Mengapa Tim Merah Tidak Dapat Menjawab Pertanyaan Paling Penting dari Para Pembela

KOMENTAR

Pada tahun 1931, ilmuwan dan filsuf Alfred Korzybski menulis, “Peta bukanlah wilayahnya.” Maksudnya semua model, seperti peta, mengabaikan beberapa informasi dibandingkan dengan kenyataan. Model yang digunakan untuk mendeteksi ancaman dalam keamanan siber juga terbatas, sehingga pembela HAM harus selalu bertanya pada diri sendiri, “Apakah deteksi ancaman saya mendeteksi semua yang seharusnya dideteksi?” Uji penetrasi dan latihan tim merah dan biru merupakan upaya menjawab pertanyaan ini. Atau, dengan kata lain, seberapa dekat peta ancaman mereka dengan realitas ancaman tersebut? 

Sayangnya, penilaian tim merah jangan menjawab pertanyaan ini dengan baik. Kerja sama tim merah berguna untuk banyak hal lainnya, namun ini adalah protokol yang salah untuk menjawab pertanyaan spesifik tentang kemanjuran pertahanan. Akibatnya, para pembela HAM tidak memiliki gambaran realistis mengenai seberapa kuat pertahanan mereka.

Penilaian Tim Merah Dibatasi Oleh Alam

Penilaian tim merah tidak begitu baik dalam memvalidasi bahwa pertahanan berhasil. Berdasarkan sifatnya, mereka hanya menguji beberapa varian spesifik dari beberapa kemungkinan teknik serangan yang dapat digunakan musuh. Ini karena mereka mencoba meniru serangan di dunia nyata: pengintaian pertama, lalu intrusi, lalu gerakan lateral, dan seterusnya. Namun yang dipelajari para pembela HAM dari hal ini adalah bahwa teknik dan variasi spesifik tersebut justru merugikan pertahanan mereka. Mereka tidak mendapatkan informasi tentang teknik lain atau variasi lain dari teknik yang sama.

Dengan kata lain, jika pemain bertahan tidak mendeteksi tim merah, apakah itu karena pertahanannya yang kurang? Atau karena tim merah memilih satu opsi yang tidak mereka persiapkan? Dan jika mereka berhasil mendeteksi tim merah, apakah deteksi ancaman mereka komprehensif? Atau apakah “penyerang” hanya memilih teknik yang telah mereka persiapkan? Tidak ada cara untuk mengetahui secara pasti.

Akar masalah ini adalah tim merah tidak cukup menguji kemungkinan varian serangan untuk menilai kekuatan pertahanan secara keseluruhan (walaupun mereka memberi nilai tambah dengan cara lain). Dan penyerang mungkin memiliki lebih banyak pilihan daripada yang Anda sadari. Salah satu teknik yang saya uji memiliki 39,000 variasi. Yang lain punya 2.4 juta! Menguji semua atau sebagian besar dari hal ini tidak mungkin dilakukan, dan menguji terlalu sedikit memberikan rasa aman yang salah.

Untuk Vendor: Percaya tapi Verifikasi

Mengapa pengujian deteksi ancaman sangat penting? Singkatnya, ini karena para profesional keamanan ingin memverifikasi bahwa vendor benar-benar memiliki deteksi komprehensif untuk perilaku yang mereka klaim dapat dihentikan. Postur keamanan sebagian besar didasarkan pada vendor. Tim keamanan organisasi memilih dan menerapkan sistem pencegahan intrusi (IPS), deteksi dan respons titik akhir (EDR), analisis perilaku pengguna dan entitas (UEBA), atau alat serupa dan percaya bahwa perangkat lunak vendor yang dipilih akan mendeteksi perilaku yang dikatakan akan terdeteksi. Para ahli keamanan semakin ingin memverifikasi klaim vendor. Saya tidak dapat menghitung jumlah percakapan yang pernah saya dengar di mana tim merah melaporkan apa yang mereka lakukan untuk membobol jaringan, tim biru mengatakan hal itu tidak mungkin dilakukan, dan tim merah mengangkat bahu dan berkata, “Yah, kita melakukannya jadi…” Para pembela HAM ingin menggali perbedaan ini.

