De ce echipele roșii nu pot răspunde la cele mai importante întrebări ale apărătorilor

COMENTARIU

În 1931, om de știință și filozof Alfred Korzybski a scris: „Harta nu este teritoriul”. El a vrut să spună că toate modelele, precum hărțile, lasă deoparte unele informații în comparație cu realitatea. Modelele folosite pentru a detecta amenințările în securitatea cibernetică sunt la fel de limitate, așa că apărătorii ar trebui să se întrebe întotdeauna: „Detecția mea amenințărilor detectează tot ceea ce ar trebui să detecteze?” Testarea de penetrare și exercițiile pentru echipe roșii și albastre sunt încercări de a răspunde la această întrebare. Sau, altfel spus, cât de aproape se potrivește harta lor a unei amenințări cu realitatea amenințării? 

Din pacate, evaluările echipei roșii nu răspunde foarte bine la această întrebare. Echipa roșie este utilă pentru multe alte lucruri, dar este un protocol greșit pentru a răspunde la această întrebare specifică despre eficacitatea apărării. Drept urmare, apărătorii nu au un sentiment realist despre cât de puternice sunt apărările lor.

Evaluările Red-Team sunt limitate de natură

Evaluările echipei roșii nu sunt atât de bune pentru a valida faptul că apărarea funcționează. Prin natura lor, ei testează doar câteva variante specifice ale câtorva tehnici posibile de atac pe care le-ar putea folosi un adversar. Acest lucru se datorează faptului că încearcă să imite un atac din lumea reală: mai întâi recunoaștere, apoi intruziune, apoi mișcare laterală și așa mai departe. Dar tot ceea ce învață apărătorii din asta este că acele tehnici și varietăți specifice lucrează împotriva apărării lor. Ei nu primesc informații despre alte tehnici sau alte varietăți ale aceleiași tehnici.

Cu alte cuvinte, dacă fundașii nu detectează echipa roșie, asta este din cauza lipsei de apărare? Sau pentru că echipa roșie a ales singura opțiune pentru care nu erau pregătiți? Și dacă au detectat echipa roșie, detectarea amenințărilor este cuprinzătoare? Sau „atacatorii” au ales doar o tehnică pentru care erau pregătiți? Nu există nicio modalitate de a ști cu siguranță.

Rădăcina acestei probleme este că echipele roșii nu testează suficiente variante de atac posibile pentru a evalua puterea generală a apărării (deși adaugă valoare în alte moduri). Și atacatorii au probabil mai multe opțiuni decât îți dai seama. O tehnică pe care am examinat-o avea 39,000 de variante. Altul a avut 2.4 milioane! Testarea tuturor sau a majorității acestora este imposibilă, iar testarea prea puține oferă un fals sentiment de securitate.

Pentru furnizori: încredere, dar verificați

De ce este atât de importantă testarea detectării amenințărilor? Pe scurt, pentru că profesioniștii în securitate doresc să verifice dacă furnizorii au de fapt o detectare completă pentru comportamentele pe care pretind că le opresc. Poziția de securitate se bazează în mare parte pe furnizori. Echipa de securitate a organizației alege și implementează sistemul de prevenire a intruziunilor (IPS), detectarea și răspunsul punctelor finale (EDR), analiza comportamentului utilizatorilor și entităților (UEBA) sau instrumente similare și are încredere că software-ul furnizorului selectat va detecta comportamentele pe care spune că le va face. Profesioniștii în securitate doresc din ce în ce mai mult să verifice afirmațiile furnizorilor. Am pierdut numărul de conversații pe care le-am auzit în care echipa roșie raportează ce a făcut pentru a pătrunde în rețea, echipa albastră spune că nu ar trebui să fie posibil, iar echipa roșie ridică din umeri și spune: „Ei bine, am făcut-o așa...” Apărătorii vor să analizeze această discrepanță.

Testarea împotriva a zeci de mii de variante

Deși testarea fiecărei variante a unei tehnici de atac nu este practică, cred că testarea unui eșantion reprezentativ al acestora este. Pentru a face acest lucru, organizațiile pot utiliza abordări precum sursa deschisă Red Canary Testarea atomică, unde tehnicile sunt testate individual (nu ca parte a unui lanț de atac global) folosind mai multe cazuri de testare pentru fiecare. Dacă un exercițiu de echipă roșie este ca un joc de fotbal, Atomic Testing este ca și cum ar fi exersarea jocurilor individuale. Nu toate aceste jocuri se vor întâmpla într-un joc complet, dar este totuși important să te antrenezi atunci când o fac. Ambele ar trebui să facă parte dintr-un program de instruire complet sau, în acest caz, un program de securitate complet.

În continuare, trebuie să utilizeze un set de cazuri de testare care să acopere toate variantele posibile pentru tehnica în cauză. Construirea acestor cazuri de testare este o sarcină crucială pentru apărători; se va corela direct cu cât de bine evaluează testarea controalele de securitate. Pentru a continua analogia mea de mai sus, aceste cazuri de testare alcătuiesc „harta” amenințării. Asemenea unei hărți bune, ele omit detalii neimportante și le evidențiază pe cele importante pentru a crea o reprezentare cu rezoluție mai mică, dar exactă în general a amenințării. Cum să construiesc aceste cazuri de testare este o problemă cu care încă mă confrunt (am scris despre o parte din munca mea de până acum).

O altă soluție la deficiențele detectării actuale a amenințărilor este utilizarea echipe violete — a face echipele roșii și albastre să lucreze împreună în loc să se vadă ca adversari. Mai multă cooperare între echipele roșii și albastre este un lucru bun, de unde și creșterea serviciilor de echipă violet. Dar majoritatea acestor servicii nu rezolvă problema fundamentală. Chiar și cu mai multă cooperare, evaluările care privesc doar câteva tehnici și variante de atac sunt încă prea limitate. Serviciile echipei Purple trebuie să evolueze.

Construirea unor cazuri de testare mai bune

O parte a provocării de a construi cazuri de testare bune (și motivul pentru care cooperarea echipelor roș-albastre nu este suficientă în sine) este că modul în care clasificam atacurile ascunde o mulțime de detalii. Securitatea cibernetică analizează atacurile printr-o lentilă cu trei straturi: tactici, tehnici și proceduri (TTP). O tehnică ca dumping de acreditare poate fi realizată prin multe proceduri diferite, cum ar fi Mimikatz sau Dumpert, și fiecare procedură poate avea multe secvențe diferite de apeluri de funcție. Definirea a ceea ce este o „procedură” devine dificilă foarte repede, dar este posibilă cu abordarea corectă. Industria nu a dezvoltat încă un sistem bun pentru denumirea și clasificarea tuturor acestor detalii.

Dacă doriți să vă puneți la încercare detectarea amenințărilor, căutați modalități de a construi eșantioane reprezentative care testează pe o gamă mai largă de posibilități - aceasta este o strategie mai bună care va produce îmbunătățiri mai bune. De asemenea, îi va ajuta pe fundași să răspundă în sfârșit la întrebările cu care se luptă echipele roșii.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions