Γιατί οι Red Teams δεν μπορούν να απαντήσουν στις πιο σημαντικές ερωτήσεις των αμυντικών

ΣΧΟΛΙΑΣΜΟΣ

Το 1931, επιστήμονας και φιλόσοφος Alfred Korzybski έγραψε, «Ο χάρτης δεν είναι η περιοχή». Εννοούσε ότι όλα τα μοντέλα, όπως οι χάρτες, αφήνουν έξω κάποιες πληροφορίες σε σύγκριση με την πραγματικότητα. Τα μοντέλα που χρησιμοποιούνται για τον εντοπισμό απειλών στην ασφάλεια στον κυβερνοχώρο είναι εξίσου περιορισμένα, επομένως οι υπερασπιστές θα πρέπει πάντα να αναρωτιούνται: "Η ανίχνευση απειλών μου ανιχνεύει όλα όσα υποτίθεται ότι ανιχνεύει;" Οι δοκιμές διείσδυσης και οι ασκήσεις με κόκκινες και μπλε ομάδες είναι απόπειρες απάντησης σε αυτό το ερώτημα. Ή, για να το θέσω αλλιώς, πόσο πολύ ταιριάζει ο χάρτης μιας απειλής με την πραγματικότητα της απειλής; 

Δυστυχώς, αξιολογήσεις της κόκκινης ομάδας μην απαντάς πολύ καλά σε αυτή την ερώτηση. Η κόκκινη ομαδοποίηση είναι χρήσιμη για πολλά άλλα πράγματα, αλλά είναι το λάθος πρωτόκολλο για την απάντηση σε αυτή τη συγκεκριμένη ερώτηση σχετικά με την αμυντική αποτελεσματικότητα. Ως αποτέλεσμα, οι αμυντικοί δεν έχουν ρεαλιστική αίσθηση του πόσο ισχυρή είναι η άμυνά τους.

Οι αξιολογήσεις της Red-Team περιορίζονται από τη φύση

Οι αξιολογήσεις της κόκκινης ομάδας δεν είναι τόσο καλές στην επικύρωση ότι οι άμυνες λειτουργούν. Από τη φύση τους, δοκιμάζουν μόνο μερικές συγκεκριμένες παραλλαγές μερικών πιθανών τεχνικών επίθεσης που θα μπορούσε να χρησιμοποιήσει ένας αντίπαλος. Αυτό συμβαίνει επειδή προσπαθούν να μιμηθούν μια πραγματική επίθεση: πρώτα ανασκόπηση, μετά εισβολή, μετά πλευρική κίνηση και ούτω καθεξής. Αλλά το μόνο που μαθαίνουν οι υπερασπιστές από αυτό είναι ότι αυτές οι συγκεκριμένες τεχνικές και ποικιλίες λειτουργούν ενάντια στις άμυνές τους. Δεν λαμβάνουν πληροφορίες για άλλες τεχνικές ή άλλες ποικιλίες της ίδιας τεχνικής.

Με άλλα λόγια, εάν οι αμυντικοί δεν εντοπίσουν την κόκκινη ομάδα, αυτό είναι επειδή λείπουν οι άμυνές τους; Ή μήπως επειδή η κόκκινη ομάδα επέλεξε τη μία επιλογή για την οποία δεν ήταν προετοιμασμένη; Και αν όντως εντόπισαν την κόκκινη ομάδα, είναι η ανίχνευση απειλών ολοκληρωμένη; Ή μήπως οι «επιτιθέμενοι» απλώς επέλεξαν μια τεχνική για την οποία ήταν προετοιμασμένοι; Δεν υπάρχει τρόπος να γνωρίζουμε με βεβαιότητα.

Η ρίζα αυτού του ζητήματος είναι ότι οι κόκκινες ομάδες δεν δοκιμάζουν αρκετά τις πιθανές παραλλαγές επίθεσης για να κρίνουν τη συνολική δύναμη των άμυνων (αν και προσθέτουν αξία με άλλους τρόπους). Και οι επιτιθέμενοι έχουν πιθανώς περισσότερες επιλογές από όσες φαντάζεστε. Μία τεχνική που εξέτασα είχε 39,000 παραλλαγές. Άλλος είχε 2.4 εκατομμύρια! Η δοκιμή όλων ή των περισσότερων από αυτά είναι αδύνατη και η δοκιμή πολύ λίγων δίνει μια ψευδή αίσθηση ασφάλειας.

Για προμηθευτές: Εμπιστευτείτε αλλά επαληθεύστε

Γιατί είναι τόσο σημαντική η δοκιμή ανίχνευσης απειλών; Εν ολίγοις, είναι επειδή οι επαγγελματίες ασφάλειας θέλουν να επαληθεύσουν ότι οι πωλητές έχουν πραγματικά πλήρη ανίχνευση για τις συμπεριφορές που ισχυρίζονται ότι σταματούν. Η στάση ασφαλείας βασίζεται σε μεγάλο βαθμό στους πωλητές. Η ομάδα ασφαλείας του οργανισμού επιλέγει και αναπτύσσει σύστημα πρόληψης εισβολής (IPS), εντοπισμό και απόκριση τελικού σημείου (EDR), αναλυτικά στοιχεία συμπεριφοράς χρηστών και οντοτήτων (UEBA) ή παρόμοια εργαλεία και εμπιστεύεται ότι το λογισμικό του επιλεγμένου προμηθευτή θα εντοπίσει τις συμπεριφορές που λέει ότι θα κάνει. Οι επαγγελματίες ασφαλείας θέλουν όλο και περισσότερο να επαληθεύουν τις αξιώσεις των προμηθευτών. Έχω χάσει το μέτρημα του αριθμού των συνομιλιών που έχω ακούσει όπου η κόκκινη ομάδα αναφέρει τι έκανε για να μπει στο δίκτυο, η μπλε ομάδα λέει ότι αυτό δεν θα έπρεπε να είναι δυνατό και η κόκκινη ομάδα σηκώνει τους ώμους και λέει: «Λοιπόν, έτσι το κάναμε…» Οι υπερασπιστές θέλουν να σκάψουν αυτή την ασυμφωνία.

Δοκιμή ενάντια σε δεκάδες χιλιάδες παραλλαγές

Αν και η δοκιμή κάθε παραλλαγής μιας τεχνικής επίθεσης δεν είναι πρακτική, πιστεύω ότι η δοκιμή ενός αντιπροσωπευτικού δείγματος από αυτές είναι. Για να γίνει αυτό, οι οργανισμοί μπορούν να χρησιμοποιήσουν προσεγγίσεις όπως το ανοιχτό κώδικα του Red Canary Ατομική Δοκιμή, όπου οι τεχνικές δοκιμάζονται μεμονωμένα (όχι ως μέρος μιας γενικής αλυσίδας επίθεσης) χρησιμοποιώντας πολλαπλές περιπτώσεις δοκιμής για καθεμία. Αν μια άσκηση με την κόκκινη ομάδα μοιάζει με ποδοσφαιρικό αγώνα, το Atomic Testing είναι σαν να εξασκείς ατομικά παιχνίδια. Δεν θα συμβούν όλα αυτά τα παιχνίδια σε μια πλήρη συμπλοκή, αλλά είναι ακόμα σημαντικό να εξασκηθείτε για τη στιγμή που θα γίνουν. Και τα δύο θα πρέπει να αποτελούν μέρος ενός ολοκληρωμένου προγράμματος εκπαίδευσης, ή σε αυτήν την περίπτωση, ενός ολοκληρωμένου προγράμματος ασφάλειας.

