КОМЕНТАР
У 1931 році вчений і філософ Альфред Коржибський написав: «Карта — це не територія». Він мав на увазі, що всі моделі, як і карти, пропускають деяку інформацію порівняно з реальністю. Моделі, які використовуються для виявлення загроз у сфері кібербезпеки, також обмежені, тому захисникам слід завжди запитувати себе: «Чи моє виявлення загроз виявляє все, що воно має виявити?» Тестування на проникнення та вправи червоно-синіх команд є спробами відповісти на це питання. Або, іншими словами, наскільки їхня карта загрози відповідає реальності загрози?
На жаль, червоно-командні оцінки не дуже добре відповісти на це питання. Червона команда корисна для багатьох інших речей, але це неправильний протокол для відповіді на це конкретне запитання про ефективність захисту. У результаті захисники не мають реального уявлення про те, наскільки сильним є їхній захист.
Оцінки червоної команди обмежені за своєю природою
Оцінювання червоної команди не дуже добре підтверджує, що захист працює. За своєю природою вони перевіряють лише кілька конкретних варіантів кількох можливих прийомів атаки, які може використати супротивник. Це тому, що вони намагаються імітувати атаку в реальному світі: спочатку розвідка, потім вторгнення, потім бічний рух і так далі. Але все, чого захисники дізнаються з цього, це те, що ці специфічні прийоми та різновиди діють проти їхнього захисту. Вони не отримують інформації про інші техніки чи інші різновиди тієї ж техніки.
Іншими словами, якщо захисники не бачать червону команду, це тому, що їхній захист відсутній? Чи це тому, що червона команда обрала єдиний варіант, до якого вони не були готові? І якщо вони виявили червону команду, чи виявлення загрози є повним? Або «зловмисники» просто обрали техніку, до якої були готові? Немає способу дізнатися напевно.
Корінь цієї проблеми полягає в тому, що червоні команди недостатньо перевіряють можливі варіанти атаки, щоб оцінити загальну силу захисту (хоча вони додають цінності іншими способами). І зловмисники, мабуть, мають більше варіантів, ніж ви собі уявляєте. Одна техніка, яку я перевірив, мала 39,000 2.4 варіацій. Інший мав XNUMX мільйона! Тестувати всі або більшість із них неможливо, а тестування надто малої кількості дає помилкове відчуття безпеки.
Для постачальників: довіряйте, але перевіряйте
Чому тестування виявлення загроз є таким важливим? Коротше кажучи, це тому, що спеціалісти з безпеки хочуть переконатися, що постачальники дійсно мають комплексне виявлення поведінки, яку вони, як вони стверджують, намагаються зупинити. Стан безпеки значною мірою залежить від постачальників. Команда безпеки організації вибирає та розгортає систему запобігання вторгненням (IPS), виявлення кінцевих точок і реагування на них (EDR), аналітику поведінки користувачів і об’єктів (UEBA) або подібні інструменти та вірить, що програмне забезпечення вибраного постачальника виявить поведінку, яку він заявляє. Професіонали безпеки все частіше хочуть перевіряти заяви постачальників. Я втратив рахунок кількості розмов, які я чув, у яких червона команда повідомляє, що вони зробили, щоб зламати мережу, синя команда каже, що це неможливо, а червона команда знизує плечима і каже: «Ну, ми зробили це так…» Захисники хочуть розібратися в цій невідповідності.
Тестування на десятки тисяч варіантів
Хоча перевірка кожного варіанту техніки атаки непрактична, я вважаю, що тестування репрезентативної вибірки є практичним. Для цього організації можуть використовувати такі підходи, як відкритий код Red Canary Атомне випробування, де техніки тестуються окремо (не як частина загального ланцюжка атак) з використанням кількох тестових випадків для кожного. Якщо вправа червоної команди схожа на футбольну сутичку, то Atomic Testing схожа на відпрацювання індивідуальних ігор. Не всі ці ігри відбуватимуться в повній сутичці, але все одно важливо потренуватися, коли це станеться. І те, і інше має бути частиною комплексної програми навчання або, у цьому випадку, комплексної програми безпеки.
Далі їм потрібно використати набір тестів, які охоплюють усі можливі варіанти розглянутої техніки. Створення цих тестів є критичним завданням для захисників; це безпосередньо корелюватиме з тим, наскільки добре тестування оцінює засоби контролю безпеки. Щоб продовжити свою аналогію вище, ці тестові приклади складають «карту» загрози. Подібно до хорошої карти, вони пропускають неважливі деталі та виділяють важливі, щоб створити точне представлення загрози з нижчою роздільною здатністю. Як побудувати ці тестові випадки – це проблема, над якою я все ще борюся (я написано о деякі з моїх наразі робіт).
Іншим вирішенням недоліків поточного виявлення загроз є використання фіолетові команди — змусити червоні та сині команди працювати разом замість того, щоб бачити одна одну суперниками. Посилення співпраці між червоною та синьою командами — це добре, тому зростання послуг фіолетової команди. Але більшість із цих послуг не вирішують фундаментальної проблеми. Навіть за умови більшої співпраці оцінки, які розглядають лише кілька методів і варіантів атак, все ще є занадто обмеженими. Послуги Purple-team потребують розвитку.
