«В киберконфликте никто не видит всей карты. Атакуют не только уязвимости в коде, но и пробелы в знаниях противника. Теория игр с неполной информацией, это не абстрактная математика, а инструмент, который показывает, почему ложные данные в системе мониторинга могут быть ценнее, чем патч, и как решение о запуске DDoS-атаки часто принимается в условиях, когда неизвестно, есть ли у цели система защиты или это просто муляж.»
От шахмат к киберпространству: почему классической теории игр недостаточно
Классическая теория игр, изучающая стратегическое взаимодействие рациональных агентов, хорошо описывает конфликты с открытыми правилами. В шахматах противники видят всю доску. В переговорах о цене известны базовые условия. Но киберпространство устроено иначе. Атакующий не знает точной конфигурации систем защиты, наличия конкретных сигнатур или готовности SOC к реагированию. Защитник, в свою очередь, не видит намерений, инструментария и реальных целей злоумышленника. Каждая сторона действует в тумане, где ключевым ресурсом становится не вычислительная мощность, а информация — или её отсутствие у противника.
Именно этот «туман» — сфера теории игр с неполной информацией. Она формализует ситуации, где игроки не обладают полным знанием о ключевых параметрах игры: типе противника, его возможностях, выигрышах или даже о самом факте начала атаки. В контексте 152-ФЗ и регуляторики ФСТЭК это напрямую связано с моделированием угроз. Статичный список угроз уступает место динамической модели, где злоумышленник адаптируется к вашим защитным мерам, а вы — к его тактике, причём оба делают это, опираясь на неполные и зашумлённые данные.
Байесовские игры: как система учится на сигналах
Математическим аппаратом для работы с неполной информацией часто служат байесовские игры. Каждый игрок здесь имеет свой «тип» — скрытую характеристику, известную только ему. Для атакующего это может быть уровень навыков, доступный бюджет или конкретная цель. Для защитника — реальная глубина эшелонирования защиты или степень укомплектованности штата. В начале игры у каждого участника есть априорное представление о вероятностном распределении типов противника. В процессе взаимодействия, наблюдая за действиями (например, за срабатыванием IDS или характером пробного сканирования), игроки обновляют свои убеждения по правилу Байеса.
Рассмотрим модель. Предположим, компания может быть двух типов: «сильная» (с развёрнутым EDR и активным Threat Intelligence) или «слабая» (с базовым файрволом). Злоумышленник изначально оценивает вероятность каждого типа как 50/50. Его первое действие — пробное сканирование. «Слабая» система может не среагировать, а «сильная» — ответить специфическим TCP-сбросом. Получив такой ответ, атакующий пересчитывает вероятности: шанс столкнуться с «сильной» защитой теперь, скажем, 80%. Это меняет его дальнейшую стратегию: возможно, он откажется от дорогостоящей атаки нулевого дня в пользу более простого вектора или вообще сменит цель. Защитник, в свою очередь, может имитировать реакцию «сильной» системы, даже если это не так, чтобы повлиять на эти расчёты и отпугнуть нерешительного противника.
Динамика раскрытия информации: что стоит за каждым пакетом
Киберконфликт, это не разовый ход, а последовательность действий. Каждое из них — будь то запрос к API, попытка инъекции или отправка фишингового письма — несёт в себе два слоя. Первый — прямая цель (получить данные, установить бэкдор). Второй, часто более важный — сигнал о типе и намерениях того, кто это действие совершает. Защитная система, которая просто блокирует аномалию, теряет возможность учиться. Система, построенная с учётом теории игр, пытается извлечь из каждого инцидента информацию: «Это целевая атака или массовый скрипт?», «Злоумышленник знает о нашей системе WAF или действует вслепую?».
Это создаёт пространство для стратегической манипуляции. Например, применение технологии honeytokens или целых honeypot-сетей, это не просто пассивный сбор разведданных. Это активное действие по контролю над информационным полем противника. Помещая в среду ложные учётные записи или «сливая» фальшивые схемы сетевой инфраструктуры, защитник целенаправленно формирует у атакующего ложные убеждения. В модели байесовской игры это эквивалентно тому, что защитник «выбирает» тип, который хочет продемонстрировать, часто отличающийся от его реального типа, чтобы спровоцировать выгодные для себя действия злоумышленника (например, раскрытие инструментов при исследовании ловушки).