Στη συνέχεια, πρέπει να χρησιμοποιήσουν ένα σύνολο δοκιμαστικών περιπτώσεων που καλύπτουν όλες τις πιθανές παραλλαγές για την εν λόγω τεχνική. Η κατασκευή αυτών των δοκιμών είναι ένα κρίσιμο έργο για τους υπερασπιστές. θα συσχετιστεί άμεσα με το πόσο καλά αξιολογεί η δοκιμή τους ελέγχους ασφαλείας. Για να συνεχίσω την αναλογία μου παραπάνω, αυτές οι δοκιμαστικές περιπτώσεις συνθέτουν τον «χάρτη» της απειλής. Όπως ένας καλός χάρτης, παραλείπουν τις μη σημαντικές λεπτομέρειες και τονίζουν τις σημαντικές για να δημιουργήσουν μια αναπαράσταση της απειλής με χαμηλότερη ανάλυση, αλλά συνολικά ακριβή. Το πώς να δημιουργήσω αυτές τις δοκιμαστικές περιπτώσεις είναι ένα πρόβλημα με το οποίο ακόμα παλεύω (έχω γραμμένο για μερικές από τις μέχρι τώρα δουλειές μου).

Μια άλλη λύση για τα μειονεκτήματα της τρέχουσας ανίχνευσης απειλών είναι η χρήση μωβ ομάδες — να κάνουμε τις κόκκινες και μπλε ομάδες να συνεργαστούν αντί να βλέπουν η μία την άλλη ως αντίπαλο. Η μεγαλύτερη συνεργασία μεταξύ των κόκκινων και μπλε ομάδων είναι κάτι καλό, εξ ου και η άνοδος των υπηρεσιών μωβ. Αλλά οι περισσότερες από αυτές τις υπηρεσίες δεν επιλύουν το θεμελιώδες πρόβλημα. Ακόμη και με περισσότερη συνεργασία, οι αξιολογήσεις που εξετάζουν μόνο μερικές τεχνικές και παραλλαγές επίθεσης εξακολουθούν να είναι πολύ περιορισμένες. Οι υπηρεσίες της Purple-team πρέπει να εξελιχθούν.

Δημιουργία καλύτερων δοκιμαστικών υποθέσεων

Μέρος της πρόκλησης της δημιουργίας καλών δοκιμαστικών περιπτώσεων (και ο λόγος για τον οποίο η συνεργασία της κόκκινης-μπλε ομάδας δεν αρκεί από μόνη της) είναι ότι ο τρόπος με τον οποίο κατηγοριοποιούμε τις επιθέσεις συσκοτίζει πολλές λεπτομέρειες. Η κυβερνοασφάλεια εξετάζει τις επιθέσεις μέσω ενός φακού τριών επιπέδων: τακτικές, τεχνικές και διαδικασίες (TTP). Μια τεχνική όπως ντάμπινγκ διαπιστευτηρίων μπορεί να επιτευχθεί με πολλές διαφορετικές διαδικασίες, όπως το Mimikatz ή το Dumpert, και κάθε διαδικασία μπορεί να έχει πολλές διαφορετικές ακολουθίες κλήσεων συναρτήσεων. Ο ορισμός της «διαδικασίας» γίνεται πολύ δύσκολος πολύ γρήγορα, αλλά είναι δυνατός με τη σωστή προσέγγιση. Η βιομηχανία δεν έχει ακόμη αναπτύξει ένα καλό σύστημα για την ονομασία και την κατηγοριοποίηση όλων αυτών των λεπτομερειών.

Αν θέλετε να δοκιμάσετε την ανίχνευση απειλών, αναζητήστε τρόπους για να δημιουργήσετε αντιπροσωπευτικά δείγματα που δοκιμάζονται σε ένα ευρύτερο φάσμα δυνατοτήτων — αυτή είναι μια καλύτερη στρατηγική που θα επιφέρει καλύτερες βελτιώσεις. Θα βοηθήσει επίσης τους αμυντικούς να απαντήσουν τελικά στις ερωτήσεις που παλεύουν οι κόκκινες ομάδες.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions