Кибердзюцу: кибербезопасность для современных ниндзя E-Book

Научный редактор Д. Старков

Перевод С. Черников

Бен Маккарти

Кибердзюцу: кибербезопасность для современных ниндзя. — СПб.: Питер, 2022.

ISBN 978-5-4461-2958-4

© ООО Издательство "Питер", 2022

Все права защищены. Никакая часть данной книги не может быть воспроизведена в какой бы то ни было форме без письменного разрешения владельцев авторских прав.

Посвящается моей прекрасной Саре и тем беспомощным компаниям, которые боятся новых идей и в упор не видят своих слабых сторон, — именно они побудили меня написать эту книгу

Об авторе

Бен Маккарти — бывший разработчик из АНБ. Один из самых квалифицированных специалистов по кибервойне, служивших на сетевом фронте. Бен успел поработать хакером, специалистом по отработке инцидентов, охотником за угрозами, аналитиком вредоносных программ, инженером по сетевой безопасности, аудитором соответствия, специалистом по анализу угроз и специалистом по развитию. Ему принадлежат несколько патентов и сертификатов в сфере безопасности. В настоящее время занимается исследованием квантовой безопасности в Вашингтоне.

О научном редакторе

Ари Шлосс начал свою карьеру в Министерстве национальной безопасности США. Имеет степень магистра в области ИБ и MBA. В настоящее время работает инженером по безопасности на оборонную компанию в Мэриленде.

Предисловие

Кибербезопасность никогда прежде не была столь важна для экономического процветания и социального спокойствия, как сегодня. Необходимость защиты интеллектуальной собственности бизнеса и персональных данных простых людей имеет первостепенное значение. Киберпреступники становятся быстрее, изобретательнее, организованнее и все лучше обеспечены. Специалисты по кибербезопасности постоянно обнаруживают новые угрозы и отражают новые атаки, несмотря на все принятые меры информационной безопасности (ИБ). Перед нами гонка кибервооружений.

На следующих двухстах страницах Бенджамин Маккарти, блестящий эксперт по анализу киберугроз и исследователь в сфере безопасности, которого я давно знаю, расскажет, как защитить информацию от хакеров.

Когда 15 лет назад я учился в аспирантуре, первым усвоенным мной уроком на занятиях по инженерии безопасности было простое правило: думай как хакер. В сфере кибербезопасности мы активно проповедовали это правило в течение нескольких лет, а то и десятилетий. Но судя по количеству кибератак, которым ежегодно подвергаются разные компании, это сообщение так и не дошло до большого количества ИБ-специалистов. Это происходит по двум причинам. Во-первых, в этом правиле маловато подробностей. Во-вторых, если подробности и есть, их может быть очень трудно понять. Бен решает обе проблемы, изменив формулировку с «думай как хакер» на «думай как ниндзя».

«А это как?» — спросите вы. Ответ кроется в трактатах ниндзя, которые были написаны еще в Средние века, но хранились в строгом секрете до середины XX века. Они только недавно были переведены с японского. В них говорится, как ниндзя думают, разрабатывают стратегии и действуют. Воюя скрытно, они ревностно хранили в секрете свою стратегию и тактику. Теперь же откровения, ставшие известными благодаря публикации этих трактатов, заслуживают глубокого анализа и могут помочь понять, что на протяжении долгих веков делало ниндзя такими успешными в шпионаже, обмане и внезапных атаках.

Бен проанализировал эти трактаты и извлек из них стратегии, тактики и приемы, которые ниндзя использовали в своих операциях. Он сопоставляет их с современными тактиками, техниками и процедурами (ТТП), применяемыми хакерами для проведения кибератак. Изучение этого руководства и описанных в нем процедур поможет специалистам по безопасности понять образ мышления не только ниндзя, но и киберпреступника. Поняв его, вы сможете научиться мыслить как хакер и усвоить этот принцип безопасности. Это не только поможет вам предсказать следующий потенциальный ход злоумышленника, но и даст время подготовиться к нему и укрепить оборону, помешав нападающему достичь своей цели.

Еще одна причина, по которой Бен использует трактаты ниндзя, — это желание приблизить их ТТП к работе ИБ-специалистов, что тоже разумно, ведь в трактатах ниндзя описаны реальные атаки в физическом мире на физические объекты и в физической среде. Нашему мозгу гораздо легче визуализировать физическую среду, чем виртуальную. Если представить, что тактика и методики хакера применяются в реальном мире, они сразу станут более заметными и понятными. Вы станете понимать, как злоумышленник применяет ту или иную тактику для компрометации некоторого актива или перехода от одного актива к другому. В каждой главе Бен проводит аналогию через теорию замка, то есть сначала представляет описываемые события так, как если бы они происходили в средневековом замке, а затем переносит их в киберсреду.

Читателям будет невероятно полезно изучить множество советов и стратегий, описанных Беном. Эти знания сейчас как раз кстати, ведь кибербезопасность становится одной из основных опор нашей экономики. Бен Маккарти с его десятилетним опытом работы в разведке угроз имеет и возможности, и желание научить вас думать как ниндзя и хакер, а также помочь защитить как свою информацию, так и цифровую экономику в целом.

