„Sztuka Wojny” autorstwa Sun Tzu była jednym z pierwszych opracowań strategii prowadzenia wojny. Chiński generał w VI wieku p.n.e. opisał w niej konkretne działania, prowadzące nie tylko do zwyciężania w poszczególnych bitwach, ale i wygrywania całych wojen. Sztuka wojny według generała Sun Tzu to sztuka strategicznego planowania i analizy. Mimo, że publikacja powstała 2500 lat temu, może również inspirować w działaniach związanych z Cyber Threat Intelligence (CTI). CTI jest procesem zarządzania informacją o zagrożeniach cybernetycznych i stanowi ważny element reagowania na incydenty cyberbezpieczeństwa. CTI wymaga umiejętności przewidywania i analizowania zagrożeń, jest swojego rodzaju wojną o cyberbezpieczeństwo organizacji. Sztuka wojny dostarcza recepty na zwycięstwo, również w teatrze działań wojennych w cyberprzestrzeni. Państwo, dla którego walczył generał Sun Tzu, jest w tym przypadku firmą, która gromadzi i analizuje informacje o cyberzagrożeniach. Sun Tzu stworzył zbiór 13 uniwersalnych zasad sztuki wojennej, które spróbuję odnieść do działań w obszarze CTI.
Rozpoznanie
Cyberataki stały się powszechne i nie wymagają już dziś specjalistycznej wiedzy. Hackera można w łatwy sposób wynająć, dostępne są usługi HaaS (Hacking as a Service), a w sieci znajduje się wiele gotowych narzędzi do przeprowadzania cyberataków. Przeciwnikiem firmy w walce o jej bezpieczeństwo cyfrowe często jest więc najemnik, który może atakować z dowolnego miejsca na świecie i być finansowany przez obce służby lub konkurencyjne organizacje. Naszym przeciwnikiem może być również nasz pracownik, który z różnych względów chce wykraść firmowe dane. Sun Tzu w pierwszym rozdziale „Sztuki Wojny” wzywa do utworzenia planu działań, które będą swojego rodzaju analizą i mapą konkretnych zadań. Realizując rozpoznanie warto przyjrzeć się standardom i dobrym praktykom sektorowym. Przygotować strategię cyberbezpieczeństwa, zdefiniować cele i konkretne działania. W ramach rozpoznania zapewnić naszym zespołom Red, Blue czy Purple Team umocowanie prawne do działania. Sprawić, by w myśl obowiązujących regulacji i polityk nie zostali uznani za naszych wrogów. Gdy organizacja jest gotowa do walki, powinna udawać rozbitego, jeżeli posiada silny system cyberbezpieczeństwa, powinna udawać słabość tego systemu, kontrolowanie wystawiać go na atak.
Rozpoczęcie wojny
Wygrywanie bitew nie oznacza wygrywania wojny. Sukcesem jest takie zwycięstwo, które jest zyskowne. Kluczowe jest wygrywać szybko i jak najmniejszym kosztem. Według generała Sun Tzu należy wystrzegać się kosztownych zwycięstw pochłaniających zbyt dużo czasu i budżetu. Celem CTI powinno być więc wykorzystanie informacji w jak najszybszy sposób przy możliwie najniższym koszcie. Sun Tzu w przeciwniku dostrzegał partnera w prowadzeniu wojny. Podobnie w CTI atakujący mogą być naszymi partnerami. Niektóre organizacje ogłaszają konkursy na znalezienie podatności w ich systemach. Często takie rozwiązanie jest optymalniejsze kosztowo i czasowo, niż szukanie podatności własnymi zasobami.
Planowanie ataku
Generał Sun Tzu pisał o jedności i koncentracji organizacji. CTI powinno angażować nie tylko piony cyberbezpieczeństwa. Skuteczna organizacja to taka, w której zespoły cyberbezpieczeństwa, informatyki i biznesu grają w jednej drużynie. Specjalizacja zawodników zwiększa przewagę drużyny, a skoncentrowane wysiłki przynoszą sukces. Najlepszą taktyką jest atak, gdy wróg dopiero planuje wojnę. Procesy CTI pozwalają poznać atakującego, dowiedzieć się, jakie podatności, techniki i wektory ataku wykorzystuje. Pozyskana wiedza może pomóc w określeniu potencjału operacyjnego do obrony. Zwycięstwo przychodzi razem z wiedzą pozyskaną w ramach CTI.
