Miksi punaiset joukkueet eivät voi vastata puolustajien tärkeimpiin kysymyksiin?

KOMMENTIT

Vuonna 1931 tiedemies ja filosofi Alfred Korzybski kirjoitti: "Kartta ei ole alue." Hän tarkoitti, että kaikki mallit, kuten kartat, jättävät pois joitakin tietoja todellisuuteen verrattuna. Kyberturvallisuuden uhkien havaitsemiseen käytetyt mallit ovat samoin rajallisia, joten puolustajien tulisi aina kysyä itseltään: "Tunnistaako uhkien havaitsemiseni kaiken, mitä sen pitäisi havaita?" Penetraatiotestaus ja puna- ja sininen-joukkueen harjoitukset ovat yrityksiä vastaamaan tähän kysymykseen. Tai toisin sanoen, kuinka tarkasti heidän uhkakartansa vastaa uhan todellisuutta? 

Valitettavasti, punaisen joukkueen arvioita älä vastaa tähän kysymykseen kovin hyvin. Red teaming on hyödyllinen moniin muihin asioihin, mutta se on väärä protokolla vastata tähän erityiseen puolustuksen tehokkuutta koskevaan kysymykseen. Tämän seurauksena puolustajilla ei ole realistista käsitystä siitä, kuinka vahva heidän puolustuksensa on.

Red-Team-arvioinnit ovat luonteeltaan rajoitettuja

Punaisen joukkueen arviot eivät ole kovin hyviä vahvistamaan puolustusten toimivuutta. Luonteeltaan ne testaavat vain muutamia tiettyjä muunnelmia muutamista mahdollisista hyökkäystekniikoista, joita vastustaja voisi käyttää. Tämä johtuu siitä, että he yrittävät jäljitellä todellista hyökkäystä: ensin tiedustelu, sitten tunkeutuminen, sitten sivusuuntainen liike ja niin edelleen. Mutta puolustajat oppivat tästä vain, että kyseiset erityiset tekniikat ja lajikkeet toimivat heidän puolustustaan ​​vastaan. He eivät saa tietoa muista tekniikoista tai muista saman tekniikan lajikkeista.

Toisin sanoen, jos puolustajat eivät havaitse punaista joukkuetta, johtuuko se siitä, että heidän puolustuksensa puuttuu? Vai johtuuko se siitä, että punainen joukkue valitsi yhden vaihtoehdon, johon he eivät olleet valmistautuneet? Ja jos he havaitsivat punaisen joukkueen, onko heidän uhkien havaitseminen kattava? Vai valitsivatko "hyökkääjät" vain tekniikan, johon he olivat valmistautuneet? Ei ole mitään keinoa tietää varmasti.

Tämän ongelman syy on se, että punaiset joukkueet eivät testaa tarpeeksi mahdollisia hyökkäysvaihtoehtoja arvioidakseen puolustusten yleistä vahvuutta (vaikka ne tuovat lisäarvoa muilla tavoilla). Ja hyökkääjillä on luultavasti enemmän vaihtoehtoja kuin ymmärrät. Yhdessä tutkimassani tekniikassa oli 39,000 2.4 muunnelmaa. Toisella oli XNUMX miljoonaa! Kaikkien tai useimpien näiden testaaminen on mahdotonta, ja liian harvojen testaus antaa väärän turvallisuuden tunteen.

Myyjille: Luota mutta varmista

Miksi uhkien havaitsemisen testaus on niin tärkeää? Lyhyesti sanottuna se johtuu siitä, että tietoturva-ammattilaiset haluavat varmistaa, että myyjät todella pystyvät havaitsemaan kattavasti käyttäytymisen, jonka he väittävät lopettavansa. Turvallisuusasento perustuu suurelta osin myyjiin. Organisaation tietoturvatiimi valitsee ja ottaa käyttöön tunkeutumisen estojärjestelmän (IPS), päätepisteiden havainnoinnin ja vastauksen (EDR), käyttäjien ja entiteettien käyttäytymisanalytiikan (UEBA) tai vastaavat työkalut ja luottaa siihen, että valitun toimittajan ohjelmisto havaitsee käytöksensä. Tietoturva-ammattilaiset haluavat yhä useammin varmistaa myyjien väitteet. Olen menettänyt laskennan kuulemieni keskustelujen lukumäärästä, joissa punainen tiimi raportoi, mitä he tekivät murtautuakseen verkkoon, sininen tiimi sanoo, että sen ei pitäisi olla mahdollista, ja punainen tiimi kohauttaa olkiaan ja sanoo: "No, teimme sen niin…” Puolustajat haluavat kaivaa tätä ristiriitaa.

