Петля Бойда и кибербезопасность

Петля Бойда и кибербезопасность
Если вернуться к заметке про неспособность цикла PDCA эффективно отражать мир информационной безопасности, то возникает закономерный вопрос, а что тогда делать? Есть ли какая-либо концепция, которая может помочь описать реальность, но не слишком глубоко; учесть изменчивость окружающего мира и конкурентную среду, в которой действую современные кибербезопасники? На самом деле есть, но перед ее описанием необходимо вспомнить три классические научные теоремы:

  • Теорема Геделя о неполноте. Любая логическая модель реальности не полна и возможно несостоятельна, а следовательно должна непрерывно улучшаться и адаптироваться с учетом новых наблюдений.
  • Принцип неопределенности Гейзенберга. Существует предел нашей способности наблюдать реальность с определенной точностью. Любые малые ошибки наблюдений, включенные в вычисления, могут привести к увеличению объема неточностей со временем.
  • Второй закон термодинамики. Энтропия (хаос) любой замкнутой системы всегда стремится к увеличению. Следовательно, природа любой заданной системы непрерывно изменяется, даже если принимать меры по сохранению ее в исходном состоянии. Более того, принимаемые нами действия повлиять на любую систему будут иметь непреднамеренный сторонний эффект, который может в действительности привести к увеличению скорости изменения энтропии системы (и, следовательно, к хаосу).

Именно эти три теории привели американского полковника авиации Джона Бойда к формулировании его концепции петли OODA (Observe - Orient - Decide - Act или Наблюдай - Ориентируйся - Решай - Действуй),  легшей в основу современной военной доктрины США (и не только) и используемой во многих иных сферах - торговли, бизнеса, спорта и т.п. Идея Бойда заключалась в том, что для того, чтобы военные операции (как и кибероперации) соответствовали реальности необходимо действовать в непрерывном цикле, постоянно взаимодействуя с окружающей средой и учитывая ее постоянные изменения. При этом преимущество в скорости своего цикла (очевидно, что противники будут действовать в рамках своих аналогичных циклов) действий и точности оценок обеспечивает  преимущество над противоборствующей стороной и ведет в конечном итоге к победе.


Цикл Бойда, изначально применявшийся в военных операциях, очень хорошо применим и к информационной безопасности. Более того, отличительной чертой цикла Бойда (на русском его еще часто называют “циклом или петлей НОРД”) от других циклических моделей, применяемых в ИБ, состоит в том, что наличие противника предполагается всегда и противник также действует и принимает решения в рамках своей аналогичной петли. Учитывая, что современная киберпреступность (не говоря уже о кибервойсках) мало чем отличается по своим возможностям от корпоративных служб ИБ (а часто и превосходит их), то применение цикла Бойда в кибербезопасности вполне правданно и обосновано.

Попробуем чуть более детально рассмотреть элементы петли Бойда.

  • Наблюдение (observation). Это процесс сбора информации, необходимой для принятия решения в данном конкретном случае. Информацию об угрозах, хакерах, инсайдерах, конкурентах и иных противоборствующих сторонах можно собирать из внешних и внутренних источников. От качества и скорости сбора этой информации зависит эффективность принимаемых нами решений. Иностранные компании, знакомые с концепцией Бойда, активно ее используют, преподнося свои решения по Threat Intelligence как очень важную, первую часть цикла OODA, на которой строится все остальное.
  • Ориентация (orientation). Это самый важный этап петли Бойда, который в свою очередь разделяется на два подэтапа - разрешение (destruction) и созидание (creation). Разрушение подразумевает декомпозицию ситуации на более мелкие части, для каждой из которых существует свой сценарий или план действий. В области ИБ это могут быть различные руководства и инструкции или, как это сейчас модно стало называть, playbook. Например, у служб реагирования на инциденты или у операторов SOC такие playbook насчитывают до нескольких десятков различных ситуаций (инцидентов) с описанием конкретных шагов по их разрешению. На этапе созидания все эти небольшие планы объединяются в общий план действий, который и позволяет с успехом выйти из сложившейся ситуации. Разумеется, успех этого этапа зависит от того, насколько много у нас уже сформированных планов. Если их нет, то мы будем терять время в попытке разработать их во время конфликта или инцидента, что в итоге приведет к проигрышу.
  • Решение (decision). На данном этапе мы принимаем решение о реализации плана, сформированного на предыдущем этапе (если план один), или выбираем из альтернатив лучшую по критерию, например, эффективность-стоимость или скорость-стоимость или скорость-надежность. Очевидно, что в области ИБ у нас скорее всего будут множественные альтернативы, из которых нам надо будет принять лучшую в конкретной ситуации.
  • Действие (act). На финальном этапе мы просто реализуем выбранный план действий.


Если внимательно проанализировать идеи Бойда, то становится очевидно, что существуют всего два основных способа достижения победы в борьбе с киберпреступниками и иными нарушителями - очевидный и не очень. Очевидный - это сделать свои циклы действий более быстрыми или улучшить качество принимаемых решений. Первый вариант позволит вам действовать на опрежение и вынудит именно вашего противника реагировать на ваши действия, а не наоборот, как часто происходит в ИБ. Например, вы можете регулярно перестраивать систему защиты, проводить постоянно учения “красно-синих”, менять настройки средств защиты, менять адресацию, менять банеры у сетевых и прикладных сервисов и т.п. Второй и менее очевидный путь позволят вам принимать решения, лучше соответствующие текущей ситуации, чем решения вашего визави. Хорошо просчитанные решения могут привести к более предпочтительным результатам, нежели быстрые, но неадекватные действия противника. Это можно сделать либо улучшая свои решения (например, путем проведения киберучений в своей компании или внедряя систему автоматизации рутинных действий или систему корреляции событий безопасности), либо ухудшая решения противника (например, внедряя в компании принцип “security through obscurity” и не давая злоумышленникам информации о внутренностях атакуемой системы).

Очень важным моментом в концепции Бойда, которая также отличает ее классических циклических моделей, является обратная связь, которая обеспечивается после каждого “шага” петли, а не только на последней стадии “улучшай” как в PDCA. Именно обратная связь позволяет учитывать динамику состояния ИБ, постоянно получая из внешнего мира информацию, используемую для принятия решений.


Интересно, что цикл Бойда может быть применен как на очень низком, операционном уровне, так и на высоком, тактическом и стратегическом, для обеспечения деятельности всей службы ИБ. И операционный уровень позволяет очень хорошо описать разницу между тем же PDCA и циклом Бойда.


Возьмем к примеру задачу мониторинга атак и подозрительных действий на уровне сети. В случае с PDCA мы сначала должны спланировать, что мы ищем (создать правила или включить нужные сигнатуры в системе обнаружения вторжений). Затем мы запускаем систему в промышленную эксплуатацию и смотрим - что она ловит, а что нет. Это второй и третий этапы PDCA. Четвертый этап заключается в тюнинге системы обнаружения с учетом полученной информации. И так по кругу, в надежде, что мы достигнем просветления и наш сенсор IDS будет ловить все, что он должен в конкретной точке сети. Если за основу взять цикл Бойда, то работа IDS будет выглядеть иначе. Сначала мы собираем данные из нашего окружения (Netflow, логи, события ИБ и т.п.) - это этап наблюдения. Затем мы проводим анализ и корреляцию событий, поиск аномалий, обнаружение несанкционированных действий. Это этап ориентации. На третьем этапе мы принимаем решение о том, будем ли мы блокировать атаку сами или изменим ACL сетевого оборудования или заморозив учетную запись пользователя, участвующего в атаке. И на финальном этапе приводим выбранную стратегию в действие. При этом на каждом из этопов мы обеспечиваем обратную связь. Например, на этапе принятия решения по конкретному событию мы можем получить дополнительную информацию о его окружении и, например, не заблокировать атаку, а дать ей развиться и направить ее на обманную систему. А другую такую же атаку, получив “вводную” от сканера безопасности, мы можем купировать, не дожидаясь ее развития. И все это опираясь на непрерывно получаемую информацию о состоянии внешней среды. Другой пример. Реализовав какую-либо реакцию на атаку мы делимся этой информацией, используя ее на следующем витке петли Бойда.

Если посмотреть на текущую ситуацию в ИБ с точки зрения цикла Бойда, то пока мы бой проигрываем - злоумышленники действуют быстрее, заставляя нас реагировать на их действия, а не наоборот. Мы не учитываем динамичности конфликтов в информационной сфере, строя свою деятельность на базе того же самого PDCA, который оторван от реальной жизни и требует линейного выполнения заданных действий для достижения некоего измеримого результата. Но поскольку задача это трудная, то даже PDCA в полном объеме никто не реализует. Отсюда и множество проблем на современных предприятиях.


Сегодня на полковника Бойда “молятся” многие натовские военные, считающие его теорию панацеей и единственным способом победы над Россией (концепция мгновенного удара). Не буду вдаваться в эту дискуссию - меня в теории Бойда заинтересовала именно “кибер” составляющая и возможность ее применения в кибербезопасности. И судя по анализу иностранных публикацией, там тоже вполне всерьез интересуются петлей Бойда применительно к нашей тематике. Здравый смысл в ней точно есть.
Alt text

Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!