Проактивная киберзащита - Proactive cyber defence

Проактивная киберзащита означает действовать в ожидании противодействия атаке с участием компьютеров и сетей. Он представляет собой термоклин между чисто наступательными и оборонительными действиями; пресечение и срыв нападения или подготовка угрозы к нападению, упреждающе или в порядке самозащиты. Задача упреждающих превентивных операций заключается в проведении агрессивных действий по пресечению и подрыву противника с использованием: Психологические операции, Управляемое распространение информации, точное нацеливание, операции информационной войны и использование компьютерных сетей и другие меры активного снижения угроз. Стратегия проактивной защиты предназначена для улучшения сбора информации за счет стимулирования реакции агентов угрозы, обеспечения возможностей нанесения ударов и улучшения оперативной подготовки реального или виртуального боевого пространства. Мера для обнаружения или получения информации о кибератаке или надвигающейся кибероперации, или для определения источника операции, которая включает запуск упреждающей, превентивной или кибероперации против источника. Упреждающие операции киберзащиты упреждающе поражают противника

Наступательная способность включает манипулирование сетями и системами или их нарушение с целью ограничения или устранения оперативных возможностей противника. Эта возможность может потребоваться для гарантии свободы действий в киберпространстве. Кибератаки могут быть запущены для отражения атаки (активная защита) или для поддержки оперативных действий. Различие между активной киберзащитой и наступательными кибероперациями (OCO) заключается в том, что для выполнения последних требуются законодательные исключения или прерогатива исполнительной власти. Следовательно, наступательные киберпотенциалы могут быть разработаны в сотрудничестве с промышленностью или при содействии частного сектора, но операциями руководят национальные государства. Есть некоторые исключения, особенно в случаях самообороны или при наличии судебной власти (гражданские ордера) или при оказании помощи правоохранительным органам.

CyberISR (разведывательное наблюдение и разведка) фокусирует мощную линзу на Всеобщий Интернет. Эта способность обеспечивает стратегическое выслушивание, улучшенное понимание ситуации, точность и уверенность в выполнении задания, несмотря на четкое понимание как динамики противника, так и своего поверхность атаки, таким образом, облегчая упреждающее снижение угроз, ускоренную поддержку принятия решений на основе фактов, контекстуализацию, нацеливание, возможность создания защиты от.

Охота на киберугроз - это процесс упреждающего и итеративного поиска в сетях с целью обнаружения и изоляции сложных угроз, которые обходят существующие решения безопасности.

Наступательные, проактивные кибер-действия и активная киберзащита способствуют упреждающему снижению угроз, а также информируют о защите, обнаружении и реагировании на инциденты, учитывая его способность поражать противника на расстоянии и во времени.

Активная защита:

  • Обладает большей эффективностью, чем реактивные системы.
  • Существенно снижает объем и серьезность атак, что на порядок снижает количество предупреждений, инцидентов и затрат. Таким образом, передавая эту экономию на кибербезопасность.
  • Предоставляет раннее предупреждение и индикаторы для моделирования сигнатур нулевого дня для механизмов реагирования на инциденты и перечисляет сети атак с помощью аналитики киберугроз.
  • Не подвержены проблемам масштабируемости, связанным с производительностью и стоимостью, как у реактивных систем.
  • Уникально имеет возможность формировать оспариваемое пространство.

Киберзащита

Стратегически киберзащита относится к операциям, которые проводятся в киберпространстве для поддержки целей миссии. Чтобы понять практическую разницу между информационная безопасность и киберзащита - это признать, что киберзащита требует перехода от сетевая гарантия (безопасность) обеспечение миссии где киберзащита полностью интегрирована в операционное планирование совместных функций. Киберзащита фокусируется на обнаружении, обнаружении, ориентации и взаимодействии с противником, чтобы обеспечить успех миссии и перехитрить этого противника. Этот переход от безопасности к обороне требует особого внимания к разведке и разведке, а также интеграции деятельности персонала, включая разведку, операции, связь и планирование. Оборонительные кибероперации относятся к действиям в глобальной информационной инфраструктуре или через нее, чтобы помочь защитить электронную информацию и информационные инфраструктуры учреждений в целях обеспечения выполнения миссии. Обычно не предполагает прямого взаимодействия с противником.

На различие между киберзащитой, активной киберзащитой, проактивной киберзащитой и наступательными кибероперациями повлияли доктрина, прагматика технологии или ремесла, а также правовые пороги.

Активные кибероперации относятся к действиям в глобальной информационной инфраструктуре или через нее по ухудшению, нарушению, влиянию, реагированию или вмешательству в возможности, намерения или действия иностранного лица, государства, организации или террористической группы, поскольку они имеют отношение к международным делам, обороне. или безопасность. Активная киберзащита решительно противостоит противнику и включает в себя охоту и противодействие преследованию.

История

В пятом веке до нашей эры Сунь Цзы выступал за предвидение (прогнозный анализ) как часть выигрышной стратегии. Он предупредил, что планировщики должны иметь точное представление об активной угрозе и не «оставаться в неведении о состоянии противника». Нить проактивной защиты проходит через все его учения.

Психиатр Виктор Франкл вероятно был первым, кто использовал термин проактивный в своей книге 1946 года Человек в поисках смысла различать акт принятия ответственности за собственные обстоятельства, а не приписывать свое состояние внешним факторам.

Позже в 1982 г. Министерство обороны США (DoD) использовал «проактивный» как противоположное понятие «реагировать» в оценка риска. В рамках управления рисками «проактивный» означает проявление инициативы путем действий, а не реагирования на события угрозы. И наоборот, «реактивные» меры реагируют на стимул или прошлые события, а не на предсказание события. Военная наука тогда и сейчас рассматривает оборону как научное искусство предотвращения нападения. Более того, доктрина утверждает, что если партия атакует врага, который собирается атаковать, это можно назвать активной защитой. Защита - это тоже эвфемизм для войны, но не несет в себе негативного смысла наступательной войны. Использование таким образом расширило термин, включив в него большинство военных вопросов, включая наступление, которое неявно называется активной обороной. С политической точки зрения концепция национальной самообороны для противодействия агрессивной войне относится к оборонительной войне, включающей упреждающие наступательные удары, и является одним из возможных критериев в «Теории справедливой войны». Проактивная защита вышла за рамки теории. Это было реализовано в театрах военных действий.

В 1989 г. Стивен Кови с Семь навыков высокоэффективных людей, опубликованный Free Press, изменил значение «действовать до того, как ситуация станет источником конфронтации или кризиса». С тех пор «проактивный» противопоставлен словам «реактивный» или «пассивный».

Происхождение

Cyber ​​происходит от "кибернетика ", слово, первоначально придуманное группой ученых во главе с Норберт Винер и популярен благодаря книге Винера 1948 года, Кибернетика или управление и коммуникация у животных и машин. Киберпространство обычно относится к обширной и растущей логической области, состоящей из общедоступных и частных сетей; независимо управляемые сети, связанные между собой через лингва-франка Интернета, протокол Интернета (IP). Определение киберпространства было расширено, чтобы включить все сетевое пространство, которое в какой-то момент каким-то путем может иметь доступ к общедоступному Интернету. Согласно этому определению, киберпространство становится практически каждым сетевым устройством в мире, которое не лишено полностью сетевого интерфейса. Между сетями больше нет воздушного зазора.

Истоки киберзащиты, несомненно, произошли от первоначальной цели Интернета, которая заключалась в укреплении военных сетей от угрозы ядерного удара. Позже киберзащита стала популярной среди принципов информационная война и информационные операции.

Быстрая эволюция доктрины операций информационной войны в 1990-х гг. Включала упреждающую стратегию упреждающей киберзащиты.

Текущее состояние

Информационная война - это возникающая реальность, возникающая в результате невиданного ранее процесса самоорганизации. Проблема в том, что мы говорим об этом, используя термины с хорошо известными коннотациями. И трудно говорить о чем-то совершенно новом, используя слова, которые несут с собой конкретное понимание и ожидания. Ранний период автомобилестроения столкнулся с похожей ситуацией. Когда-то его называли «безлошадным экипажем», так как только так можно было определить его сущностное качество. Автомобиль - больше, чем повозка без лошади. Это дилемма, с которой мы сталкиваемся, когда обсуждаем информационную войну. Опасность состоит в том, что использование знакомых слов искажает и маскирует истинный масштаб революции, которая должна произойти, если мы хотим сохранить военный потенциал в новом физическом, социальном и когнитивном пространстве ».

— Доктор Роберт Гариг в Информационная война, 1994.

Национальная стратегия защиты киберпространства был опубликован в феврале 2003 г., чтобы обрисовать начальную структуру как для организации, так и для определения приоритетов усилий по защите киберпространства. Он подчеркнул необходимость государственно-частного партнерства. Проактивные потоки включают в себя призыв сдерживать злонамеренные действия и предотвращать кибератаки на критически важные инфраструктуры Америки.

Понятие «проактивная защита» имеет богатую историю. Шумиха вокруг «проактивной киберзащиты» достигла своего апогея примерно в 1994 году. Этот период был отмечен интенсивными обсуждениями «ажиотажа» под эгидой информационной войны. Большая часть нынешней доктрины, относящейся к проактивной киберзащите, была полностью разработана к 1995 году. Тогда был инициирован ряд программ, которые к 2005 году были полностью задействованы, включая программы враждебных государств. Между тем, общественные дискуссии уменьшились до недавнего возрождения проактивной киберзащиты в 2004–2008 годах. Сейчас большинство дискуссий о проактивной защите в литературе гораздо менее «проактивны», чем предыдущие дискуссии в 1994 году или существующие оперативные программы. Термин «проактивный» часто используется для рекламирования продуктов или программ безопасности, во многом так же, как и прилагательные «экстремальный» или «качественный».[нужна цитата ]

Цикл шумихи достиг своего пика в 1994 году. Современная проактивная стратегия киберзащиты была задумана в контексте обширного обсуждения, которое ей предшествовало, существующей доктрины и реальных проактивных программ киберзащиты, которые развились во всем мире за последнее десятилетие. Доктор Роберт Джон Гариг, вычислительный эпистемолог и основоположник информационной войны в Канаде, опубликовал «Информационная война, разработка концептуальной основы». Это был знаковый документ 1994 года, положивший начало теории активной киберзащиты в Канаде.

Члены-основатели межведомственного комитета по информационной войне (Канада, 1994), доктор Роберт Гариг и Дэйв МакМахон писали: «Стратегическое слушание, базовая разведка и проактивная защита обеспечивают время и точность. И наоборот, неожиданная реакция неэффективна, требует больших затрат и оставляет мало вариантов. Стратегическое сдерживание требует надежного наступательного, проактивного оборонного и информационного миротворческого потенциала, с помощью которого можно проецировать силу и влияние на глобальном уровне через киберпространство для защиты нации. Точно так же сдерживание и дипломатия требуются в правильной дозировке, чтобы предотвратить целенаправленное вмешательство иностранных государств в критически важные национальные кибер-инфраструктуры, влияющие на демократический процесс. [1]

Уязвимости акций

Спецслужбы, такие как АНБ критиковали за скупку и накопление уязвимости нулевого дня, сохраняя их в секрете и развивая в основном наступательные возможности вместо защитных мер и помощи в исправлении уязвимостей.[2][3][4][5]

Эта критика была широко повторена и признана после майского 2017 г. Атака программы-вымогателя WannaCry.[6][7][8][9][10][11]

Упреждающие превентивные операции

Эффективная киберзащита идеально предотвращает инцидент. Любой другой подход просто реактивный. FedCIRC, NIPC, NSIRC, Министерство обороны и отраслевые компоненты понимают, что лучшим [действием] является упреждающий и упреждающий подход ».

— Салли Макдональд, помощник уполномоченного по вопросам обеспечения информации и защиты критической инфраструктуры, Федеральная служба по технологиям и Администрация общих служб; в свидетельстве о Национальный центр защиты инфраструктуры (NIPC) и Федеральный центр реагирования на компьютерные инциденты или FedCIRC; перед Подкомитетом по террористическим технологиям и Правительственным информационным комитетом по судебной системе и Сенат США 25 июля 2001 г.

