Главная » Хабрахабр » [Перевод] Стремление к прозрачности

[Перевод] Стремление к прозрачности

Самый эффективный способ помочь другим — это помочь им помочь самим себе.
Джерри Корстенс

От переводчика

Предлагаю вашему вниманию перевод статьи CEO SpecterOps David McGuire «A Push Toward Transparency». Никакого отношения к данной компании я не имею и никогда не пользовался её продуктами, поэтому статья служит не рекламным целям, а лишь поводом для того, чтобы задуматься, обсудить и использовать или отказаться от использования предлагаемого автором подхода.

В комментариях хотелось бы увидеть обсуждение этой позиции: насколько она совместима с реальностью, что нам мешает быть прозрачными, и нужно ли переходить от формирования зависимости от консультантов и продуктов к обучению заказчиков самостоятельному противодействию угрозам?
Дэвид поднимает вопрос прозрачности в индустрии информационной безопасности, утверждая, что распространение знаний об инструментах и методах работы — это не угроза конкурентному преимуществу, а очень важный шаг для всех участников рынка, который способен значительно повысить общий уровень защищенности информационных инфраструктур.

Стремление к прозрачности

Информационная безопасность — молодая область, продолжающая стремительно меняться по сравнению с отраслями, которые существуют столетиями (например, медицина). Как и ИБ, медицина призвана одновременно быть прибыльным бизнесом и служить общественному благу. Тысячи лет были потрачены медицинскими исследователями на то, чтобы внести свой вклад в эту область, поделиться гипотезами и преумножить коллективное знание. Для продвижения гипотезы в медицине её необходимо открыто изучать, проверять, подвергать экспертной оценке и защищать. Такая система позволяет осознанно и постоянно повышать эффективность работы практикующих медиков. Сравните это с текущей ситуацией в ИБ. Идеи, гипотезы и результаты исследований редко публикуются, так как многие видят в этом риск утраты конкурентного преимущества. Проблема с этим подходом в том, что он замедляет прогресс, ограничивая распространение знаний. Несмотря на ряд ограничений, мы решительно выступаем за прозрачность в ИБ.

Мы убеждены, что для предъявления обвинений существующей системе мы должны сами использовать на практике то, что проповедуем: открытие наших идей и гипотез для проверки и критики. В SpecterOps мы верим, что способ, которым мы можем повышать зрелость нашей отрасли — это внесение вклада в коллективную базу знаний. Делясь нашими знаниями о Тактиках, Техниках и Процедурах (TTPs) противников, мы надеемся осветить слабые места в системах, позволяющие атаковать их, а также пригласить к сотрудничеству для устранения этих брешей. Это основа нашего подхода к прозрачности и ключевой принцип наших отношений с клиентами и сообществом.

Прозрачность в действии

Давайте рассмотрим технологию, в которой исследования безопасности проводились публично: PowerShell. Возможности PowerShell в части безопасности прошли долгий путь за последние пять лет, благодаря внутренним сторонникам в Microsoft и многим поборникам в отрасли ИБ, которые способствовали их продвижению. Но так было не всегда. В какой-то момент поверхность атаки, представленная PowerShell, была массовой и малопонятной.

Empire был на тот момент инструментом постэксплуатации на чистом PowerShell, демонстрировавшим, как действия противника могут быть воспроизведены и усилены в ходе имитации атаки. Некоторые из членов нашей команды в 2015 году создали проект, названный PowerShell Empire, ставший кульминацией предшествующей работы в отрасли, а также проектов и исследований нашей команды. Эффект от подобных проектов позволил ответственным за это направление в Microsoft принять обоснованные решения о разработке дополнительных мер безопасности для PowerShell. С момента создания Empire мы увидели несколько дополнительных проектов наступательного PowerShell, которые продвинули систему знаний гораздо дальше, чем это мог сделать кто-либо в одиночку. Мы приветствуем эти решения по внедрению таких мер, как AMSI, трассировка сценариев и других в последних версиях PowerShell.

Продолжение исследований в таких проектах, как Get-InjectedThread, с функционалом, обычно относящимся к агентам на конечных точках и исследованиям памяти, позволяет легко использовать возможности проведения расследований, предоставляемые языком. Для продвижения и повышения доступности защитных способов использования PowerShell наша команда создала PowerForensics, предоставляя возможности по расследованию, которые были ранее лишь в составе тяжеловесных инструментов. Кроме того, мы видим более обширное внедрение защитных мер PowerShell многими организациями. Сегодня использование PowerShell становится менее привлекательным для нападающих, так как их техники хорошо изучены. Оба аспекта представляют эволюцию подхода к безопасности в языке, обусловленную распространением информации и прозрачностью.

Наши обязательства прозрачности перед сообществом

Каждый член команды SpecterOps получил колоссальную выгоду от распространения знаний в сообществе разработчиков инструментов и методик с открытым исходным кодом. Мы поощряем всех и каждого в нашей команде помогать сообществу своими исследованиями. Вклад, как правило, проявляется в виде записей в блогах, видеозаписей и статей для передачи наших идей. Мы верим, что создание и распространение наборов инструментов позволяет другим командам безопасников понять и взять за основу эти идеи. Мы надеемся, что эти усилия позволят SpecterOps оказать значительное влияние на отрасль, выходя за рамки клиентов, которых мы непосредственно обслуживаем.