Малек бен Салим, доктор наук, ведущий исследователь и разработчик в области безопасности, Accenture

Благодарности

Начну с благодарности моей прекрасной Саре. Она помогала мне с момента чтения черновиков до оформления обложки и дала мне свободу, чтобы я мог написать книгу, большое ей спасибо.

Спасибо Крису Сент-Майерсу за то, что под его руководством я заинтересованно и увлеченно занимался глубоким исследованием вопросов кибершпионажа. Этот опыт важен для понимания того, как мыслят те, кто создает угрозы в данной сфере. Он меня никогда не останавливал, а лишь воодушевлял и многому научил.

Я бесконечно благодарен подразделениям TRADOC и DETMADE Армии США, которые осознали мой потенциал и определили меня в передовое подразделение в сфере кибервойны. Этот уникальный опыт был невероятно важен и помог мне понять, что такое кибербезопасность и каковы методы работы операторов.

Особая благодарность Энтони Камминсу и его команде за перевод трактатов ниндзя и их публикацию для англоязычного мира. Именно благодаря вашим усилиям и заразительной страсти к ниндзя я нашел вдохновение для написания этой книги.

Спасибо ребятам из издательства No Starch Press, которые помогли улучшить мою работу и превратить ее в книгу, которой я горжусь.

Наконец, спасибо всем, кто был частью моего пути в сфере кибербезопасности. Мне было очень приятно учиться у других профессионалов в этой области и расширять свои знания и понимание сферы компьютерной безопасности. Чтобы написать эту книгу, мне нужно было знать все до последней мелочи.

От издательства

Ваши замечания, предложения, вопросы отправляйте по адресу [email protected] (издательство «Питер», компьютерная редакция).

Мы будем рады узнать ваше мнение!

На веб-сайте издательства www.piter.com вы найдете подробную информацию о наших книгах.

Введение

Скажу сразу: я не ниндзя. И даже не историк, изучающий ниндзя, не сенсей и вообще не японец.

Но зато я действительно вел кибервойну, и мои сослуживцы часто называли нас «высокоскоростными ниндзя». Именно тогда я начал замечать, что в кибербезопасности часто звучит слово «ниндзя». И захотел понять, почему вообще употребляется такой термин. Я начал изучать ниндзя в 2012 году, и именно тогда наткнулся на недавние английские переводы японских трактатов, написанных более 400 лет назад (подробнее о них — в разделе «Об этой книге» далее). Эти трактаты были учебными пособиями, которые ниндзя использовали для изучения своего ремесла. То есть это не исторические отчеты, а настоящие учебники. Один из них под названием «Бансэнсюкай» был рассекречен правительством Японии и опубликован (и то не для всех) только после Второй мировой войны, поскольку в течение почти 300 лет эта информация считалась слишком опасной для распространения. В Средние века эти документы не разрешалось видеть никому, кроме ниндзя. На них даже есть предупреждения крупным шрифтом о необходимости защищать информацию ценой своей жизни. Было время, когда лишь обладания таким трактатом было достаточно для того, чтобы тебя казнили. И именно запретный характер материала делал чтение еще более интересным и загадочным. Меня зацепило.

Прочитав более 1000 страниц переведенных материалов, я понял, что инструкции и секретные техники, предназначенные для ниндзя, по сути представляли собой обучение в области обеспечения безопасности информации, проникновения, шпионажа и атак, связанных с тайным доступом в защищенные организации. Многими из этих вещей я ежедневно занимался, работая в сфере кибербезопасности. Учебники 400-летней давности были полны идей о защитной и наступательной безопасности, которым я не мог найти эквивалентов в современных практиках информационной безопасности. Поэтому учебники, раскрывающие тактику, приемы и процедуры секретной войны, оказались поистине уникальным источником информации. В нашем деле кибершпионы и другие злоумышленники не проводят веб-семинары и не публикуют свои тактики в журналах. Это делает трактаты ниндзя еще более ценными и уникальными.

«Кибердзюцу» превращает тактику, приемы и стратегии древних ниндзя в практическое руководство по кибербезопасности. Кибербезопасность — это относительно молодая и поэтому очень активно развивающаяся сфера. Специалисты в этой отрасли старательно обезвреживают надвигающиеся угрозы или прогнозируют будущие атаки, основываясь на знаниях о том, что уже произошло. Я написал эту книгу, потому что считаю: нам есть чему поучиться у ниндзя, проанализировав представленные в их трактатах сведения о том, как в области информационной безопасности противостоять постоянным серьезным угрозам (Advanced Persistent Threat — APT). Тактики информационной войны, практиковавшиеся еще древними ниндзя, совершенствовались на протяжении сотен лет. Их тактики, техники и процедуры работали в те времена, а сегодня могут стать ключом к тому, чтобы пересмотреть современные модели, передовые практики и концепции кибербезопасности и затем реализовать более зрелые и проверенные временем идеи.

Об этой книге

В каждой главе подробно рассматривается одна тема, связанная с ниндзя, от глубокого изучения истории и философии до анализа и рекомендаций по кибербезопасности. Для удобства чтения все главы организованы следующим образом.

• Трактаты ниндзя — краткое введение в инструмент, технику или методологию, используемую ниндзя.

• Кибербезопасность — анализ того, как описанная ниндзя концепция может быть применена в сфере кибербезопасности.

• Что можно сделать — практические шаги, которые вы можете предпринять, исходя из приведенного ранее анализа, чтобы защитить свою организацию от киберпреступлений.

• Упражнения по теории замка — упражнения, в котором вас просят избавиться от угрозы, используя вновь изученные понятия из области кибербезопасности.

• Рекомендуемые меры безопасности и предосторожности — контрольный список рекомендуемых параметров безопасности и спецификации, основанный на стандарте NIST 800-53 [38], которых вы можете добиться в рамках реализации лучших практик.

Эта книга — не справочник по терминологии ниндзя и не энциклопедия по их философии. Если вам нужно именно это, поищите работы Энтони Камминса и Ёсиэ Минами, которые отредактировали и перевели древние японские трактаты ниндзя для современной аудитории. В этой книге также упоминаются следующие книги Камминса и Минами (подробнее о них в разделе «Учебник ниндзя» далее):

• The Book of Ninja (ISBN 9781780284934) — перевод трактата «Бансэнсюкай»;

• The Secret Traditions of the Shinobi (ISBN 9781583944356) — перевод трактатов «Синоби хидэн» (или «Нинпидэн»), «Гумпо дзиёсю», а также «Ёсимори хяку-сю»;

• True Path of the Ninja (ISBN 9784805314395) — перевод трактата «Сёнинки».

Работы Камминса и Минами очень содержательны, и я настоятельно рекомендую вам прочитать их целиком. Эти книги служат не только источником вдохновения, но и первоисточником для анализа ниндзюцу в этой книге, от военной тактики до образа мышления. Их переводы содержат огромную мудрость и знания, выходящие за рамки того, что я мог бы охватить в этой книге, и приоткрывают завесу исчезнувшего ныне образа жизни. Книга «Кибердзюцу»в большом долгу перед Камминсом и Минами, благодаря огромным усилиям которых современный мир смог познакомиться с этими средневековыми произведениями.

Примечание об упражнениях по теории замка

По моему мнению, рассмотрение проблем в индустрии кибербезопасности связано как минимум с тремя сложностями. Во-первых, даже в организациях, занимающихся вопросами безопасности, специалисты без технического образования или другие заинтересованные стороны часто не принимают участия в обсуждении вопросов кибербезопасности, им всё не говорят или вовсе подтрунивают над ними из-за недостатка технических знаний. Во-вторых, виновниками многих проблем с безопасностью на самом деле становятся люди. Мы уже знаем, как защититься от многих угроз с технической стороны, но такие вещи, как некорректные политики, невежество, проблемы с бюджетом или другие ограничения, происходят от людей. И в-третьих, наличие готовых решений проблем с безопасностью и/или легкодоступных в интернете ответов изменило подход людей к их решению.

Чтобы рассмотреть те или иные проблемы, в каждой главе я буду выделять основные вопросы в упражнение по теории замка — головоломку (которую, надеюсь, вы не сможете нагуглить), в которой вам будет нужно защитить свой замок (сеть) от опасностей, исходящих от вражеских ниндзя (субъектов киберугроз). Аналогия проблем с безопасностью и необходимостью защитить замок позволяет вынести за скобки технические аспекты рассуждения и более четко разъяснить суть проблемы усилиями команды. Любому читателю будет понятен сценарий, в котором ниндзя физически проникает в замок, независимо от того, знает ли этот человек что-то о сетях и хакерах. Представив себя хозяином замка, вы можете игнорировать любую организационную неразбериху или политические проблемы, которые могли бы возникнуть при реализации предложенных вами решений. Ведь короли и королевы делают то, что хотят.

Для будущего использования

В этой книге вы найдете много идей из области кибербезопасности. Некоторые были позаимствованы из оригинальных трактатов и адаптированы для современных информационных приложений. Другие — это решения, предлагаемые для устранения выявленных мною проблем в коммерческих продуктах или услугах. Некоторые идеи более новы или амбициозны. Я не уверен, как их реализации действительно будут работать, но возможно, кто-то другой, лучше понимающий техническую сторону вопроса, сможет разработать их.

Учебник ниндзя

В этом разделе вы получите полное представление о том, что такое «ниндзя», изу­чив информацию, отраженную в исторических источниках. Постарайтесь забыть все, что вы узнали о ниндзя из фильмов и художественной литературы. Поначалу вы наверняка испытаете некоторое замешательство, недоверие и когнитивный дискомфорт, так как изложенные в трактатах факты будут противоречить давно устоявшимся стереотипам и убеждениям, и особенно это шокирует тех из вас, кто в детстве мечтал стать ниндзя.

