Представляется также нужным отметить основные направления деятельности, которые связаны с киберзащитой инфраструктуры США. Как правило, эта деятельность осуществляется на уровне межведомственного взаимодействия. Министерство внутренней безопасности, ФБР и еще ряд служб также уполномочены заниматься защитой правительственных компьютерных сетей США.
По официальным данным, диапазон, темп, настойчивость и интенсивность киберугроз для правительственных сетей США продолжают расти. Цели этих атак различаются и включают в себя составление схем государственных сетей, создание баз персональных данных и кражи интеллектуальной собственности. Злоумышленниками являются государственные структуры и неправительственные субъекты.
Через несколько лет после своего запуска Киберкомандование США подсчитало, что ежечасно осуществляется 250 000 попыток атак, или более чем 6 миллионов в день, на правительственные сети США. Интернетом пользуются более 3 миллиардов человек, и к нему еще подключено несколько миллиардов устройств, формируя так называемый Интернет вещей (IgT). Прогнозировалось, что к 2020 г. количество соединений Интернета вещей превысит 25 миллиардов устройств. Такое расширение означает, что все большее число правительственных интернет-пользователей, данных и систем будет поставлено под угрозу.
Утрата государственной интеллектуальной собственности является еще одним важным поводом для беспокойства. В США считают, что у России и Китая имеются действующие программы для проникновения в правительственные сети США с целью овладения интеллектуальной собственностью. Китай использует эти вторжения, чтобы сократить разрыв в собственных исследовательских программах, выявить будущие цели, собрать разведывательную информацию об американских стратегиях и планах, готовить будущие военные операции, уменьшить затраты времени и средств для разработки военных технологий, а также определить уязвимые места в американских системах и разработать действенные контрмеры. Например, утраты интеллектуальной собственности США, в том числе чертежей и технических данных по самолетам F-22 и F-35, на 2015 г. составили более $1 трлн.
Нарушения, выявленные в правительственных сетях США за последние годы, ясно показали необходимость разработки систем для оценки состояния внутренних правительственных сетей и их защиты от вторжения. Подобные события также вызвали озабоченность по поводу растущей изощренности угроз для сохранности персональных данных, функционирования сетей и даже выполнения отдельных операций.
Две основополагающие программы кибербезопасности Министерства внутренней безопасности США – это «Эйнштейн» (также называется «Эйнштейн 3А») и CDM. Эти две системы предназначены для работы в тандеме, при этом «Эйнштейн» фокусируется на борьбе с внешними угрозами для федеральных сетей, а CDM – для их выявления уже внутри государственных сетей.
Программа Непрерывной Диагностики и Подавления (Continuous Diagnostics and Mitigation – CDM) является базовым инструментом для обеспечения безопасности правительственных сетей. Концепция программы разрабатывалась с целью предоставления набора инструментов для обеспечения сетевых администраторов возможностью знать состояние своих сетей, для информирования о текущих угрозах и оказания помощи системному персоналу в выявлении и устранении сетевых проблем. CDM разрабатывалась не как автономная система, а как составная часть комплексной «системы систем». Ее создателем является компания Booz Allen Hamilton. Система «Эйнштейн», которая обеспечивает круговую защиту правительственных сетей США по внешнему периметру, является вспомогательной системой для CDM. «Эйнштейн» функционирует с помощью установки датчиков в точках доступа и использует сигнатурные методы для выявления кибератак. «Эйнштейн» создает защитный периметр вокруг федеральных (или правительственных) пользователей, а также вокруг некоторых пользователей в доменах. com, которые несут ответственность за критические инфраструктурные объекты.
С другой стороны, система CDM предназначена для встраивания систем датчиков во внутренние государственные сети. Эти датчики дают возможность в режиме реального времени выявлять аномальное поведение и сообщать об этом администраторам через масштабируемую приборную панель. CDM состоит из имеющегося в наличии коммерческого оборудования, сопряженного с индивидуальными приборными панелями, которые можно подгонять под нужды администраторов каждого уровня.
CDM обеспечивает федеральные министерства и агентства возможностями и средствами для определения киберрисков на постоянной основе, установления их приоритетности с помощью оценки возможных последствий и оказания помощи сотрудникам кибербезопасности в решении наиболее серьезных первоочередных проблем. Ранее Конгресс США одобрил создание программы CDM как адекватной и экономически эффективной меры по обеспечению кибербезопасности и более эффективному распределению ресурсов.
В США правительственные чиновники и эксперты считают, что CDM и «Эйнштейн» следует рассматривать как часть многоуровневой оборонной стратегии, но они не могут быть единственным используемым инструментом. По их мнению, ни одна технология или решение не может использоваться самостоятельно, поэтому необходим системный подход к кибербезопасности.
Последние изменения, связанные с кибербезопасностью, коснулись Национальной гвардии США: теперь подразделения этой службы будут поставлять услуги губернаторам штатов и обеспечивать кибербезопасность, особенно фокусируясь на вымогателях. Генерал Джозеф Ленджиел, возглавляющий Бюро Национальной гвардии США, отметил, что до этого особо не обращали внимания на эту проблему, но теперь необходимы новые знания и умения. Но если поиски вымогателей касаются в основном внутренней политики, то остальные службы больше обеспокоены влиянием извне.
Несколько ранее в Северной Вирджинии создали специальную группу, которая занялась вопросами краудсорсинга в области безопасности машин для голосования. Также были созданы специальные команды в ряде штатов для мониторинга и отражения вредоносных атак на правительственные компьютерные системы.
В феврале 2015 г. разведывательное сообщество США объявило о конкурсе по проектированию программного обеспечения с открытым исходным кодом для прогнозирования кибератак, до того, как они произойдут. IBM выразила заинтересованность в проекте CAUSE. Это слово переводится с английского как «причина», но на самом деле это аббревиатура от Cyber-attack Automated Unconventional Sensor Environment – «Неконвенциональная автоматизированная сенсорная среда по кибератакам». Проект был представлен 21 января 2015 г.. CAUSE является детищем Управления по предвидению «сюрпризов», подчиняющегося директору Национальной разведки США.
Руководитель программы IARPA Роб Рамер указывал, что традиционные методы выявления «индикаторов» хакерской активности неэффективны в определении угроз.
Это «отрасль, которая вложила значительные средства в анализ эффектов или симптомов кибератак вместо анализа и смягчения причин кибератак», – отметил Рамер, который ведет программу CAUSE. «Вместо того, чтобы докладывать о соответствующих событиях, которые происходят сегодня или в предыдущие дни, лицам, принимающим решения, полезно знать, что, вероятно, произойдет завтра».
Киберпсихические боты проекта будут анализировать ситуацию, когда злоумышленник попытается взломать систему или установить вредоносный код. Прогнозы ориентированы на сообщения о том, когда хакер может затопить сеть фиктивным трафиком, который замораживает операции (так называемые DoS-атаки).
Такие управляемые компьютером предсказания уже применялись для прогнозирования распространения лихорадки Эбола, других вспышек заболеваний и политических восстаний. Но мало кто из исследователей использовал такую технологию для прогнозов кибератак. Цель состоит в том, чтобы не заменить людей аналитиков, а помочь им в осмыслении огромного количества доступной информации.
Засекреченная программа будет тралить ключи в социальных сетях. Ключи могут быть найдены в Twitter, Facebook и других социальных медиа, а также онлайн-дискуссиях, каналах новостей, веб-поиске и многих других онлайн-платформах. Нетрадиционные источники прослушивания могут включать черный рынок по продаже программ и модели группового поведения хакеров. A машины будут пытаться определить их мотивы и намерения. После этого математические формулы, или алгоритмы, будут анализировать эти потоки данных для генерации возможных ударов.
Исследователи компании Battelle, занимающейся развитием технологий, считают, что они могли бы использовать системы быстрой обработки данных, например, Hadoop и Apache Spark. Recorded Future, одна из дочерних фирм ЦРУ, уже знает, как генерировать модели поведения хакеров, осваивая источники общественной информации, такие как интернет-трафик, социальные сети и новости. Но анализ компании не учитывает сетевую активность внутри целевой организации, поскольку такие данные, как правило, являются конфиденциальными.