📊 SOC под давлением: почему алерты игнорируют

🚨 Причины шума

Ложные срабатывания в SIEM доходят до 80–90%. Чаще всего это результат копирования «готовых» правил без учёта контекста.

Бессмысленно держать правило brute-force для SSH в облаке, где SSH отключён.

Похожая ситуация с Mimikatz: правило на запуск lsass.exe с ключами sekurlsa сработало 12 раз за неделю. Только одна попытка была подозрительной, остальные вызваны штатным ПО резервного копирования.

🔎 Фильтрация алертов

Поведенческие модели и SOAR помогают отделить шум от угроз:

- baseline нормальной активности снижает количество ложных тревог

- enrichment данными из EDR и Threat Intelligence позволяет быстро понимать контекст

- приоритизация по риску даёт SOC-фильтрам фокус на критичных сценариях

Но даже «легитимные» обновления и CI/CD-трафик могут маскировать атаку, если фильтрация слишком поверхностная.

⚙️ Кастомизация MITRE и OWASP

MITRE ATT\&CK и OWASP дают каркас, но правила без адаптации перегружают SOC:

- исключения для легитимных процессов при credential dumping

- настройка веб-правил, чтобы CI/CD не выглядел как SQLi

- перестройка brute-force-правил под API-ключи в облаке снижает шум на 40–50%

🧩 Готовые или свои правила?

Готовые наборы хороши для старта. Но там, где важен бизнес-контекст, нужны свои правила. Это уменьшает шум и делает реагирование осмысленным, а не механическим.

📌 SOC не тонет в алертах из-за «злых хакеров». Он тонет из-за собственных шаблонов и нежелания тратить время на кастомизацию.

Как то промелькнула, года четыре назад, новость от панорамы

Кому лень читать, то -- Ирина Яровая: доступ в интернет по "белому списку" – это не цензура, а защита детей.

Шутили... с тезисом - щас дошутимся, и вот новость . Белые списки реальность? и уже сегодня.

Частое отключение, пока, только мобильного интернета нас приводит к неким "белым спискам" и как многие полагают - это и будет нашим! интернетом в скором времении... впн ни впн... я, так понимаю - уже не имеет никакого значения, если исходящие запросы будут только на определённые ip.

Кто какие варианты развития событий предполагает? или схавали телегу, ватсап, вайбер, ютьюб... народ и схавает "вот это"? Странно - что под этим нет никакого резонанса, ведь все же понимают - куда всё идёт.

всё? прощай www?

политики тут никакой нет, а жаль

ЧАСТЬ I (НАЧАЛО)

АВТОР: КИР ГИЛЕС

ЦЕНТР ПЕРЕДОВОГО ОПЫТА НАТО ПО СТРАТЕГИЧЕСКИМ КОММУНИКАЦИЯМ

Центр передового опыта НАТО “StratCom”, расположенный в Латвии (!) — это многонациональная межсекторная организация, которая предоставляет всесторонний анализ, консультации и практическую поддержку альянсу и союзным государствам

По месту (стране) расположения данного института становится всё понятно!

Данный доклад должен был быть, но не обязан, включен в... что-то там официальное)

Стоит отметить, что данный доклад вышел в "свет" (!) в 2015 году...

За 18 месяцев, прошедших после захвата Россией Крыма, западное понимание российских методов ведения информационной войны развилось до неузнаваемости. Из удела нескольких изолированных специалистов изучение использования Россией информационного инструмента превратилось в мейнстрим. В ряде превосходных расследований подробно рассматриваются идеологическое обоснование и концептуальные основы российского подхода к информационной войне[1]. Появился значительный объем исследований, подробно описывающих оперативные меры, применяемые Россией[2].

Вызов российской информационной войны — это не статичная ситуация, а развивающийся процесс. Российский подход эволюционирует, развивается, адаптируется и, как и другие российские оперативные подходы, выявляет успехи и закрепляет их, и, наоборот, отказывается от неудачных попыток и идет дальше. В результате не следует ожидать, что Россия будет вести последнюю войну, когда в следующий раз решит использовать компонент информационной войны в новом конфликте. Другими словами, те страны или организации, которые считают, что понимают российскую информационную войну на основе текущих исследований, и готовятся к видимым на данный момент угрозам и возможностям, устарели и будут в очередной раз удивлены тем, что произойдет дальше. Поэтому в данной статье рассматриваются не только некоторые концептуальные основы российского подхода к информационной войне, но и новые разработки, которые до сих пор не получили широкого освещения в открытых источниках, а также их потенциальные последствия для следующей волны информационного противостояния с Россией.

[1] В том числе, в частности, Ульрик Франке в работе “Война невоенными средствами: Понимание российской информационной войны”, отчет FOI FOI-R--4065--SE, март 2015

[2] Вот несколько недавних примеров: Павел Кошкин, «Парадокс кремлевской пропаганды: как она пытается завоевать сердца и умы», Russia Direct, 02апреля 2015 года, http://www.russia-direct.org/analysis/paradox-kremlin-propaganda-how-it-tries-win-hearts-and-minds; Бен Ниммо, «Анатомия информационной войны: Как работает российская пропагандистская машина и как ей противостоять», CEPolicy.org, 15 мая 2015 года, http://www.cepolicy.org/publications/anatomy-info-war-how-russias-propaganda-machine-works-and-how-counter-it; Jolanta Darczewska, “The Devil Is In The Details: Информационная война в свете военной доктрины России”, Точка зрения No 50, Ośrodek Studiów Wschodnich, май 2015.

ПРЕКУРСОРЫ

В настоящее время все большее распространение получает понимание того, что информационная война в российском понимании не должна сопоставляться с более современными западными концепциями информационных операций или информационной деятельности. В глоссарии ключевых терминов информационной безопасности Военной академии Генерального штаба, посвященном «информационной войне», проводится четкое различие между российским определением — всеохватывающим и не ограничивающимся военным временем и западным ограниченными тактическими информационными операциями, проводимыми во время боевых действий[1]. В некоторых западных военных определениях эти операции фактически сводятся к обману, предоставляя военному командиру противника ложную оперативную информацию, на основе которой он может принять решение[2]. Но российский подход гораздо шире, чем просто сеять ложь и отрицание, например, утверждая, что российские войска и техника находятся не там, где они, очевидно, находятся. Вместо этого российские государственные и негосударственные субъекты используют историю, культуру, язык, национализм и многое другое для проведения дезинформационных кампаний с использованием кибернетических средств, преследующих гораздо более широкие цели.

Тем не менее многие аспекты нынешних дебатов о природе информационной войны — и её соотношении с «чистой» кибервойной — уже десятилетиями известны специалистам на Западе[3]. Как сказал более десяти лет назад выдающийся исследователь российского образа мышления Тимоти Л. Томас: «Что действительно отличается [в России], так это концептуальное понимание информационной операции с культурной, идеологической, исторической, научной и философской точек зрения. Различные призмы логики могут предложить совершенно разные выводы о намерениях, целях, смертоносности или посягательстве на суверенитет информационной операции; и эта логика может привести к новым методам атаки целей совершенно нетрадиционными и творческими способами»[4].

Задолго до появления «Исламского государства» борьба с исламским экстремизмом давала объективные уроки того, как подрывная информационная деятельность может использовать современную медиасреду и гиперсвязь Интернета для достижения стратегических целей. По утверждению Усамы бен Ладена, «очевидно, что медиавойна в этом веке является одним из самых сильных методов; фактически её соотношение может достигать 90% от общей подготовки к сражениям»[5]. В частности, в предыдущее десятилетие борьба с исламским экстремизмом в Интернете дала опыт «многоуровневой операции онлайн-СМИ, в которой ряд производственных подразделений... производят контент, соответствующий основному... посланию»[6] — явление, которое теперь в гораздо больших масштабах повторяет Россия. В американском исследовании 2006 года, которое спустя десятилетие кажется архаичным, рассматривался потенциал «мира блогов, блогеров и их взаимосвязей» для проведения информационных операций, но при этом был выдвинут ряд конкретных соображений, которые и сегодня актуальны для российского использования социальных сетей[7]. Совсем недавно уже были опубликованы исследования использования социальных сетей в целях политического влияния, вплоть до смены режима (хотя даже во время «арабской весны» на Западе этому уделял внимание лишь узкий круг специалистов)[8]. Но недавнее признание успехов информационных кампаний как России, так и «Исламского государства» вызвало гораздо более широкий сдвиг в концептуальных рамках информационной угрозы со стороны западных СМИ, руководства и общества. В условиях существенно новой информационной угрозы развивается понимание того, что онлайновая проблема не является только «кибернетической», и что враждебная информация в виде контента, а также кода, несет в себе проблемы и вызовы.

