COMMENTARY
ในปี พ.ศ. 1931 นักวิทยาศาสตร์และนักปรัชญา อัลเฟรด คอร์ซิบสกี้ เขียนว่า “แผนที่ไม่ใช่อาณาเขต” เขาหมายถึงว่าโมเดลทั้งหมด เช่น แผนที่ ละทิ้งข้อมูลบางอย่างเมื่อเทียบกับความเป็นจริง โมเดลที่ใช้ในการตรวจจับภัยคุกคามในโลกไซเบอร์นั้นมีข้อจำกัดเช่นเดียวกัน ดังนั้นผู้พิทักษ์ควรถามตัวเองเสมอว่า “การตรวจจับภัยคุกคามของฉันตรวจจับทุกสิ่งที่ควรตรวจจับหรือไม่” การทดสอบการเจาะและการฝึกซ้อมของทีมสีแดงและสีน้ำเงินเป็นความพยายามที่จะตอบคำถามนี้ หรือพูดอีกอย่างหนึ่ง แผนที่ภัยคุกคามตรงกับความเป็นจริงของภัยคุกคามมากน้อยเพียงใด
น่าเสียดาย, การประเมินทีมสีแดง อย่าตอบคำถามนี้เป็นอย่างดี ทีมสีแดงมีประโยชน์สำหรับสิ่งอื่นๆ มากมาย แต่เป็นแนวทางปฏิบัติที่ไม่ถูกต้องในการตอบคำถามเฉพาะเกี่ยวกับประสิทธิภาพการป้องกัน เป็นผลให้กองหลังไม่มีความรู้สึกตามความเป็นจริงว่าการป้องกันของพวกเขาแข็งแกร่งแค่ไหน
การประเมินทีมแดงถูกจำกัดโดยธรรมชาติ
การประเมินทีมแดงไม่ค่อยดีนักในการตรวจสอบว่าการป้องกันได้ผล โดยธรรมชาติแล้ว พวกเขาทดสอบเทคนิคการโจมตีที่เป็นไปได้เพียงไม่กี่รูปแบบเท่านั้นที่ฝ่ายตรงข้ามสามารถใช้ได้ นี่เป็นเพราะพวกเขาพยายามเลียนแบบการโจมตีในโลกแห่งความเป็นจริง: การลาดตระเวนครั้งแรก จากนั้นเป็นการบุกรุก จากนั้นจึงเคลื่อนไหวด้านข้าง และอื่นๆ แต่สิ่งที่กองหลังได้เรียนรู้จากสิ่งนี้ก็คือเทคนิคเฉพาะและความหลากหลายเหล่านั้นทำงานกับการป้องกันของพวกเขา พวกเขาไม่ได้รับข้อมูลเกี่ยวกับเทคนิคอื่นๆ หรือเทคนิคอื่นๆ ที่หลากหลาย
กล่าวอีกนัยหนึ่ง ถ้ากองหลังตรวจไม่พบทีมสีแดง นั่นเป็นเพราะแนวรับของพวกเขาขาดหรือเปล่า? หรือเป็นเพราะทีมสีแดงเลือกตัวเลือกเดียวที่พวกเขาไม่ได้เตรียมไว้? และหากพวกเขาตรวจพบทีมสีแดง การตรวจจับภัยคุกคามของพวกเขาจะครอบคลุมหรือไม่ หรือ “ตัวรุก” แค่เลือกเทคนิคที่เตรียมไว้? ไม่มีทางที่จะรู้ได้อย่างแน่นอน
สาเหตุของปัญหานี้คือทีมสีแดงไม่ได้ทดสอบรูปแบบการโจมตีที่เป็นไปได้เพียงพอที่จะตัดสินความแข็งแกร่งโดยรวมของการป้องกัน (แม้ว่าจะเพิ่มมูลค่าในรูปแบบอื่นก็ตาม) และผู้โจมตีอาจมีทางเลือกมากกว่าที่คุณคิด เทคนิคหนึ่งที่ฉันได้ตรวจสอบมี 39,000 รูปแบบ อีกคนมี 2.4 ล้าน! การทดสอบทั้งหมดหรือส่วนใหญ่เป็นไปไม่ได้ และการทดสอบน้อยเกินไปทำให้เกิดความปลอดภัยแบบผิดๆ
สำหรับผู้ขาย: เชื่อใจแต่ยืนยัน
เหตุใดการทดสอบการตรวจจับภัยคุกคามจึงมีความสำคัญ กล่าวโดยสรุป เป็นเพราะผู้เชี่ยวชาญด้านความปลอดภัยต้องการตรวจสอบว่าผู้ขายมีการตรวจจับพฤติกรรมที่พวกเขาอ้างว่าจะหยุดได้อย่างครอบคลุมจริงๆ มาตรการรักษาความปลอดภัยจะขึ้นอยู่กับผู้ขายเป็นส่วนใหญ่ ทีมรักษาความปลอดภัยขององค์กรเลือกและปรับใช้ระบบป้องกันการบุกรุก (IPS), การตรวจจับและการตอบสนองปลายทาง (EDR), การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) หรือเครื่องมือและความไว้วางใจที่คล้ายกันซึ่งซอฟต์แวร์ของผู้จำหน่ายที่เลือกจะตรวจจับพฤติกรรมตามที่กล่าวไว้ ผู้เชี่ยวชาญด้านความปลอดภัยต้องการตรวจสอบการเรียกร้องของผู้ขายมากขึ้น ฉันแทบจะนับจำนวนการสนทนาที่ได้ยินมาโดยที่ทีมสีแดงรายงานสิ่งที่พวกเขาทำเพื่อเจาะเข้าไปในเครือข่าย ทีมสีน้ำเงินบอกว่ามันไม่ควรเป็นไปได้ และทีมสีแดงยักไหล่แล้วพูดว่า "เอาล่ะ เราทำเช่นนั้น …” ฝ่ายตั้งรับต้องการเจาะลึกถึงความคลาดเคลื่อนนี้
การทดสอบกับตัวแปรนับหมื่น
แม้ว่าการทดสอบเทคนิคการโจมตีแต่ละรูปแบบจะไม่สามารถทำได้จริง แต่ฉันเชื่อว่าการทดสอบตัวอย่างที่เป็นตัวแทนของเทคนิคเหล่านั้นทำได้ ในการดำเนินการนี้ องค์กรต่างๆ สามารถใช้แนวทางต่างๆ เช่น โอเพ่นซอร์สของ Red Canary ได้ การทดสอบอะตอมโดยที่เทคนิคต่างๆ ได้รับการทดสอบเป็นรายบุคคล (ไม่ได้เป็นส่วนหนึ่งของห่วงโซ่การโจมตีที่ครอบคลุม) โดยใช้กรณีทดสอบหลายกรณีสำหรับแต่ละกรณี หากการฝึกซ้อมของทีมสีแดงเป็นเหมือนการแย่งชิงฟุตบอล Atomic Testing ก็เหมือนกับการฝึกซ้อมการเล่นแบบตัวต่อตัว ไม่ใช่ว่าละครทั้งหมดจะเกิดขึ้นแบบทะเลาะกันเต็มที่ แต่ก็ยังเป็นสิ่งสำคัญที่จะต้องฝึกฝนเมื่อเกิดขึ้น ทั้งสองอย่างควรเป็นส่วนหนึ่งของโปรแกรมการฝึกอบรมที่รอบรู้ หรือในกรณีนี้คือโปรแกรมการรักษาความปลอดภัยที่รอบรู้
จากนั้น พวกเขาจำเป็นต้องใช้ชุดกรณีทดสอบที่ครอบคลุมตัวแปรที่เป็นไปได้ทั้งหมดสำหรับเทคนิคที่เป็นปัญหา การสร้างกรณีทดสอบเหล่านี้เป็นงานสำคัญสำหรับผู้พิทักษ์ มันจะมีความสัมพันธ์โดยตรงกับการทดสอบประเมินการควบคุมความปลอดภัยได้ดีเพียงใด เพื่อดำเนินการเปรียบเทียบของฉันต่อไป กรณีทดสอบเหล่านี้ประกอบขึ้นเป็น “แผนที่” ของภัยคุกคาม เช่นเดียวกับแผนที่ที่ดี พวกเขาละรายละเอียดที่ไม่สำคัญและเน้นรายละเอียดที่สำคัญเพื่อสร้างความละเอียดที่ต่ำกว่า แต่โดยรวมมีความแม่นยำในการนำเสนอภัยคุกคาม วิธีสร้างกรณีทดสอบเหล่านี้เป็นปัญหาที่ฉันยังคงต้องเผชิญอยู่ (ฉันเคย เขียนเกี่ยวกับ ผลงานบางส่วนของฉันจนถึงตอนนี้)