Menguji Terhadap Puluhan Ribu Varian

Meskipun menguji setiap varian teknik serangan tidaklah praktis, saya yakin menguji sampel yang mewakili teknik tersebut adalah hal yang praktis. Untuk melakukan hal ini, organisasi dapat menggunakan pendekatan seperti open source Red Canary Pengujian Atom, di mana teknik diuji secara individual (bukan sebagai bagian dari rantai serangan menyeluruh) menggunakan beberapa kasus uji untuk masing-masing teknik. Jika latihan tim merah seperti latihan sepak bola, Pengujian Atom seperti latihan permainan individu. Tidak semua permainan tersebut akan terjadi dalam latihan penuh, namun tetap penting untuk berlatih ketika melakukannya. Keduanya harus menjadi bagian dari program pelatihan yang menyeluruh, atau dalam hal ini, program keamanan yang menyeluruh.

Selanjutnya, mereka perlu menggunakan serangkaian kasus uji yang mencakup semua varian yang mungkin untuk teknik tersebut. Membangun kasus-kasus uji coba ini merupakan tugas penting bagi para pembela HAM; hal ini akan berkorelasi langsung dengan seberapa baik pengujian tersebut menilai kontrol keamanan. Untuk melanjutkan analogi saya di atas, kasus uji ini membentuk “peta” ancaman. Seperti peta yang bagus, mereka mengabaikan detail-detail yang tidak penting dan menyorot detail-detail penting untuk menciptakan representasi ancaman yang beresolusi lebih rendah, namun secara keseluruhan akurat. Cara membuat kasus uji ini adalah masalah yang masih saya geluti (saya sudah pernah melakukannya). tertulis tentang beberapa pekerjaan saya sejauh ini).

Solusi lain terhadap kekurangan deteksi ancaman saat ini adalah dengan menggunakan tim ungu — mengajak tim merah dan biru untuk bekerja sama alih-alih melihat satu sama lain sebagai lawan. Lebih banyak kerjasama antara tim merah dan biru adalah hal yang baik, oleh karena itu maraknya layanan tim ungu. Namun sebagian besar layanan ini tidak menyelesaikan masalah mendasar. Bahkan dengan lebih banyak kerja sama, penilaian yang hanya melihat beberapa teknik dan varian serangan masih terlalu terbatas. Layanan tim ungu perlu berkembang.

Membangun Kasus Uji yang Lebih Baik

Salah satu tantangan dalam membangun kasus uji yang baik (dan alasan mengapa kerja sama tim merah-biru saja tidak cukup) adalah cara kita mengkategorikan serangan mengaburkan banyak detail. Keamanan siber melihat serangan melalui tiga lensa: taktik, teknik, dan prosedur (TTP). Sebuah teknik seperti pembuangan kredensial dapat diselesaikan dengan banyak prosedur berbeda, seperti Mimikatz atau Dumpert, dan setiap prosedur dapat memiliki banyak rangkaian pemanggilan fungsi yang berbeda. Mendefinisikan apa yang dimaksud dengan “prosedur” menjadi sulit dalam waktu singkat tetapi dapat dilakukan dengan pendekatan yang tepat. Industri ini belum mengembangkan sistem yang baik untuk memberi nama dan mengkategorikan semua detail ini.

Jika Anda ingin menguji deteksi ancaman, carilah cara untuk membuat sampel representatif yang menguji kemungkinan yang lebih luas — ini adalah strategi yang lebih baik yang akan menghasilkan peningkatan yang lebih baik. Ini juga akan membantu para pembela HAM pada akhirnya menjawab pertanyaan-pertanyaan yang dihadapi tim merah.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions