«Пока противник рисует карты наступления, мы меняем ландшафты, причём вручную. Когда приходит время атаки, противник теряется на незнакомой местности и приходит в полную небоеготовность» - цитата из фильма ДМБ (2000), на которой основана концепция Automated Moving Target Defense (AMTD, «защита с использованием подвижных целей»).
Технология на первый взгляд выглядит экзотично, но смеяться не стоит: Gartner относит AMTD к ключевым направлениям превентивной кибербезопасности (Preemptive Cybersecurity) в эпоху генеративного ИИ.
Традиционные методы защиты часто проигрывают из-за своей статичности. Инфраструктура остаётся неизменной годами: постоянная IP-адресация, стабильные конфигурации, предсказуемая топология. У атакующих есть достаточно времени на изучение, закрепление и развитие атаки. AMTD ломает эту парадигму, создавая динамичную, постоянно изменяющуюся поверхность атаки - эффект «подвижной цели».
Идея простая: нужно определить, что представляет ценность для злоумышленника, и постоянно это изменять (меняем ландшафты). Чем быстрее и чаще - тем лучше. Это дезориентирует злоумышленника (противник теряется на незнакомой местности), делая собранные им разведданные бесполезными уже через короткий промежуток времени и заставляя атакующих каждый раз начинать сбор сведений сначала (приходит в полную небоеготовность). Историческим аналогом этого метода считают частотную перестройку времён Второй мировой, когда союзники постоянно меняли радиоканалы, чтобы противник не мог долго прослушивать связь. AMTD делает то же самое, но с цифровыми активами, каналами и учетными данными.
На этом простые аналогии заканчиваются. Технология развивается с 2010 годов, но с технической стороны реализация не однозначна и предполагает множество вариантов. На уровне хоста AMTD изменяет версии ОС, конфигурации ПО и расположение хостов, усложняя применение атак, зависящих от конкретной платформы. На сетевом уровне изменяются топология, IP-адресация, маршрутизация, VPN-туннели и порты, что усложняет разведку и горизонтальное продвижение. На уровне приложений обеспечивается динамическое изменение выполнения кода, расположение в памяти, криптографические ключи и структуры данных во время работы. В контейнерных средах ротируются поды и пересоздаются экземпляры инфраструктуры.
Часто AMTD комбинируется вместе с deception-технологиями, чтобы направить атакующего по ложному следу, и Zero Trust, для динамического создания микросегментов или изолированных сред для сдерживания атакующих. Всё это формирует быстро меняющуюся, непредсказуемую среду.
❗️Однако AMTD бесполезна, если ключевые компоненты системы уязвимы. Никакая динамика не спасёт, когда все пути всё равно приведут к уязвимости. Поэтому AMTD эффективна только в комплексе с управлением уязвимостями, киберразведкой, харденигом и другими привычными практиками защиты.
Главная ценность AMTD - смещение парадигмы от реактивной к проактивной защите. Мы не ждём инцидента, а заранее делаем инфраструктуру нестабильной для атакующего, вынуждая его каждый раз начинать с нуля. Когда киберпреступники используют GenAI для ускорения атак, AMTD становится инструментом, который меняет поверхность атаки быстрее, чем ИИ успевает её просканировать и проэксплуатировать.
«Обязательно бахнем. И не раз. Весь мир в труху. Но потом.»
#решенияИБ@oscar_cybersec
