เหตุใดทีมสีแดงจึงไม่สามารถตอบคำถามที่สำคัญที่สุดของกองหลังได้

COMMENTARY

ในปี พ.ศ. 1931 นักวิทยาศาสตร์และนักปรัชญา อัลเฟรด คอร์ซิบสกี้ เขียนว่า “แผนที่ไม่ใช่อาณาเขต” เขาหมายถึงว่าโมเดลทั้งหมด เช่น แผนที่ ละทิ้งข้อมูลบางอย่างเมื่อเทียบกับความเป็นจริง โมเดลที่ใช้ในการตรวจจับภัยคุกคามในโลกไซเบอร์นั้นมีข้อจำกัดเช่นเดียวกัน ดังนั้นผู้พิทักษ์ควรถามตัวเองเสมอว่า “การตรวจจับภัยคุกคามของฉันตรวจจับทุกสิ่งที่ควรตรวจจับหรือไม่” การทดสอบการเจาะและการฝึกซ้อมของทีมสีแดงและสีน้ำเงินเป็นความพยายามที่จะตอบคำถามนี้ หรือพูดอีกอย่างหนึ่ง แผนที่ภัยคุกคามตรงกับความเป็นจริงของภัยคุกคามมากน้อยเพียงใด 

น่าเสียดาย, การประเมินทีมสีแดง อย่าตอบคำถามนี้เป็นอย่างดี ทีมสีแดงมีประโยชน์สำหรับสิ่งอื่นๆ มากมาย แต่เป็นแนวทางปฏิบัติที่ไม่ถูกต้องในการตอบคำถามเฉพาะเกี่ยวกับประสิทธิภาพการป้องกัน เป็นผลให้กองหลังไม่มีความรู้สึกตามความเป็นจริงว่าการป้องกันของพวกเขาแข็งแกร่งแค่ไหน

การประเมินทีมแดงถูกจำกัดโดยธรรมชาติ

การประเมินทีมแดงไม่ค่อยดีนักในการตรวจสอบว่าการป้องกันได้ผล โดยธรรมชาติแล้ว พวกเขาทดสอบเทคนิคการโจมตีที่เป็นไปได้เพียงไม่กี่รูปแบบเท่านั้นที่ฝ่ายตรงข้ามสามารถใช้ได้ นี่เป็นเพราะพวกเขาพยายามเลียนแบบการโจมตีในโลกแห่งความเป็นจริง: การลาดตระเวนครั้งแรก จากนั้นเป็นการบุกรุก จากนั้นจึงเคลื่อนไหวด้านข้าง และอื่นๆ แต่สิ่งที่กองหลังได้เรียนรู้จากสิ่งนี้ก็คือเทคนิคเฉพาะและความหลากหลายเหล่านั้นทำงานกับการป้องกันของพวกเขา พวกเขาไม่ได้รับข้อมูลเกี่ยวกับเทคนิคอื่นๆ หรือเทคนิคอื่นๆ ที่หลากหลาย

กล่าวอีกนัยหนึ่ง ถ้ากองหลังตรวจไม่พบทีมสีแดง นั่นเป็นเพราะแนวรับของพวกเขาขาดหรือเปล่า? หรือเป็นเพราะทีมสีแดงเลือกตัวเลือกเดียวที่พวกเขาไม่ได้เตรียมไว้? และหากพวกเขาตรวจพบทีมสีแดง การตรวจจับภัยคุกคามของพวกเขาจะครอบคลุมหรือไม่ หรือ “ตัวรุก” แค่เลือกเทคนิคที่เตรียมไว้? ไม่มีทางที่จะรู้ได้อย่างแน่นอน