การใช้วิธีแก้ไขข้อบกพร่องของการตรวจจับภัยคุกคามในปัจจุบันอีกวิธีหนึ่ง ทีมสีม่วง — การรับทีมสีแดงและสีน้ำเงินมาทำงานร่วมกันแทนที่จะมองว่าเป็นฝ่ายตรงข้าม ความร่วมมือที่มากขึ้นระหว่างทีมสีแดงและสีน้ำเงินเป็นสิ่งที่ดี ดังนั้นบริการของทีมสีม่วงจึงเพิ่มขึ้น แต่บริการเหล่านี้ส่วนใหญ่ไม่สามารถแก้ไขปัญหาพื้นฐานได้ แม้ว่าจะมีความร่วมมือกันมากขึ้น การประเมินที่พิจารณาเทคนิคการโจมตีและตัวแปรต่างๆ เพียงเล็กน้อยก็ยังจำกัดเกินไป บริการของทีมสีม่วงจำเป็นต้องพัฒนา
สร้างกรณีทดสอบที่ดีขึ้น
ความท้าทายอย่างหนึ่งในการสร้างกรณีทดสอบที่ดี (และสาเหตุที่ความร่วมมือของทีมสีแดง-น้ำเงินยังไม่เพียงพอด้วยตัวมันเอง) ก็คือวิธีที่เราจัดหมวดหมู่การโจมตีนั้นปิดบังรายละเอียดมากมาย การรักษาความปลอดภัยทางไซเบอร์จะพิจารณาการโจมตีผ่านเลนส์สามชั้น: กลยุทธ์ เทคนิค และขั้นตอน (TTP) เทคนิคอย่าง. การทิ้งข้อมูลประจำตัว สามารถทำได้โดยขั้นตอนที่แตกต่างกันมากมาย เช่น Mimikatz หรือ Dumpert และแต่ละขั้นตอนสามารถมีลำดับการเรียกใช้ฟังก์ชันที่แตกต่างกันมากมาย การนิยามว่า "ขั้นตอน" ใดเป็นเรื่องยากอย่างรวดเร็ว แต่เป็นไปได้ด้วยแนวทางที่ถูกต้อง อุตสาหกรรมยังไม่ได้พัฒนาระบบที่ดีในการตั้งชื่อและจัดหมวดหมู่รายละเอียดทั้งหมดนี้
หากคุณต้องการทดสอบการตรวจจับภัยคุกคาม ให้มองหาวิธีสร้างตัวอย่างที่เป็นตัวแทนที่ทดสอบกับความเป็นไปได้ที่หลากหลาย นี่เป็นกลยุทธ์ที่ดีกว่าซึ่งจะสร้างการปรับปรุงที่ดีขึ้น นอกจากนี้ยังช่วยให้กองหลังตอบคำถามที่ทีมสีแดงต้องเผชิญในที่สุด
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 000
- 39
- 7
- a
- เกี่ยวกับเรา
- ข้างบน
- คล่องแคล่ว
- ถูกต้อง
- จริง
- เพิ่ม
- กับ
- ทั้งหมด
- ด้วย
- แม้ว่า
- เสมอ
- an
- การวิเคราะห์
- และ
- อื่น
- คำตอบ
- เข้าใกล้
- วิธีการ
- เป็น
- AS
- ขอให้
- ประเมิน
- การประเมินผล
- At
- อะตอม
- โจมตี
- การโจมตี
- ความพยายามในการ
- ตาม
- BE
- เพราะ
- พฤติกรรม
- พฤติกรรม
- เชื่อ
- ดีกว่า
- ระหว่าง
- สีน้ำเงิน
- ทั้งสอง
- ทำลาย
- สร้าง
- การก่อสร้าง
- แต่
- by
- โทร
- CAN
- กรณี
- กรณี
- การจัดหมวดหมู่
- โซ่
- ท้าทาย
- Choose
- เลือก
- ข้อเรียกร้อง
- การเรียกร้อง
- อย่างใกล้ชิด
- เมื่อเทียบกับ
- ครอบคลุม
- ต่อ
- การควบคุม
- การสนทนา
- ความร่วมมือ
- ได้
- หน้าปก
- สร้าง
- สำคัญมาก
- ปัจจุบัน
- cybersecurity
- Defenders
- ป้องกัน
- การกำหนด
- Deploys
- รายละเอียด
- รายละเอียด
- ตรวจจับ
- การตรวจพบ
- พัฒนา
- DID
- ต่าง
- ยาก
- DIG
- โดยตรง
- ความคลาดเคลื่อน
- do
- ทำ
- สวม
- แต่ละ
- ประสิทธิภาพ
- ปลายทาง
- พอ
- เอกลักษณ์
- แม้
- ทุกอย่าง
- คาย
- การออกกำลังกาย
- เท็จ
- ไกล
- สองสาม
- ในที่สุด
- ชื่อจริง
- แก้ไขปัญหา
- ฟุตบอล
- สำหรับ
- ราคาเริ่มต้นที่