Ниндзя в истории

Ниндзя назывались по-разному. Те ниндзя, которых нам демонстрирует западная культура XXI века, — это тоже ниндзя, но их называли также синоби, ятой, нинпей, суппа, кандзи, раппа и укамибито [7, 8]. Ниндзя известны нам как неуловимые и загадочные воины, но на самом деле здесь все чуть проще: синоби были элитными шпионами и наемными воинами в древней Японии. Набирали их как из крестьян [40], так и из самураев — в качестве примера можно упомянуть Натори Масатаке [7] и Хаттори Хандзо [6]. Ниндзя, вероятно, в той или иной форме существовали по всей Японии, но редко упоминались в исторических записях вплоть до войны Тайра и Минамото XII века [7]. Несколько веков спустя Япония погрязла в распрях и кровопролитии, и в этот период феодалы [40] нанимали синоби для шпионажа, саботажа, убийств и погромов [29]. Даже основополагающий трактат китайского военного стратега V века до н.э. Сунь Цзы «Искусство войны» подчеркивает необходимость использования ниндзя для достижения победы [7].

Ниндзя были чрезвычайно искусны в информационном шпионаже, проникновении во вражеские лагеря и разрушительных атаках. Синоби были, пожалуй, первой серьезной постоянной угрозой в истории (APT0, если угодно). В условиях постоянных конфликтов они непрерывно оттачивали и совершенствовали свои методы, тактики, инструменты, приемы и процедуры, добавляя к практическим навыкам еще и теорию — ниндзюцу. В трактате «Бансэнсюкай»говорится: «Важнейший принцип ниндзюцу — избегать мест, где противник внимателен, и наносить удары там, куда он не смотрит» [5]. Таким образом, действуя как тайные агенты, ниндзя тайно передвигались к цели (например, к замку или деревне), собирали информацию, находили бреши в защите цели, проникали внутрь для совершения шпионажа, саботажа, поджога или убийств [40].

Во время продолжительной эпохи Эдо (XVII век) спрос на ремесло синоби сократился, а ниндзя постепенно канули в Лету [40]. Их мастерство перестало быть востребованным, и они занялись другими делами, но их методы были настолько эффективными, что даже сегодня синоби в произведениях искусства предстают как одни из величайших воинов в истории и специалистов по информационной войне. Иногда им даже приписываются невероятные способности вроде невидимости.

Трактаты ниндзя

Знания синоби, скорее всего, передавались от учителя к ученику, сверстниками друг другу, а также через руководства, написанные практикующими синоби до и в течение XVII века. Это и были трактаты ниндзя. Вполне вероятно, что в семьях, произошедших от синоби, есть и другие, пока неизвестные трактаты, в которых могут храниться и иные секреты, но их содержание либо не было проверено историками, либо не обнародовано. Исторические тексты, которые есть у нас, являются ключом к пониманию синоби, а изучение этих источников для извлечения знаний из фактов помогает отделить реальность от мифов, непроверенного фольклора и стереотипов поп-культуры, которые непременно уведут любой разговор о ниндзя не в ту сторону.

Среди наиболее значимых трактатов ниндзя следующие.

• «Бансэнсюкай» — энциклопедический 23-томный сборник сведений о навыках, тактике и философии ниндзя, собранный из опыта множества синоби.

Этот трактат, составленный Фудзибаяси в 1676 году, являет собой попытку сохранить навыки и знания о ниндзюцу для будущих поколений. Кроме того, этот трактат, по сути, — резюме для приема на работу и экзамен на владение навыками, написанный синоби для сёгунов, которым могут понадобиться их услуги в менее мирном будущем.

• «Синоби хидэн» (или «Нимпидэн») — это коллекция трактатов, которые, как считается, были написаны около 1655 года и затем переданы семье Хаттори Хандзо на хранение до того дня, когда их можно будет опубликовать. Эти трактаты, возможно, наиболее полезны с практической точки зрения и раскрывают техники и инструменты синоби, используемые в реальной работе, включая схемы оружия и спецификации для его создания.

• «Гумпо дзиёсю» (или Shiyoshu) — обширный трактат, в котором описываются вопросы военной стратегии, управления, инструментов, философии и использования синоби в военное время. Считается, что он был создан Огасавара Сакуун Кацудзо в 1612 году. Трактат также содержит «Ёсимори хяку-сю» — сборник из 100 стихотворений о ниндзя, призванных научить синоби навыкам и мудрости, необходимым для успеха в их миссиях.

• «Сёнинки» — учебное пособие, разработанное в 1681 году Натори Сандзюро Масатакэ, самураем и новатором в военном деле. Эта книга написана для тех, кто уже достиг совершенства в физической и умственной подготовке, но нуждается в освежении знаний и более глубоком понимании руководящих принципов и техник ниндзюцу.

Философия ниндзя

Важно проникнуться ценностями и мировоззрением ниндзя, не углубляясь при этом в мистицизм или спиритизм. Я считаю, что философия ниндзя граничит с ремеслом хакеров с оттенками инь и ян и синто-буддизма. И хотя знакомство с философией ниндзя не обязательно для понимания их тактик и техник, почерпнуть мудрость из этих работ, определенно, было бы полезно.

Сердце под острием клинка (или «словно острие»)

Японское слово «синоби» () состоит из иероглифов, обозначающих лезвие () и сердце (). Интерпретировать его значение можно по-разному.

Один из них — сердце синоби должно быть словно клинок, то есть стальное и острое. Лезвие меча острое и крепкое, но гибкое — это инструмент, предназначенный для убийства людей, одновременно являющийся продолжением духа и воли его владельца. Это согласуется с японской концепцией кокоро — соединения сердца, духа и разума в единое целое. В этом контексте изображение дает представление о сбалансированном мышлении, необходимом для того, кто желает стать ниндзя.

Другое толкование — «сердце под лезвием». В этом прочтении клинок представляет собой экзистенциальную угрозу. Это не только физическая угроза, из-за которой синоби рискует жизнью, но и оружие, которое надежно охраняет бьющееся сердце. В прочтении онъёми (китайский) означает «упорствовать», что подчеркивает внутреннюю силу, необходимую для работы в качестве шпиона на вражеской территории под постоянной угрозой. Синоби должны были выполнять опасные задания, а это иногда означало необходимость находиться в тылу врага в течение длительного времени в ожидании удачного момента, то есть рисковать жизнью.

Правильный ум

«Бансэнсюкай»гласит, что синоби должен обладать «правильным умом», иначе он обречен на поражение. Достижение этого редкого состояния означает постоянную концентрацию, сосредоточенность и осознание своей цели — это внимательность, которая превращается в щит.

Ожидается, что синоби должен принимать решения, будучи «доброжелательным, праведным, лояльным и верным» [5], даже если его ремесло — это заговоры и обман. Эта философия наделяла синоби сосредоточенностью и спокойствием в моменты сильного напряжения, например в бою или во время тайной операции. «Достигнув внутреннего покоя, — сообщает “Сёнинки”, — вы можете постичь то, чего не осознают другие» [7].

«Правильный ум», как считалось, делает синоби более динамичными стратегами. Когда другие воины безрассудно бросались в бой, острота ума синоби позволяла им сохранять спокойствие и действовать по обстоятельствам. Их учили мыслить нестандартно, все подвергать сомнению. Историк Энтони Камминс сравнивает такое мышление с мышлением современных акул бизнеса. Если их оружие выходило из строя, они использовали слова. Если и речь не давала результата, они переставали мыслить со своей позиции и пытались постичь мысли врага [7]. Правильный ум позволял понять врага и внешние обстоятельства и совершить, казалось бы, невозможное.

В «Сёнинки»об этом говорится кратко: «Нет ничего удивительнее человеческого ума» [7].

Техника ниндзя

Методы проникновения, подробно описанные в трактатах ниндзя, иллюстрируют поразительную эффективность процессов сбора информации, используемых синоби. Они практиковали два основных способа проникновения: ин-нин (темное ниндзюцу), или умение спрятаться где-нибудь под покровом темноты или иным образом избежать обнаружения, и ё-нин (светлое ниндзюцу) — проникновение у всех на виду, например замаскировавшись под монаха, чтобы избежать подозрений. Иногда синоби применяли оба метода сразу. Например, они могли проникнуть в город замаскированными, а затем ускользнуть от любопытных глаз и спрятаться во рву замка до момента нападения.

Каким бы ни было время суток, синоби отправлялся на задание, зная все возможное о цели, и использовал проверенные временем методы для сбора максимально подробной информации. Синоби изучали рельеф местности, где находилась их цель, обычаи, отношения, интересы и привычки ее жителей. Прежде чем пытаться проникнуть в замок, они проводили разведку, чтобы определить размер, расположение и назначение каждой комнаты, искали места проникновения, определяли, кто там живет и каков распорядок дня (включая даже график кормления домашних животных). Они запоминали имена, звания и должностные обязанности охранников неприятеля, а затем использовали вражеские флаги, эмблемы и униформу, чтобы открыто проникнуть внутрь (ё-нин) буквально рядом со своими ничего не подозревающими целями. Они собирали печати разных лордов, чтобы можно было подделывать их и с их помощью отдавать ложные приказы вражеской армии. Перед тем как вступить в бой, они исследовали размер, силу и возможности армии противника, а также пути ее снабжения, воинские приемы и боевой дух солдат. Если их целью был правитель, они стремились изучить его моральный кодекс и тайные страсти, которые могли помочь погубить его [5].

Синоби учили мыслить творчески с помощью философии «правильного ума». Обучение позволяло им больше узнать об окружающем мире и порождало новые способы действий в полевых условиях. Например, «Сёнинки»учит синоби развивать свои навыки, наблюдая за поведением животных в природе. Если он подходил к вражескому посту, то начинал думать как лиса или волк, то есть не проходил через заграждение, а проявлял терпение и огибал его, даже если приходилось идти много миль. В других случаях было уместно вести себя «как скот или лошадь» [5] на открытом пространстве, возможно, изображая посланника или эмиссара, чтобы приблизиться к врагу, который на человека низшего класса не обратил бы внимания. Независимо от того, как синоби чувствовали себя — даже если они были раскалены добела от гнева, — они выглядели безмятежно, «словно лебеди на водяной глади» [7]. Если им нужно было отвлечь охранника, стоящего на посту, они могли лаять или выть по-собачьи или трясти кимоно, имитируя звук отряхивающейся собаки [7].