สาเหตุของปัญหานี้คือทีมสีแดงไม่ได้ทดสอบรูปแบบการโจมตีที่เป็นไปได้เพียงพอที่จะตัดสินความแข็งแกร่งโดยรวมของการป้องกัน (แม้ว่าจะเพิ่มมูลค่าในรูปแบบอื่นก็ตาม) และผู้โจมตีอาจมีทางเลือกมากกว่าที่คุณคิด เทคนิคหนึ่งที่ฉันได้ตรวจสอบมี 39,000 รูปแบบ อีกคนมี 2.4 ล้าน! การทดสอบทั้งหมดหรือส่วนใหญ่เป็นไปไม่ได้ และการทดสอบน้อยเกินไปทำให้เกิดความปลอดภัยแบบผิดๆ

สำหรับผู้ขาย: เชื่อใจแต่ยืนยัน

เหตุใดการทดสอบการตรวจจับภัยคุกคามจึงมีความสำคัญ กล่าวโดยสรุป เป็นเพราะผู้เชี่ยวชาญด้านความปลอดภัยต้องการตรวจสอบว่าผู้ขายมีการตรวจจับพฤติกรรมที่พวกเขาอ้างว่าจะหยุดได้อย่างครอบคลุมจริงๆ มาตรการรักษาความปลอดภัยจะขึ้นอยู่กับผู้ขายเป็นส่วนใหญ่ ทีมรักษาความปลอดภัยขององค์กรเลือกและปรับใช้ระบบป้องกันการบุกรุก (IPS), การตรวจจับและการตอบสนองปลายทาง (EDR), การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) หรือเครื่องมือและความไว้วางใจที่คล้ายกันซึ่งซอฟต์แวร์ของผู้จำหน่ายที่เลือกจะตรวจจับพฤติกรรมตามที่กล่าวไว้ ผู้เชี่ยวชาญด้านความปลอดภัยต้องการตรวจสอบการเรียกร้องของผู้ขายมากขึ้น ฉันแทบจะนับจำนวนการสนทนาที่ได้ยินมาโดยที่ทีมสีแดงรายงานสิ่งที่พวกเขาทำเพื่อเจาะเข้าไปในเครือข่าย ทีมสีน้ำเงินบอกว่ามันไม่ควรเป็นไปได้ และทีมสีแดงยักไหล่แล้วพูดว่า "เอาล่ะ เราทำเช่นนั้น …” ฝ่ายตั้งรับต้องการเจาะลึกถึงความคลาดเคลื่อนนี้

การทดสอบกับตัวแปรนับหมื่น

แม้ว่าการทดสอบเทคนิคการโจมตีแต่ละรูปแบบจะไม่สามารถทำได้จริง แต่ฉันเชื่อว่าการทดสอบตัวอย่างที่เป็นตัวแทนของเทคนิคเหล่านั้นทำได้ ในการดำเนินการนี้ องค์กรต่างๆ สามารถใช้แนวทางต่างๆ เช่น โอเพ่นซอร์สของ Red Canary ได้ การทดสอบอะตอมโดยที่เทคนิคต่างๆ ได้รับการทดสอบเป็นรายบุคคล (ไม่ได้เป็นส่วนหนึ่งของห่วงโซ่การโจมตีที่ครอบคลุม) โดยใช้กรณีทดสอบหลายกรณีสำหรับแต่ละกรณี หากการฝึกซ้อมของทีมสีแดงเป็นเหมือนการแย่งชิงฟุตบอล Atomic Testing ก็เหมือนกับการฝึกซ้อมการเล่นแบบตัวต่อตัว ไม่ใช่ว่าละครทั้งหมดจะเกิดขึ้นแบบทะเลาะกันเต็มที่ แต่ก็ยังเป็นสิ่งสำคัญที่จะต้องฝึกฝนเมื่อเกิดขึ้น ทั้งสองอย่างควรเป็นส่วนหนึ่งของโปรแกรมการฝึกอบรมที่รอบรู้ หรือในกรณีนี้คือโปรแกรมการรักษาความปลอดภัยที่รอบรู้