[1] «Словарь терминов и определений в области информационной безопасности», Военная Академия Генерального Штаба, 2-е издание, Москва Военинформ, 2008.

[2] Широкий спектр оговорок, применяемых отдельными странами к доктрине НАТО по информационным операциям, свидетельствует о противоречивом характере этого вопроса. См. публикацию НАТО AJP—3.10, «Объединенная доктрина НАТО по информационным операциям».

[3] Приведём несколько недавних примеров: Павел Кошкин, «Кибервойна 2.0» (см., например, обширную подборку эссе в книге Алана Д. Кэмпена и Дугласа Х. Дирта (ред.) «Кибервойна 2.0: Мифы, тайны и реальность», AFCEA International Press, Fairfax, Virginia 1998. Показателен тот факт, что еще в 1998 году информированные эксперты уже говорили о «кибервойне 2.0».

[4] Тимоти Л. Томас, «Диалектическое и эмпирическое мышление: Десять ключевых элементов российского понимания информационных операций», Journal of Slavic Military Studies, 1998, Vol.11, No.1, с. 40-62.

[5] Усама бен Ладен, цитата из книги Джека Барклая «Подрыв онлайновых продаж «Аль- Каиды» — возможности для стратегических сообщений в Интернете», неопубликованный документ Академии обороны Соединенного Королевства от 2010 года.

[6] Violent Islamist Extremism, The Internet, and the Homegrown Terrorist Threat», Комитет Сената США по национальной безопасности и правительственным делам, 8 мая 2008 г., http://www.hsgac.senate.gov//imo/media/doc/IslamistReport.pdf

[7] Джим Киннибург и Дороти Деннинг, «Блоги и военная информационная стратегия», IOSphere, лето 2006 года, доступно по адресу http://calhoun.nps.edu/bitstream/handle/10945/37156/Blogs-IO....

[8] Например, Скотт Рэйлтон, «Революционный риск — кибертехнологии и угрозы в ливийской революции 2011 года», Военно-морской колледж США, 2013.

ВОЙНА И МИР

Украинский конфликт наглядно демонстрирует, как Россия рассматривает кибернетическую деятельность в качестве подмножества, а иногда и посредника, гораздо более широкой области информационной войны[1]. Фактически, методы, наблюдаемые на Украине и вокруг неё, представляют собой кульминацию эволюционного процесса в российской теории и практике информационной войны, стремящейся возродить устоявшиеся советские методы подрывной деятельности и дестабилизации и обновить их для эпохи Интернета[2]. При всём своём инновационном использовании социальных сетей, современные российские подходы имеют глубокие корни в давней советской практике[3]. Как отмечает Йоланта Дарчевска в подробном обзоре освещения информационной войны в новой Военной доктрине России, «доктринальные предположения об информационной войне демонстрируют не столько изменения в теории её ведения... сколько применение старых методов (саботаж, тактика диверсий, дезинформация, государственный террор, манипуляция, агрессивная пропаганда, использование потенциала протеста среди местного населения)»[4].

Основные принципы российского подхода к информационной безопасности и информационным угрозам были последовательно изложены в декларативной политике России[5], а развитие их реализации можно проследить по множеству официальных российских документов, излагающих подход к информационной безопасности[6]. Публичные военные дискуссии об интеграции и использовании киберпространства для облегчения компрометации каналов принятия решений противника, а также сетей командования и управления, имеют в России предысторию, восходящую к началу 1990-х годов, если не раньше[7]. Но, как и в случае с военной трансформацией России, эта эволюция ускорилась после войны с Грузией в 2008 году, когда ограниченная эффективность в информационной сфере стала одним из многих критических замечаний в адрес российских вооруженных сил. В то время в России было выдвинуто предложение о создании специальных «информационных войск», целью которых было бы: «создание информационного пространства, обеспечивающего учет интересов России в международной действительности»[8]. К началу 2014 года, перед российским наступлением на Крым, стало ясно, что «информационные операции, которые могут включать в себя широкое социально- психологическое манипулирование... комфортно чувствуют себя в русле российской военной мысли»[9].

Одним из наиболее ярких элементов этой эволюции стал российский подход к отношениям между информационной войной и традиционным состоянием войны. Размывание границ между войной и миром и возникновение «серой зоны» неоднократно отмечается в последних российских военных работах о природе войны, включая, в частности, доклад начальника Генерального штаба Валерия Герасимова, широко известный на Западе как «доктрина Герасимова»[10]. Действия в киберпространстве уже были определены как делающие возможными боевые действия вне формальной войны.

Согласно одному из аналитических исследований 2011 года, «разграничительные линии между войной и миром могут быть легко разрушены в киберпространстве. Ущерб (какого бы характера он ни был) может быть нанесен противнику, формально не переступая границы между войной и миром»[11].

Исключительное исследование взглядов россиян на информационные операции и информационную войну (ИВ), проведенное шведским оборонным исследовательским агентством FOI, отметило в прошлом году следующее: «Что касается сетевых и компьютерных операций в ИВ мирного времени, то вирусы и другие вредоносные программы важны для компрометации информационных активов инженерных систем противника. Другим аспектом ИВ является накопление (кража) информации о противнике путем сбора разведданных, а также разработка и испытание собственного оружия ИВ»[12].

Всё это радикальный отход от прежних российских взглядов на статус информационной войны. В середине 1990-х годов ведущие эксперты Тимоти Л. Томас и Лестер Грау писали, что:

«...с военной точки зрения ведение информационной войны против России или её вооруженных сил категорически не будет рассматриваться как невоенная фаза конфликта, независимо от того, будут ли в ней жертвы или нет... учитывая возможность катастрофического применения противником средств информационной войны, как по экономическим или государственным системам управления, так и по боевому потенциалу вооруженных сил... Россия сохраняет за собой право применить ядерное оружие сначала против средств и сил информационной войны, а затем и против самого государства-агрессора»[13].

Это и аналогичные нововведения в российском информационном военном мышлении[14] заложили основу для творческого подхода к достижению информационного господства, который был продемонстрирован в Крыму — об этом мы расскажем ниже.

[1] Анализ того, как это реализуется, см. в главах книги Кеннета Гирса (ред.) «Кибервойна в перспективе: Российская агрессия против Украины», NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), декабрь 2015 года.

[2] Более подробно рассматривается в статье Кейра Джайлса «Инструментарий России», глава в книге «Российский вызов», Chatham House, Лондон, июнь 2015 года.

[3] Клифф Кинкейд, «Как Путин использует «активные меры» в стиле КГБ», Accuracy in Media, 9 апреля 2014 года, http://www.aim.org/aim-column/how-putin-uses-kgb-style-active-measures/

[4] Йоланта Дарчевска, «Дьявол кроется в деталях: Информационная война в свете военной доктрины России», OSW Point of View No. 50, май 2015 года.

[5] Например, «Основные направления государственной политики Российской Федерации в области обеспечения международной информационной безопасности на период до 2020 года», утвержденные Президентом Российской Федерации 24 июля 2013 года.

[6] Кейр Джайлс, «Публичная позиция России по вопросам киберпространства», в C. Czosseck, R. Ottis, K. Ziolkowski (Eds.), 2012 4th International Conference on Cyber Conflict, Tallinn, June 2012, pp. 63-75

[7] См. В.М. Лисовой, «О законах развития военного борьбы и неотложных тенденциях в области образования», журнал «Военная Мысль», Выпуск 5, 1993.

[8] «Россия недооценивает информационные ресурсы и проигрывает Западу», статья без авторства, Новый регион, 29 октября 2008 года.

[9] Стивен Бланк, «Признаки нового российского мышления о вооруженных силах и войне», Eurasia Daily Monitor, 12 февраля 2014 года.

[10] Валерий Герасимов, «Ценность науки в предвидении», журнал «Военно-промышленный курьер», No 8 (476), 27 февраля 2013 года.

[11] Павел Антонович, «Кибервойны: Природа и содержание», Военная мысль, 2011, No 3, том 20, с. 35-43.

