Por que as equipes vermelhas não conseguem responder às perguntas mais importantes dos defensores

COMENTÁRIO

Em 1931, cientista e filósofo Alfred Korzybski escreveu: “O mapa não é o território”. Ele quis dizer que todos os modelos, como os mapas, omitem algumas informações em comparação com a realidade. Os modelos usados ​​para detectar ameaças na segurança cibernética são igualmente limitados, por isso os defensores devem sempre se perguntar: “A minha detecção de ameaças detecta tudo o que deveria detectar?” Os testes de penetração e os exercícios das equipes vermelha e azul são tentativas de responder a essa pergunta. Ou, dito de outra forma, até que ponto o seu mapa de ameaça corresponde à realidade da ameaça? 

Infelizmente, avaliações da equipe vermelha não responda muito bem a esta pergunta. A equipe vermelha é útil para muitas outras coisas, mas é o protocolo errado para responder a esta pergunta específica sobre a eficácia da defesa. Como resultado, os defensores não têm uma noção realista de quão fortes são as suas defesas.

As avaliações do Red-Team são limitadas por natureza

As avaliações da equipe vermelha não são tão boas para validar se as defesas estão funcionando. Pela sua natureza, eles testam apenas algumas variantes específicas de algumas técnicas de ataque possíveis que um adversário poderia usar. Isso ocorre porque eles estão tentando imitar um ataque do mundo real: primeiro o reconhecimento, depois a intrusão, depois o movimento lateral e assim por diante. Mas tudo o que os defensores aprendem com isto é que essas técnicas e variedades específicas funcionam contra as suas defesas. Eles não recebem informações sobre outras técnicas ou outras variedades da mesma técnica.

Ou seja, se os defensores não detectam o time vermelho é porque faltam defesas? Ou é porque o time vermelho escolheu a única opção para a qual não estava preparado? E se eles detectaram a equipe vermelha, a detecção de ameaças é abrangente? Ou os “atacantes” apenas escolheram uma técnica para a qual estavam preparados? Não há como saber com certeza.

A raiz deste problema é que as equipes vermelhas não testam o suficiente as possíveis variantes de ataque para avaliar a força geral das defesas (embora agreguem valor de outras maneiras). E os invasores provavelmente têm mais opções do que você imagina. Uma técnica que examinei tinha 39,000 variações. Outro tinha 2.4 milhões! Testar todos ou a maioria deles é impossível, e testar poucos dá uma falsa sensação de segurança.

Para fornecedores: confie, mas verifique

Por que testar a detecção de ameaças é tão importante? Resumindo, é porque os profissionais de segurança desejam verificar se os fornecedores realmente possuem detecção abrangente para os comportamentos que afirmam interromper. A postura de segurança é amplamente baseada nos fornecedores. A equipe de segurança da organização escolhe e implanta sistema de prevenção de intrusões (IPS), detecção e resposta de endpoint (EDR), análise de comportamento de usuários e entidades (UEBA) ou ferramentas semelhantes e confia que o software do fornecedor selecionado detectará os comportamentos que diz que irá. Os profissionais de segurança desejam cada vez mais verificar as declarações dos fornecedores. Já perdi a conta do número de conversas que ouvi em que a equipe vermelha relata o que fez para invadir a rede, a equipe azul diz que isso não deveria ser possível e a equipe vermelha dá de ombros e diz: “Bem, nós fizemos isso…” Os defensores querem investigar essa discrepância.

Testes contra dezenas de milhares de variantes

Embora testar cada variante de uma técnica de ataque não seja prático, acredito que testar uma amostra representativa delas seja. Para fazer isso, as organizações podem usar abordagens como o código aberto da Red Canary Teste Atômico, onde as técnicas são testadas individualmente (não como parte de uma cadeia de ataque abrangente) usando vários casos de teste para cada uma. Se um exercício do time vermelho é como um jogo amistoso de futebol, o Teste Atômico é como praticar jogadas individuais. Nem todas essas jogadas acontecerão em uma partida completa, mas ainda é importante praticar para quando isso acontecer. Ambos devem fazer parte de um programa de treinamento completo ou, neste caso, de um programa de segurança completo.

Em seguida, eles precisam usar um conjunto de casos de teste que cubram todas as variantes possíveis para a técnica em questão. Construir estes casos de teste é uma tarefa crucial para os defensores; ele se correlacionará diretamente com o quão bem o teste avalia os controles de segurança. Continuando minha analogia acima, esses casos de teste constituem o “mapa” da ameaça. Como um bom mapa, eles omitem detalhes não importantes e destacam os importantes para criar uma representação da ameaça em resolução mais baixa, mas no geral precisa. Como construir esses casos de teste é um problema com o qual ainda estou lutando (já escrito sobre alguns dos meus trabalhos até agora).

Outra solução para as deficiências da detecção de ameaças atual é usar times roxos - fazer com que as equipes vermelha e azul trabalhem juntas em vez de se verem como oponentes. Mais cooperação entre as equipes vermelhas e azuis é uma coisa boa, daí o surgimento dos serviços das equipes roxas. Mas a maioria desses serviços não resolve o problema fundamental. Mesmo com mais cooperação, as avaliações que analisam apenas algumas técnicas e variantes de ataque ainda são demasiado limitadas. Os serviços da equipe roxa precisam evoluir.

Construindo melhores casos de teste

Parte do desafio de construir bons casos de teste (e a razão pela qual a cooperação da equipe vermelho-azul não é suficiente por si só) é que a forma como categorizamos os ataques obscurece muitos detalhes. A segurança cibernética analisa os ataques através de lentes de três camadas: táticas, técnicas e procedimentos (TTPs). Uma técnica como despejo de credenciais pode ser realizado por muitos procedimentos diferentes, como Mimikatz ou Dumpert, e cada procedimento pode ter muitas sequências diferentes de chamadas de função. Definir o que é um “procedimento” fica difícil muito rapidamente, mas é possível com a abordagem correta. A indústria ainda não desenvolveu um bom sistema para nomear e categorizar todos esses detalhes.

Se você deseja testar sua detecção de ameaças, procure maneiras de criar amostras representativas que testem uma gama mais ampla de possibilidades - esta é uma estratégia melhor que produzirá melhorias melhores. Também ajudará os defensores a finalmente responder às questões que os times vermelhos enfrentam.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions