MÄRKUSED
1931. aastal teadlane ja filosoof Alfred Korzybski kirjutas: "Kaart ei ole territoorium." Ta pidas silmas seda, et kõik mudelid, nagu ka kaardid, jätavad tegelikkusega võrreldes välja osa teabe. Küberjulgeoleku ohtude tuvastamiseks kasutatavad mudelid on samamoodi piiratud, nii et kaitsjad peaksid alati endalt küsima: "Kas minu ohutuvastus tuvastab kõik, mida ta peaks tuvastama?" Sellele küsimusele püütakse vastata läbitungimistesti ja punase ja sinise meeskonna harjutustega. Või teisiti öeldes, kui täpselt vastab nende ohukaart ohu tegelikkusele?
Kahjuks punase meeskonna hinnangud ära vasta sellele küsimusele väga hästi. Punane meeskond on kasulik paljude muude asjade jaoks, kuid see on vale protokoll sellele konkreetsele kaitsetõhususe küsimusele vastamiseks. Selle tulemusena pole kaitsjatel realistlikku ettekujutust nende kaitsevõimest.
Punase meeskonna hinnangud on looduse poolt piiratud
Punase meeskonna hinnangud ei ole nii head kaitsemehhanismide toimimise kinnitamiseks. Oma olemuselt testivad nad vaid mõnda konkreetset varianti mõnest võimalikust ründetehnikast, mida vastane saaks kasutada. Seda seetõttu, et nad üritavad jäljendada reaalset rünnakut: esmalt luure, seejärel sissetung, seejärel külgsuunaline liikumine ja nii edasi. Kuid kõik, mida kaitsjad sellest õpivad, on see, et need spetsiifilised tehnikad ja sordid töötavad nende kaitsele vastu. Nad ei saa teavet teiste tehnikate või sama tehnika muude sortide kohta.
Teisisõnu, kui kaitsjad punast meeskonda ei tuvasta, kas see on sellepärast, et nende kaitsed on puudulikud? Või on põhjuseks see, et punane meeskond valis ühe variandi, milleks nad valmis polnud? Ja kui nad avastasid punase meeskonna, siis kas nende ohutuvastus on kõikehõlmav? Või valisid "ründajad" lihtsalt tehnika, milleks nad olid valmis? Ei saa kuidagi kindlalt teada.
Selle probleemi põhjuseks on punased meeskonnad, kes ei testi piisavalt võimalikke rünnakuvariante, et hinnata kaitse üldist tugevust (kuigi need lisavad väärtust muul viisil). Ja ründajatel on tõenäoliselt rohkem võimalusi, kui te mõistate. Ühel tehnikal, mida olen uurinud, oli 39,000 2.4 variatsiooni. Teisel oli XNUMX miljonit! Nende kõigi või enamiku testimine on võimatu ja liiga vähese testimine annab vale turvatunde.
Müüjatele: usaldage, kuid kontrollige
Miks on ohutuvastuse testimine nii oluline? Lühidalt, selle põhjuseks on asjaolu, et turvaspetsialistid tahavad kontrollida, kas müüjad suudavad tõepoolest igakülgselt tuvastada käitumist, mille nad väidetavalt lõpetavad. Turvahoiak põhineb suuresti müüjatel. Organisatsiooni turvameeskond valib ja juurutab sissetungimise vältimise süsteemi (IPS), lõpp-punkti tuvastamise ja reageerimise (EDR), kasutajate ja üksuste käitumise analüüsi (UEBA) või sarnased tööriistad ning usaldab, et valitud müüja tarkvara tuvastab käitumise, mida ta lubab. Turvaspetsialistid soovivad üha enam müüja väiteid kontrollida. Olen kaotanud nende vestluste arvu, mida olen kuulnud ja kus punane meeskond teatas, mida nad võrku sissemurdmiseks tegid, sinine meeskond ütleb, et see ei tohiks olla võimalik, ja punane meeskond kehitab õlgu ja ütleb: "Noh, me tegime seda nii…” Kaitsjad tahavad sellesse lahknevusse süveneda.