[12] Стефан Бланк, «Признаки нового российского мышления о вооруженных силах и войне», Eurasia Daily Monitor, 12 февраля 2014 года.

[13] Павел Антонович, «Кибервойны: Природа и содержание», Военная мысль, 2011, No 3, том 20, с. 35-43.

[14] Исследование, проведенное накануне украинского конфликта Тимом Томасом в статье «Стратегия информационной войны России: Сможет ли страна справиться с будущими конфликтами?», Журнал славянских военных исследований, 10 марта 2014 года, с. 101-130.

РОССИЙСКИЕ ЦЕЛИ

Для того чтобы понять весь спектр возможностей, доступных специалистам по планированию в Москве, необходимо усвоить ключевой принцип российского подхода к информационным операциям: важна сама информация, которая является объектом операций, независимо от канала, по которому эта информация передается. Цель состоит в том, чтобы контролировать информацию в любой её форме. В этом контексте, в частности, киберпространство — это лишь техническое представление информации, стоящее в одном ряду с другими её носителями, такими как печатные издания, индивидуальное или массовое сознание и многое другое. Этот принцип необходимо постоянно иметь в виду при рассмотрении российских целей по добыче, эксфильтрации, манипулированию, искажению, вбросу информации или просто изоляции цели от других источников информации, кроме российских. Каналы для этого могут быть самыми разнообразными: фальшивые или настоящие новостные СМИ для вброса дезинформации; кампании троллей; официальные заявления правительства; выступления на митингах или демонстрациях; порочащие видео на YouTube; прямые сообщения по SMS или даже просто подойти к кому-то на улице и сказать ему что-то. Недавняя российская предвыборная кампания даёт примеры всего вышеперечисленного.

Отсюда следует, что необходимо уметь вписывать, казалось бы, отдельные инциденты и тенденции в общие рамки российской информационной доктрины: иными словами, пытаться увидеть общую картину так, как её видят из Москвы, а не из Вашингтона или Брюсселя.

Одним из ключевых элементов этого является объективная оценка того, преуспевают ли российские информационные кампании в том виде, в котором они развернуты в настоящее время, в достижении своих целей или терпят неудачу. Западные взгляды на этот конкретный вопрос часто делают акцент на противодействии российской дезинформации «правде». Отчасти такой подход основан на широко распространённом предположении, что российская дезинформация терпит неудачу из-за отсутствия правдоподобия[1]: мол, российские измышления и опровержения неэффективны, потому что они настолько очевидны, что не смущают высокопоставленных или умных людей на Западе. Действительно, по этим стандартам значительная часть российской дезинформации выглядит неуклюжей, контрпродуктивной, очевидной и легко развенчиваемой[2].

Однако чрезмерное внимание к легко обнаруживаемой дезинформации не только упускает из виду многие другие аспекты одновременной российской кампании, но и не учитывает тот факт, что убедительность не всегда является критерием успеха российских кампаний информационной войны. В отличие от советских времен, дезинформация из Москвы в первую очередь не продает Россию как идею или российскую модель как модель для подражания. Более того, зачастую она даже не стремится к тому, чтобы ей поверили. Вместо этого её цель — подорвать представление о том, что объективная правда и отчетность вообще возможны. В некоторых отношениях это напоминает советские кампании, которые не имели прямой цели, кроме дестабилизации и ослабления целевого общества[3]. Но новая уязвимость, которой может воспользоваться нынешняя российская кампания, заключается, по словам ветерана российской науки Леона Арона, в «ослабленном моральном иммунитете западных обществ к пропаганде» и «слабости доверия к источникам знаний»[4].

Эксперт по СМИ и информационным войнам Бен О'Лафлин объясняет:

«Дело не только в том, что российская модель «гибридной войны» может дестабилизировать чувство уверенности аудитории в том, что происходит в мировых делах. Дело в том, что такая стратегия подрывает сами основы информации и доверия, на которые должны опираться информированные дебаты»[5].

Заявления официальных лиц западных стран о том, что использование Интернета для поиска информации об украинском конфликте априори даст ложные результаты — один из показателей эффективности такого подхода[6].

