Использование психологии для усиления кибербезопасности

Психология для усиления кибербезопасности

.fav_bar { float:left; border:1px solid #a7b1b5; margin-top:10px; margin-bottom:20px; } .fav_bar span.fav_bar-label { text-align:center; padding:8px 0px 0px 0px; float:left; margin-left:-1px; border-right:1px dotted #a7b1b5; border-left:1px solid #a7b1b5; display:block; width:69px; height:24px; color:#6e7476; font-weight:bold; font-size:12px; text-transform:uppercase; font-family:Arial, Helvetica, sans-serif; } .fav_bar a, #plus-one { float:left; border-right:1px dotted #a7b1b5; display:block; width:36px; height:32px; text-indent:-9999px; } .fav_bar a.fav_print { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_print:hover { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.mobile-apps { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #FFF; background-size: 10px; } .fav_bar a.mobile-apps:hover { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #e6e9ea; background-size: 10px} .fav_bar a.fav_de { background: url(/images/icons/de.gif) no-repeat 0 0 #fff } .fav_bar a.fav_de:hover { background: url(/images/icons/de.gif) no-repeat 0 0 #e6e9ea } .fav_bar a.fav_acm_digital { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_acm_digital:hover { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_pdf { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_pdf:hover { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_more .at-icon-wrapper{ height: 33px !important ; width: 35px !important; padding: 0 !important; border-right: none !important; } .a2a_kit { line-height: 24px !important; width: unset !important; height: unset !important; padding: 0 !important; border-right: unset !important; border-left: unset !important; } .fav_bar .a2a_kit a .a2a_svg { margin-left: 7px; margin-top: 4px; padding: unset !important; }

Crédit : Gorodenkoff

Психология изучает человеческое поведение, делая выводы о том, что люди думают, исходя из того, что они делают. Киберпсихология изучает, как люди ведут себя в Интернете.

Новая исследовательская программа по киберпсихологии, Reimagining Security with Cyberpsychology-Informed Network Defenses (ReSCIND) от Агентства разведки Министерства обороны США (IARPA, https://bit.ly/3V39fk8), фокусируется на том, как действуют и думают киберпреступники.

По словам менеджера программы IARPA Кимберли Фергюсон-Уолтер, программа ReSCIND направлена на изучение киберпсихологии киберпреступников с целью выявления слабых мест в их мышлении для улучшения кибербезопасности.

Исследования могут привести к созданию киберзащиты, замедляющей или предотвращающей атаки путем использования этих слабых мест для влияния на поведение злоумышленников. Программа ReSCIND применит научные методы к людям, проявляющим киберпреступное поведение.

Государство и частный сектор привлекают поставщиков кибербезопасности для защиты информационных активов с использованием передовых технологий обмана.

По словам Фергюсон-Уолтер, классические методы обмана использовали фиктивные машины и пароли, называемые приманками и медовыми токенами, чтобы привлечь и отвлечь киберпреступников, одновременно предупредив киберзащитников.

Современные методы обмана используют преимущества новейших технологий для защиты сложных современных информационных технологий (IT) и операционных технологий (OT).

Киберпсихологи и эксперты по кибербезопасности одинаково надеются на улучшение киберпсихологии в области кибербезопасности. Некоторые имеют краткосрочные ожидания от практических применений.

Однако остаются некоторые проблемы.

Вернуться в начало

Как киберпсихология может укрепить кибербезопасность

Большая часть прогресса в области кибербезопасности связана с киберпсихологией, сказал Фред Коэн, американский ученый-компьютерщик, наиболее известный как создатель методов защиты от компьютерных вирусов, в настоящее время являющийся генеральным директором компании Management Analytics.

“Поле киберпсихологии гораздо более богатое, чем техническое поле. Мы в значительной степени исчерпали технические аспекты кибербезопасности”, – сказал Коэн.

По мнению Коэна, экспериментальные исследования, которые привели к его статье 2001 года “Эксперименты красного командирования” с технологиями обмана, установили долгосрочную жизнеспособность киберпсихологии в области кибербезопасности.

Программа IARPA ReSCIND может вывести киберпсихологию за пределы методов обмана.

“Программа ReSCIND нацелена на улучшение кибербезопасности путем разработки нового набора защит, основанных на киберпсихологии и использующих ограничения людей, совершающих атаки, такие как их врожденные предубеждения в принятии решений или психологические уязвимости”, – сказал Фергюсон-Уолтер.

Предубеждения киберпреступника – это слабости в их мышлении, которые приводят их к определенным поведенческим реакциям во время атак. Используя киберпсихологию, защитники могут использовать эти слабости, провоцируя поведение в свою пользу.

По словам Фергюсон-Уолтера, программа IARPA ReSCIND хочет разработать алгоритмы, которые автоматически адаптируют новые киберзащиты к тем же поведенческим реакциям киберпреступников, наблюдаемым в исследованиях.

Исследование Палви Аггарвал, доцента кафедры компьютерных наук Университета Техаса в Эль-Пасо, дает пример того, как могут работать такие алгоритмы.

В исследовании Аггарвал, опубликованном в журнале Computer & Security, злоумышленники были склонны к избеганию риска в принятии решений. Криминальные хакеры демонстрировали свое избегание риска, проявляя предпочтение к атакам на машины с низкой прибылью, но с высокой вероятностью успеха. Очень важно для них было избежать появления неудачи атаки, чем получить значительную выгоду от своих усилий.

Если, например, программа ReSCIND может использовать результаты Аггарвал в своих алгоритмах, полученные киберзащиты могут представлять для криминальных хакеров цели с низким риском и низкой прибылью, чтобы отвлечь их от наиболее ценных активов, которые организация должна защищать наиболее тщательно.

Аггарвал подал заявку на участие в программе ReSCIND.

Вернуться в начало

Узнать, как думают киберпреступники

Программа ReSCIND нуждается в новых исследованиях с участием людей, чтобы изучить динамические задачи кибератак с опытными участниками, заявил Фергюсон-Уолтер.

Программа ReSCIND должна изучать субъектов, занимающихся киберпреступным поведением.

Мэри Эйкен, профессор киберпсихологии в Колледже технологии Capitol в Лореле, штат Мэриленд, которая подала заявку на участие в программе ReSCIND, собрала интересные данные о поведении киберпреступников среди людей.

По словам Эйкен, она исследовала человеческие и технические факторы, обуславливающие киберпреступность, во время своей работы в качестве главного исследователя в паневропейском исследовательском проекте. Эйкен сказала, что она провела опрос среди 8 000 подростков в возрасте от 16 до 19 лет в девяти странах Евросоюза.

В результате этого исследования она обнаружила, что почти половина участников (47,76%) заявила, что занималась киберпреступной деятельностью в предыдущие 12 месяцев, сказала Эйкен.

Она также обнаружила, что 11,8% опрошенных подростков заявили, что используют форумы Dark Web, а еще более тревожным фактом является то, что 10,7% заявили о использовании Darknet Markets, сообщила она.

Darknet Markets предоставляют вредоносные инструменты для киберпреступников и украденные данные, включая учетные данные пользователей (такие как имена пользователей и пароли).

“Уникальное и важное открытие нашего исследования заключается в сильной связи между основными рисками и киберпреступным поведением”, – сказала Эйкен. Среди таких поведений были взлом, кибермошенничество и кража личности, среди прочего, по словам Эйкен.

В опросе 8 000 подростков в возрасте от 16 до 19 лет в девяти европейских странах почти половина призналась, что занималась киберпреступной деятельностью в предыдущие 12 месяцев.

“Мы также исследовали соответствующие поведенческие черты”, – сказала Эйкен. Включая компульсивное, импульсивное и навязчивое поведение в Интернете, пояснила она.

Фергюсон-Уолтер предположил несколько когнитивных предубеждений, которые могут влиять на поведение атакующих. Новые решения для защитников могут использовать эти предубеждения, чтобы заставить атакующего поверить, что они добились большой степени замутнения внутри сети, чтобы они стали брать больше рисков. Таким образом, защитникам станет легче их поймать.

“Но у защитника в сфере кибербезопасности могут быть иные цели”, – сказала Фергюсон-Уолтер. “Они могут желать, чтобы злоумышленники проявляли менее рискованное поведение, поскольку они пытаются защитить некий ключевой актив и нуждаются в большем времени для смягчения атаки”, – пояснила она.

Вернуться наверх

Как киберпсихология используется в кибербезопасности

Достижения в области техник обмана, таких как цифровые двойники и симуляции операционных технологий (OT), хорошо служат как публичным, так и частным организациям.

В статье “Управление внешней поверхностью атаки с использованием цифровых двойников: кейс-стади” ( https://bit.ly/3UZDA3b ) описывается, как один из клиентов CounterCraft, мирового банка, использовал решение компании The Edge для создания цифрового двойника своей системы программного интерфейса (API) для привлечения злоумышленников и сбора информации об атаках на системы банка.

Цифровой двойник неотличим от настоящей системы. Благодаря ему банк смог быстро привлечь организованную успешную атаку на цифрового двойника. Банк использовал решение The Edge для сбора и фильтрации тактик, методов и процедур (TTP) атакующих и указателей компрометации (IoC). IoC являются признаками атаки, а TTP – способами, которыми киберпреступники осуществляют атаки. Запись атаки позволила банку укрепить систему API и другие системы против подобных уязвимостей в будущих атаках.

Согласно докладу Pacific Northwest National Laboratory (PNNL) и Attivo Networks под названием “Модельно-ориентированный обман для защиты среды операционных технологий”, Министерство энергетики США (DoE) использует технологии обмана для защиты критической инфраструктуры. Доклад рассказывает о концептуальной модели использования обмана для защиты операционной технологии (OT) на подстанции электроснабжения.

Концептуальная модель использовала платформу Attivo BOTsink, которая представляла реалистичные, но симулированные результаты атаки на OT злоумышленникам. Решение BOTsink убедило злоумышленников, что датчики ниже по потоку обнаружили, как они выключили симулированный клапан.

