KOMENTAR
Leta 1931 znanstvenik in filozof Alfred Korzybski zapisal: "Zemljevid ni ozemlje." Mislil je, da vsi modeli, tako kot zemljevidi, izpustijo nekaj informacij v primerjavi z realnostjo. Modeli, ki se uporabljajo za zaznavanje groženj v kibernetski varnosti, so podobno omejeni, zato bi se morali zagovorniki vedno vprašati: "Ali moje zaznavanje groženj zazna vse, kar bi moralo zaznati?" Testiranje penetracije in vaje rdeče in modre ekipe so poskusi odgovoriti na to vprašanje. Ali, povedano drugače, kako natančno se njihov zemljevid grožnje ujema z resničnostjo grožnje?
žal ocene rdeče ekipe ne odgovorite dobro na to vprašanje. Rdeče združevanje je uporabno za veliko drugih stvari, vendar je napačen protokol za odgovor na to specifično vprašanje o učinkovitosti obrambe. Posledično branilci nimajo realnega občutka, kako močna je njihova obramba.
Ocene Red-Team so omejene po naravi
Ocene rdeče ekipe niso tako dobre pri preverjanju, ali obramba deluje. Po svoji naravi preizkušajo le nekaj posebnih variant nekaj možnih napadalnih tehnik, ki bi jih lahko uporabil nasprotnik. To je zato, ker poskušajo posnemati napad iz resničnega sveta: najprej izvidnica, nato vdor, nato bočno premikanje in tako naprej. Toda vse, kar se branilci naučijo iz tega, je, da te posebne tehnike in sorte delujejo proti njihovi obrambi. Ne dobijo informacij o drugih tehnikah ali drugih različicah iste tehnike.
Z drugimi besedami, če branilci ne zaznajo rdeče ekipe, je to zato, ker njihova obramba manjka? Ali pa zato, ker je rdeča ekipa izbrala eno možnost, na katero ni bila pripravljena? In če so odkrili rdečo ekipo, ali je njihovo odkrivanje groženj celovito? Ali pa so »napadalci« le izbrali tehniko, na katero so bili pripravljeni? Ni načina, da bi vedeli zagotovo.
Osnova te težave je, da rdeče ekipe ne preizkusijo dovolj možnih variant napada, da bi ocenile splošno moč obrambe (čeprav dodajo vrednost na druge načine). In napadalci imajo verjetno več možnosti, kot se zavedate. Ena tehnika, ki sem jo pregledal, je imela 39,000 različic. Drugi je imel 2.4 milijona! Testiranje vseh ali večine od teh je nemogoče, testiranje premalo pa daje lažen občutek varnosti.
Za prodajalce: Zaupajte, vendar preverite
Zakaj je testiranje odkrivanja groženj tako pomembno? Skratka, to je zato, ker varnostni strokovnjaki želijo preveriti, ali imajo prodajalci dejansko celovito zaznavanje vedenj, za katera trdijo, da jih ustavijo. Varnostna drža v veliki meri temelji na prodajalcih. Varnostna ekipa organizacije izbere in uvede sistem za preprečevanje vdorov (IPS), zaznavanje in odziv končne točke (EDR), analitiko vedenja uporabnikov in subjektov (UEBA) ali podobna orodja in verjame, da bo programska oprema izbranega prodajalca zaznala vedenja, za katera pravi, da bo. Strokovnjaki za varnost vedno bolj želijo preveriti trditve prodajalcev. Izgubil sem štetje pogovorov, ki sem jih slišal, v katerih rdeča ekipa poroča, kaj je naredila, da bi vdrla v omrežje, modra ekipa pravi, da to ne bi smelo biti mogoče, rdeča ekipa pa skomigne z rameni in reče: »No, naredili smo tako …« Zagovorniki želijo raziskati to neskladje.
