«Кибербезопасность часто строится на качественных описаниях — что произошло, по каким этапам шла атака. Но описание не предсказывает будущее. Если взять привычную модель, например, Cyber Kill Chain, и превратить её в математическую машину состояний с вероятностями перехода, можно автоматически оценивать риски, моделировать развитие инцидентов и предугадывать шаги противника. Речь о переходе от таксономии к инструменту прогноза.»
Почему описания уже недостаточно
Cyber Kill Chain (CKC) стала стандартным языком для описания целенаправленных атак. Последовательность — разведка, создание инструмента, доставка, эксплуатация, установка контроля, выполнение команд, достижение цели — известна каждому аналитику. Но её применение в основном ретроспективно: обнаружили вредоносный файл, отнесли его к стадиям Delivery и Exploitation. Это таксономия для классификации случившегося.
Такой подход не даёт операционного преимущества. Линейное описание помогает восстановить картину постфактум, но не позволяет предсказать следующий шаг злоумышленника, оценить, какой путь он выберет, если блокировать один из этапов. Описательная модель остаётся в плоскости реакции. Чтобы предвидеть, нужно формализовать — перевести качественные этапы в количественные, вычислимые параметры. Это переход от нарратива о прошлом к расчётам на будущее.
Превращение последовательности в граф
Первый шаг к формализации — представить цепочку не как список, а как направленный граф или конечный автомат. Каждый этап CKC становится состоянием системы (S), в котором может находиться злоумышленник. Его действия — это переходы (T) между состояниями.
Линейная последовательность — лишь простейший частный случай. В реальном нападении граф сложнее. Атакующий может вернуться на предыдущий этап: при неудачной эксплуатации уязвимости он откатывается к стадии доставки нового полезного груза. Возможно ветвление: после установки бекдора злоумышленник может либо настраивать командный канал, либо сразу начинать перемещение по сети, если контроль получен иным путём.
Такой граф состояний — уже анализируемая модель. На нём можно вычислять наиболее вероятные пути к цели, находить узкие места — состояния с малым числом исходящих переходов, где защита будет наиболее эффективна. Можно смоделировать, как блокировка одного перехода заставит противника искать обходные пути, и подготовиться к этому.
[ИЗОБРАЖЕНИЕ: Направленный граф атаки, демонстрирующий нелинейность: состояния (S1-S7), переходы между ними с возможными циклами (возврат из S4 в S3) и параллельными путями (из S5 в S6 или в S7). Слева для контраста — простая линейная цепочка.]
Добавление неопределённости: вероятности и время
Следующий уровень — введение вероятностей. Переход из одного состояния в другой редко гарантирован. Успех доставки зависит от качества фишинга и бдительности пользователя, эксплуатация — от наличия и доступности конкретной уязвимости. Каждому переходу T в графе можно сопоставить вероятность успеха P(T).
Модель становится стохастической. Теперь можно количественно оценивать риски: вероятность того, что атака достигнет цели, рассчитывается как произведение вероятностей успеха всех переходов на конкретном пути. Эти вероятности можно оценивать на основе исторических данных об инцидентах, информации об угрозах или результатов тестов на проникновение.
Ключевой параметр — время. Каждому состоянию или переходу сопоставляется временна́я характеристика: средняя продолжительность этапа, распределение времени. Это позволяет моделировать не только итоговый успех, но и темп атаки. Зная, что этап перемещения по сети в среднем занимает определённое количество часов, можно точнее оценить окно для реагирования. Комбинация вероятностей и времени даёт более реалистичную модель, описывающую атаку как случайный процесс с задержками.
Матричная алгебра для моделирования инцидентов
Для практической работы с такими моделями удобно матричное исчисление. Состояния системы описываются вектором, где каждый элемент — вероятность нахождения атакующего в данном состоянии в конкретный момент времени.
Например, вектор V0 = [1, 0, 0, 0, 0, 0, 0] описывает начальную стадию разведки. Переходы между состояниями задаются матрицей M, где элемент M[i][j] — вероятность перехода из состояния i в состояние j за один шаг.
Эволюция атаки моделируется умножением: V1 = V0 * M (распределение после первого шага), V2 = V1 * M = V0 * M². Это позволяет отвечать на вопросы вида: «Какова вероятность, что через три шага атакующий установит бекдор?» Ответ — соответствующий элемент вектора V3.
Матричная модель наглядно показывает точки приложения контрмер. Внедрение защиты, снижающей вероятность успешного перехода от доставки к эксплуатации с 0.8 до 0.2, напрямую меняет элемент матрицы M. После этого пересчитываются векторы Vn, что даёт количественную оценку снижения общего риска атаки.
[ИЗОБРАЖЕНИЕ: Визуализация матрицы перехода M для упрощённой модели из 4 состояний. Под матрицей показаны векторы состояний V0, V1, V2 и как изменение одного элемента M влияет на итоговое распределение вероятностей.]
Связь модели с системами мониторинга
Ценность математической модели раскрывается при интеграции с системами SIEM, XDR или платформами управления инцидентами. События мониторинга — подозрительные логины, срабатывания сигнатур, аномальная активность — можно сопоставлять с переходами T или состояниями S формализованной модели.
Например, алерт об открытии фишингового письма соответствует переходу в состояние Delivery. Фиксация EDR-агентом успешной эксплуатации уязвимости — переход в состояние Exploitation.
Поток событий из SIEM в реальном времени «проецируется» на формальную модель. Это позволяет автоматически оценивать текущее «состояние» потенциальной атаки. Если последовательность событий с высокой достоверностью соответствует пути в графе, ведущему к критической цели, система может автоматически повысить уровень угрозы, сформировать инцидент или инициировать предписанные ответные действия до завершения всей цепочки.
Это переход от корреляции по статическим правилам к корреляции по динамической модели атаки. Последний подход устойчивее к вариациям в тактиках, так как опирается на логику этапов и возможные альтернативные пути, а не на фиксированные сигнатуры отдельных событий.
Адаптация модели под современные угрозы
Классическую Cyber Kill Chain критикуют за плохое отражение атак без использования файлов или злоупотребления легитимными инструментами. Формализованный подход предлагает путь для адаптации без полной смены парадигмы.
Вместо расширения списка этапов можно пересмотреть само определение «состояния». Состояние — это абстракция, описывающая определённый уровень доступа, контроля или достигнутой цели в системе, независимо от конкретной техники. Например, состояние «Execution» может достигаться как через запуск исполняемого файла, так и через выполнение скрипта в памяти или легитимной утилиты.
Граф состояний и переходов становится универсальным языком для описания разных фреймворков, таких как MITRE ATT&CK. Его можно расширять, добавляя новые состояния и переходы, характерные для актуальных тактик. Вероятности в модели должны регулярно переоцениваться на основе новых данных об угрозах, что делает систему адаптивной к изменяющейся обстановке.
Ограничения и подводные камни
Формализация — не панацея. Есть фундаментальные сложности, которые необходимо осознавать.
- Качество данных. Оценка вероятностей переходов требует обширной статистики по успешным и, что важно, неуспешным атакам, которой часто не хватает. Данные о внутренних этапах атаки, особенно о неудачных попытках, обычно остаются невидимыми для защищающейся стороны.
- Человеческий фактор. Ранние этапы, такие как разведка и создание инструмента, зависят от креативности, ресурсов и опыта конкретной группировки. Их сложно описать фиксированными вероятностями, так как они в большей степени управляются решениями противника, а не стохастическими процессами.
- Упрощение. Любая модель — упрощение реальности. Она не может учесть всё многообразие инфраструктуры, политик безопасности и поведения пользователей. Модель, построенная для одной организации, может оказаться малорелевантной для другой из-за различий в архитектуре.
- Риск отрыва от практики. Существует опасность «гипертрофии модели», когда команда увлекается построением идеальных графов и тонкой настройкой вероятностей в отрыве от задач оперативного мониторинга и реагирования. Математика должна оставаться инструментом, а не самоцелью.
Практическая ценность формализации
Несмотря на сложности, формализация Cyber Kill Chain открывает путь к более зрелому, прогнозному и автоматизированному управлению безопасностью.
| Возможность | Практический результат |
|---|---|
| Количественная оценка контрмер | Переход от утверждений «заблокировали фишинг» к измеримому результату: «снизили вероятность успешной доставки на 60%, что уменьшило общий риск компрометации ключевого актива в несколько раз». |
| Автоматизация расследования | Система, отслеживающая путь атаки по графу, может автоматически собирать связанные артефакты, выдвигать гипотезы о следующем шаге и предлагать аналитику релевантные действия для проверки. |
| Моделирование сценариев | Используя граф с вероятностями, можно проводить симуляции (например, методом Монте-Карло), находя наиболее уязвимые пути атаки и оптимальные точки для инвестирования в защиту. |
| Интеллектуальное обнаружение | Алгоритмы машинного обучения можно настраивать на распознавание паттернов, соответствующих переходам в модели, что повышает точность обнаружения по сравнению с поиском статистических аномалий вне контекста. |
Математическая формализация не отменяет классическую Kill Chain, а наделяет её новым смыслом. Она превращает таксономический фреймворк в динамическую, измеримую модель. Это помогает не только понять, что случилось, но и вычислить, что может произойти, и действовать на опережение. Этот путь требует сближения экспертизы в безопасности, анализе данных и прикладной математике, но он ведёт от реагирования на инциденты к проактивному управлению киберрисками.