У журналі The Cyber Defense Review Інституту кібербезпеки армії США (Вест-Пойнт) вийшла стаття Володимира Стирана, спеціального помічника Голови Держспецзв’язку, в якій представлено концепцію Offense Death Cycle (ODC) як новий метод проактивного керування середовищем для захисту від APT-загроз.
Автор стверджує, що традиційні реактивні моделі є недостатніми, оскільки вони дозволяють зловмисникам зберігати ініціативу. ODC пропонує трифазну петлю, що складається з розвідки, індукованого тертя та очікування, яка змушує нападників постійно адаптуватися та витрачати ресурси. Використовуючи перевагу «власного поля», захисники можуть навмисно маніпулювати мережевою топологією та конфігураціями, щоб зробити перебування ворога в системі економічно та операційно нерентабельним.
Автор підкріплює теорію аналізом реальних інцидентів, таких як випадки Equifax та PrivatBank, де зміни в середовищі стали вирішальними для виявлення або нейтралізації атак.
Зрештою, матеріал закликає до трансформації центрів безпеки (SOC), щоб вони перейшли від пасивного спостереження до активного формування умов, які роблять роботу зловмисника неможливою.
Деталі
Offense Death Cycle, ODC – це оперативна концепція кібероборони, яка пропонує перехід від реактивного захисту до проактивного контролю середовища. Замість того, щоб просто реагувати на дії хакерів, захисники самі змінюють умови на «власному полі», щоб зробити роботу атакуючого максимально дорогою, складною та неефективною.
ODC функціонує як безперервна петля з трьох фаз, що замінює традиційну логіку «виявлення–реагування» на постійне управління ініціативою.
Фаза I – Розвідка (Intelligence)
На цьому етапі захисники проводять «зворотну розвідку». Замість стандартного питання «що робить атакуючий?», фаза розвідки в ODC запитує: «що атакуючому потрібно від нашого середовища?».
- Аналіз залежностей: Захисники складають карту того, від чого залежить успіх ворога (модель PETIO): стабільні облікові дані (Люди), неоновлене ПЗ (Експлойти), передбачувані конфігурації (Інструменти), постійні мережеві маршрути (Інфраструктура) та графіки роботи (Організація).
- Результат: Мапа вразливостей атакуючого всередині мережі захисника.
Фаза II – Індуковане тертя (Induced Friction)
Після розуміння залежностей ворога, захисники починають свідомо змінювати середовище, щоб порушити ці залежності. Це створює так зване «тертя».
- Механізми впливу: Це можуть бути як реальні адміністративні дії (раптова зміна паролів, позапланова сегментація мережі, термінові оновлення ПЗ), так і сфабриковані події (імітація зовнішнього аудиту або присутності іншої хакерської групи).
- Мета: Змусити атакуючого адаптуватися. Кожна така зміна змушує ворога витрачати ресурси, час і робити помилки, які легше помітити.
Фаза III – Очікування (Anticipation)
Захисники уважно спостерігають за тим, як атакуючий реагує на створене тертя.
- Викриття ворога: Коли хакери намагаються відновити втрачений доступ або змінити свої інструменти, вони часто викривають свої раніше приховані точки входу, методи та інфраструктуру.
- Замикання циклу: Нова інформація про методи адаптації ворога передається назад у першу фазу (Розвідка), роблячи наступний цикл ще точнішим і ефективнішим.
Ефективність концепції
Основна ідея полягає у використанні переваги «власного поля». Захисники мають повний контроль над своєю інфраструктурою і можуть змінювати її конфігурацію швидше, ніж атакуючий встигає до неї адаптуватися. З кожним обертом циклу економіка хакерської кампанії погіршується: вартість кожної наступної спроби закріпитися в мережі зростає, тоді як ефективність дій захисту підвищується завдяки накопиченому досвіду. Таким чином, перебування ворога в системі стає економічно та операційно нерентабельним.
Джерело