Устройства OT взаимодействуют с использованием нескольких сетевых протоколов, контролируя и мониторя переменные и реагируя в соответствии с определенной логикой. Контроллеры и приложения OT обмениваются командами на основе данных сенсоров. Злоумышленники ожидают увидеть реакции в контроллерах в ответ на их вредоносную деятельность.

Симуляция OT предвидела симптомы и события реального мира и эффективно их дублировала. (Sentinel One приобрела Attivo Networks в 2022 году.)

Вернуться наверх

Краткосрочные результаты, надежды и проблемы

Практические применения исследований по киберпсихологии должны появиться на рынке в течение трех-пяти лет, согласно словам Джастина Каппоса, доцента факультета компьютерных наук и инженерии Нью-Йоркского университета Тэндонской школы инженерии. “Мы рассматриваем более интуитивное поведение API и более умное использование мобильных телефонов, такое как использование разрешений и политик конфиденциальности на смартфонах”, – сказал Каппос.

“Здесь злоумышленниками являются разработчики API в Facebook, зарабатывающие на том, чтобы пользователи неправильно оценивали свою конфиденциальность. Они злоупотребляют слабостями пользователей для достижения своих целей”, – сказал Каппос. “Лучшие API настолько понятны, что их сложно использовать неправильно. Осведомленный пользователь часто принимает совсем иные решения о конфиденциальности, чем сегодня”, – сказал он.

Таким образом, понимание киберпсихологии разработчиков API может усилить кибербезопасность, требуя прозрачных и интуитивных API во всей отрасли. Это также может информировать пользователей, которые могут отказывать в разрешениях для приложений на смартфонах и принимать другие решения в области конфиденциальности.

Однако остаются проблемы в сфере киберпсихологии.

Во-первых, “нам нужно больше хороших исследователей в этой области киберпсихологии”, – сказал Каппос.

“Здесь есть большой потенциал. Просто требуется сочетание глубоких технических и психологических навыков. Редко встречаются люди с такими навыками вместе”, – сказал Каппос.

Тем не менее, осознание важности области киберпсихологии растет, и финансирование от IARPA для программы ReSCIND – это явный признак этого.

“Когда правительство инвестирует деньги в какую-то область, это может стимулировать исследования во всей отрасли и академии. Мы инвестируем в высокорисковые и высоковознагражденные исследования, чтобы достичь того, чего бы индустрия и академия не преследовали самостоятельно”, – сказала Фергюсон-Уолтер, относясь к недавним инвестициям IARPA в киберпсихологию через программу ReSCIND.

Будет интересно увидеть, что могут сделать хорошо финансируемые исследования в области киберпсихологии для кибербезопасности. Однако ни количество денег не сделает ее панацеей от киберугроз.

“Нельзя сказать, что только киберпсихология может существенно изменить ситуацию, поскольку столько людей пытаются атаковать нас со всех сторон.”

По словам Каппоса: “Сомнительно, что киберпсихология в одиночку сможет значительно повлиять, поскольку столько людей пытаются атаковать нас со множества направлений. Я оптимистично отношусь к тому, что она поможет нам улучшить некоторые вещи. Тем не менее, я не думаю, что она станет серебряной пулей для проблем кибербезопасности.”

Дальнейшее чтение

CounterCraft—Ложь в киберпространстве. Военное инновационное управление США, www.diu.mil

Ferguson-Walter, K.J. Эмпирическая оценка эффективности обмана в киберзащите. Март 2020. Университет Массачусетса, Амхерст. https://core.ac.uk/download/pdf/288433305.pdf

Edgar, T.W., Hofer, W., и Feghali, M. Модельно-ориентированный обман для защиты эксплуатационных технологических сред. Сентябрь 2020. Лаборатория Северо-Западного регионального центра по национальной безопасности. Attivo Networks. https://bit.ly/3AqD7xi

Aggarwal, P. и др. Проектирование эффективных стратегий маскировки для киберзащиты на основе экспериментов с участием людей и когнитивных моделей. Июнь 2022. Computer & Security. https://www.sciencedirect.com/science/article/pii/S0167404822000700

Fred Cohen & Associates, Эксперименты Red Teaming с технологиями обмана, http://all.net/journal/deception/experiments/experiments.html

Вернуться наверх

Автор

Дэвид Гир – журналист, специализирующийся на вопросах кибербезопасности. Он пишет из Кливленда, Огайо, США.

©2023 ACM  0001-0782/23/10

Разрешается делать цифровые или бумажные копии частично или полностью данной работы для личного или учебного использования без оплаты, при условии, что копии не создаются или не распространяются с целью получения прибыли или коммерческой выгоды, и что копии содержат данное уведомление и полную ссылку на первую страницу. Права на авторские компоненты данной работы, принадлежащие другим лицам, должны быть соблюдены. Разрешено реферирование с указанием авторства. Для копирования в других случаях, для повторной публикации, размещения на серверах или рассылки спискам требуется предварительное специфическое разрешение и/или оплата. Запросить разрешение на публикацию можно по адресу permissions@acm.org или факсу (212) 869-0481.

Цифровая библиотека издается Ассоциацией вычислительной техники. Авторское право © 2023 ACM, Inc.