Testaus kymmeniä tuhansia vaihtoehtoja vastaan

Vaikka jokaisen hyökkäystekniikan muunnelman testaaminen ei ole käytännöllistä, uskon, että niistä on testattava edustava otos. Tätä varten organisaatiot voivat käyttää Red Canaryn avoimen lähdekoodin kaltaisia ​​lähestymistapoja Atomitestaus, jossa tekniikat testataan yksittäin (ei osana kattavaa hyökkäysketjua) käyttämällä useita testitapauksia kullekin. Jos punaisen joukkueen harjoitus on kuin jalkapallokamppailu, atomitestaus on kuin yksittäisten pelien harjoittelua. Kaikki nämä pelit eivät tapahdu täydessä taistelussa, mutta on silti tärkeää harjoitella, kun ne tapahtuvat. Molempien tulisi olla osa monipuolista koulutusohjelmaa tai tässä tapauksessa monipuolista turvaohjelmaa.

Seuraavaksi heidän on käytettävä testitapauksia, jotka kattavat kaikki kyseisen tekniikan mahdolliset muunnelmat. Näiden testitapausten rakentaminen on puolustajien ratkaiseva tehtävä; se korreloi suoraan sen kanssa, kuinka hyvin testaus arvioi turvatarkastukset. Jatkakseni yllä olevaa analogiaa, nämä testitapaukset muodostavat uhan "kartan". Hyvän kartan tavoin ne jättävät pois ei-tärkeät yksityiskohdat ja korostavat tärkeät, jotta uhkakuvaus on pienempi, mutta yleisesti ottaen tarkka. Näiden testitapausten rakentaminen on ongelma, jonka kanssa painin edelleen (olen kirjoitettu osa töistäni tähän mennessä).

Toinen ratkaisu nykyisen uhkien havaitsemisen puutteisiin on käyttää violetit joukkueet — saada punaiset ja siniset joukkueet työskentelemään yhdessä sen sijaan, että näkisimme toisiaan vastustajina. Punaisten ja sinisten tiimien yhteistyön lisääminen on hyvä asia, tästä syystä purppuratiimipalvelujen nousu. Mutta useimmat näistä palveluista eivät ratkaise perusongelmaa. Vaikka yhteistyötä olisi lisätty, arviot, joissa tarkastellaan vain muutamia hyökkäystekniikoita ja muunnelmia, ovat edelleen liian rajallisia. Purple-tiimin palveluita on kehitettävä.

Parempien testitapausten rakentaminen

Osa hyvien testitapausten rakentamisen haastetta (ja syy siihen, miksi puna-sininen tiimiyhteistyö ei yksinään riitä) on se, että tapa, jolla hyökkäykset luokitellaan, hämärtää paljon yksityiskohtia. Kyberturvallisuus tarkastelee hyökkäyksiä kolmikerroksisen linssin läpi: taktiikat, tekniikat ja menettelyt (TTP). Tällainen tekniikka todistusten polkumyyntiä voidaan suorittaa monilla erilaisilla proseduureilla, kuten Mimikatz tai Dumpert, ja jokaisella proseduurilla voi olla useita erilaisia ​​toimintokutsujen sarjoja. "Menettelyn" määrittäminen käy hyvin nopeasti vaikeaksi, mutta se on mahdollista oikealla lähestymistavalla. Toimiala ei ole vielä kehittänyt hyvää järjestelmää kaikkien näiden yksityiskohtien nimeämiseen ja luokitteluun.

Jos haluat testata uhkien havaitsemistasi, etsi tapoja rakentaa edustavia näytteitä, jotka testaavat laajempia mahdollisuuksia – tämä on parempi strategia, joka tuottaa parempia parannuksia. Se auttaa myös puolustajia lopulta vastaamaan kysymyksiin, joiden kanssa punaiset joukkueet kamppailevat.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions