14.01.2014

Хакерские атаки смогут просчитать

Сайт "Российской газеты", январь, 2014
Экспертный комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."

Разработана математическая модель, которая позволяет выбрать оптимальное время для начала "кибервойны" или отдельной кибератаки, шансы на успех у которых будут максимальными. Эту модель математики представили в журнале Proceedings of the National Academy of Sciences, сообщает РИА Новости.

Эксперты отмечают, что в последние годы кибератаки переходят с локального уровня на международный. Атаки уже проводят не независимые хакеры, а сами государства.

Роберт Аксельрод и его коллега Румен Илиев из университета штата Мичиган в городе Энн-Арбор (США) решили выяснить, возможно ли предсказать тот момент времени, во время которого тот или иной объект будет максимально уязвимым для кибератак.

Все виды "кибероружия" обладают одним общим свойством - их эффективность резко снижается после первой атаки. Поэтому время такого нападения является ключевым фактором, определяющим исход "кибервойны". С одной стороны, длительное выжидание помогает лучше подготовиться к атаке. С другой стороны, это же время даёт жертве шанс на то, что она заметит уязвимость в системе безопасности и закроет её.

Опираясь на эти идеи, учёные разработали модель, в которой главным ресурсом атакующей стороны выступало некоторое количество так называемых 0day-уязвимостей - "дыр" в безопасности, о существовании которых не известно ни производителю ПО, ни его пользователям. По правилам модели, число таких уязвимостей в системе постепенно снижается, и скорость их исчезновения зависит от двух параметров - "невидимости" и "живучести".

"Уязвимости нулевого дня - это важнейший ресурс, которым оперируют злоумышленники в киберпространстве. Цена уязвимостей даже на "белом" рынке может доходить до нескольких десятков тысяч долларов, а в отдельных случаях и больше, - рассказал руководитель аналитического центра Zecurion Analytics Владимир Ульянов. - Надо понимать, что любая модель лишь примерно описывает явление. Если модель сделана на основе изучения всего одной крупной атаки, она действительно будет точно отражать развитие именно этой атаки, но модель надо проверить и доработать по опыту реализации других угроз и уязвимостей. Модель в этом случае не может быть статичной"

Как отметили представители отрасли информационной безопасности, данная модель предсказания кибератак вполне может быть использована и во вред. "Как всегда, предсказания свершившихся событий весьма точны. Попытки использовать данную модель во вред обязательно будут. И, кто сказал, что уязвимость нулевого дня обязательно неизвестна разработчику ПО?  К слову, попытки "предсказать тот момент времени, во время которого тот или иной объект будет максимально уязвимым для кибератаки" требуют серьёзных знаний об объекте атаки", - отметил эксперт по информационной безопасности компании "Аладдин Р.Д." Сергей Котов.

"Зачастую в противостоянии к успеху приводят неожиданные действия. Какие бы замечательные модели ни были, никто не отменяет гений военачальника. Иными словами при принятии решения о начале тех или иных военных действий человек учитывает множество факторов, как строго формализованных, поддающихся точному расчёту, так и чисто интуитивных. Также помимо "технически наилучшего времени для реализации атаки" имеются и зачастую более значимые факторы. Вспомним недавний инцидент с комплексом "Стрелка-СТ", фиксирующим нарушения скоростного режима и обратимся к аналогичным событиям годичной давности. "Как по заказу", вирус поразил системы накануне тендера на их техобслуживание, в результате чего контракт с ранее обслуживающей их компанией был разорван. Очевидно, что даже при наличии соответствующей модели решение о времени запуска атаки принималось бы исходя из иных соображений, - считает руководитель группы консультантов по безопасности Check Point Software Technologies Антон Разумов. - Таким образом,  результаты, полученные по этой модели, разумеется, окажут определённый вклад на принятие хакерами решений, но лишь как один из множества факторов"

"Предложенную модель подробно изучат обе стороны, и специалисты по защите информации, и хакеры. Собственно, это люди примерно одинаковой квалификации и знаний. Чтобы эффективно бороться с информационными угрозами, необходимо хорошо их понимать. Специалисты по безопасности вырабатывают средства противодействия угрозам, исследуя существующие вирусы, инциденты. В свою очередь злоумышленники тщательно изучают средства защиты, чтобы найти способы их обхода, - объяснил Владимир Ульянов. - Нельзя однозначно сказать, для кого модель будет более полезной. Ведь всякое средство можно использовать как во благо, так и во вред. Также как реальное оружие может быть использовано для защиты или нападения".