Надежных общепринятых методов количественного измерения защищенности ИТ-систем сегодня не существует, а с оценкой уровня устойчивости к киберугрозам дело обстоит еще хуже. Но если нет способов измерить устойчивость, значит, ее нельзя улучшить и невозможно доверять механизмам, призванным ее обеспечивать.

Киберустойчивость (cyberresilience) — это способность ИТ-системы сопротивляться компрометации и восстанавливаться после нее или адаптироваться к ней [1, 2]. Попытки измерять киберустойчивость до сих пор сводились к оценке способности систем сопротивляться четко определенным, предсказуемым угрозам, то есть избегать компрометации. Такой анализ стал частью традиционного процесса оценки риска и управления им. При этом подсчитывается вероятность отказа компонентов системы под влиянием различных киберугроз с целью укрепить ее, чтобы предотвратить компрометацию. Но речь здесь идет не об устойчивости. Основной элемент киберустойчивости — принятие компрометации и соответствующего ущерба для системы в качестве события высокой вероятности; суть устойчивости — способность системы восстанавливаться и адаптироваться, а не просто сопротивляться. Киберустойчивость характеризует то, что происходит после неблагоприятного события, и для ее обеспечения нужна подготовленность как к известным, так и к неизвестным угрозам.

Определенные механизмы, призванные обеспечивать устойчивость систем, уже предложены и применяются, ведутся новые разработки. Однако большинство таких механизмов рассчитаны лишь на упрочнение систем для предотвращения их компрометации. Казалось бы, чем больше таких механизмов, тем более защищенными станут системы. Однако это не соответствует действительности ни с точки зрения информационной безопасности, ни с точки зрения киберустойчивости. На самом деле дополнительные механизмы лишь увеличивают потенциальное пространство атаки и создают риск вмешательства в работу других компонентов системы и уменьшения их эффективности. Ответное действие, выполняемое механизмом обеспечения безопасности, может привести к каскадным отказам и поломке системы с отключением критически важного программного обеспечения или порчей ценных данных.

Таким образом, контролирующие механизмы, призванные повышать безопасность, способны подорвать устойчивость. При этом трудно оценить, увеличивается или уменьшается устойчивость при добавлении очередного контролирующего механизма или набора механизмов с целью упрочнения системы. Единственный способ выяснить это — количественно измерить киберустойчивость с таким набором контролирующих систем и без него. То есть нужно измерить способности к восстановлению и адаптации в зависимости от времени, а не вероятность отказа без привязки к времени. Рассмотрим, как именно можно было бы измерить киберустойчивость.

Значимость киберустойчивости

Возможность восстанавливать функциональность после компрометации важна для широкого круга систем. Кибератаки на критически важную инфраструктуру, в том числе на сети водоснабжения, электросети и системы связи, могут повлечь катастрофические последствия. Известен случай, когда в результате атаки программы-вымогателя в крупном медицинском объединении все сведения пришлось обрабатывать вручную на протяжении длительного периода времени. Такие атаки способны нанести колоссальный ущерб экономическому благосостоянию организации или общества и поставить под угрозу человеческие жизни. Как ни странно, впечатляющую киберустойчивость могут демонстрировать сами вредоносные программы. К примеру, ботнет TrickBot, осуществлявший атаки с помощью программ-вымогателей, проявил способность быстро и эффективно восстанавливаться, после того как профессиональные организации по борьбе с вредоносами попытались разрушить зомби-сеть.

В условиях негативного киберсобытия система подвергается действию угрозы и ее функциональность начинает снижаться; при этом специальные механизмы и процессы, способные протекать как при участии человека, так и без него, поглощают негативное влияние и обеспечивают восстановление функциональности (см. рисунок). Средства кибербезопасности отвечают за упрочнение системы с целью предотвращения такой деградации функциональности, их задача — максимально ограничить снижение работоспособности.

Стадии киберустойчивости. ППК — площадь под кривой

Киберустойчивость в первую очередь касается восстановления. Оно может быть полным или частичным и в некоторых случаях может подразумевать адаптацию для улучшения функциональности или повышения устойчивости к неблагоприятным событиям. Очевидно, что киберустойчивость зависит от особенностей системы: архитектуры, средств управления, уровня подготовленности, возможностей прогнозирования и обучения, предшествовавшего неблагоприятному событию. Однако сама оценка киберустойчивости базируется на признании неизбежности неблагоприятных событий: когда систему атакуют, ее функциональность падает, при этом нужно обеспечить максимально быстрое восстановление. В случае более устойчивой системы площадь под кривой (ППК на рисунке) — интеграл сохранившейся функциональности системы F(t) по времени продолжительности выполнения задачи Tm — будет больше. В такой ситуации можно попытаться количественно определить устойчивость по формуле R = (AUC) / (F(0) * Tm).

Когда (но не если) происходит киберинцидент, специализированные организации — центры мониторинга безопасности, провайдеры управляемых услуг, службы реагирования на инциденты — становятся агентами обеспечения устойчивости. Они определяют характер компрометации, изолируют и нейтрализуют ее, задействуют резервные вычислительные ресурсы, подвергают санации пострадавшее оборудование, переустанавливают ПО и восстанавливают данные из резервных копий. Все эти действия требуют работы дорогостоящих квалифицированных специалистов. Кроме того, подобные процессы отнимают ценное время — часы или даже недели.

Однако существуют ситуации, которые требуют гораздо более быстрой реакции, и в некоторых случаях обеспечивать устойчивость вручную неприемлемо. Злоумышленники могут перехватывать управление находящимися в движении автомобилями или самолетами, создавая смертельную угрозу для людей. В таких случаях нет времени ждать реакции специалистов по реагированию на инциденты. Атакуемые системы должны быть оснащены бортовыми интеллектуальными агентами, способными принять необходимые меры реагирования и восстановления буквально за мгновение.

Потребность в «сверхчеловечески» быстром восстановлении еще важнее для оружия, особенно высокотехнологичного. В распоряжении системы противоракетной обороны могут бы считанные секунды на то, чтобы успеть среагировать на компрометацию и восстановиться. Мобильные сухопутные тактические вооружения будущего могут включать танки, наземных и воздушных боевых роботов, умные датчики, интеллектуальную экипировку и т. д. Эти ресурсы будут работать в относительно тесной близости к силам противоборствующей стороны, что будет подразумевать относительно легкий физический и электромагнитный доступ с вероятностью физического захвата врагом ресурсов и членов личного состава. В таких условиях весьма высока вероятность киберкомпрометации, достаточно серьезной, чтобы функциональность системы упала ниже приемлемого уровня. Если произойдет подобный инцидент, кто должен будет его устранять? У членов личного состава не будет времени, чтобы бороться с компрометацией ИТ-систем в боевой обстановке.

Можно организовать центр киберопераций, в котором специалисты соответствующей квалификации реагировали бы на такие инциденты дистанционно. Однако вряд ли такой центр будет эффективным. Компьютерные сети на полях сражений грядущего будут характеризоваться нестабильностью соединений и архитектурой, сводящей к минимуму электромагнитные излучения, поэтому рассчитывать на дистанционное восстановление не приходится. Остается только обеспечивать устойчивость с помощью агентов с искусственным интеллектом, которые будут работать на самой военной технике и смогут обеспечивать восстановление в боевых условиях в режиме реального времени. При этом решения, рекомендуемые такими агентами, должны сопровождаться показателем степени уверенности, для чего опять же понадобятся надежные стандарты измерения.

Исследования, направленные на обеспечение киберустойчивости, идут сегодня в активном режиме. В частности, обширный каталог потенциальных методов повышения киберустойчивости систем опубликован американским Национальным институтом стандартов и технологий. Некоторые из этих методов уже применяются на практике в коммерческих продуктах. В частности, широко используется принцип микросегментации, который позволяет повысить устойчивость путем замедления продвижения злоумышленников по системе. Активно ведутся исследования в области методов дезориентации. Управление научно-исследовательских работ ВМС США финансирует программу разработки методов обнаружения и восстановления, предназначенных для защиты киберфизических систем от кибератак. Исследовательская группа НАТО предложила эталонную архитектуру автономного интеллектуального агента киберзащиты, который, будучи размещенным на системе, обеспечивает непрерывную оценку вредоносной активности, самостоятельно планируя и выполняя действия по нейтрализации и восстановлению.