Понятие группы упреждающих превентивных операций (P2OG) появилось из отчета Совет по оборонным наукам (DSB), брифинг 2002 г. Об этом сообщил Дэн Дюпон в Внутри Пентагона 26 сентября 2002 г., а также обсуждался Уильямом М. Аркиным в Лос-Анджелес Таймс 27 октября 2002 г. Лос-Анджелес Таймс впоследствии процитировал Министр обороны США Дональд Рамсфельд раскрытие создания «Группы упреждающих превентивных операций». Сообщается, что миссия P2OG заключается в проведении агрессивных, упреждающих, превентивных операций для пресечения и пресечения угрозы с использованием: психологических операций, управляемого распространения информации, точного нацеливания, операций информационной войны и SIGINT... Стратегия проактивной защиты предназначена для улучшения сбора информации за счет стимулирования реакции агентов угрозы, обеспечения возможности нанесения ударов и повышения оперативной подготовки реального или виртуального боевого пространства. P2OG рекомендовано состоять из «сотни» высокоспециализированных людей с уникальными техническими и разведывательными навыками, такими как информационные операции, ПСИОПЫ, сетевая атака, скрытые действия, SIGINT, Намек, SOF, влиять на операции по ведению войны / обмана и сообщать Совет национальной безопасности с годовым бюджетом в 100 миллионов долларов ". Группа будет находиться под контролем заместителя советника Белого дома по национальной безопасности и будет выполнять миссии, координируемые министром обороны или ЦРУ директор. «Это предложение является последним признаком новой настойчивости Министерства обороны в вопросах разведки и указанием на то, что передовые позиции в реформе разведки следует искать не в Конгрессе, а за закрытыми дверями в Пентагоне». - Стивен Афтергуд из Федерации американских ученых. DoD доктринально инициирует «упреждающую» атаку на основе доказательств того, что атака врага неизбежна. По мнению Министерства обороны, упреждающие меры - это действия, предпринимаемые непосредственно против превентивной стадии атаки противника.

Смотрите также

Рекомендации

  1. ^ «Информационная война 2.0».
  2. ^ Шнайер, Брюс (24 августа 2016 г.). «Новые утечки доказывают это: АНБ подвергает всех нас опасности быть взломанными». Vox. Получено 5 января 2017.
  3. ^ «Cisco подтверждает, что zeroday, связанный с АНБ, в течение многих лет нацеливался на ее межсетевые экраны». Ars Technica. Получено 5 января 2017.
  4. ^ Гринберг, Энди. «Беспорядок с теневыми брокерами - вот что происходит, когда АНБ копит нулевые дни». ПРОВОДНОЙ. Получено 5 января 2017.
  5. ^ «Трамп, вероятно, сохранит программу взлома». Bloomberg BNA. Архивировано из оригинал 5 января 2017 г.. Получено 5 января 2017.
  6. ^ Вонг, Джулия Кэрри; Солон, Оливия (12 мая 2017 г.). «Массовые кибератаки с использованием программ-вымогателей поразили 74 страны мира». Хранитель. Получено 12 мая 2017.
  7. ^ Хайнц, Сильвия Хуэй, Аллен Г. Брид и Джим. «Удачный прорыв замедляет глобальную кибератаку; впереди может быть и хуже». Чикаго Трибьюн. Получено 14 мая 2017.
  8. ^ «Атака программ-вымогателей -« как кража ракеты Томагавк », - говорит босс Microsoft». Хранитель. 14 мая 2017. Получено 15 мая 2017.
  9. ^ Шторм, Дарлин (2017-05-15). "WikiLeaks публикует руководства по внедрению вредоносных программ ЦРУ Assassin и AfterMidnight". Computerworld. Получено 2017-05-17.
  10. ^ Смит, Брэд. «Необходимость срочных коллективных действий для обеспечения безопасности людей в Интернете». Microsoft. Получено 14 мая 2017.
  11. ^ Хелмор, Эдвард (13 мая 2017 г.). «Атака программ-вымогателей выявляет нарушения в протоколах разведки США, - говорит эксперт». Хранитель. Получено 14 мая 2017.

Источники

  • «Проактивный целостный подход к стратегической киберзащите»., Брэдли Дж. Вуд, О. Сами Сайджари, Виктория Ставриду, доктор философии, SRI International
  • «Исследование APT0 по анализу пространства даркнета для прогнозирования активности киберугроз» (PDF). Организация по обеспечению безопасности связи, Bell Canada и Secdev Cyber ​​Corp.31 марта 2011 г.
  • «APT1 разоблачает одно из подразделений кибершпионажа Китая» (PDF). Mandiant. 2004 г.
  • Аркилла; Ронфельдт. «Кибервойна приближается, корпорация RAND». Журнал сравнительной стратегии. 12.
  • «Борьба с роботизированными сетями и их контроллерами: PSTP08-0107eSec (PSTP)». Bell Canada. 6 мая 2010 г.
  • «Лучшие практики защиты компьютерных сетей: обнаружение инцидентов и реагирование».
  • Бьюзи IV, адмирал Джеймс Б., USN (в отставке) (октябрь 1994 г.). "Расчет информационной войны требует защитных действий, комментарии президентов, сигнал". Официальное издание AFCEA: 15.
  • Кэмпен, Алан Д., изд. (Октябрь 1992 г.). «Первая информационная война». AFCEA International Press. Фэрфакс, Вирджиния.
  • «Проблемы межправительственного и многоуровневого управления IoE, 2017». Clairvoyance Cyber ​​Corp.
  • «Кибер-форчекинг». Журнал Frontline. Clairvoyance Cyber ​​Corp.2017.
  • «Информационная война 2.0, Cyber ​​2017». Clairvoyance Cyber ​​Corp.
  • «Борьба с роботами-сетями и их контроллерами: PSTP08-0107eSec, 06 мая 2010 г. (PSTP)».
  • «ACritical Infrastructure: понимание ее составных частей, уязвимостей, операционных рисков и взаимозависимостей». Тайсон Маколей (автор) BN-13: 978-1420068351
  • «План управления оборонительной информационной войной (DIW)». л.2. Агентство оборонных информационных систем. 15 августа 1994 г. 4 раздела и приложения.
  • Управление обновления доктрины армии: обзор доктрины информационных операций, сентябрь 2005 г.
  • Future Security Environment 2025 (FSE) Верховный главнокомандующий ОВС НАТО Начальник отдела стратегического анализа / разведки
  • Гариг, лейтенант (н) Р. (10 июля 1995 г.). «Информационная война: разработка концептуальной основы». Проект версии 2.0 для обсуждения, SITS / ADM (DIS).
  • Гариг, Роберт. "Информационная война канадских вооруженных сил - разработка концептуальной основы 1994".
  • Гариг, Роберт; Маки, Эндрю (16 апреля 1999 г.). «От действий провинции к национальной безопасности: национальная программа защиты информации для обеспечения безопасности правительства в киберпространстве, конференция ИТ-директоров, Белая книга по защите и обеспечению гарантий».
  • Гариг, Роберт (1992). «О стратегии, решениях и развитии информационных систем». DSIS DND Правительство Канады.
  • Гариг, Роберт. «Информационная война: разработка концептуальной основы. Документ для обсуждения».
  • Гариг, Роберт (1995). «Информационная война - теория и концепции, Оттава: Офис помощника заместителя министра - Служба информации обороны, DND, отчет правительства Канады».
  • Гариг, Роберт (1992). «О стратегии, решениях и развитии информационных систем. Технический документ. DSIS DND Правительство Канады».
  • Государственная бухгалтерия. Оценка технологий: кибербезопасность для защиты критически важной инфраструктуры. Май 2004 (http://www.gao.gov/new.items/d04321.pdf )
  • Гариг, доктор Роберт (1993). «Информационная война, разработка концептуальной основы».
  • Маколей, Тайсон - Критическая инфраструктура: понимание ее составных частей, взаимозависимостей, уязвимостей и операционных рисков, 700 страниц публикации Auherbach, июнь 2008 г.
  • Маколей, Тайсон - Безопасность конвергентных IP-сетей: новые требования к безопасности и гарантии информационных и коммуникационных технологий, 300 страниц, публикация Auherbach, июнь 2006 г.
