Трудно переоценить значение стратегии и тактики в мире информационной безопасности. Атакующий выбирает момент, место и способ воздействия. Современные Red Team операции, имитирующие действия реальных нападающих, аналогично строятся не на хаотичных попытках прорыва, а на системном применении проверенных принципов, во многом восходящих к древним учениям о войне и манипуляции. Тактики позволяют не просто найти уязвимости, но и использовать их максимально эффективно. Стратегия же определяет, какие цели выбирать, в какой последовательности их атаковать и как маскировать истинные намерения под прикрытием легитимных действий.

Сочетание стратегического мышления и тактической гибкости делает Red Team не просто техническим инструментом тестирования безопасности, а полноценным симулятором реальных APT-угроз. В этом смысле каждая операция становится полем для применения древних стратагем, адаптированных под цифровую эпоху.

Трактат о 36 стратагемах условно делится на шесть блоков: стратагемы победоносных сражений, стратагемы сражений при равновесии сил, стратагемы наступательных сражений, стратагемы сражений с несколькими участниками, стратагемы сражений совместно с третьей стороной и стратагемы проигрышных сражений. В данной части статьи речь пойдёт о стратагемах победоносных сражений и стратагемах сражений при равновесии сил.

Законы Природы применимы для любой предметной области, в том числе и для информационной безопасности. На протяжении длительного времени можно наблюдать эволюцию и совершенствование технологий и инструментов защиты, а также техник, тактик и процедур злоумышленников. В ответ на брошенный киберпреступниками вызов развиваются приемы обороны и отражения атак. Мы наблюдаем непрекращающееся противостояние и взаимное развитие сторон.

Описанный процесс точно повторяет законы биологической эволюции, сформулированные в теории Дарвина: внешняя угроза выводит систему из гомеостаза, заставляя адаптироваться к изменяющимся условиям окружающей среды. Присутствие злоумышленника (хищника, внешней угрозы) задаёт необходимое напряжение для роста и совершенствования системы (появления релевантной мутации). Отказ от изменений в рамках борьбы за существование и естественного отбора приводит к гибели популяции, и на ландшафте остаются только самые приспособленные особи.

Адаптация

Успешная адаптация возможна при условии своевременного получения исчерпывающей информации об изменениях в окружающей среде, а также при наличии возможностей для быстрой трансформации в соответствии с внешней картиной.

В 2014 году вице-президент Gartner Нил Макдональд описал идею адаптивной архитектуры безопасности (Adaptive Security Architecture, ASA), в основе которой лежит концепция скорейшей «акклиматизации» к новым видам атак с помощью циклического повторения четырёх этапов – Prevent, Detect, Respond и Predict.

Генерация контента с помощью искусственных нейронных сетей (ИНС) с каждым днём становится всё более привычным явлением: с помощью ИНС создают графику для видеоигр, пишут книги и дипломные работы, синтезируют звук и поддерживают диалоги в чат-ботах. Существенный вклад в популяризацию задачи и идеи генерации материалов, несомненно, внёс ChatGPT от OpenAI. Среди не менее успешных отечественных аналогов можно выделить Балабобу от Яндекса на основе нейросетей семейства YaLM и модель ruGPT-3 XL от Sber (работа сети основана на Generative Pretrained Transformer 3 от OpenAI).

В области информационной безопасности (ИБ) синтезирование материалов представляется также крайне привлекательным: нейросетевые модели генерируют сигнатурные базы и вредоносный код, создают DeepFake и фишинговые письма, пишут полезную нагрузку для эксплойтов и sql-инъекций.

Одним из перспективных направлений применения ИНС в ИБ можно выделить написание сценария атаки для Red Team. Процесс подготовки сценария нападения для «красной» команды во многом напоминает создание киносценария или придумывание сюжета детектива. Например, чем сценарий «Бумажного дома» или детективные истории об Арсене Люпене – не описания атак для Red Team? Их также можно разложить на этапы в соответствии с моделью Kill Chain, выделить уязвимости, позволившие реализовать атаку, описать техники, тактики и процедуры, применяемые главными героями.