Киберсвет, шум и мусор
Цифровой мир не всегда работает так же, как физический. Иногда бывает сложно распознавать и постоянно искать киберэквиваленты света, шума и мусора. Поскольку у защитников не хватает времени, ресурсов и возможностей для постоянного мониторинга и охоты в отслеживаемых системах, оставляемые противником свет, шум и/или следы часто не документируются. В результате злоумышленникам может быть легче осуществить киберпроникновение, чем физическое проникновение.
Многие инструменты и фреймворки для сканирования и эксплуатации, такие как Nmap [28], поддерживают «медленные» режимы, отслеживающие размеры пакетов или полезной нагрузки, частоту отправки пакетов и использование полосы пропускания в целевой сети. Злоумышленники разработали очень маленькие вредоносные файлы (например, China Chopper весит менее 4 Кбайт [35]), размер которых заставляет ошибочно думать, что маленький файл не причинит вреда. Вредоносное ПО может быть настроено так, чтобы минимизировать количество генерируемого шума, пореже отправлять сообщения управления и контроля (C2), сводить к минимуму шум в журналах процессов или памяти, целенаправленно переходить в спящий режим или подолгу бездействовать. Чтобы не оставлять цифрового мусора, который может выявить присутствие чужого, некоторые вредоносные программы не сбрасывают файлы на диск. Злоумышленники и вредоносные программы в соседней сетевой инфраструктуре могут использовать пассивный сбор информации, что сделает работу в целевой среде медленной, но плодотворной. Примечательно, что многие из этих угроз тоже иногда оставляют после себя свет, шум или мусор и осознанно идут на этот риск.
Разумно предположить, что у продвинутых хакеров есть процедуры для контроля оставляемого света, шума и мусора, такие как:
использование не более 100 Мбайт трафика в день;
маскировка вредоносных артефактов, файлов и строк, чтобы они не указывали на присутствие хакера или вредоносного ПО;
отключение звука журналов, предупреждений, «растяжек» и других датчиков для обеспечения безопасности и секретности.
Можно подумать, что большинство современных устройств и систем безопасности должны срабатывать в ответ на точную сигнатуру известной угрозы, например конкретный IP-адрес, журнал событий или байтовый паттерн. Даже специализированному программному обеспечению вроде Wireshark [49], которое показывает аналитики активности угроз в режиме реального времени, требуются значительные усилия для сбора, обработки и изучения подобной информации. Этот процесс похож на то, как мы прислушиваемся к шагам. Поскольку люди не могут воспринимать цифровую сферу так же чутко, как физическую среду, меры безопасности в основном сводятся к тому, что мы усиливаем органы чувств программ и ждем, пока они что-то ощутят.