Zajmowanie pozycji
Sun Tzu podkreślał znaczenie uczenia się z historii zwycięskich bitew. CTI dostarcza informacje o przeprowadzonych wcześniej atakach. Co więcej, dostarcza instrukcje, jak krok po kroku sobie z nimi radzić. Analiza tych danych pozwala stworzyć praktyczne scenariusze na pokonanie cyberatakującego. Zwycięstwo przypada temu, kto wygrywa z łatwością. Wykorzystanie doświadczeń sektorowych i przetestowanych wcześniej gotowych scenariuszy zapobiegających atakom, oszczędza zasoby w walce i prowadzi do łatwych zwycięstw. CTI pozwala na poznanie taktyk i technik atakującego, co przekłada się skuteczną obronę aktualnej pozycji.
Nabieranie impetu
Nowatorskie podejście do dobrych praktyk i standardów tworzy impet w działaniu. Impet według generała daje organizacji siłę, zaś wybór właściwego czasu pozwala w odpowiednim momencie tę siłę uwolnić. Znając przeciwnika można kontrolować czas cyberataków. Jeżeli możemy przypisać ataki do zorganizowanych grup (APT), możemy określić kraj pochodzenia ataków i strefę czasową działań. Atakujący, przełamując zabezpieczenia i dostając się do naszych systemów, obserwują nasze środowisko średnio przez okres 120 dni. Jeżeli wykryjemy atak na wczesnym etapie, możemy sprawić, że ruchy przeciwnika dadzą nam przewagę. Co więcej, możemy poinformować resortowe CSIRT i ochronić inne podmioty przed tym samym wektorem ataku.
Słabość i siła
Przewidywanie wydarzeń i ruchów cyberprzestępców, ciągłe doskonalenie procedur, instrukcji i playbook’ów SOC, buduje gotowość organizacji do wygrywania wojen jeszcze przed ich rozpoczęciem. Przybywanie na puste pole bitwy, przed cyberatakującym, daje nam przewagę. Macierze MITRE ATT&CK stanowiące zbiór taktyk, technik oraz procedur stosowanych przez różnego rodzaju podmioty atakujące w świecie cyfrowym, może skutecznie wykorzystywać słabości przeciwnika i budować siłę naszej organizacji w bitwie. Pozyskane dane dostarczają wiedzy potrzebnej do projektowania działań. Efektywne CTI nie może być tylko danymi o alertach, musi przekładać się na działania operacyjne.
Konflikt zbrojny
Sun Tzu ostrzegał przed bezpośrednią konfrontacją z wrogiem. Zachęcał do poszukiwania przewagi i stawania do zbrojnego konfliktu tylko po jej uzyskaniu. CTI pozwala na budowaniu przewagi opartej na wiedzy. Poznanie technik i taktyk stosowanych przez cyberatakującego budują przewagi konkurencyjne naszej organizacji. Dobra komunikacja jest warunkiem odniesienia zwycięstwa w bitwach. Nie chodzi tutaj tylko o komunikację wewnątrz organizacji. Ważna jest także komunikacja pomiędzy firmami w ramach danego sektora oraz z producentami i dostawcami rozwiązań z cyberbezpieczeństwa. Budowanie sojuszy, dzielenie się doświadczeniem i wiedzą skutecznie prowadzi do wygrywania bitew. Jeżeli ktoś poznał wektory ataków danej grupy przestępczej, warto to wykorzystać. Tylko działając razem można stworzyć bezpieczny ekosystem. Techniki i taktyki poznane przez naszych sojuszników w ich własnych bitwach skutecznie pomogą wygrać nasze batalie.
Dostosowywanie
Strategie i plany działania powinny bezustannie być dostosowywane do zmieniających się uwarunkowań, powinny być dynamiczne. Generał wskazywał, że na sytuacje konfliktowe trzeba reagować elastycznie i być gotowym na zmianę scenariuszy. Przywódca powinien być kreatywny i nieustannie dostosowywać swoje metody zarządzania do zmieniających się warunków. W procesach CTI warto wykorzystywać wiele źródeł informacji. Kluczem sukcesu jest dostosowanie ich do naszej specyfiki, ciągły monitoring i gotowość do zmiany realizowanych planów. Jeżeli posiadamy wiedzę o podatności naszego systemu, zadbajmy o jak najszybsze jej usunięcie lub minimalizację zagrożeń z nią związanych. Pozyskaną wiedzę z CTI wykorzystujmy w dostosowywaniu naszego systemu zarządzania incydentami. Wiedząc o podatnościach nie liczmy, że przeciwnik o nich nie wie i ich nie wykorzysta.
Zbrojny marsz
CTI przygotowuje organizację na zbrojny marsz, jakim jest wystąpienie incydentu cyberbezpieczeństwa. Właściwe interpretowanie sygnałów poprzedzających wystąpienie incydentu, odpowiednia kategoryzacja i priorytetyzacja w odniesieniu do zachowania poufności, integralności i dostępności systemu prowadzi do wygrania wojny. Wykorzystanie wiedzy pozyskanej z CTI, odpowiednie modelowanie procesów i procedur zasilanych tą wiedzą, rozpoznanie technik i taktyk ataku przybliża nas do wygrania batalii w zbrojnym marszu naszej organizacji. Zdobyta wiedza CTI sprawia, że potencjalny incydent nie jest zaskoczeniem, a raczej przewidywalnym zdarzeniem, nad którym organizacja posiada kontrolę.
Ukształtowanie terenu
Generał Sun Tzu dokonał analizy czynników, które trzeba wziąć pod uwagę podczas przemieszczania armii z jednej pozycji na drugą. Jest to swojego rodzaju analiza ryzyka, która daje nam obraz naszej organizacji i wpływa na zajmowane przez nas pozycje. Zarządzanie ryzykiem powinno być procesem ciągłym, stale rozwijającym się i ciągle doskonalonym, zmierzającym do minimalizacji wystąpienia tego ryzyka. W celu zapobiegania i minimalizacji ryzyka powinno stosować się techniczne, organizacyjne i operacyjne mechanizmy zabezpieczające. Analiza ryzyka wskazuje, z których pozycji możemy atakować, a które lepiej transferować na firmy trzecie. Analiza może również wskazać, że atak z pewnych pozycji może być nieopłacalny i lepiej zabezpieczyć te obszary polisą ubezpieczenia.
Rodzaje terenu
Analiza ukształtowania terenu definiuje nam rodzaje terenu, które możemy zastać w czasie walki. W naszym przypadku jest to swojego rodzaju analiza wpływu na procesy biznesowe (BIA), która identyfikuje krytyczne procesy i zasoby niezbędne do realizacji procesów biznesowych. Sun Tzu zdefiniował dziewięć różnych sytuacji, które może napotkać armia wchodząca głębiej na teren przeciwnika. W ramach analizy BIA określane są kluczowe wskaźniki dotyczące docelowego czasu odtworzenia procesu i zasobów, która dalej prowadzi do tworzenia planów ciągłości działania (BCP) i planu awaryjnego (DRP).
Atak ogniowy
Sun Tzu podkreślał, że sam atak jest mniej ważny niż reakcja. Kontrolowanie reakcji emocjonalnych, przygotowanie do działania, gotowe scenariusze działań wydają się kluczowe w odpieraniu ataku ogniowego. Struktura organizacji powinna być gotowa na cyberatak, powinna posiadać zdefiniowaną strukturę komunikacji przewidzianą na sytuację kryzysową. Jeżeli atak jest na tyle dotkliwy, że wymaga uruchomienia planów BCP, to zespoły i zasoby powinny być na to gotowe. Odpierając atak należy również pamiętać o dokumentacji dowodowej w ramach kryminalistyki cyfrowej.
Szpiegostwo
Informacja i koszty jej pozyskania to kluczowy element przewijający się przez wszystkie rozdziały „Sztuki Wojny”. Wiedza kosztuje, ale w erze mediów społecznościowych wiedza może być łatwo dostępna, bez wysokich kosztów jej pozyskania. Narzędzia OSINT skutecznie dostarczają informacji o przeciwniku, który sam dzieli się tymi informacjami na portalach społecznościowych. W przeszłości taka wiedza była pozyskiwana przez służby wywiadowcze w ramach działań operacyjnych. Dziś możemy wykorzystać gotowe narzędzia OSINT, które nie tylko dostarczają informacji o przeciwniku, ale również pokazują siatkę powiązań i wzajemne relacje pomiędzy poszczególnymi osobami. Pozyskiwanie informacji to najważniejszy element strategii działań wojennych. Sun Tzu kolejny raz podkreślił, że wysokie koszty wojny można zmniejszyć właściwymi informacjami. CTI jest jednym ze źródeł tych informacji, a idąc na wojnę powinniśmy wykorzystać wszystkie dostępne źródła informacji i utrzymywać ich aktualność w każdej kolejnej bitwie.
Sztuka Wojny stanowi strategię walki, która pozostaje uniwersalna od tysięcy lat. Szybko postępująca transformacja cyfrowa wymaga skutecznych umiejętności przewidywania i analizowania wiedzy zdobytej z CTI. Sukces, podobnie jak tysiące lat temu, staje się udziałem nie najsilniejszych, ale tych, którzy najlepiej rozumieją swoją pozycję i potrafią skutecznie przewidywać możliwości.