Синоби привнесли в военное искусство новшества, которые военные и оперативники практикуют и по сей день, добиваясь успехов, так как именно разведка синоби и безупречное знание целей становились их оружием.

1. Карты сетей

Имея на руках карту, генерал может составить план защиты или атаки замка.

Выбирая время и день перемещения лагеря, необходимо соблюдать ряд принципов. Синоби обязан точно знать географию местности и расстояние до врага.

«Ёсимори хяку-сю», № 9

Раздобыв план замка или лагеря, необходимо как можно скорее вернуться, и именно так должен поступить хороший синоби.

«Ёсимори хяку-сю», № 24

Первый совет, который дается в «Руководстве для командиров» («Бансэнсюкай»),призывает создавать очень точные карты, которые военачальники могли бы использовать для планирования атак против врага [5]. «Ёсимори хяку-сю» в стихах № 6–10 и 24 также подчеркивает важность достаточной детализации карт, чтобы они были полезны и солдатам, и синоби.

Создавать карты командиры обычно поручали синоби. Из трактатов явно следует, что умение точно рисовать видимые объекты — горы, реки, поля — это не то же самое, что рисовать специальные подробные карты разведки объекта атаки, пригодные для целей военной стратегии или проникновения синоби. В трактатах говорится, какие детали важны для ведения войны и ремесла синоби и, следовательно, должны фигурировать на карте [5].

• Все входы и ворота дома, замка или форта. Какие используются замки, защелки и механизмы открывания? Насколько сложно открыть ворота или двери, издают ли они шум при открытии или закрытии?

• Подъездные дороги. Прямые они или изогнутые? Широкие или узкие? Вымощены ли камнем? Ровные или под уклоном?

• Внешний вид, схема и планировка здания. Каковы размер и назначение каждой комнаты? Что хранится в каждой комнате? Скрипят ли в них половицы?

• Обитатели строения. Как зовут жителей? Практикуют ли они какие-нибудь примечательные виды искусства, имеют ли какие-либо навыки? Насколько осторожен или подозрителен каждый из жителей?

• Топология замка и окрестностей. Будет ли видно сигнал изнутри и снаружи помещения? Где хранятся еда, вода и дрова? Насколько широки и глубоки рвы? Насколько высоки стены?

Понятие о картах сети

Картами сети в кибербезопасности называют графы топологии сети, которые описывают физические и/или логические связи и конфигурацию связей (коммуникационные соединения) и узлов (устройств) сети. Чтобы лучше понять концепцию, посмотрите на дорожные карты или карты в атласе. Они описывают физическое местоположение, географические особенности, политические границы и природный ландшафт. Информация о дорогах (связях) — их название, ориентация, длина и пересечения с другими дорогами — может использоваться для прокладки маршрута между местами (узлами). Теперь рассмотрим следующий гипотетический сценарий.

Представьте, что вы живете в мире, где дороги и здания внезапно появляются или исчезают в мгновение ока. У вас есть GPS и координаты места, где вы находитесь и куда хотите пойти, но добраться туда можно лишь по запутанной сети постоянно меняющихся дорог.

К счастью, на каждом перекрестке есть специалисты по навигации (маршрутизаторы), помогающие путешественникам вроде вас найти путь. Эти маршрутизаторы постоянно обращаются к соседним маршрутизаторам и спрашивают у них, какие маршруты и местоположения открыты, чтобы обновить свою таблицу маршрутизации, хранящуюся в буфере обмена. Вам нужно останавливаться на каждом перекрестке и спрашивать у маршрутизатора, как проехать к следующему узлу, показывая проездной, на котором ваш предполагаемый пункт назначения закодирован в координатах GPS. Маршрутизатор проверяет свой буфер обмена на наличие открытых в данный момент маршрутов, делает определенные вычисления и указывает вам направление, записывая на вашем проездном адрес маршрутизатора, а также пробивает в нем отверстие, чтобы отследить количество маршрутизаторов, на которых вы отметились во время поездки, и отправляет вас к следующему маршрутизатору. Этот процесс повторяется, пока вы не достигнете точки назначения. А теперь представьте себе лица картографов, которые, вероятно, бросили бы заниматься созданием карт, будучи не в состоянии уследить за постоянно меняющейся сетью. Составителям карт пришлось бы довольствоваться обозначением ключевых ориентиров и достопримечательностей, общими названиями и нечеткими линиями между этими точками, говорящими о том, что между ними существуют какие-то пути.

Эта гипотетическая для нашего мира ситуация на самом деле существует в киберпространстве, и именно поэтому сетевые карты не так точны, а их обслуживание не так приоритетно, каким должно было бы быть. Отсутствие качественной карты сети — это распространенная проблема организаций, занимающихся кибербезопасностью. Если у организации есть карта, она обычно предоставляется операционному центру безопасности (security operations center, SOC), чтобы его специалисты знали, где в потоке данных находятся датчики или устройства безо­пасности, и могли лучше понять маршрут пакетов, правила брандмауэра, сигналы тревоги и системные журналы. Кроме того, такая карта, скорее всего, довольно абстрактна и описывает только основные функции, такие как границы интернета, периметр сети и интрасети, общее расположение граничных маршрутизаторов или межсетевых экранов, но на ней не указываются сети, концептуальные схемы имеют вид простых кружочков и стрелочек. Пример плохо проработанного, но распространенного вида карты сети, которой пользуются специалисты в области кибербезопасности и ИT, представлен на рис. 1.1.