Testiranje proti več deset tisoč različicam
Čeprav preizkušanje vsake različice tehnike napada ni praktično, menim, da je preizkušanje njihovega reprezentativnega vzorca. Za to lahko organizacije uporabijo pristope, kot je odprta koda Red Canary Atomsko testiranje, kjer se tehnike testirajo posamezno (ne kot del vseobsegajoče verige napadov) z uporabo več testnih primerov za vsako. Če je vaja rdeče ekipe podobna nogometni tekmi, je Atomic Testing kot vadba posameznih iger. Vse te igre se ne bodo zgodile v polnem boju, vendar je vseeno pomembno, da vadite, kdaj se zgodijo. Oboje bi moralo biti del dobro zaokroženega programa usposabljanja ali v tem primeru dobro zaokroženega varnostnega programa.
Nato morajo uporabiti nabor testnih primerov, ki pokrivajo vse možne različice zadevne tehnike. Izdelava teh testnih primerov je ključna naloga zagovornikov; neposredno bo povezano s tem, kako dobro testiranje ocenjuje varnostne kontrole. Če nadaljujem svojo zgornjo analogijo, ti testni primeri sestavljajo »zemljevid« grožnje. Tako kot dober zemljevid izpustijo nepomembne podrobnosti in poudarijo pomembne, da ustvarijo nižjo ločljivost, a na splošno natančno predstavitev grožnje. Kako sestaviti te testne primere je problem, s katerim se še vedno ubadam (sem o čemer je pisal nekaj mojega dosedanjega dela).
Druga rešitev za pomanjkljivosti trenutnega odkrivanja groženj je uporaba vijoličaste ekipe — pridobivanje rdečih in modrih ekip za sodelovanje, namesto da drug drugega vidijo kot nasprotnika. Več sodelovanja med rdečimi in modrimi ekipami je dobra stvar, od tod tudi porast storitev vijoličnih ekip. Toda večina teh storitev ne odpravi temeljne težave. Tudi z večjim sodelovanjem so ocene, ki obravnavajo le nekaj napadalnih tehnik in variant, še vedno preveč omejene. Storitve Purple-team se morajo razvijati.
Izdelava boljših testnih primerov
Del izziva pri izdelavi dobrih testnih primerov (in razlog, zakaj sodelovanje rdeče-modre ekipe samo po sebi ni dovolj) je, da način, kako kategoriziramo napade, prikrije veliko podrobnosti. Kibernetska varnost gleda na napade skozi triplastno lečo: taktike, tehnike in postopki (TTP). Tehnika kot odlaganje poverilnic je mogoče doseči s številnimi različnimi postopki, kot sta Mimikatz ali Dumpert, in vsaka procedura ima lahko veliko različnih zaporedij klicev funkcij. Zelo hitro postane težko opredeliti, kaj je "postopek", vendar je s pravim pristopom mogoče. Industrija še ni razvila dobrega sistema za poimenovanje in kategorizacijo vseh teh podrobnosti.
