रेड टीमें रक्षकों के सबसे महत्वपूर्ण सवालों का जवाब क्यों नहीं दे सकतीं

रेड टीमें रक्षकों के सबसे महत्वपूर्ण सवालों का जवाब क्यों नहीं दे सकतीं

टाइम स्टैम्प: 5 जनवरी, 2024 सुबह 10:00 बजे
रेड टीमें रक्षकों के सबसे महत्वपूर्ण सवालों का जवाब क्यों नहीं दे सकतीं प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

टीका

1931 में वैज्ञानिक एवं दार्शनिक अल्फ्रेड कोरज़ीब्स्की लिखा, "नक्शा क्षेत्र नहीं है।" उनका मतलब था कि सभी मॉडल, नक्शे की तरह, वास्तविकता की तुलना में कुछ जानकारी छोड़ देते हैं। साइबर सुरक्षा में खतरों का पता लगाने के लिए उपयोग किए जाने वाले मॉडल समान रूप से सीमित हैं, इसलिए रक्षकों को हमेशा खुद से पूछना चाहिए, "क्या मेरे खतरे का पता लगाने से वह सब कुछ पता चल जाता है जिसका उसे पता लगाना चाहिए?" प्रवेश परीक्षण और लाल और नीली टीम अभ्यास इस प्रश्न का उत्तर देने का प्रयास हैं। या, इसे दूसरे तरीके से कहें तो, खतरे का उनका नक्शा खतरे की वास्तविकता से कितना मेल खाता है? 

दुर्भाग्य से, रेड-टीम आकलन इस प्रश्न का उत्तर ठीक से न दें. रेड टीमिंग कई अन्य चीजों के लिए उपयोगी है, लेकिन रक्षा प्रभावकारिता के बारे में इस विशिष्ट प्रश्न का उत्तर देने के लिए यह गलत प्रोटोकॉल है। परिणामस्वरूप, रक्षकों को इस बात का वास्तविक एहसास नहीं होता कि उनकी सुरक्षा कितनी मजबूत है।

रेड-टीम आकलन स्वभाव से सीमित हैं

रेड-टीम आकलन यह सत्यापित करने में उतना अच्छा नहीं है कि सुरक्षा कार्य कर रहे हैं। अपने स्वभाव से, वे केवल कुछ संभावित आक्रमण तकनीकों के कुछ विशिष्ट प्रकारों का परीक्षण करते हैं जिनका उपयोग कोई विरोधी कर सकता है। ऐसा इसलिए है क्योंकि वे वास्तविक दुनिया के हमले की नकल करने की कोशिश कर रहे हैं: पहले टोही, फिर घुसपैठ, फिर पार्श्व आंदोलन, और इसी तरह। लेकिन रक्षक इससे जो कुछ सीखते हैं वह यह है कि वे विशिष्ट तकनीकें और किस्में उनकी सुरक्षा के विरुद्ध काम करती हैं। उन्हें अन्य तकनीकों या उसी तकनीक की अन्य किस्मों के बारे में कोई जानकारी नहीं मिलती है।

दूसरे शब्दों में, यदि रक्षक लाल टीम का पता नहीं लगा पाते हैं, तो क्या इसका कारण यह है कि उनकी सुरक्षा में कमी है? या क्या ऐसा इसलिए है क्योंकि रेड टीम ने वह विकल्प चुना जिसके लिए वे तैयार नहीं थे? और यदि उन्होंने रेड टीम का पता लगा लिया, तो क्या उनके खतरे का पता लगाना व्यापक है? या क्या "हमलावरों" ने केवल वही तकनीक चुनी जिसके लिए वे तैयार थे? निश्चित रूप से जानने का कोई तरीका नहीं है।

इस मुद्दे की जड़ यह है कि लाल टीमें सुरक्षा की समग्र ताकत का आकलन करने के लिए संभावित आक्रमण प्रकारों का पर्याप्त परीक्षण नहीं करती हैं (हालांकि वे अन्य तरीकों से मूल्य जोड़ते हैं)। और हमलावरों के पास संभवतः आपकी सोच से कहीं अधिक विकल्प हैं। मेरे द्वारा परीक्षण की गई एक तकनीक में 39,000 विविधताएँ थीं। दूसरे के पास 2.4 मिलियन थे! इनमें से सभी या अधिकांश का परीक्षण करना असंभव है, और बहुत कम परीक्षण करना सुरक्षा की झूठी भावना देता है।

विक्रेताओं के लिए: भरोसा करें लेकिन सत्यापित करें

खतरे का पता लगाने का परीक्षण इतना महत्वपूर्ण क्यों है? संक्षेप में, ऐसा इसलिए है क्योंकि सुरक्षा पेशेवर यह सत्यापित करना चाहते हैं कि विक्रेताओं के पास वास्तव में उन व्यवहारों का व्यापक पता है जिन्हें वे रोकने का दावा करते हैं। सुरक्षा व्यवस्था काफी हद तक विक्रेताओं पर आधारित है। संगठन की सुरक्षा टीम घुसपैठ रोकथाम प्रणाली (आईपीएस), एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर), उपयोगकर्ता और इकाई व्यवहार विश्लेषण (यूईबीए), या इसी तरह के टूल चुनती है और तैनात करती है और भरोसा करती है कि चयनित विक्रेता का सॉफ़्टवेयर उन व्यवहारों का पता लगाएगा जो वह कहता है। सुरक्षा पेशेवर तेजी से विक्रेता के दावों को सत्यापित करना चाहते हैं। मैंने उन वार्तालापों की संख्या की गिनती खो दी है जो मैंने सुने हैं जहां रेड टीम रिपोर्ट करती है कि उन्होंने नेटवर्क में सेंध लगाने के लिए क्या किया, नीली टीम कहती है कि यह संभव नहीं होना चाहिए, और रेड टीम कंधे उचकाते हुए कहती है, "ठीक है, हमने ऐसा किया..." रक्षक इस विसंगति की तह तक जाना चाहते हैं।

हज़ारों वेरिएंट के विरुद्ध परीक्षण

हालाँकि हमले की तकनीक के प्रत्येक संस्करण का परीक्षण करना व्यावहारिक नहीं है, मेरा मानना ​​है कि उनमें से एक प्रतिनिधि नमूने का परीक्षण करना व्यावहारिक है। ऐसा करने के लिए, संगठन रेड कैनरी के ओपन सोर्स जैसे तरीकों का उपयोग कर सकते हैं परमाणु परीक्षण, जहां प्रत्येक के लिए कई परीक्षण मामलों का उपयोग करके तकनीकों का व्यक्तिगत रूप से परीक्षण किया जाता है (एक व्यापक हमले की श्रृंखला के हिस्से के रूप में नहीं)। यदि रेड-टीम अभ्यास फुटबॉल स्क्रिमेज की तरह है, तो परमाणु परीक्षण व्यक्तिगत खेलों का अभ्यास करने जैसा है। ये सभी नाटक पूरी तरह से घटित नहीं होंगे, लेकिन जब वे घटित होंगे तब अभ्यास करना अभी भी महत्वपूर्ण है। दोनों को एक सर्वांगीण प्रशिक्षण कार्यक्रम या इस मामले में, एक सर्वांगीण सुरक्षा कार्यक्रम का हिस्सा होना चाहिए।

इसके बाद, उन्हें परीक्षण मामलों के एक सेट का उपयोग करने की आवश्यकता है जो प्रश्न में तकनीक के सभी संभावित प्रकारों को कवर करता है। इन परीक्षण मामलों का निर्माण रक्षकों के लिए एक महत्वपूर्ण कार्य है; इसका सीधा संबंध इस बात से होगा कि परीक्षण सुरक्षा नियंत्रणों का कितनी अच्छी तरह आकलन करता है। उपरोक्त मेरी सादृश्यता को जारी रखने के लिए, ये परीक्षण मामले खतरे का "मानचित्र" बनाते हैं। एक अच्छे मानचित्र की तरह, वे गैर-महत्वपूर्ण विवरणों को छोड़ देते हैं और कम-रिज़ॉल्यूशन, लेकिन समग्र रूप से सटीक, खतरे का प्रतिनिधित्व करने के लिए महत्वपूर्ण विवरणों को उजागर करते हैं। इन परीक्षण मामलों को कैसे बनाया जाए यह एक समस्या है जिससे मैं अभी भी जूझ रहा हूं (मेरे पास है)। के बारे में लिखा मेरा अब तक का कुछ काम)।

वर्तमान खतरे का पता लगाने की कमियों का एक अन्य समाधान का उपयोग करना है बैंगनी टीमें - एक-दूसरे को प्रतिद्वंद्वी के रूप में देखने के बजाय लाल और नीली टीमों को एक साथ काम करने के लिए प्रेरित करना। लाल और नीली टीमों के बीच अधिक सहयोग एक अच्छी बात है, इसलिए बैंगनी-टीम सेवाओं का उदय हुआ है। लेकिन इनमें से अधिकांश सेवाएँ मूलभूत समस्या का समाधान नहीं करती हैं। अधिक सहयोग के बावजूद, केवल कुछ आक्रमण तकनीकों और प्रकारों को देखने वाले आकलन अभी भी बहुत सीमित हैं। पर्पल-टीम सेवाओं को विकसित करने की आवश्यकता है।

बेहतर परीक्षण मामलों का निर्माण

अच्छे परीक्षण मामलों के निर्माण की चुनौती का एक हिस्सा (और यही कारण है कि लाल-नीली टीम का सहयोग अपने आप में पर्याप्त नहीं है) यह है कि जिस तरह से हम हमलों को वर्गीकृत करते हैं वह बहुत सारे विवरण अस्पष्ट कर देता है। साइबर सुरक्षा हमलों को तीन-स्तरीय लेंस के माध्यम से देखती है: रणनीति, तकनीक और प्रक्रियाएं (टीटीपी)। जैसी एक तकनीक क्रेडेंशियल डंपिंग Mimikatz या Dumpert जैसी कई अलग-अलग प्रक्रियाओं द्वारा पूरा किया जा सकता है, और प्रत्येक प्रक्रिया में फ़ंक्शन कॉल के कई अलग-अलग अनुक्रम हो सकते हैं। एक "प्रक्रिया" क्या है इसे परिभाषित करना बहुत जल्दी मुश्किल हो जाता है लेकिन सही दृष्टिकोण के साथ यह संभव है। उद्योग ने अभी तक इन सभी विवरणों के नामकरण और वर्गीकरण के लिए एक अच्छी प्रणाली विकसित नहीं की है।

यदि आप अपने खतरे का पता लगाने का परीक्षण करना चाहते हैं, तो ऐसे प्रतिनिधि नमूने बनाने के तरीकों की तलाश करें जो संभावनाओं की व्यापक श्रृंखला के खिलाफ परीक्षण करें - यह एक बेहतर रणनीति है जो बेहतर सुधार लाएगी। इससे रक्षकों को अंततः उन सवालों का जवाब देने में भी मदद मिलेगी जिनसे लाल टीमें जूझती हैं।

समय टिकट:

से अधिक डार्क रीडिंग