จากนั้น พวกเขาจำเป็นต้องใช้ชุดกรณีทดสอบที่ครอบคลุมตัวแปรที่เป็นไปได้ทั้งหมดสำหรับเทคนิคที่เป็นปัญหา การสร้างกรณีทดสอบเหล่านี้เป็นงานสำคัญสำหรับผู้พิทักษ์ มันจะมีความสัมพันธ์โดยตรงกับการทดสอบประเมินการควบคุมความปลอดภัยได้ดีเพียงใด เพื่อดำเนินการเปรียบเทียบของฉันต่อไป กรณีทดสอบเหล่านี้ประกอบขึ้นเป็น “แผนที่” ของภัยคุกคาม เช่นเดียวกับแผนที่ที่ดี พวกเขาละรายละเอียดที่ไม่สำคัญและเน้นรายละเอียดที่สำคัญเพื่อสร้างความละเอียดที่ต่ำกว่า แต่โดยรวมมีความแม่นยำในการนำเสนอภัยคุกคาม วิธีสร้างกรณีทดสอบเหล่านี้เป็นปัญหาที่ฉันยังคงต้องเผชิญอยู่ (ฉันเคย เขียนเกี่ยวกับ ผลงานบางส่วนของฉันจนถึงตอนนี้)

การใช้วิธีแก้ไขข้อบกพร่องของการตรวจจับภัยคุกคามในปัจจุบันอีกวิธีหนึ่ง ทีมสีม่วง — การรับทีมสีแดงและสีน้ำเงินมาทำงานร่วมกันแทนที่จะมองว่าเป็นฝ่ายตรงข้าม ความร่วมมือที่มากขึ้นระหว่างทีมสีแดงและสีน้ำเงินเป็นสิ่งที่ดี ดังนั้นบริการของทีมสีม่วงจึงเพิ่มขึ้น แต่บริการเหล่านี้ส่วนใหญ่ไม่สามารถแก้ไขปัญหาพื้นฐานได้ แม้ว่าจะมีความร่วมมือกันมากขึ้น การประเมินที่พิจารณาเทคนิคการโจมตีและตัวแปรต่างๆ เพียงเล็กน้อยก็ยังจำกัดเกินไป บริการของทีมสีม่วงจำเป็นต้องพัฒนา

สร้างกรณีทดสอบที่ดีขึ้น

ความท้าทายอย่างหนึ่งในการสร้างกรณีทดสอบที่ดี (และสาเหตุที่ความร่วมมือของทีมสีแดง-น้ำเงินยังไม่เพียงพอด้วยตัวมันเอง) ก็คือวิธีที่เราจัดหมวดหมู่การโจมตีนั้นปิดบังรายละเอียดมากมาย การรักษาความปลอดภัยทางไซเบอร์จะพิจารณาการโจมตีผ่านเลนส์สามชั้น: กลยุทธ์ เทคนิค และขั้นตอน (TTP) เทคนิคอย่าง. การทิ้งข้อมูลประจำตัว สามารถทำได้โดยขั้นตอนที่แตกต่างกันมากมาย เช่น Mimikatz หรือ Dumpert และแต่ละขั้นตอนสามารถมีลำดับการเรียกใช้ฟังก์ชันที่แตกต่างกันมากมาย การนิยามว่า "ขั้นตอน" ใดเป็นเรื่องยากอย่างรวดเร็ว แต่เป็นไปได้ด้วยแนวทางที่ถูกต้อง อุตสาหกรรมยังไม่ได้พัฒนาระบบที่ดีในการตั้งชื่อและจัดหมวดหมู่รายละเอียดทั้งหมดนี้

หากคุณต้องการทดสอบการตรวจจับภัยคุกคาม ให้มองหาวิธีสร้างตัวอย่างที่เป็นตัวแทนที่ทดสอบกับความเป็นไปได้ที่หลากหลาย นี่เป็นกลยุทธ์ที่ดีกว่าซึ่งจะสร้างการปรับปรุงที่ดีขึ้น นอกจากนี้ยังช่วยให้กองหลังตอบคำถามที่ทีมสีแดงต้องเผชิญในที่สุด

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions