Прогнозирование информационных атак. Часть 1

Сразу скажу это не просто, не быстро и не так однозначно как хотелось-бы, но вполне возможно. И мы это уже опробовали.

Только начать нужно с цикла информационной атаки. Именно из понимания данных процессов выросло понимание того, что и где нужно отслеживать. При этом речь идёт о масштабных и долгосрочных проектах, когда атакующий рассчитывает на сотни миллионов выгоды, а мишень может потерять аналогичные объемы. Или о политических проектах. В разовых и не дорогих акциях об этом не вспоминают по разным причинам от незнания об этих тонкостях исполнителем или заказчиком до отсутствия необходимости выстраивания стратегии.

Итак, цикл информационной атаки это последовательность действий, которая в случае необходимости повторяется с возможной корректировкой вплоть до достижения цели. Собственно поэтому и называется циклом.

Что интересно, данный цикл работает и при информационной атаке и при защите от атаки, и прои формировании позитивной репутации и при формировании негативной.

Начинается такая «работа» с планирования. На этапе планирования уточняется конечная цель мероприятия – что хотим получить в результате проекта, разрабатывается примерный план и проводится примерный расчет необходимых ресурсов на основе этого плана. В последствии и план уточняется, и расчет затрат и иногда кардинально уточняется.

Затем начинается подготовка воздействия, что выражается в определении «уязвимостей» и сильных сторон объекта и аудитории, в создании необходимой инфраструктуры для осуществления воздействия и в подготовке ударных материалов – контента, с помощью которого будет осуществляться воздействие.

И только после этого начинается активная фаза – собственно воздействие. Это распространение ударных материалов, отслеживание реакции аудитории и внесение корректировки в воздействие при необходимости (когда аудитория реагирует не так как нужно манипулятору).

Так вот, если смотреть на процесс со стороны защищающегося, то обычно всё начинается с выявления атаки, но выявление атаки это уже опоздание и необходимость бороться с последствиями, хотя чаще всего именно выявление атаки является началом хоть каких-то действий со стороны обороняющегося. Но ведь гораздо важнее выявить подготовку к нападению. В этом случае у вас появляется время на подготовку, на адаптацию своей инфраструктуры под особенности предполагаемой атаки. И тут главное понять, по каким признакам можно определить, что идет подготовка к информационной атаке.

Выявить работу оппонента на этапе «Планирования» можно только агентурными методами, прослушкой, в общем тем, чего в нашем арсенале нет. Да и гражданским структурам такая деятельность крайне противопоказана по правовым причинам. А потому не будем на ней останавливаться. Хотя наблюдение (в интернете) за действиями ключевых фигур вероятного противника, так или иначе могущих быть причастными к подготовке информационной войны, и может дать возможность обнаружить изменения, свойственные принятию или обсуждению решений об информ-агрессии.

На этапе подготовки информационной атаки противник вынужден совершать некоторые предварительные действия оставляющие следы. И если вам удается их обнаружить, то вы имеет возможность спрогнозировать атаку до ее начала, а значит получить время на подготовку к отражению. Например, чтобы воздействие на аудиторию было максимальным, а затраты на такое воздействие свести к минимуму, необходимо понять уязвимости этой аудитории, выявить те темы, на которые аудитория реагирует, определить какие каналы доставки ударного контента наиболее эффективны для этой аудитории, кто для этой аудитории является авторитетным источником и т.п.. Частично ответы на эти вопросы получают в ходе кабинетных исследований, но для проверки гипотезы приходится проводить локальные полевые испытания. Как вариант – опросы, пусть не объемные, пусть полушуточные или провокационные (как например «Самый уродливый памятник»). И такие действия, даже локальные, вполне можно выявлять, оценивать и формировать на основе оценки соответствующие прогнозы.

Другой пример – при создании инфраструктуры часто используют фрилансеров для решения локальных задач. Создать небольшой скрипт для отслеживания активности аккаунта/паблика/группы, или для информирования о чем-то небольшой группы пользователей. Иногда встречаются откровенные предложения помочь в организации ddos-атаки, дать аккаунт в аренду, наставить дизлайков и т.п.. И всё это на площадках фрилансеров.

Так вот отслеживание подобных объявлений и их правильная интерпретация помогает выявить подготовку атаки. Еще вариант – когда собирают группу единомышленников для организации совместной атаки на бренд под видом обиженного клиента, которого кинули на много денег. Сложность лишь в том, что таких площадок много и наиболее интересные расположены в даркнете. Тем-ни менее мы научились такое отслеживать и интерпретировать.

Не менее интересны предложения по распространению какого-то контента на соответствующих биржах. Такие предложения содержат прямое указание на цель, преследуемую пользователем их разместившим. Надеюсь вы понимаете о каких биржах идёт речь.

Еще одно перспективное направление – отслеживание активности вокруг защищаемого объекта на площадках, посвященных созданию и хранению демотиваторов, фотожаб, карикатур и т.п. визуального контента. Здесь, помимо выявления подготовки атаки, можно вовремя выявить зарождение негативного контента.

Продолжение следует. А детальнее можно обсудить в группе "Управление репутацией" в Facebook.