Створення кращих тестових випадків
Складність створення хороших тестів (і причина, чому співпраці червоно-синіх команд недостатня сама по собі) полягає в тому, що спосіб класифікації атак приховує багато деталей. Кібербезпека розглядає атаки через трирівневу призму: тактику, техніку та процедури (TTP). Така техніка, як скидання облікових даних може бути виконано багатьма різними процедурами, такими як Mimikatz або Dumpert, і кожна процедура може мати багато різних послідовностей викликів функцій. Визначити, що таке «процедура», стає дуже важко, але це можливо за правильного підходу. Індустрія ще не розробила хорошу систему іменування та класифікації всіх цих деталей.
Якщо ви хочете перевірити виявлення загроз, шукайте способи створення репрезентативних зразків, які перевірятимуть на ширшому діапазоні можливостей — це краща стратегія, яка дасть кращі покращення. Це також допоможе захисникам нарешті відповісти на запитання, з якими борються червоні команди.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions
- :є
- : ні
- :де
- $UP
- 000
- 39
- 7
- a
- МЕНЮ
- вище
- виконано
- точний
- насправді
- додавати
- проти
- ВСІ
- Також
- хоча
- завжди
- an
- аналітика
- та
- Інший
- відповідь
- підхід
- підходи
- ЕСТЬ
- AS
- запитувач
- оцінює
- оцінки
- At
- атомний
- атака
- нападки
- Спроби
- заснований
- BE
- оскільки
- поведінка
- поведінки
- Вірити
- Краще
- між
- синій
- обидва
- Перерва
- будувати
- Створюємо
- але
- by
- Виклики
- CAN
- випадок
- випадків
- категоризація
- ланцюг
- виклик
- Вибирати
- вибрав
- стверджувати
- претензій
- тісно
- порівняний
- всеосяжний
- продовжувати
- управління
- розмови
- співробітництво
- може
- обкладинка
- створювати
- вирішальне значення
- Поточний
- Кібербезпека
- Захисники
- оборони
- визначаючи
- розгортає
- деталь
- деталі
- виявляти
- Виявлення
- розвиненою
- DID
- різний
- важкий
- DIG
- безпосередньо
- невідповідність
- do
- робить
- Дон
- кожен
- ефективність
- Кінцева точка
- досить
- суб'єкта
- Навіть
- все
- еволюціонувати
- Здійснювати
- false
- далеко
- кілька
- в кінці кінців
- Перший
- виправляти
- футбол
- для
- від
- Повний
- функція
- фундаментальний
- отримати
- отримання
- дає
- добре
- було
- траплятися
- Мати
- he
- почутий
- допомога
- отже
- Виділіть
- Як
- How To
- HTTPS
- i
- if
- важливо
- неможливе
- поліпшення
- in
- В інших
- все більше і більше
- індивідуальний
- Індивідуально
- промисловість
- інформація
- замість
- в
- isn
- питання
- IT
- ЙОГО
- JPG
- суддя
- просто
- Знати
- не вистачає
- в значній мірі
- УЧИТЬСЯ
- Залишати
- як
- обмеженою
- подивитися
- шукати
- ВИГЛЯДИ
- втрачений
- серія
- зробити
- багато
- карта
- карти
- матч
- означав
- Моделі
- більше
- найбільш
- руху
- множинний
- my
- іменування
- природа
- Необхідність
- мережу
- немає
- номер
- of
- on
- ONE
- ті,
- тільки
- відкрити
- опонентами
- варіант
- Опції
- or
- організація
- організації
- Інше
- з
- загальний
- всеохоплюючий
- власний
- частина
- проникнення
- plato
- Інформація про дані Платона
- PlatoData
- відіграє
- Plenty
- можливостей
- це можливо
- Практичний
- практика
- підготовлений
- Попередження
- ймовірно
- Проблема
- процедура
- Процедури
- виробляти
- професіонали
- програма
- PROS
- протокол
- put
- питання
- питань
- швидко
- RE
- Реальний світ
- реалістичний
- Реальність
- реалізувати
- причина
- червоний
- Звіти
- подання
- представник
- відповідь
- результат
- право
- Зростання
- корінь
- s
- то ж
- говорить
- вчений
- безпеку
- бачачи
- обраний
- сенс
- Послуги
- комплект
- Короткий
- недоліки
- Повинен
- аналогічний
- Аналогічно
- So
- так далеко
- Софтвер
- рішення
- деякі
- конкретний
- Як і раніше
- Стоп
- Стратегія
- сила
- сильний
- боротьба
- передбачуваний
- Переконайтеся
- система
- тактика
- Завдання
- команда
- команди
- техніка
- методи
- тензор
- територія
- тест
- перевірений
- Тестування
- ніж
- Що
- Команда
- їх
- Їх
- самі
- потім
- Там.
- Ці
- вони
- річ
- речі
- це
- ті
- тисячі
- загроза
- загрози
- через
- до
- разом
- занадто
- інструменти
- Навчання
- Довіряйте
- Трасти
- намагається
- використання
- використовуваний
- користувач
- використання
- перевірка
- значення
- варіант
- Ve
- продавець
- постачальники
- перевірити
- дуже
- хотіти
- шлях..
- способи
- we
- ДОБРЕ
- були
- були
- Що
- коли
- чому
- ширше
- Вікіпедія
- волі
- з
- слова
- Work
- працювати разом
- робочий
- Неправильно
- пише
- ще
- Ти
- вашу
- зефірнет