В этих рамках эрозии «правды» упругая нацеленность России на разные аудитории с различными неправдоподобными и взаимно противоречащими нарративами преследует и другие цели, кроме как заставить поверить[7]. Среди многих примеров можно привести нелепые теории заговора, продвигаемые Россией вокруг сбитого рейса MH17 авиакомпании “Malaysia Airlines”. Спустя год после этого события российские СМИ опубликовали запись, на которой запечатлены люди, очевидно, сговорившиеся о закладке бомбы на борт самолета. Этих людей назвали оперативниками ЦРУ, несмотря на то что их плохое знание английского языка сразу же вызвало смех[8]. И информированные слушатели действительно смеялись и высмеивали эту попытку, в том числе и в России[9]. Но дезинформация, которая была заложена, живёт бесконечно долго благодаря Интернету, и её можно поднимать и воспроизводить бесконечно. Как и многие другие аспекты российской предвыборной кампании, это достигает нескольких целей.

Во-первых, он использует очевидную асимметрию. Создать и распространить ложь чрезвычайно просто, особенно если использовать возможности Интернета. Противодействие этой информации в том виде, в котором сейчас предлагается многими западными ответными мерами — прямое опровержение дезинформации и повторение правды, — требует времени и труда в совершенно ином масштабе. Это связано как с отслеживанием враждебной дезинформации и установлением степени её неправдивости, так и с попытками распространить сообщение среди той же аудитории.

Кроме того, это предполагает наличие ведомственной оперативной базы. Существует множество примеров из советских времен того, как устойчивые нарративы могут настолько укорениться, что заставляют западных собеседников сомневаться в себе. Один из конкретных примеров касается отношения советских СМИ к Катынской резне в 1940 году[10].

[1] Так, например, по словам профессора Лоуренса Фридмана, «усилия по обману были в общем и целом неэффективны, поскольку роль России становилась все более прозрачной». Лоуренс Фридман, «Украина и искусство ограниченной войны», Survival: Global Politics and Strategy, 56:6, 7-38 (2014).

[2] Марк Галеотти, «Запад слишком параноидален в отношении информационной войны России», The Guardian, 7 июля 2015 года.

[3] См., например, описание деятельности Службы «А» Первого главного управления КГБ в книге Кристофера Эндрю «Щит и меч: Архив Митрохина и секретная история КГБ», Лондон: Basic Books, 1999. Также «Советская деятельность по оказанию влияния: «Отчет об активных мерах и пропаганде, 1986-87 гг.», Государственный департамент США, август 1987 года.

[4] Доклад на конференции Леннарта Мери, Таллинн, 24 апреля 2015 года.

[5] Бен О'Лафлин, «Постоянная кампания», Media, War & Conflict 2015, Vol. 8(2) pp. 169-171.

[6] «Допустим, школьнику задали написать небольшое сочинение об украинском кризисе. Этот подросток поступает, как все в наше время, и начинает с Google, ища информацию с помощью поисковой системы. Поэтому большая часть того, что он получает, не имеет ничего общего с правдой». Директор по правительственной связи Финляндии Маркку Мантила, цитируется по статье “Suomi vastaa informaatiosotaan - kouluttaa sata virkamiestä tunnistustoimiin”, Yle news, 15 октября 2015 года, http://yle.fi/uutiset/suomi_vastaa_informaatiosotaan__kouluttaa_sata_virkamiesta_tunnistustoimiin/8385264.

[7] Симас Челутка, «Россия бросает вызов западному разуму», Kyiv Post, 24 августа 2015 года, https://archive.kyivpost.com/article/opinion/op-ed/simas-celutka-russias-challenge-to-the-western-mind-396407.html

[8] «Крушение «Боинга». Записи разговоров двух агентов ЦРУ [Эксклюзив]», Комсомольская Правда на YouTube, 11 августа 2015 года, https://www.youtube.com/watch?v=4BhJifVhqFU

[9] Ознакомьтесь с широким спектром язвительных комментариев, добавленных к приведенному выше видеоролику зрителями в России.

[10] Значительное количество первоисточников, касающихся массового убийства польских войск советскими спецслужбами в 1940 году, доступно в разделе «Документы, касающиеся резни в Катынском лесу, в Национальном архиве», Национальный архив США, без даты: https://www.archives.gov/research/foreign-policy/katyn-massacre/

ПРОДОЛЖЕНИЕ СЛЕДУЕТ