  • МакМахон, Дэйв, Рогозински, Рафаль - Борьба с роботизированными сетями и их контроллерами, Bell Canada и Secdev Group, 750 страниц, август 2004 г.
  • МакМахон, Дэйв, Рогозински, Рафаль - Доклад о темном космосе, Bell Canada и группа Secdev, 600 страниц, декабрь 2012 г.
  • МакМахон, Дэйв, - Национальная стратегия активной обороны Канады, Bell Canada, 800 страниц, август 2004 г.
  • МакМахон, Дэйв (2014). "Думайте масштабно о Secdev" (PDF). Cyber ​​Corp.
  • МакМахон, Дэвид, Киберугроза: Интернет-безопасность для дома и бизнеса, Твердый переплет - 1 октября 2000 г.
  • Национальный координационный центр безопасности инфраструктуры Брифинг NISCC 08/2005 Выпущено 16 июня 2005 г., Целевые атаки троянских программ по электронной почте, Titan Rain
  • Центр передового опыта в области совместной киберзащиты НАТО
  • Центр передового опыта сотрудничества в области киберзащиты НАТО, Таллиннское руководство по международному праву, применимому к кибервойне, 2013 г.
  • «Лучшие практики защиты компьютерных сетей: обнаружение инцидентов и реагирование». НАТО.
  • Сетецентрическая война: развитие и использование информационного превосходства, Дэвид С. Альбертс, Джон Дж. Гарстка, Фредерик П. Штейн, Программа совместных исследований Министерства обороны США C4ISR, февраль 2000 г.
  • Сети и сетевые войны: будущее террора, преступности и воинственности, отредактированные: Джон Аркилла, Дэвид Ронфельдт, RAND Corporation, 1999
  • Оманд, сэр Дэвид, Джейми Бартлетт и Карл Миллер, «Представляем Social Media Intelligence (SOCMINT)», опубликованный: 28 сентября 2012 года.
  • Проактивная киберзащита и идеальный шторм. www.cyberthreat.ca Дэвид МакМахон 19 апреля 2008 г.
  • ""GhostNet «была крупномасштабной операцией кибершпионажа, обнаруженной в марте 2009 года» (PDF). Secdev.
  • Секдев, «Тени в облаке». Сложная экосистема кибершпионажа, систематически нацеленная на компьютерные системы в Индии, офисах Далай-ламы, Организации Объединенных Наций и некоторых других странах и взламывающая их. http://www.nartv.org/mirror/shadows-in-the-cloud.pdf
  • https://ccdcoe.org/cyber-definitions.html
  • Управление внутренней безопасности; Национальная стратегия защиты киберпространства, февраль 2003 г.
  • Управление обеспечения информации и защиты критически важной инфраструктуры Управление общих служб Федеральной технологической службы в подкомитете по террористическим технологиям и правительственной информации Комитет по судебной власти и сенату США 25 июля 2001 г.
  • Швартау, Винн. "Информационная война - Хаос на электронной супермагистрали" Thunder's Mouth Press, Нью-Йорк, 1994
  • Международная корпорация научных приложений (SAIC), «Соображения по планированию оборонительной информационной войны - обеспечение информации», 16 декабря 1993 г., 61 страница.
  • Тайпале, К.А. Исполнительный директор Центра перспективных исследований NYLS, Бантл (29–30 марта 2006 г.). «В поисках симметрии в войне четвертого поколения: информационные операции в войне идей». Симпозиум INSCT.
  • Подкомитет по возникающим угрозам и возможностям, Комитет по вооруженным силам Слушания Сената США по вопросам кибербезопасности и защиты критически важной инфраструктуры, Мартин К. Фага, исполнительный вице-президент, The Корпорация МИТЕР, 1 марта 2000 г.
  • Тоффлер, Элвин и Хайди Тоффлер. Война и антивоенная. Нью-Йорк: Уорнер Букс, 1995. 370 стр. (U102 .T641 1995 г.)
  • Что работает в реализации Национальной стратегии США по обеспечению безопасности киберпространства. Примеры успеха в войне с киберпреступностью и кибершпионажем, Консенсус SANS, версия документа 1.0, 10 декабря 2007 г.