Журнал "Information Security/ Информационная безопасность" #4, 2025

• 1 www.itsec.ru Создавайте не стены, но лабиринт Кибербезопасность долго строилась по принципу стены: чем толще и прочнее барьер, тем надежнее система. Но сегодня этот образ перестает быть единственно верным. Атаки стали слишком быстрыми, распределенными и подкрепленными искусственным интеллектом. Защита больше не может быть только неподвижной стеной. Ей нужно стать лабиринтом, где каждый шаг нападающего ведет в непредсказуемое пространство. В начале этого года исследователь Куш Джанани опубликовал работу "Кибербезопасность через инъекцию энтропии" (Cybersecurity through Entropy Injection). Суть идеи проста и революционна: нужно специально вносить хаос в работу систем. Переставлять области памяти, менять конфигурации сетей, варьировать параметры запуска программ. Все это делает систему непредсказуемой и ломает планы злоумышленника. В лабораторных условиях такая инъекция случайности снизила вероятность успешной атаки более чем на девяносто процентов, при этом скорость работы систем почти не пострадала. Параллельно развивается концепция защиты через подвижность цели (Moving Target Defense, MTD). Она родилась еще десять лет назад, но только сейчас начинает выходить за пределы теории. Смысл в том, что инфраструктура постоянно меняется: адреса, маршруты, протоколы не остаются неизмен- ными. В операторских сетях и энергосистемах уже тестируются алгоритмы, которые управляют этими изменениями с помощью машинного обучения и теории игр. Для атакующего это превращается в мозаику: он планирует удар по одной системе, а через минуту она уже другая. Третий элемент новой обороны -- Deception. В статье "Глубокий обман: использование нескольких слоев Deception" (Deception-in-Depth Using Multiple Layers of Deception) описывается архитектура, где ловушки расставлены на всех уровнях: в сети, на серверах, в данных. Атакующий может неделями изучать систему, но так и не понять, где настоящая цель, а где приманка. Для ИБ же это дополни- тельный источник информации: каждое движение противника фиксируется и анализируется. Вместе эти подходы образуют новую философию защиты. Энтропия лишает атакующего точки опоры в системе, MTD не дает зацепиться за инфраструктуру, а Deception сбивает с толку на уровне приложений и данных. В итоге у нападающего нет ни карты, ни ориентира, только бесконечный лаби- ринт. Часть компонентов этой картины уже реализована. Платформы Deception продаются и используются в корпоративных SOC, элементы MTD начали внедрять телекомы и операторы критической инфра- структуры. А вот энтропийные методы пока остаются на уровне исследований. На сегодняшний день они ограничены базовыми формами вроде рандомизации размещения памяти (ASLR), в в будущем речь может пойти о гораздо более сложных сценариях, включая использование квантовых источников случайности. Однако на практике не все так гладко, как в теории. Во-первых, стоимость: динамическое изменение конфигураций и инфраструктуры требует автоматизации, интеграций и вычислительных ресурсов. Для крупных заказчиков это может быть оправдано, но для большинства компаний нагрузка на бюд- жеты окажется слишком высокой. Во-вторых, управляемость: чем больше хаоса в системе, тем сложнее ее эксплуатировать. Администраторы должны понимать, где заканчивается рандомизация и начинается критический сбой, а это требует зрелых процессов и новых компетенций. В-третьих, интеграция с регуляторикой и корпоративными стандартами. Многие компании (например, субъекты КИИ) обязаны документировать конфигурации систем, а модели с постоянными изменениями вступают в конфликт с этими требованиями. Наконец, остается фактор культуры: безопасность через непредсказуемость пока чужда большинству компаний, привыкших к стабильности и вос- производимости. В любом случае, если раньше мы привыкли думать о безопасности как о наборе правил и фильтров, то теперь стоит задуматься о том, чтобы сделать саму среду нестабильной и обманчивой. Это уже не крепость, а хитроумный лабиринт, в котором злоумышленник вряд ли найдет путь. Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”