Журнал "Information Security/ Информационная безопасность" #6, 2025

• 1 www.itsec.ru Абьюзивные сценарии кибератаки Обычно кибератаку описывают как инцидент: что-то произошло, мы это увидели, разобрали и закрыли. Такой подход удобен для отчетов, но он плохо помогает понять, что именно происходило внутри системы. Если посмотреть на атаку не как на точку во времени, а как на мно- гогранный процесс, то можно увидеть, что это история не про "он напал – мы отбились". А про сложные отношения, в которые вовлечены атакующий, инфраструктура, защитные механизмы, люди, управляющие всем этим, и бизнес, который вроде бы стоит в стороне, но постоянно влияет на решения. В этом противостоянии почти всегда есть ассиметрия: инициативу задает не система, а злоумышленник. В психологии такие ситуации хорошо описаны. Это навязанный контакт, когда один участник приходит со своим сценарием, а второй вынужден под него подстраиваться, даже если формально никто его ни к чему не принуждает. Человеку в такой ситуации не запрещают действовать, но каждый его шаг уже вписан в чужую логику. С кибератакой происходит то же самое. Система не решает вступать в диалог или нет, она просто в нем оказывается. А дальше каждое действие ата- кующего, даже вполне корректное с точки зрения протоколов и регламентов, постепенно сужает выбор: вариантов реакции становится все меньше, а защита в основном отвечает на уже сделанные агрессивные ходы. Более того, современные атаки все реже выглядят как прямой взлом и все чаще – как аккуратное использование возможностей системы. В психологии это называется манипуляцией: когда человек совершает действия в интересах манипулятора, опираясь при этом на собственные привычки и правила, не понимая, в какой момент ситуация вышла из-под контроля. Ровно так сегодня работают атаки через легитимные API, бизнес-логику или сервисные учетные записи. Система делает все правильно, ничего не нарушает, но в итоге приходит не к тому результату. В этом сценарии бесполезно искать запрещенные действия – их там может просто не быть. Если смотреть на инфраструктуру достаточно долго, то всплывает еще одна знакомая психологам вещь – влияние прошлого опыта. В психологии это называют последствием травмы: когда прежние проблемы формируют привычные реакции, даже если они давно не соответствуют реальности. В ИТ это проявляется проще и приземленнее в виде исключений, которые когда-то сделали на время, тех- нический долг, учетки и компоненты, которые лучше не трогать, потому что неизвестно, что сломается. В итоге система начинает жить прошлым, реагируя не на текущую ситуацию, а на накоп- ленные компромиссы. На этом фоне роль SOC тоже выглядит иначе. Если считать его просто службой реагирования, то он всегда будет в роли догоняющего. Но если смотреть шире, SOC – это скорее тот, кто следит за изме- нениями в поведении системы в целом. Важны не отдельные события, а то, что привычные сценарии начинают разыгрываться иначе. Иногда это видно задолго до формальных нарушений. Вернем некоторые практические выводы в плоскость информационной безопасности. Защита, построенная только на реакции, – почти всегда отдает инициативу. Контроль отдельных действий плохо работает там, где атака разворачивается как цепочка легитимных шагов. Технический долг – это не просто неудобство, а источник предсказуемости. А SOC полезен не количеством алертов, но способностью вовремя заметить, что система втягивается в чужой сценарий. В итоге оказывается, что кибербезопасность это не столько про блокировки и запреты, сколько про умение не дать атакующему навязывать свои правила игры. Чем раньше мы начнем смотреть на атаку через призму отношений, а не просто как на инцидент, тем проще будет объяснить, почему привычные меры иногда не срабатывают и где именно стоит поменять подход. Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”