Чтобы понять, почему на рис. 1.1 показана «плохая» карта, давайте еще раз рассмотрим приведенный в «Бансэнсюкай» совет по составлению карт, но применим кибераналогию.

• Все точки доступа узла в сети. Какие виды интерфейсов доступа присутствуют на устройстве (Ethernet [e], Fast-Ethernet [fe], Gigabit-Ethernet [ge], Universal Serial Bus [USB], Console [con], Loop-back [lo], Wi-Fi [w] и т.д.)? Есть ли фильтрация адресов управления доступом к сети (NAC) или управления доступом к среде (MAC)? Включен или заблокирован доступ к удаленной или локальной консоли? Какой вид физической безопасности реализован? Закрыто ли помещение с серверной стойкой на замок или есть ли хотя бы USB-замки? Ведется ли журнал доступа к интерфейсу? Где находится интерфейс управления сетью и сама сеть? Каков IP-адрес и MAC-адрес каждой точки доступа?

• Граничные шлюзы, переходы и точки выхода. Сколько интернет-провайдеров (internet service provider, ISP) у сервера — один или больше? Используется надежное подключение к интернету (Trusted Internet Connection, TIC) или управляемая служба интернета (Managed Internet Service, MIS)? Какова пропускная способность интернет-соединения? Применяется оптоволокно, Ethernet, коаксиальный кабель или другой канал? Какие переходы ведут к сети? Существуют ли способы входа в сеть или выхода из нее через спутник, микроволновую печь, лазер или вайфай?

• Структура и схема сети. Каковы имя, назначение и размер каждой подсети, например используется ли бесклассовая междоменная маршрутизация (Classless Inter-Domain routing, CIDR)? Задействуются ли виртуальные локальные сети (virtual local area networks, VLAN)? Заданы ли лимиты пула подключений? Является ли сеть плоской, иерархической или разделена на структуры, защитные слои и/или функции?

Рис. 1.1. Упрощенная карта сети

• Хосты и узлы сети. Как они называются? Какая у них версия операционной системы (ОС)? Какие службы/порты используются, какие из них открыты? Какие на них запущены средства безопасности, которые позволят обнаружить атаку? Есть ли у них общеизвестные уязвимости (common vulnerability exploit, CVE)?

• Физическая и логическая архитектура сети и здания. Где находится дата-центр? Есть ли в холле разъемы Ethernet? Можно ли поймать вайфай за пределами здания? Видны ли экраны компьютеров и терминалы снаружи здания? Используется ли в офисе безопасное стекло? Правильно ли сегментированы сети гостевых или конференц-залов? Каковы основные спис­ки управления доступом (access control list, ACL) и правила брандмауэра в этой сети? Где разрешается DNS? Что доступно в периметре сети или DMZ (demilitarized zone)? Существуют ли внешние поставщики электронной почты или другие облачные сервисы? Как устроена архитектура удаленного доступа или виртуальной частной сети (VPN)?

Организации, не имеющие действующей карты сети, иногда используют электрические схемы или схемы, составленные их ИТ-отделом. На таких упрощенных рисунках отражено относительное расположение систем, сетевого оборудования и подключения устройств, и они могут служить справочными материалами для устранения технических или эксплуатационных проблем в сети. Но у множества организаций нет даже таких приблизительных схем, зато есть электронные таблицы, в которых перечислены имена хостов, их модели и серийные номера, IP-адреса, а также расположение всего оборудования на стойке в центре обработки данных. При этом если заинтересованные стороны могут использовать такую таблицу для поиска нужных ответов и серьезных сетевых проблем или сбоев не возникает, то даже само наличие такой документации может препятствовать созданию карты сети. Это ужасно, но у некоторых компаний есть архитектор или специалист, который держит карту сети в голове, и ни в каком другом виде ее не существует.

Справедливости ради стоит сказать, что бывают и разумные причины отсутствия полезных сетевых карт. Создание, совместное использование и обслуживание карт отнимает драгоценное время и другие ресурсы. Карты могут часто меняться. Добавление систем в сеть или их удаление, изменение IP-адресов, переделка кабелей или задание новых правил маршрутизатора или брандмауэра — все это может значительно повлиять на точность карты, даже если изменение произошло всего несколько минут назад. Кроме того, современные компьютеры и сетевые устройства используют протоколы динамической маршрутизации и конфигурации хоста, которые автоматически отправляют информацию в другие системы и сети, не нуждаясь в картах вообще, что означает: сети могут автоматически настраиваться сами.

Разумеется, существует множество программных инструментов для создания карт, например программа Nmap [24], которая сканирует сеть, определяя в ней хосты, визуализирует сеть по количеству переходов от сканера, использует простой протокол управления сетью (Simple Network Management Protocol, SNMP) для обнаружения и отображения топологии сети или задействует файлы конфигурации маршрутизатора и коммутатора для быстрого создания сетевых диаграмм. Сетевые диаграммы, генерируемые программами, удобны, но они редко отражают все подробности и в целом контекст, необходимый для создания по-настоящему качественной карты, которую хотел бы иметь под рукой защитник. Идеальным решением было бы одновременное использование программ для картографии, сетевого сканирования и человеческого опыта, но даже этот подход требует значительных затрат времени сотрудника со специальными навыками, иначе полученные карты не будут достаточно точными или полезными.

Несмотря на эти ограничивающие факторы, чрезвычайно важно, чтобы защитник сети при составлении карты был очень внимателен. Примерная карта, показанная на рис. 1.2, иллюстрирует детали, которые должны быть указаны на составляемой защитником карте сети.

Для представления устройств в сети используют геометрические фигуры, а не пиктограммы. Для схожих типов устройств применяют схожие фигуры. Например, круги на рис. 1.2 обозначают рабочие станции, квадраты — маршрутизаторы, а прямоугольники — серверы. В продолжение этой мысли, треугольники, если бы они были, представляли бы ретрансляторы электронной почты или контроллеры домена. Кроме того, на фигурах отсутствует текстура или фон, потому что информация, размещенная внутри, должна быть хорошо читаемой.

Каждый интерфейс, как виртуальный, так и физический, имеет свой тип и номер. Например, может быть указан тип интерфейса Ethernet, а номер интерфейса будет таким же, как и физически указанный на устройстве, eth 0/0. Также помечаются неиспользуемые интерфейсы. Каждому интерфейсу приписывается назначенный ему IP-адрес и подсеть, если они известны.

Открытая информация об устройстве: имя хоста, марка, модель устройства и версия ОС — указывается в верхней части устройства. Уязвимости, учетные данные по умолчанию, известные учетные данные и другие важные слабости обозначаются в центре устройства. Аналогичным образом документируются запущенные службы, программное обеспечение и открытые порты. На карте также указываются сети VLAN, сетевые границы, макет и структура сети. Рядом с ними записывается любая заслуживающая внимания информация.

Рис. 1.2. Подробная карта сети

Тайный сбор информации

Высшим пилотажем у синоби считалось умение собрать разведданные, не обнаружив себя. Если он будет прогуливаться возле замка и замерять длинной линейкой его размеры, то жители наверняка заподозрят, что тут работает вражеский шпион. Следовательно, старательные синоби составляли карты в мирное время, когда обитатели замка были менее бдительны и можно было более свободно ходить там, где нужно, вызывая во время сбора данных меньше подозрений [5].

Часто синоби приходилось придумывать способы выполнять измерения, отмечать топографические особенности и собирать другую информацию втайне от посторонних глаз. Что характерно, в разделе о методах открытой маскировки трактата «Бансэнсюкай» приведено описание того, как точно создавать карты, и там говорится, что синоби умели создавать карты прямо на глазах у врага. В трактате описывается техника под названием урамитцу но дзюцу [5], предназначенная для определения расстояния до знакомого объекта, если известны размеры объекта для масштабирования. Урамитцу но дзюцу также рассматривает хитрые приемы из тригонометрии. Например, синоби может лечь ступнями к цели и использовать их известные размеры для измерения расстояния, при этом со стороны кажется, что человек просто дремлет под деревом.

Сбор информации о сетевых узлах — одно из первых действий, которое выполняет злоумышленник перед совершением атаки на сеть или хост. Карты, созданные противником, предназначены для того же, что и карты ниндзя, — идентификации и документирования информации, необходимой для проникновения на объект. К этой информации могут относиться все точки входа в сеть и выхода из нее: подключения к интернет-провайдеру, точки беспроводного доступа, УВЧ, микроволновые, радио- или спутниковые точки, облачные, взаимосвязанные и внешние сети.

Злоумышленники также находят шлюзы протокола пограничного шлюза (BGP) и маршруты или переходы к сети. Определяют репрезентативную структуру, расположение и дизайн сети, оборудование в ней, включая имена хостов, модели устройств, операционные системы, открытые порты, запущенные службы и уязвимости, а также топологию сети, включая подсети, VLAN, ACL и правила брандмауэра.

Многие из инструментов, предназначенные для отображения сети и используемые злоумышленниками, являются «шумными», поскольку они обмениваются данными с большим количеством хостов, применяют специально собранные пакеты и могут быть обнаружены внутренними устройствами безопасности. Но злоумышленники могут обойти этот недостаток за счет замедления или настройки картографа, использования нестандартных (неподозрительных) пакетов и даже ручной разведки с помощью стандартных инструментов, работающих на хосте жертвы, таких как команды ping или net. В атаках также могут задействоваться безобидные методы разведки, когда злоумышленник не трогает и не сканирует цель, а лишь собирает информацию с помощью сервиса Shodan или других ранее проиндексированных данных, хранящихся в поисковых системах в интернете.

Более хитроумные злоумышленники пользуются тактикой пассивного отображения сети