Če želite preizkusiti svoje odkrivanje groženj, poiščite načine za izdelavo reprezentativnih vzorcev, ki se testirajo glede na širši niz možnosti – to je boljša strategija, ki bo prinesla boljše izboljšave. Prav tako bo branilcem pomagalo končno odgovoriti na vprašanja, s katerimi se mučijo rdeče ekipe.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions
- : je
- :ne
- :kje
- $GOR
- 000
- 39
- 7
- a
- O meni
- nad
- doseženo
- natančna
- dejansko
- dodajte
- proti
- vsi
- Prav tako
- Čeprav
- vedno
- an
- analitika
- in
- Še ena
- odgovor
- pristop
- pristopi
- SE
- AS
- sprašuje
- ocenjuje
- Ocene
- At
- atomsko
- napad
- Napadi
- Poskusi
- temeljijo
- BE
- ker
- vedenje
- vedenja
- Verjemite
- Boljše
- med
- Modra
- tako
- Break
- izgradnjo
- Building
- vendar
- by
- poziva
- CAN
- primeru
- primeri
- kategoriziranje
- verige
- izziv
- Izberite
- izbral
- trdijo
- terjatve
- tesno
- v primerjavi z letom
- celovito
- naprej
- Nadzor
- pogovorov
- sodelovanje
- bi
- pokrov
- ustvarjajo
- ključnega pomena
- Trenutna
- Cybersecurity
- Branilci
- Defense
- definiranje
- razpolaga
- Podatki
- Podrobnosti
- odkrivanje
- Odkrivanje
- razvili
- DID
- drugačen
- težko
- DIG
- neposredno
- neskladje
- do
- ne
- don
- vsak
- učinkovitost
- Končna točka
- dovolj
- entiteta
- Tudi
- vse
- razvijajo
- Vaja
- false
- daleč
- Nekaj
- končno
- prva
- fiksna
- nogomet
- za
- iz
- polno
- funkcija
- temeljna
- dobili
- pridobivanje
- daje
- dobro
- imel
- se zgodi
- Imajo
- he
- Slišal
- pomoč
- zato
- Označite
- Kako
- Kako
- HTTPS
- i
- if
- Pomembno
- nemogoče
- Izboljšave
- in
- V drugi
- vedno
- individualna
- Posamezno
- Industrija
- Podatki
- Namesto
- v
- isn
- vprašanje
- IT
- ITS
- jpg
- Sodnik
- samo
- Vedite
- primanjkuje
- v veliki meri
- UČITE
- pustite
- kot
- Limited
- Poglej
- si
- POGLEDI
- izgubil
- Sklop
- Znamka
- več
- map
- Zemljevidi
- Stave
- pomenilo
- modeli
- več
- Najbolj
- Gibanje
- več
- my
- poimenovanje
- Narava
- Nimate
- mreža
- št
- Številka
- of
- on
- ONE
- tiste
- samo
- odprite
- nasprotnikov
- Možnost
- možnosti
- or
- Organizacija
- organizacije
- Ostalo
- ven
- Splošni
- prevladujoč
- lastne
- del
- penetracija
- platon
- Platonova podatkovna inteligenca
- PlatoData
- igra
- Veliko
- možnosti
- mogoče
- Praktično
- praksa
- pripravljeni
- Preprečevanje
- verjetno
- problem
- postopek
- Postopki
- proizvodnjo
- strokovnjaki
- Program
- PROS
- protokol
- dal
- vprašanje
- vprašanja
- hitro
- RE
- resnični svet
- realistična
- Reality
- uresničitev
- Razlog
- Rdeča
- Poročila
- zastopanje
- predstavnik
- Odgovor
- povzroči
- Pravica
- Rise
- koren
- s
- Enako
- pravi
- Znanstvenik
- varnost
- videnje
- izbran
- Občutek
- Storitve
- nastavite
- Kratke Hlače
- pomanjkljivosti
- shouldnt
- Podoben
- podobno
- So
- doslej
- Software
- Rešitev
- nekaj
- specifična
- Še vedno
- stop
- Strategija
- moč
- močna
- Boj
- naj
- Preverite
- sistem
- taktike
- Naloga
- skupina
- Skupine
- tehnika
- tehnike
- deset
- Ozemlje
- Test
- Testiran
- Testiranje
- kot
- da
- O
- njihove
- Njih
- sami
- POTEM
- Tukaj.
- te
- jih
- stvar
- stvari
- ta
- tisti,
- tisoče
- Grožnja
- grožnje
- skozi
- do
- skupaj
- tudi
- orodja
- usposabljanje
- Zaupajte
- skladi
- poskuša
- uporaba
- Rabljeni
- uporabnik
- uporabo
- potrjevanje
- vrednost
- Variant
- Ve
- Prodajalec
- prodajalci
- preverjanje
- zelo
- želeli
- način..
- načini
- we
- Dobro
- so bili
- weren
- Kaj
- kdaj
- zakaj
- širše
- Wikipedia
- bo
- z
- besede
- delo
- delati skupaj
- deluje
- Napačen
- Napisal
- še
- Vi
- Vaša rutina za
- zefirnet
