През последните десетилетия над 40 държави публично създадоха някакъв вид военно киберкомандване, като поне дузина други планират да го направят. И все пак въпреки това разпространение, все още има малко оценка за огромното количество време и ресурси, които изисква една ефективна киберкоманда.
В моята книга Без преки пътища: Защо държавите се борят да разработят военни кибер сили разделям предизвикателствата пред изграждането на ефективно кибер командване в пет категории, които наричам рамката на PETIO: хора, подвизи , набор от инструменти, инфраструктура и организационна структура. Какво означава това за амбициозните киберправомощия? Първо, най-важният елемент от разработването на офанзивна кибернетична способност са хората – не само технически подковани, но и лингвисти, анализатори, поддръжка от фронт офиса, стратези, правни експерти и консултанти по конкретни операции. Второ, много внимание беше обърнато на внедряването от страна на държавите на експлойти от нулев ден или неизвестни. Въпреки това, известни експлойти и инструменти също могат да бъдат много ефективни, ако нападателят има превъзходни познания за своята цел и нейните възможности. Трето, инвестициите в инфраструктура - като например създаване на кибер полигон за обучение и тестване - са съществено изискване за разработване на нападателни кибер способности и са на висока цена.
Станете член
Техническите хора не са достатъчни
Широко разпространено мнение в управлението на бизнеса е, че с нарастването на когнитивните умения на дадена работа хората, а не технологиите, стават по-важни. Тези „мисловни работни места“, както ги нарича Даниел Пинк, изискват по-големи умения за решаване на проблеми и творческо мислене, което означава, че бизнесите могат да бъдат успешни само ако култивират култура, която дава приоритет на човешкия елемент. За амбициозни киберправомощия това важи не само за технически експерти.
Разбира се, една военна кибер организация се нуждае от анализатори на уязвимости или ловци на грешки. Тези служители търсят софтуерни уязвимости. Те също така се нуждаят от разработчици, оператори, тестери и системни администратори, за да изпълнят успешно дадена операция и да се уверят, че възможностите са надеждно разработени, внедрени, поддържани и тествани.
Но изграждането на офанзивна кибернетична способност също изисква по-всеобхватна работна сила. Първо, необходима е първа линия помощ за подпомагане на дейностите на операторите и разработчиците. Това може да включва дейности като регистриране на акаунти или закупуване на възможности от частни компании. Второ, военна или разузнавателна организация с най-добрите кибер сили в света е обречена на провал без стратегически насоки. Оперативният или тактически успех не означава стратегическа победа. Една операция може да бъде перфектно изпълнена и да разчита на безупречен код, но това не води автоматично до успех на мисията. Например, американското киберкомандване може успешно да изтрие данни от сървъра на иранска петролна компания, без действително да осигури промяна в иранската външна политика. Една организация може да функционира само ако има ясно разбиране за това как наличните средства ще постигнат желаните цели. Важна задача на стратезите е координирането на дейностите с други военни части и партньорски държави. Те също така участват в избора на целеви пакети, въпреки че често се създава отделна позиция за „целевите“. Насочващите определят цели, оценяват страничните щети, управляват деконфликцията и помагат при планирането на оперативния процес.
Всяка военна или цивилна агенция, провеждаща кибер операции като част от правителство със законова рамка, също ще работи с армия от адвокати. Тези правни експерти ще участват в обучение, консултиране и наблюдение. Спазването на закона за войната, закона за въоръжените конфликти и всички други законови мандати изисква законно обучение на оператори, разработчици и системни администратори за предотвратяване на нарушения. Правните експерти осигуряват подкрепа при планирането, докато съветват, преглеждат и наблюдават оперативните планове. Например, при планирането на операцията Glowing Symphony на американското киберкомандване от 2016 г., която се опитваше да наруши и откаже използването на интернет от ISIL, тези експерти помогнаха да се уточни планът за уведомяване, контролният списък на мисията и процесът на оторизация.
Вграждането на правни експерти на различните етапи от една кибер операция е трудно. Наистина, това вероятно изисква множество критични разговори с ръководството и оперативните екипи, за да се гарантира, че разбират достатъчно какво се предлага, преди да могат да дадат одобрение. Освен това начинът, по който се изпълняват определени операции, прави правната проверка по-трудна. Например, в случай на саморазпространяващ се зловреден софтуер като Stuxnet, след като се ангажирате, е трудно да се върнете назад.
След това е необходима разнообразна група от технически анализатори за обработка на информация по време и след операциите. Нетехническите анализатори също са от съществено значение, особено за разбирането как хората в целевата мрежа ще реагират на кибер операция. Това изисква анализатори със специфични познания за страната, културата или целевата организация. Има нужда и от дистанционен персонал. Както казва изследователят по сигурността и бивш служител на NSA Чарли Милър, „Кибервойната все още се подпомага от хора, намиращи се по целия свят и извършващи тайни действия“. В случая с атаките на Stuxnet, например, холандска къртица, представяща се за механик, помогна на Съединените щати и Израел да съберат разузнавателни данни за ирански ядрени центрофуги, които бяха използвани за актуализиране и инсталиране на вируса.
Накрая, кибер командването се нуждае от администратори за човешки ресурси, връзка с други съответни местни и международни институции и говорене с медиите. Както отбелязва Джейми Колиър, „един са дните, когато шпионските агенции не съществуваха официално“ и държаха „персоналът и дейностите си тайно охранявани далеч от общественото мнение“. Комуникацията може да помогне за преодоляване на обществения скептицизъм. Това се отнася не само за разузнавателните агенции, но до известна степен и за военните кибер команди, особено когато техният набор от мисии се разширява и опасенията за ескалация, влошаване на нормите или търкания между съюзниците нарастват. В допълнение, по-голямото присъствие пред обществеността може да помогне за целите на набирането на персонал на силно конкурентен пазар на труда.
Това е нещо повече от нула дни
Най-обсъжданият елемент от разработването на нападателни кибер способности са експлойтите. Те попадат в три различни категории: експлойти за нулев ден, експлойти за N дни без корекция и експлойти за N дни. Експлойт от нулев ден е този, който разкрива уязвимост, която не е известна на доставчика. Експлойт за N-ден без корекция е този, който разкрива уязвимост в софтуера или хардуера, която е известна на доставчика, но няма инсталирана корекция за коригиране на недостатъка. N-дневен експлойт с корекция е този, който разкрива уязвимост в софтуера или хардуера, която е известна на доставчика и има инсталирана корекция за отстраняване на недостатъка. Често атакуващите трябва да комбинират множество уязвимости във верига от атаки, известна като верига на експлойт, за да атакуват дадена цел.
Много политическо внимание се отделя на натрупването на нулеви дни от страна на държавите. Джейсън Хийли, старши изследовател в Училището за международни и обществени въпроси на Колумбийския университет, проведе проучване през 2016 г., за да разбере колко уязвимости от нулевия ден запазва правителството на САЩ. Хийли заявява с голяма увереност, че през 2015/2016 г. правителството на САЩ е запазило „не стотици или хиляди на година, а вероятно десетки“. Това до голяма степен съответства на други доклади. По-зрелите военни и разузнавателни организации се възползват от внимателно разработени процедури, за да използват своите подвизи възможно най-ефективно.
Не бива обаче да преувеличаваме значението на нулевите дни. „Хората си мислят, че националните държави работят на този двигател от нула дни, излизаш с главния си ключ-скелет, отключваш вратата и влизаш. Не е това“, тогава Роб Джойс - ръководител на Службата за персонализирани операции за достъп на NSA, каза по време на презентация на конференцията Enigma. Той продължи: „Вземете тези големи корпоративни мрежи, тези големи мрежи, всяка голяма мрежа – ще ви кажа, че постоянството и фокусът ще ви вкарат, ще постигнете тази експлоатация без нулевите дни. Има толкова много повече вектори, които са по-лесни, по-малко рискови и доста често по-продуктивни, отколкото да се върви по този път.“
Наистина, особено за военните кибер организации надпреварата за N-дни често е също толкова важна. При разгръщане на N-дневни експлойти атаките могат да се възползват от времето, необходимо за разработване на корекция и времето, необходимо за приемане на корекция. Средното забавяне при корекция на експлойт се различава в зависимост от размера на доставчика, сериозността на уязвимостта и източника на разкриването. Въпреки че отнема средно малко повече от месец за уеб приложенията в производство, за да коригират „средно тежки уязвимости“, на доставчиците са необходими средно 150 дни, за да коригират уязвимостите в системите за надзорен контрол и събиране на данни. Приемането на корекцията също може да отнеме значително време — особено в среди, в които липсва стандартизация, като индустриални системи за контрол. Отчасти поради дългото време за корекция на промишлени системи за управление, станахме свидетели на няколко видни атаки срещу тези устройства и протоколи. Например през декември 2016 г. подкрепяна от Кремъл хакерска група, известна като Sandworm, използва злонамерен софтуер, наречен CrashOverride или Industroyer, за да направи големи части от Украйна тъмни. За да направят това, нападателите са заобиколили автоматизираните защитени системи в украинска електропреносна подстанция, като са използвали известна уязвимост в нейните релета Siemens SIPROTEC.
Тестването и инфраструктурата са от значение
Има широко разпространено убеждение, че стартирането на кибератаки е евтино, докато защитата срещу тях е скъпа. Но както отбеляза Матю Монте, въз основа на опита си в американската разузнавателна общност, „Нападателите не се спъват, за да бъдат „прави веднъж“. Те влагат време и усилия, за да изградят инфраструктура и след това работят чрез предполагаемите „10 000 начина, по които Томас Едисън няма да работи.“ Това изисква инфраструктура, абсолютно важен елемент от кибернетичния капацитет, за който не се говори достатъчно. Инфраструктурата може да се дефинира най-общо като процесите, структурите и съоръженията, необходими за провеждане на офанзивна кибер операция.
Инфраструктурата попада в две категории: контролна инфраструктура и подготвителна инфраструктура. Контролната инфраструктура се отнася до процеси, използвани директно за изпълнение на операция. Те обикновено се изгарят след неуспешна операция. Този тип инфраструктура може да включва имена на домейни на фишинг сайтове, изтекли имейл адреси или други злоупотребявани технологии. Той също така включва инфраструктура за командване и контрол, използвана в дистанционно провеждани операции, които поддържат комуникации с компрометирани системи в целева мрежа. Тази инфраструктура може да се използва например за проследяване на компрометирани системи, актуализиране на злонамерен софтуер или ексфилтриране на данни. В зависимост от целта и ресурсите на дадена операция, инфраструктурата за командване и контрол може да бъде толкова проста, колкото един сървър, работещ във външната мрежа.
По-зрелите участници обаче са склонни да използват по-сложна инфраструктура и техники, за да останат скрити и устойчиви срещу сваляне. Например, базираната в Русия Fancy Bear е похарчила повече от 95 000 долара за инфраструктурата, която е използвала за насочване към хора, участващи в президентските избори в САЩ през 2016 г. И това често е свързано с много повече от просто наемане на инфраструктура: една организация може да изпълнява цял набор от операции само за да компрометира законни уеб сървъри, за да ги използва за изпълнение на бъдещи операции.
Подготвителната инфраструктура се отнася до набор от процеси, които се използват, за да се постави човек в състояние на готовност за провеждане на кибер операции. Рядко нападател ще изхвърли тази инфраструктура след (неуспешна) операция.
Едно от най-трудните неща, които трябва да направите, когато създавате добри инструменти за атака, е да ги тествате преди внедряване. Както изтъква Дан Гиър, виден експерт по компютърна сигурност, „да знаеш какво ще намери твоят инструмент и как да се справиш с това, със сигурност е по-трудно, отколкото да намериш използваем недостатък сам по себе си.“ Голяма част от подготвителната инфраструктура за атака обикновено се състои от бази данни, използвани при картографиране на целите. Нападателят ще трябва да свърши много работа, за да намери своите цели. Упражненията за картографиране на мрежата могат да помогнат на организацията да разбере обхвата на възможните цели, понякога наричани също „придобиване на цел“. Следователно най-зрелите участници в това пространство са инвестирали огромни ресурси в инструменти за мрежово картографиране, за да идентифицират и визуализират устройства в определени мрежи.
Има и други целеви бази данни. Например GCHQ поддържа специална база данни, която съхранява подробности за компютри, използвани от инженери и системни администратори, които работят в „мрежови операционни центрове“ по целия свят. Причината, поради която инженерите и системните администратори са особено интересни цели, е, че те управляват мрежи и имат достъп до големи масиви от данни.
Илюстративен, нашумял случай е хакването на Belgacom, частично държавен белгийски телефонен и интернет доставчик с Европейската комисия, Европейския парламент и Европейския съвет като част от тяхната клиентска база. Британската шпионска агенция GCHQ, вероятно подпомагана от други членове на Five-Eyes, използва зловреден софтуер, който е разработил, за да получи достъп до GRX рутерите на Belgacom. Оттам може да предприеме атаки „Човек в средата“, което направи възможно тайното прихващане на комуникации на цели, които се движат с помощта на смартфони. Както откриха репортерите, хакването на Belgacom, с кодово име Operation Socialist, „се случи на етапи между 2010 и 2011 г., като всеки път проникваше все по-дълбоко в системите на Belgacom, като в крайна сметка компрометираше самата сърцевина на мрежите на компанията“.
Подготовката за кибератаки също изисква създаване на кибератака. Това е платформа за разработване и използване на интерактивни симулационни среди, които могат да се използват за обучение и развитие на способности. През последните години фирмите все повече инвестираха в кибер гама, базирани на облачна технология. Тези диапазони са или разработени на обществени облачни доставчици - като Amazon Web Services, Microsoft Azure или Google - или частни облачни мрежи, разположени на място. Облачните кибер диапазони обикновено осигуряват гъвкави среди за практическо обучение с удобни сценарии за обучение с кликване и игра. За военните кибер организации обаче конвенционалните диапазони, които не са базирани на облак, като цяло все още са за предпочитане, като се има предвид необходимостта от симулационни среди с висока персонализация и оперативно тестване и обучение по поръчка.
Опитвайки се да бъдем в крак с бързия темп на развитие на кибернетични конфликти, много експертни коментари се фокусираха върху това дали операциите с кибернетичен ефект могат да доведат до стратегически предимства или да бъдат повлияни от норми. И все пак, първо трябва да се заемем с един по-фундаментален въпрос: Кога всъщност държавите са в състояние да провеждат операции на първо място? Въпреки че разпространението на военни киберкоманди подсказва, че предстои голяма промяна в кибервойната, работата на тези организации остава много по-трудна и по-скъпа, отколкото изглежда.
Станете член
Това есе се основава на Без преки пътища: Защо държавите се борят да разработят военни кибер сили, публикувано от Oxford University Press и Hurst Publishers през май 2022 г.
Макс Смитс е старши изследовател в Центъра за изследвания на сигурността в ETH Zurich и директор на Европейската инициатива за изследване на кибернетични конфликти,
Изображение: Джоузеф Единс, Списание Airman
Коментар