Конечно, в этом правиле есть исключения: например, уязвимости, к которым применим подход ответственного разглашения. С точки зрения наступательных исследований результаты нашей работы часто публикуются сразу по завершении. Такое «прожигание» исследовательских усилий может показаться нелогичным. Наш замысел в публичном раскрытии методов атакующих состоит в том, чтобы помочь отрасли в обнаружении и противодействии рабочим подходам, которые используются или могут быть использованы в реальных атаках. Во-первых, опубликование потенциальных атакующих техник служит общественному благу, предупреждая отрасль о конкретных слабостях. На это у нас есть два возражения. Во-вторых, на практике мы выяснили, что публикация используемых методик редко сразу обесценивает исследование.

Мы считаем, что отрасль может противостоять противнику с неограниченными ресурсами только с помощью обмена технологиями и методиками обнаружения атак. С точки зрения оборонительных исследований мы признаём, что проблема, стоящая перед защитниками, гораздо больше, чем перед нападающими, в чём можно убедиться, сравнив рост стоимости эффективной защиты со стоимостью успешной атаки. Проводя любое наступательное исследование, мы прорабатываем вопросы защиты и противодействия. Накопление защитных механизмов гарантирует лишь то, что мы будем сражаться как изолированные команды против врага, свободно перемещающегося по полю сражения. Это не означает, что мы против готовых решений, но мы считаем, что противодействие нападающим должно быть универсальной возможностью и частью общей базы знаний. В случае оборонительных исследований мы даём возможности, которые до этого были доступны лишь в небольшом числе продуктов. Такие проекты, как PowerForensics, Bloodhound, Uproot, ACE, HELK и the Threat Hunter’s Playbook являются примерами этой методологии.

Наши обязательства прозрачности перед клиентами

Слишком часто в нашей области услуги и продукты предлагаются клиентам в виде чёрного ящика. Клиентам предлагается довериться маркетингу и/или репутации фирмы. Мы полагаем, что это оказывает негативное влияние на их способность к достижению долговременного значимого улучшения. Если клиент хочет оценить наши возможности, он может обратиться к нашим публичным работам. Оказывая услуги, мы предоставляем своим клиентам методики, которые используем. Наша цель — всегда помогать в создании долгосрочных знаний и возможностей.

Чтобы систематически разрушать действия атакующих, клиенты должны понимать TTPs, используемые на каждом этапе атаки. Например, в наших оценках моделирования нападений мы считаем значимым образовательную составляющую оценки. Это может включать в себя совместную работу в реальных условиях, предоставление инструмента или исходного кода импланта, разработанного в процессе атаки, и организация тренингов по воспроизведению атак. Мы работаем над обучением безопасников наших клиентов, чтобы у них осталось полное понимание наших подходов и того, как мы достигаем поставленных целей. Не все TTPs одинаковы с точки зрения распространённости, сложности и скрытности. В ходе операций выявления вторжения мы документируем TTPs, которые пытаемся обнаружить, и методы, используемые для этого. Цель этого сотрудничества — дать клиенту необходимые знания и умения, чтобы он мог самостоятельно проводить сбор и анализ информации. Мы работаем с клиентами, чтобы обеспечить понимание того, что мы ищем, почему те или иные TTPs были выбраны, и как мы собираем и анализируем данные.

Если мы предоставим непрозрачную оценку, мы окажем плохую услугу их способности защищать свои системы. Целью всех наших услуг является обучение клиентов и выявление пробелов в их защитных подходах. Мы убеждены, что организации должны иметь собственные возможности по оценке уровня безопасности своих инфраструктур, а не полагаться исключительно на третьих лиц для понимания поверхности атаки.

Заключение

SpecterOps считает, что стремление к прозрачности отражает прогресс в нашей отрасли. Как представители области, включающей миссию обеспечения общественного блага, мы должны быть более требовательны к себе, а не полагаться на подход, создающий зависимость от консультантов и продуктов. Сотрудничая и делая вклад в общую копилку знаний, мы совместно можем противостоять угрозам, с которыми мы никогда не могли бы эффективно сражаться в одиночку.

На самом деле, как члены нашей команды, так и многие другие раньше уже практиковали то, за что мы выступаем как компания. Мы не утверждаем, что являемся единственными сторонниками открытого вклада в отрасли. Часто есть законные причины для бизнеса защищать информацию. Мы также не обещаем, что опубликуем каждую идею или изобретение. Однако, то, что мы делаем и будем делать, всегда будет стремиться к прозрачности.

Здавайте вопросы. Наше предложение: в следующий раз, когда сторонняя организация будет проводить тестирование безопасности вашей инфраструктуры, требуйте прозрачности. Сделайте это не столько для понимания TTPs как таковых, сколько для того, чтобы лучше вооружить самих себя, помочь вашим безопасникам вырасти после того, как уйдут аудиторы. Попытайтесь понять мышление и используемый инструментарий. Мы действительно можем поднять планку в нашей области с помощью совместного обучения. Так же, как мы отвергаем безопасность через неясность в качестве сильного механизма защиты, нам стоит отказаться от эффективности атаки через неясность.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

В Госдуму внесен законопроект об автономной работе рунета

Источник: ТАСС Документы подготовлены группой депутатов во главе с Андреем Клишасом, главой комитета Совета Федерации по законодательству. Сегодня в Государственную думу внесен законопроект о необходимости обеспечения работы российского сегмента интернета в случае отключения от зарубежных серверов. С этой целью будут ...

Телепатические платежи, запись на слономойку и другие тестовые задания для UX-редакторов

Даже если совсем не собиралась менять работу — просто чтобы быть в курсе требований и технологий. Давным-давно, когда я занималась веб-разработкой больше, чем текстами, раз в полгода обязательно смотрела вакансии: кого ищут и что хотят. И однажды почти случайно наткнулась на ...