Равновесие в условиях неопределённости: когда всем выгодно скрывать правду
Ключевое понятие в теории игр — равновесие Нэша. В играх с неполной информацией его аналогом выступает Совершенное байесовское равновесие. Это набор стратегий и убеждений, где ни одному игроку не выгодно отклоняться от своей стратегии при данных убеждениях, а убеждения формируются в соответствии с наблюдаемыми действиями и правилом Байеса. На практике это означает устойчивое состояние конфликта, которое часто выглядит парадоксально.
Типичный пример — равновесие, в котором все типы защитников (и сильные, и слабые) ведут себя одинаково агрессивно на ранних этапах сканирования. Почему слабой защите это выгодно? Потому что если только сильные будут активно отвечать, то любое отсутствие реакции будет однозначно сигнализировать о слабости, мгновенно привлекая целенаправленную атаку. Слабой системе выгодно «притворяться» сильной, чтобы смешаться с массой и повысить неопределённость для атакующего. В результате атакующий сталкивается с однородным шумом и не может эффективно идентифицировать лёгкие цели, что снижает его общую эффективность. Это объясняет, почему даже организациям с modest security budget может быть рационально инвестировать в создание «шума» и демонстративных контрмер.
Применение в моделировании угроз и построении SOC
Как эти абстрактные модели применяются на практике в российской IT-среде, ориентированной на требования ФСТЭК и 152-ФЗ?
- Динамические модели угроз: Вместо статичных матриц типа MITRE ATT&CK, которые описывают тактики, можно строить вероятностные модели, где каждая тактика имеет разную вероятность применения в зависимости от предполагаемого «типа» атакующего (киберпреступник, APT-группа, инсайдер). Система оценивает наблюдаемые действия и в реальном времени корректирует наиболее вероятный сценарий развития атаки.
- Проактивный Threat Intelligence: Сбор данных об угрозах превращается в активный процесс проверки гипотез. Если аналитики предполагают, что определённая группа интересуется конкретным сектором, они могут разместить в контролируемой среде артефакты, связанные с этим сектором, и наблюдать, кто проявит интерес, тем самым проверяя свою гипотезу и получая информацию о противнике.
- Оптимизация алёртов в SIEM: Поток событий в SIEM можно рассматривать как последовательность сигналов в игре. Алгоритмы, учитывающие байесовскую логику, могут присваивать инцидентам не просто приоритет, а расчётную «ценность информации». Событие, которое резко меняет оценку намерений атакующего (например, указывает на переход от разведки к эксплуатации), должно эскалироваться, даже если его техническая критичность невысока.
- Проектирование архитектуры безопасности: Решение о том, где размещать honeypot, какие ложные данные внедрять в Active Directory или как сегментировать сеть, может приниматься на основе модели, которая максимизирует неопределённость для потенциального нарушителя, затрудняя ему точное определение реальной инфраструктуры и её слабых мест.
Ограничения и этические границы
Моделирование киберконфликтов через теорию игр — мощный инструмент, но не панацея. Его основные ограничения лежат в области исходных допущений. Модели часто предполагают рациональность игроков, что не всегда верно для хаотичных кибератак или действий инсайдеров под влиянием эмоций. Качество выводов критически зависит от точности априорных вероятностей, которые на практике приходится устанавливать экспертным путём, что вносит субъективность.
Существует и этический аспект активных обманных действий. Активное введение противника в заблуждение через масштабные honeypot-сети или фальшивые данные может в некоторых юрисдикциях попадать в правовую зону риска. В российском правовом поле такие действия требуют чёткого внутреннего регламентирования, чтобы не нарушать границы допустимой обороны и не создавать риски для сторонних систем.
Тем не менее, сама логика анализа — через призму неполной информации, обновления убеждений и стратегической подачи сигналов — меняет подход к безопасности. Она смещает фокус с пассивного отражения известных угроз на активное формирование информационной среды, в которой атакующему максимально сложно принять эффективное решение. В конечном счёте, это делает защиту не просто набором технологий, а интеллектуальным противоборством, где преимущество получает тот, кто лучше управляет дефицитом информации у своего оппонента.