Perché le squadre rosse non possono rispondere alle domande più importanti dei difensori

COMMENTO

Nel 1931, scienziato e filosofo Alfred Korzybski ha scritto: “La mappa non è il territorio”. Voleva dire che tutti i modelli, come le mappe, tralasciano alcune informazioni rispetto alla realtà. I modelli utilizzati per rilevare le minacce nella sicurezza informatica sono altrettanto limitati, quindi i difensori dovrebbero sempre chiedersi: “Il mio rilevamento delle minacce rileva tutto ciò che dovrebbe rilevare?” I test di penetrazione e gli esercizi della squadra rossa e blu sono tentativi di rispondere a questa domanda. Oppure, per dirla in altro modo, quanto la loro mappa di minaccia corrisponde alla realtà della minaccia? 

Purtroppo, valutazioni della squadra rossa non rispondere molto bene a questa domanda. La squadra rossa è utile per molte altre cose, ma è il protocollo sbagliato per rispondere a questa domanda specifica sull’efficacia della difesa. Di conseguenza, i difensori non hanno un’idea realistica di quanto siano forti le loro difese.

Le valutazioni della squadra rossa sono limitate per natura

Le valutazioni del team rosso non sono così efficaci nel convalidare il funzionamento delle difese. Per loro natura, testano solo alcune varianti specifiche di alcune possibili tecniche di attacco che un avversario potrebbe utilizzare. Questo perché stanno cercando di imitare un attacco nel mondo reale: prima la ricognizione, poi l’intrusione, poi il movimento laterale e così via. Ma tutto ciò che i difensori imparano da questo è che quelle tecniche e varietà specifiche funzionano contro le loro difese. Non ricevono informazioni su altre tecniche o altre varietà della stessa tecnica.

In altre parole, se i difensori non rilevano la squadra rossa, è perché le loro difese sono carenti? Oppure è perché la squadra rossa ha scelto l’unica opzione per la quale non era preparata? E se hanno rilevato la squadra rossa, il rilevamento delle minacce è completo? Oppure gli “attaccanti” hanno semplicemente scelto una tecnica per la quale erano preparati? Non c'è modo di saperlo con certezza.

La radice di questo problema è che le squadre rosse non testano abbastanza le possibili varianti di attacco per giudicare la forza complessiva delle difese (sebbene aggiungano valore in altri modi). E gli aggressori probabilmente hanno più opzioni di quanto pensi. Una tecnica che ho esaminato aveva 39,000 varianti. Un altro ne aveva 2.4 milioni! Testarli tutti o la maggior parte è impossibile, e testarne troppo pochi dà un falso senso di sicurezza.

Per i fornitori: fidati ma verifica

Perché testare il rilevamento delle minacce è così importante? In breve, è perché i professionisti della sicurezza vogliono verificare che i fornitori dispongano effettivamente di un rilevamento completo dei comportamenti che dichiarano di bloccare. Il livello di sicurezza si basa in gran parte sui fornitori. Il team di sicurezza dell'organizzazione sceglie e implementa il sistema di prevenzione delle intrusioni (IPS), il rilevamento e la risposta degli endpoint (EDR), l'analisi del comportamento degli utenti e delle entità (UEBA) o strumenti simili e confida che il software del fornitore selezionato rileverà i comportamenti previsti. I professionisti della sicurezza desiderano verificare sempre più le affermazioni dei fornitori. Ho perso il conto del numero di conversazioni che ho sentito in cui la squadra rossa riferisce cosa ha fatto per entrare nella rete, la squadra blu dice che non dovrebbe essere possibile, e la squadra rossa alza le spalle e dice: "Bene, l’abbiamo fatto così…” I difensori vogliono approfondire questa discrepanza.

Testare contro decine di migliaia di varianti

Sebbene testare ogni variante di una tecnica di attacco non sia pratico, credo che testarne un campione rappresentativo lo sia. Per fare ciò, le organizzazioni possono utilizzare approcci come l’open source di Red Canary Test atomici, in cui le tecniche vengono testate individualmente (non come parte di una catena di attacco generale) utilizzando più casi di test per ciascuna. Se un esercizio della squadra rossa è come una mischia di calcio, l'Atomic Testing è come allenarsi con le giocate individuali. Non tutte queste giocate si svolgeranno in una mischia completa, ma è comunque importante esercitarsi per quando ciò accadrà. Entrambi dovrebbero far parte di un programma di formazione completo o, in questo caso, di un programma di sicurezza completo.

Successivamente, devono utilizzare una serie di casi di test che coprano tutte le possibili varianti della tecnica in questione. Costruire questi casi di test è un compito cruciale per i difensori; sarà direttamente correlato al modo in cui i test valutano i controlli di sicurezza. Per continuare la mia analogia di cui sopra, questi casi di test costituiscono la “mappa” della minaccia. Come una buona mappa, tralasciano i dettagli non importanti ed evidenziano quelli importanti per creare una rappresentazione della minaccia a bassa risoluzione, ma nel complesso accurata. Come costruire questi casi di test è un problema con cui sto ancora lottando (ho scritto su alcuni dei miei lavori finora).

Un'altra soluzione alle carenze dell'attuale rilevamento delle minacce è l'utilizzo squadre viola – far sì che le squadre rosse e blu lavorino insieme invece di vedersi come avversarie. Una maggiore cooperazione tra le squadre rosse e blu è una buona cosa, da qui l’aumento dei servizi della squadra viola. Ma la maggior parte di questi servizi non risolve il problema fondamentale. Anche con una maggiore cooperazione, le valutazioni che prendono in considerazione solo alcune tecniche e varianti di attacco sono ancora troppo limitate. I servizi del team viola devono evolversi.

Costruire casi di test migliori

Parte della sfida nel creare buoni casi di test (e il motivo per cui la cooperazione tra team rosso-blu non è sufficiente da sola) è che il modo in cui classifichiamo gli attacchi oscura molti dettagli. La sicurezza informatica esamina gli attacchi attraverso una lente a tre livelli: tattiche, tecniche e procedure (TTP). Una tecnica come dumping delle credenziali può essere realizzato da molte procedure diverse, come Mimikatz o Dumpert, e ciascuna procedura può avere molte sequenze diverse di chiamate di funzione. Definire cosa sia una “procedura” diventa difficile molto rapidamente ma è possibile con il giusto approccio. L’industria non ha ancora sviluppato un buon sistema per nominare e categorizzare tutti questi dettagli.

Se stai cercando di mettere alla prova il tuo rilevamento delle minacce, cerca modi per creare campioni rappresentativi che mettano alla prova un ventaglio più ampio di possibilità: questa è una strategia migliore che produrrà miglioramenti migliori. Aiuterà anche i difensori a rispondere finalmente alle domande con cui lottano le squadre rosse.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions