о своих возможностях и тактике оппонента.

Игровые модели позволяют представить эту игру в математической форме и рассчитать оптимальные стратегии для каждого игрока. Например, можно использовать модель нулевой суммы, где выигрыш одного игрока равен потере другого, и найти равновесие Нэша (состояние, при котором каждый игрок использует наилучшую стратегию, учитывая выбор противника).

Также можно использовать более сложные игровые модели, которые анализируют не только выбор игроков, но и вероятность исходов, динамику игры со временем. Например, модель с неполной информацией, где каждый игрок имеет доступ только к части данных о другом игроке или о состоянии игры.

Анализ стратегий атакующих и защитников с помощью игровых моделей позволяет определить оптимальные стратегии защиты и предотвратить возможные атаки.

Автономные системы киберобмана

Автономные системы киберобмана — это новое поколение систем киберзащиты, использующих искусственный интеллект и машинное обучение для создания умных ловушек и обмана атакующих. Они способны самостоятельно создавать и управлять ложными данными/информацией и активами для привлечения и запутывания злоумышленников.

Автономные системы киберобмана состоят из нескольких компонентов: система сбора данных, аналитическая система, система управления/контроля, компоненты создания и распространения ложной информации.

Система сбора данных накапливает информацию о текущем состоянии сети,обнаруживает атаки и взломы, анализирует данные, выявляет уязвимости и угрозы безопасности.

Аналитическая система использует методы машинного обучения и теории игр для анализа и оценки данных, которые были собраны. Она определяет наиболее вероятные цели атак и предлагает стратегии для привлечения атакующих.

Система управления и контроля руководит процессом создания и распространения ложной информации. Она определяет, какую информацию необходимо создать, когда и как её распространять, и как она будет использоваться для обнаружения/ предотвращения атак.

Для создания ложной информации могут использоваться различные алгоритмы и методы. Например, методы генерации фейковых данных и атакующих скриптов, машинного обучения для создания эффективных ложных целей.

Методология создания автономной системы киберобмана на основе данных об эффективности работы экспертов по кибербезопасности описывается в публикации « Informing Autonomous Deception Systems with Cyber Expert Performance Data ». Система анализирует действия экспертов и выявляет наиболее эффективные стратегии для создания ловушек и обмана атакующих, используя алгоритмы машинного обучения.

Результаты исследования показали, что такая система может значительно повысить эффективность киберзащиты и сократить время на обнаружение киберинцидента реагирование на него.

Другая статья — « Autonomous Cyber Deception: Reasoning, Adaptive Planning, and Evaluation of HoneyThings » — рассматривает применение автономной системы киберобмана на примере создания ловушек (HoneyThings) для обмана атакующих. Она использует алгоритмы рассуждения и планирования для определения оптимальной стратегии создания ловушек, а также методы машинного обучения для адаптации к новым типам атак. Результаты исследования показали, что система эффективна для защиты критически важных объектов и систем.

Таким образом, автономные системы киберобмана представляют собой многообещающее направление в области кибербезопасности, которое может значительно улучшить эффективность защиты с минимальным трудозатратами и сократить время реагирования на кибератаки.

Теория игр для киберобмана

Работа « Game Theoretic Deception and Threat Screening for Cyber Security » описывает подход к разработке систем киберзащиты и киберобмана, основанный на теории игр. Автор предлагает следующие стратегии:

  1. Использование теории игр для анализа взаимодействия атакующих и защитников в сети.
  2. Разработка игровых моделей, которые учитывают стратегии атакующих и защитников.
  3. Использование методов оптимального контроля для определения эффективных стратегий защитников и атакующих.
  4. Использование теории вероятностей для анализа и оценки эффективности систем киберзащиты и киберобмана.
  5. Разработка методов обнаружения и предотвращения атак на основе теории игр.
  6. Использование методов машинного обучения для адаптации игровых моделей к новым типам атак и защитных стратегий.
  7. Использование методов децентрализованного управления для координации действий защитников в режиме реального времени.
  8. Использование игровых моделей для анализа уязвимостей в системах киберзащиты и разработки новых стратегий безопасности.
  9. Разработка методов совместного использования технологий киберзащиты и киберобмана для создания более эффективных систем защиты сетей.

В статье « Game Theory for Adaptive Defensive Cyber Deception » авторы обсуждают использование теории игр для адаптивной защиты киберпространства. Для определения оптимальной стратегии они предлагают модель, которая использует информацию об атакующих и защитниках.

Исследователи рассматривают проблему выбора местоположения ложных объектов и предлагают использовать методы машинного обучения для анализа информации о предыдущих атаках. По результатам этого анализа можно выбрать оптимальное место для их размещения.

Таким образом, внедрение теории игр в кибербезопасности может повысить эффективность применения технологии киберобмана.

Заключение

Киберобман является эффективной технологией для защиты от злоумышленников, что подтверждается научными исследования.

Технический и психологический киберобманы могут значительно уменьшить количество успешных кибератак на сеть. Первый заставляет злоумышленников тратить время и ресурсы на взлом неправильной сети, а второй – менять мотив и принимать невыгодные решения.

Использование игровых моделей и теории игр помогает анализировать стратегии атакующих и разрабатывать более эффективные методы защиты.

Таким образом, внедрение DDP-решений способно повысить безопасность данных и уменьшить вероятность успешных кибератак.

APT Deception Deception Technology защита от целевых атак
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину

Xello

Xello — молодая компания, разработчик первой российской платформы класса Deception. Единственный поставщик технологии Deception в Едином реестре отечественного ПО