Testimine kümnete tuhandete variantide vastu
Kuigi ründetehnika iga variandi testimine ei ole otstarbekas, usun, et on testida neist tüüpilist valimit. Selleks saavad organisatsioonid kasutada selliseid lähenemisviise nagu Red Canary avatud lähtekoodiga Aatomitestimine, kus tehnikaid testitakse individuaalselt (mitte üldise rünnakuahela osana), kasutades igaühe jaoks mitut katsejuhtumit. Kui punase meeskonna harjutus on nagu jalgpalli võitlus, siis aatomitestimine on nagu üksikmängude harjutamine. Kõik need näidendid ei toimu täielikus võitluses, kuid siiski on oluline harjutada, millal need toimuvad. Mõlemad peaksid olema osa laiaulatuslikust koolitusprogrammist või antud juhul mitmekülgsest turvaprogrammist.
Järgmiseks peavad nad kasutama testjuhtumite komplekti, mis hõlmavad kõiki kõnealuse tehnika võimalikke variante. Nende testjuhtumite koostamine on kaitsjate jaoks ülioluline ülesanne; see on otseses korrelatsioonis sellega, kui hästi testimine hindab turvakontrolli. Minu ülaltoodud analoogia jätkamiseks moodustavad need testjuhtumid ohu "kaardi". Nagu hea kaart, jätavad need välja ebaolulised detailid ja tõstavad esile olulised, et luua ohust madalama eraldusvõimega, kuid üldiselt täpne esitus. Nende testjuhtumite koostamine on probleem, millega ma ikka veel maadlen (olen kirjutatud osa minu senisest tööst).
Teine lahendus praeguse ohutuvastuse puudustele on kasutamine lillad meeskonnad — panna punased ja sinised meeskonnad koos töötama, selle asemel, et teineteist vastastena näha. Punase ja sinise meeskonna suurem koostöö on hea, sellest tuleneb ka lilla-meeskonna teenuste tõus. Kuid enamik neist teenustest ei lahenda põhiprobleemi. Ka suurema koostöö korral on hinnangud, mis vaatlevad vaid üksikuid ründetehnikaid ja variante, siiski liiga piiratud. Purple-meeskonna teenused peavad arenema.
Paremate testjuhtumite loomine
Osa heade testjuhtumite loomise väljakutsest (ja põhjus, miks punase-sinise meeskonna koostööst üksi ei piisa) on see, et rünnakute kategoriseerimise viis varjab palju detaile. Küberturvalisus vaatleb rünnakuid läbi kolmekihilise objektiivi: taktikad, tehnikad ja protseduurid (TTP). Selline tehnika nagu volituste dumping saab teostada paljude erinevate protseduuridega, nagu Mimikatz või Dumpert, ja igal protseduuril võib olla palju erinevaid funktsioonikutsete jadasid. "Protseduuri" määratlemine muutub väga kiiresti keeruliseks, kuid õige lähenemisviisi korral on see võimalik. Tööstus ei ole veel välja töötanud head süsteemi kõigi nende detailide nimetamiseks ja kategoriseerimiseks.
Kui soovite oma ohutuvastust proovile panna, otsige viise, kuidas luua representatiivseid valimeid, mis testivad laiema hulga võimaluste suhtes – see on parem strateegia, mis toob kaasa paremaid täiustusi. Samuti aitab see kaitsjatel lõpuks vastata küsimustele, millega punased meeskonnad vaeva näevad.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions
- :on
- :mitte
- : kus
- $ UP
- 000
- 39
- 7
- a
- MEIST
- üle
- saavutatud
- täpne
- tegelikult
- lisama
- vastu
- Materjal: BPA ja flataatide vaba plastik
- Ka
- Kuigi
- alati
- an
- analytics
- ja
- Teine
- vastus
- lähenemine
- lähenemisviisid
- OLEME
- AS
- küsib
- hindab
- hinnangud
- At
- aatomi-
- rünnak
- Reageerib
- Katsed
- põhineb
- BE
- sest
- käitumine
- käitumist
- Uskuma
- Parem
- vahel
- sinine
- mõlemad
- Murdma
- ehitama
- Ehitus
- kuid
- by
- Kutsub
- CAN
- juhul
- juhtudel
- kategoriseerimine
- kett
- väljakutse
- Vali
- Valisin
- nõudma
- nõuete
- lähedalt
- võrreldes
- terviklik
- jätkama
- kontrolli
- vestlused
- koostöö
- võiks
- cover
- looma
- otsustav
- Praegune
- Küberturvalisus
- Kaitsjad
- kaitse
- määratlemisel
- juurutab
- detail
- detailid
- avastama
- Detection
- arenenud
- DID
- erinev
- raske
- DIG
- otse
- lahknevus
- do
- ei
- don
- iga
- efektiivsus
- Lõpp-punkt
- piisavalt
- üksus
- Isegi
- kõik
- arenema
- Teostama
- vale
- kaugele
- vähe
- Lõpuks
- esimene
- Määrama
- jalgpall
- eest
- Alates
- täis
- funktsioon
- põhiline
- saama
- saamine
- annab
- hea
- olnud
- juhtuda
- Olema
- he
- kuulnud
- aitama
- sellest tulenevalt
- Esile tõstma
- Kuidas
- Kuidas
- HTTPS
- i
- if
- oluline
- võimatu
- parandusi
- in
- Teistes
- üha rohkem
- eraldi
- Üksikult
- tööstus
- info
- selle asemel
- sisse
- pole
- probleem
- IT
- ITS
- jpg
- kohtunik
- lihtsalt
- Teadma
- puuduvad
- suurelt jaolt
- Õppida
- Lahkuma
- nagu
- piiratud
- Vaata
- otsin
- välimus
- kadunud
- Partii
- tegema
- palju
- kaart
- kaardid
- Vastama
- tähendas
- mudelid
- rohkem
- kõige
- liikumine
- mitmekordne
- my
- nimetamine
- loodus
- Vajadus
- võrk
- ei
- number
- of
- on
- ONE
- ones
- ainult
- avatud
- vastased
- valik
- Valikud
- or
- organisatsioon
- organisatsioonid
- Muu
- välja
- üldine
- kõikehõlmav
- enda
- osa
- hõlvamine
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängib
- rohke
- võimalused
- võimalik
- Praktiline
- tava
- valmis
- Ennetamine
- tõenäoliselt
- Probleem
- menetlus
- menetlused
- tootma
- spetsialistid
- Programm
- PROS
- protokoll
- panema
- küsimus
- Küsimused
- kiiresti
- RE
- päris maailm
- realistlik
- Reaalsus
- mõistma
- põhjus
- Red
- Aruanded
- esindamine
- esindaja
- vastus
- kaasa
- õige
- Tõusma
- juur
- s
- sama
- ütleb
- teadlane
- turvalisus
- nägemine
- väljavalitud
- tunne
- Teenused
- komplekt
- Lühike
- puudused
- peaks
- sarnane
- Samamoodi
- So
- nii kaugel
- tarkvara
- lahendus
- mõned
- konkreetse
- Veel
- Peatus
- Strateegia
- tugevus
- tugev
- võitlus
- peaks
- kindel
- süsteem
- taktika
- Ülesanne
- meeskond
- meeskonnad
- tehnika
- tehnikat
- kümneid
- territoorium
- test
- katsetatud
- Testimine
- kui
- et
- .
- oma
- Neile
- ennast
- SIIS
- Seal.
- Need
- nad
- asi
- asjad
- see
- need
- tuhandeid
- oht
- ähvardused
- Läbi
- et
- kokku
- liiga
- töövahendid
- koolitus
- Usalda
- Usub
- üritab
- kasutama
- Kasutatud
- Kasutaja
- kasutamine
- valideerimine
- väärtus
- variant
- Ve
- müüja
- müüjad
- kontrollima
- väga
- tahan
- Tee..
- kuidas
- we
- Hästi
- olid
- ei olnud
- M
- millal
- miks
- laiem
- Wikipedia
- will
- koos
- sõnad
- Töö
- koos töötama
- töö
- Vale
- kirjutas
- veel
- sa
- Sinu
- sephyrnet