Чтобы увеличить устойчивость, ее нужно измерить

Под измерением здесь понимается проведенная экспериментальным путем объективная количественная оценка заданного атрибута явления, которое воздействует на реальную систему или ее модель. Измерения при этом должны быть максимально эмпирическими и «физическими», даже в киберпространстве. Некоторые методы и приемы могут путать с измерениями — например, моделирование и симуляцию событий киберпространства. Существуют качественные оценки, выполняемые с помощью контрольных списков и с помощью специальных показателей. Такие процедуры необходимы для принятия решений, но они также требуют количественных измерений. Существует метод red team, когда группа специалистов играет роль злоумышленников, атакующих систему.

При поиске возможных методов измерения киберустойчивости полезно будет обратиться к измерению физических свойств материалов. При таких измерениях (испытаниях) образец материала обычно подвергают деструктивному воздействию — например, циклической нагрузке определенной величины, которая имитирует полезную работу. Так, при определении усталостной прочности материал многократно сгибают и разгибают. В этих испытаниях нагрузка может варьироваться, а количество циклов могут подсчитывать, чтобы определить, насколько долго материал сможет выполнять свою функцию.

По аналогии с этой процедурой, принятой в материаловедении, можно было бы наметить вероятные методы измерения киберустойчивости. Во-первых, необходимо абстрактно, но репрезентативно задать назначение системы и критические функции, которые необходимы, чтобы это назначение реализовалось. Во-вторых, нужно разработать способ имитации киберпротивника конкретного типа, осуществляющего атаки целенаправленно или наугад. Кроме того, нужна возможность варьирования силы противника — требуются исследования, которые позволят установить, каким образом можно измерять силу «кибердавления». В-третьих, нужно разработать средства, при помощи которых система будет выполнять свою задачу в условиях кибернагрузки. В-четвертых, нужна количественная оценка способности системы к выполнению своей задачи. Например, в качестве количественной меры устойчивости можно использовать функциональность, усредненную по времени выполнения задачи (см. рисунок). Для этого понадобятся исследования, чтобы определить, как количественно оценивать функциональность, и понять, как учесть реакцию системы и изменение кибернагрузки в зависимости от времени. Кроме того, нужны инструменты и процессы, которые дадут возможность объективного и согласованного повторения таких экспериментов с одновременным моделированием и симуляцией, чтобы получить достаточное количество данных, позволяющих принять обоснованное решение. Например, измерив усталостную прочность того или иного узла, инженер на основе полученного результата может спрогнозировать срок, через который произойдет отказ. По аналогии, измерение киберустойчивости позволило бы проектировщикам или операторам системы оценить ее пригодность для выполнения конкретной задачи.

Доверие к измерениям и показателям

В отличие от методов, используемых в материаловедении, дисциплина измерения киберустойчивости находится в самом начале своего развития. Разнообразие измерений, на основании которых будут приниматься руководящие решения и формироваться правила адаптации киберсистем в условиях киберугроз, будет расти. Такие измерения будут регистрироваться в разных режимах для различных наборов системных функций и дополняться экспериментальными данными и моделями. Каким образом ИТ-специалисты могли бы принимать обоснованные решения и планировать действия, полагаясь на огромное количество измерений, касающихся амортизации, восстановления и адаптации системы в ответ на воздействие киберугрозы?

Возможный вариант — выработка набора критериев, которые обеспечат уверенность лица, принимающего решение, в надежности задействованной методологии измерения. Например, можно воспользоваться критериями Брэдфорда Хилла, которые изначально были разработаны для оценки причинно-следственной связи в рамках эпидемиологических исследований, а сейчас применяются и для многих других задач [1]. В число критериев Хилла входят выраженность эффекта, воспроизводимость, специфичность, фактор времени, биологический градиент, правдоподобие, согласованность, экспериментальные данные и аналогия [3]. В качестве отправной точки для киберсистем можно было бы предложить ряд критериев.

Воспроизводимость. Нужно, чтобы при использовании одних и тех же инструментов с конкретной системой в рамках повторяющейся серии измерений устойчивости получался приблизительно одинаковый результат.

Согласованность по отношению к задаче. Для похожих (но не идентичных) задач уровень устойчивости R должен быть близким в разумных пределах. Для расхождений должны быть обоснованные причины. Например, если задачи имеют небольшие, но принципиальные различия. При отсутствии правдоподобного объяснения расхождений надежность методологии измерения следует подвергнуть сомнению.

Единообразие по отношению к механизмам защиты. При использовании существенно более надежных бортовых механизмов защиты значение R должно увеличиваться. Если это правило нарушается (например, когда предположительно более надежный механизм защиты вносит новые уязвимости в систему), необходимо провести расследование причин.

Единообразие по отношению к атакам. При существенно более мощных кибератаках значение R должно уменьшаться. Если это правило нарушается (например, когда предположительно более сильная атака оказывается безрезультативной благодаря механизмам защиты системы), следует найти правдоподобное объяснение. Если такого объяснения нет, необходимо усовершенствовать методологию измерения.

Другой подход — количественно выразить степень уверенности через большие объемы информации и измерений. В статистике есть методы оценки степени уверенности в данных, но для оценки киберустойчивости такой показатель должен также учитывать результаты технической оценки, выполняемой специалистами. Сложность оценки степени уверенности будет увеличиваться по мере роста использования искусственного интеллекта и программных агентов, работающих во взаимодействии с людьми или автономно. Анализировать характеристики различных мер по достижению конкретных целей и учитывать неизбежные неопределенность и вариативность показателей киберустойчивости можно с использованием принципа оценки весомости доказательств. Он подразумевает объединение некоторых линий доказательства (в данном случае — метрик) с помощью качественной или количественной оценки, чтобы прийти к некоторому заключению. Данный принцип широко применяют при оценке рисков, что позволяет объединять сведения разного рода и обосновывать выбор нормативных критериев и подходящего плана действий. За последние годы для объединения информации по принципу весомости доказательств были разработаны количественный байесовский метод и квазиколичественный подход на базе анализа многокритериальных решений.

***

Задача этой статьи — не предложить решение проблемы, а призвать исследователей и практиков к диалогу и научно-исследовательской работе. Очевидно, что невозможно улучшить характеристику, которую нельзя точно измерить. Наука и инженерия не могут развиваться без измерительных инструментов. Ни одна техническая дисциплина не достигла зрелости без создания методов, инструментов и процессов, позволяющих объективно и детально количественно измерить свойства явлений, происходящих в системах, которые рассматриваются такой дисциплиной, и киберустойчивость — не исключение.

Литература

1. R. A. Becker et al. Increasing scientific confidence in adverse outcome pathways: Application of tailored Bradford-Hill considerations for evaluating weight of evidence // Regulatory Toxicol. Pharmacol. — 2015. — Vol. 72, N. 3. — P. 514–537. doi: 10.1016/j.yrtph.2015.04.004.

2. Cybersecurity, U.S. Department of Defense Instruction 8500.01. The Pentagon, Arlington, VA, Mar. 14, 2014. [Online]. URL: https://www.esd.whs.mil/portals/54/documents/dd/issuances/dodi/850001_2014.pdf (дата обращения: 10.05.2021).

3. A. B. Hill. The environmental and diseases: Association or causation? // Proc. Roy. Soc. Med. —1965. — Vol. 58, N. 5. — P. 295–300. doi: 10.1177/003591576505800503.

Александр Котт (alexander.kott1.civ@mail.mil)  —  ведущий научный сотрудник, Научно-исследовательская лаборатория сухопутных войск США DEVCOM; Игорь Линьков (Igor.Linkov@usace.army.mil)  —  старший руководитель по науке и технике, Центр НИОКР сухопутных войск США.

Alexander Kott, Igor Linkov, To Improve Cyber Resilience, Measure It. IEEE Computer, February 2021, IEEE Computer Society. All rights reserved. Reprinted with permission.