Na otázky, co je vlastně active cyber defense (ACD, aktivní kybernetická obrana) a co je active cyber defense Gray zone (ADGZ, šedá zóna aktivní kybernetické obrany) a jak se dá využívat by vám měl odpovědět tento článek.

Definicí pojmu aktivní kybernetické obrany se v minulosti zabývala například Washingtonská universita, která pojem definovala jako škálu technik (za nás spíše TTP), které je vhodné realizovat za účelem zvýšení odolnosti prostředí při jeho obraně, kdy čelíme současným moderním kybernetickým hrozbám. Důležité je zdůraznit, že při obraně vlastního prostředí v kontextu nových hrozeb, jejich komplexnosti a kritičnosti musíme i my obránci přistupovat ke stále novým TTP, které mohou být na hraně toho co je a co není ještě legální. Předpokladem této realizace je pak spolupráce mezi soukromým a veřejným sektorem (upozorňujeme, že publikace byla vytvořena pro orgány a jednotlivé státy USA), protože každý sektor má jiné možnosti (legislativní) použití nástrojů etc.

Zatímco autorský tým definuje v překladu ADGZ jako “…termín, který zahrnuje spektrum proaktivních opatření v oblasti kybernetické bezpečnosti, která se nacházejí mezi tradiční pasivní obranou a obranou ofenzivní. Tyto činnosti se dělí do dvou obecných kategorií, z nichž první zahrnuje technické interakce mezi obráncem a útočníkem. Druhá kategorie aktivní kybernetické obrany zahrnuje ty operace, které obráncům umožňují shromažďovat zpravodajské informace o aktérech hrozeb a indikátorech na internetu, jakož i další politické nástroje (např. sankce, obvinění, obchodní nápravná opatření), které mohou změnit chování škodlivých aktérů. Termín aktivní obrana není synonymem pro „hacking back“ a tyto dva pojmy by neměly být používány zaměnitelně…” a sleduje svůj cíl, kdy chce zdůraznit nutnost spolupráce mezi veřejným a soukromým sektorem a možnosti využívání jednotlivých TTP ve vzájemné spolupráci, tak my na ADGZ nahlížíme jako na škálu možností, jak se postavit k bezpečnosti vlastního prostředí, jak je využít bez překročení hranice, kterou nám ADGZ naznačuje.

 

Původní definice ADGZ

Zdroj: Into the Gray Zone: Active Defense by the Private Sector against Cyber Threats

  

ADGZ by DCG420 v1.0

Naše definice ADGZ vychází logicky z Washington university. Ale upravili jsme a sjednotili některé TTP s ohledem na jejich využití a přístup.

Jak vnímat ADGZ

Vůbec k pochopení a znázornění šedé zóny je nezbytná znalost klasického cyber killchain, který akce útočníka rozděluje do jednotlivých fází. Z tohoto konceptu je možné poté odvodit v podstatě tři základní fáze útoku, pod nimiž se nacházejí jednotlivé kroky killchainu.

Tyto fáze jsou:

Fáze 1: Externí příprava útočníka: (I. Průzkum, II. Vytvoření malware, III. Rozhodnutí o cíli útoku)

Fáze 2: Narušení: (IV. Doručení, V. Získání opory) 

Fáze 3: Aktivní průnik: (VI. Navázání spojení s C2, VII. Rozšíření a příprava, VIII. Činnosti ke splnění cíle/ů)

 

Tyto fáze jsou důležité především pro pochopení akcí útočníka. Ten nemusí nutně postupovat od jednoho kroku ke druhému, ale může se vracet nebo jednotlivé kroky přeskakovat. S jednotlivými kroky útočníka se snaží vyrovnat současné obrana (defense in depth), bohužel dle statistik se jí to moc nedaří. Proto je nutné tuto defenzivní obranu doplnit o proaktivní a aktivní prvky obrany tak, aby nepřešly do fáze ofenzivní operace. Cílem je tak získat co nejvíce informací o útočníkovi a poté jeho pozornost obrátit k cílům, které jsou v řízeném deceptive prostředí. Tam je možné vyčerpat zdroje útočníka a tím jej od útoku zcela odradit nebo jej kontrolovat.

 

ADGZ by DCG420 v1.0

 

Změny:

• Vznik kategorie Detterence
• Vznik kategorie Intelligence sharing
• Vznik kategorie Red teaming
• Sloučení kategorií Beacons

Zjednodušené označení kategorií s vysokou mírou dopadu (oranžově) – tyto TTP může vykonávat pouze legislativou k tomu určený orgán.