- เต็ม
- ฟังก์ชัน
- พื้นฐาน
- ได้รับ
- ได้รับ
- จะช่วยให้
- ดี
- มี
- เกิดขึ้น
- มี
- he
- ได้ยิน
- ช่วย
- ด้วยเหตุนี้
- เน้น
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- i
- if
- สำคัญ
- เป็นไปไม่ได้
- การปรับปรุง
- in
- ในอื่น ๆ
- ขึ้น
- เป็นรายบุคคล
- เป็นรายบุคคล
- อุตสาหกรรม
- ข้อมูล
- แทน
- เข้าไป
- ISN
- ปัญหา
- IT
- ITS
- jpg
- ผู้พิพากษา
- เพียงแค่
- ทราบ
- ขาดแคลน
- ส่วนใหญ่
- เรียนรู้
- ทิ้ง
- กดไลก์
- ถูก จำกัด
- ดู
- ที่ต้องการหา
- LOOKS
- สูญหาย
- Lot
- ทำ
- หลาย
- แผนที่
- แผนที่
- การจับคู่
- หมายความว่า
- โมเดล
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การเคลื่อนไหว
- หลาย
- my
- การตั้งชื่อ
- ธรรมชาติ
- จำเป็นต้อง
- เครือข่าย
- ไม่
- จำนวน
- of
- on
- ONE
- คน
- เพียง
- เปิด
- ฝ่ายตรงข้าม
- ตัวเลือกเสริม (Option)
- Options
- or
- organizacja
- องค์กร
- อื่นๆ
- ออก
- ทั้งหมด
- ที่ครอบคลุม
- ของตนเอง
- ส่วนหนึ่ง
- การเจาะ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- ความอุดมสมบูรณ์
- ความเป็นไปได้
- เป็นไปได้
- ประยุกต์
- การปฏิบัติ
- เตรียม
- การป้องกัน
- อาจ
- ปัญหา
- ขั้นตอนการ
- ขั้นตอน
- ก่อ
- มืออาชีพ
- โครงการ
- PROS
- โปรโตคอล
- ใส่
- คำถาม
- คำถาม
- อย่างรวดเร็ว
- RE
- โลกแห่งความจริง
- เหมือนจริง
- ความจริง
- ตระหนักถึง
- เหตุผล
- สีแดง
- รายงาน
- การแสดง
- ตัวแทน
- คำตอบ
- ผล
- ขวา
- ขึ้น
- ราก
- s
- เดียวกัน
- พูดว่า
- นักวิทยาศาสตร์
- ความปลอดภัย
- เห็น
- เลือก
- ความรู้สึก
- บริการ
- ชุด
- สั้น
- ข้อบกพร่อง
- น่า
- คล้ายคลึงกัน
- เหมือนกับ
- So
- จนถึงตอนนี้
- ซอฟต์แวร์
- ทางออก
- บาง
- โดยเฉพาะ
- ยังคง
- หยุด
- กลยุทธ์
- ความแข็งแรง
- แข็งแรง
- การต่อสู้
- ควร
- แน่ใจ
- ระบบ
- กลยุทธ์
- งาน
- ทีม
- ทีม
- เทคนิค
- เทคนิค
- เมตริกซ์
- อาณาเขต
- ทดสอบ
- การทดสอบ
- การทดสอบ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- สิ่ง
- นี้
- เหล่านั้น
- พัน
- การคุกคาม
- ภัยคุกคาม
- ตลอด
- ไปยัง
- ร่วมกัน
- เกินไป
- เครื่องมือ
- การฝึกอบรม
- วางใจ
- ไว้ใจ
- พยายาม
- ใช้
- มือสอง
- ผู้ใช้งาน
- การใช้
- กำลังตรวจสอบ
- ความคุ้มค่า
- ตัวแปร
- Ve
- ผู้ขาย
- ผู้ขาย
- ตรวจสอบ
- มาก
- ต้องการ
- ทาง..
- วิธี
- we
- ดี
- คือ
- ถูก
- อะไร
- เมื่อ
- ทำไม
- กว้าง
- วิกิพีเดีย
- จะ
- กับ
- คำ
- งาน
- ทำงานด้วยกัน
- การทำงาน
- ผิด
- เขียน
- ยัง
- คุณ
- ของคุณ
- ลมทะเล