Чому червоні команди не можуть відповісти на найважливіші запитання захисників

КОМЕНТАР

У 1931 році вчений і філософ Альфред Коржибський написав: «Карта — це не територія». Він мав на увазі, що всі моделі, як і карти, пропускають деяку інформацію порівняно з реальністю. Моделі, які використовуються для виявлення загроз у сфері кібербезпеки, також обмежені, тому захисникам слід завжди запитувати себе: «Чи моє виявлення загроз виявляє все, що воно має виявити?» Тестування на проникнення та вправи червоно-синіх команд є спробами відповісти на це питання. Або, іншими словами, наскільки їхня карта загрози відповідає реальності загрози? 

На жаль, червоно-командні оцінки не дуже добре відповісти на це питання. Червона команда корисна для багатьох інших речей, але це неправильний протокол для відповіді на це конкретне запитання про ефективність захисту. У результаті захисники не мають реального уявлення про те, наскільки сильним є їхній захист.

Оцінки червоної команди обмежені за своєю природою

Оцінювання червоної команди не дуже добре підтверджує, що захист працює. За своєю природою вони перевіряють лише кілька конкретних варіантів кількох можливих прийомів атаки, які може використати супротивник. Це тому, що вони намагаються імітувати атаку в реальному світі: спочатку розвідка, потім вторгнення, потім бічний рух і так далі. Але все, чого захисники дізнаються з цього, це те, що ці специфічні прийоми та різновиди діють проти їхнього захисту. Вони не отримують інформації про інші техніки чи інші різновиди тієї ж техніки.

Іншими словами, якщо захисники не бачать червону команду, це тому, що їхній захист відсутній? Чи це тому, що червона команда обрала єдиний варіант, до якого вони не були готові? І якщо вони виявили червону команду, чи виявлення загрози є повним? Або «зловмисники» просто обрали техніку, до якої були готові? Немає способу дізнатися напевно.

Корінь цієї проблеми полягає в тому, що червоні команди недостатньо перевіряють можливі варіанти атаки, щоб оцінити загальну силу захисту (хоча вони додають цінності іншими способами). І зловмисники, мабуть, мають більше варіантів, ніж ви собі уявляєте. Одна техніка, яку я перевірив, мала 39,000 2.4 варіацій. Інший мав XNUMX мільйона! Тестувати всі або більшість із них неможливо, а тестування надто малої кількості дає помилкове відчуття безпеки.

Для постачальників: довіряйте, але перевіряйте

Чому тестування виявлення загроз є таким важливим? Коротше кажучи, це тому, що спеціалісти з безпеки хочуть переконатися, що постачальники дійсно мають комплексне виявлення поведінки, яку вони, як вони стверджують, намагаються зупинити. Стан безпеки значною мірою залежить від постачальників. Команда безпеки організації вибирає та розгортає систему запобігання вторгненням (IPS), виявлення кінцевих точок і реагування на них (EDR), аналітику поведінки користувачів і об’єктів (UEBA) або подібні інструменти та вірить, що програмне забезпечення вибраного постачальника виявить поведінку, яку він заявляє. Професіонали безпеки все частіше хочуть перевіряти заяви постачальників. Я втратив рахунок кількості розмов, які я чув, у яких червона команда повідомляє, що вони зробили, щоб зламати мережу, синя команда каже, що це неможливо, а червона команда знизує плечима і каже: «Ну, ми зробили це так…» Захисники хочуть розібратися в цій невідповідності.

Тестування на десятки тисяч варіантів

Хоча перевірка кожного варіанту техніки атаки непрактична, я вважаю, що тестування репрезентативної вибірки є практичним. Для цього організації можуть використовувати такі підходи, як відкритий код Red Canary Атомне випробування, де техніки тестуються окремо (не як частина загального ланцюжка атак) з використанням кількох тестових випадків для кожного. Якщо вправа червоної команди схожа на футбольну сутичку, то Atomic Testing схожа на відпрацювання індивідуальних ігор. Не всі ці ігри відбуватимуться в повній сутичці, але все одно важливо потренуватися, коли це станеться. І те, і інше має бути частиною комплексної програми навчання або, у цьому випадку, комплексної програми безпеки.

Далі їм потрібно використати набір тестів, які охоплюють усі можливі варіанти розглянутої техніки. Створення цих тестів є критичним завданням для захисників; це безпосередньо корелюватиме з тим, наскільки добре тестування оцінює засоби контролю безпеки. Щоб продовжити свою аналогію вище, ці тестові приклади складають «карту» загрози. Подібно до хорошої карти, вони пропускають неважливі деталі та виділяють важливі, щоб створити точне представлення загрози з нижчою роздільною здатністю. Як побудувати ці тестові випадки – це проблема, над якою я все ще борюся (я написано о деякі з моїх наразі робіт).

Іншим вирішенням недоліків поточного виявлення загроз є використання фіолетові команди — змусити червоні та сині команди працювати разом замість того, щоб бачити одна одну суперниками. Посилення співпраці між червоною та синьою командами — це добре, тому зростання послуг фіолетової команди. Але більшість із цих послуг не вирішують фундаментальної проблеми. Навіть за умови більшої співпраці оцінки, які розглядають лише кілька методів і варіантів атак, все ще є занадто обмеженими. Послуги Purple-team потребують розвитку.

Створення кращих тестових випадків

Складність створення хороших тестів (і причина, чому співпраці червоно-синіх команд недостатня сама по собі) полягає в тому, що спосіб класифікації атак приховує багато деталей. Кібербезпека розглядає атаки через трирівневу призму: тактику, техніку та процедури (TTP). Така техніка, як скидання облікових даних може бути виконано багатьма різними процедурами, такими як Mimikatz або Dumpert, і кожна процедура може мати багато різних послідовностей викликів функцій. Визначити, що таке «процедура», стає дуже важко, але це можливо за правильного підходу. Індустрія ще не розробила хорошу систему іменування та класифікації всіх цих деталей.

Якщо ви хочете перевірити виявлення загроз, шукайте способи створення репрезентативних зразків, які перевірятимуть на ширшому діапазоні можливостей — це краща стратегія, яка дасть кращі покращення. Це також допоможе захисникам нарешті відповісти на запитання, з якими борються червоні команди.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions