شعار زيفيرنت

ذكاء البيانات التوليدية

الأمن السيبراني

لماذا لا تستطيع الفرق الحمراء الإجابة على أهم أسئلة المدافعين؟

أعاد نشره أفلاطون
أعاد نشره أفلاطون

التاريخ:

المشاهدات: 116

التعليق

في عام 1931 عالم وفيلسوف ألفريد كورزيبسكي كتب: "الخريطة ليست الأرض". كان يعني أن جميع النماذج، مثل الخرائط، تتجاهل بعض المعلومات مقارنة بالواقع. النماذج المستخدمة للكشف عن التهديدات في مجال الأمن السيبراني محدودة بالمثل، لذلك يجب على المدافعين أن يسألوا أنفسهم دائمًا: "هل يكشف اكتشاف التهديد الخاص بي عن كل شيء من المفترض أن يكتشفه؟" اختبار الاختراق وتمارين الفريق الأحمر والأزرق هي محاولات للإجابة على هذا السؤال. أو بعبارة أخرى، ما مدى تطابق خريطة التهديد الخاصة بهم مع واقع التهديد؟ 

لسوء الحظ، تقييمات الفريق الأحمر لا تجيب على هذا السؤال جيدًا. يعد الفريق الأحمر مفيدًا للعديد من الأشياء الأخرى، ولكنه بروتوكول خاطئ للإجابة على هذا السؤال المحدد حول فعالية الدفاع. ونتيجة لذلك، ليس لدى المدافعين إحساس واقعي بمدى قوة دفاعاتهم.

تقييمات الفريق الأحمر محدودة بطبيعتها

تقييمات الفريق الأحمر ليست جيدة في التحقق من صحة عمل الدفاعات. وبحكم طبيعتها، فإنها تختبر فقط عددًا قليلًا من المتغيرات المحددة لعدد قليل من تقنيات الهجوم المحتملة التي يمكن للخصم استخدامها. وذلك لأنهم يحاولون محاكاة هجوم في العالم الحقيقي: أولًا الاستطلاع، ثم الاقتحام، ثم الحركة الجانبية، وما إلى ذلك. لكن كل ما يتعلمه المدافعون من هذا هو أن تلك التقنيات والأصناف المحددة تعمل ضد دفاعاتهم. ولا يحصلون على أي معلومات حول التقنيات الأخرى أو الأنواع الأخرى من نفس التقنية.

بمعنى آخر، إذا لم يتمكن المدافعون من اكتشاف الفريق الأحمر، فهل هذا بسبب نقص دفاعاتهم؟ أم لأن الفريق الأحمر اختار الخيار الوحيد الذي لم يكن مستعدًا له؟ وإذا اكتشفوا الفريق الأحمر، فهل كشف التهديدات الخاصة بهم شامل؟ أم أن "المهاجمين" اختاروا فقط الأسلوب الذي كانوا مستعدين له؟ لا توجد طريقة لمعرفة ذلك على وجه اليقين.

أصل هذه المشكلة هو أن الفرق الحمراء لا تختبر ما يكفي من متغيرات الهجوم المحتملة للحكم على القوة الإجمالية للدفاعات (على الرغم من أنها تضيف قيمة بطرق أخرى). وربما يكون لدى المهاجمين خيارات أكثر مما تدرك. إحدى التقنيات التي قمت بفحصها تحتوي على 39,000 اختلافًا. وكان آخر 2.4 مليون! ومن المستحيل اختبار كل هذه العناصر أو معظمها، واختبار عدد قليل جدًا منها يعطي إحساسًا زائفًا بالأمان.

بالنسبة للبائعين: ثق ولكن تحقق

ما سبب أهمية اختبار اكتشاف التهديدات؟ باختصار، يرجع السبب في ذلك إلى رغبة المتخصصين في مجال الأمن في التحقق من أن البائعين لديهم بالفعل كشف شامل للسلوكيات التي يدعون إيقافها. يعتمد الوضع الأمني ​​إلى حد كبير على البائعين. يقوم فريق الأمان في المؤسسة باختيار ونشر نظام منع التطفل (IPS)، أو كشف نقطة النهاية والاستجابة لها (EDR)، أو تحليلات سلوك المستخدم والكيان (UEBA)، أو أدوات مماثلة، ويثق في أن برنامج البائع المحدد سيكتشف السلوكيات التي يقول إنه سيكشفها. يرغب محترفو الأمن بشكل متزايد في التحقق من ادعاءات البائع. لم أتمكن من إحصاء عدد المحادثات التي سمعتها حيث أبلغ الفريق الأحمر عما فعلوه لاقتحام الشبكة، وقال الفريق الأزرق إن ذلك لا ينبغي أن يكون ممكنًا، وهز الفريق الأحمر كتفيه وقال: "حسنًا، لقد فعلنا ذلك..." يريد المدافعون التعمق في هذا التناقض.

اختبار ضد عشرات الآلاف من المتغيرات

على الرغم من أن اختبار كل نوع من أساليب الهجوم ليس أمرًا عمليًا، إلا أنني أعتقد أن اختبار عينة تمثيلية منها أمر عملي. للقيام بذلك، يمكن للمؤسسات استخدام أساليب مثل المصدر المفتوح لـ Red Canary الاختبار الذري، حيث يتم اختبار التقنيات بشكل فردي (وليس كجزء من سلسلة هجوم شاملة) باستخدام حالات اختبار متعددة لكل منها. إذا كان تمرين الفريق الأحمر يشبه مشاجرة كرة القدم، فإن الاختبار الذري يشبه ممارسة اللعب الفردي. لن تتم كل هذه المسرحيات في مشاجرة كاملة، ولكن لا يزال من المهم التدرب عليها عند حدوثها. يجب أن يكون كلاهما جزءًا من برنامج تدريبي شامل، أو في هذه الحالة، برنامج أمني شامل.

بعد ذلك، يتعين عليهم استخدام مجموعة من حالات الاختبار التي تغطي جميع المتغيرات الممكنة للتقنية المعنية. إن بناء هذه الحالات الاختبارية مهمة بالغة الأهمية بالنسبة للمدافعين؛ وسوف يرتبط ارتباطًا مباشرًا بمدى جودة تقييم الاختبار لضوابط الأمان. لمواصلة تشبيهي أعلاه، تشكل حالات الاختبار هذه "خريطة" التهديد. مثل الخريطة الجيدة، فإنها تتجاهل التفاصيل غير المهمة وتسلط الضوء على التفاصيل المهمة لإنشاء تمثيل أقل دقة، ولكنه دقيق بشكل عام، للتهديد. إن كيفية إنشاء حالات الاختبار هذه هي مشكلة ما زلت أتصارع معها (لقد قمت بذلك). كتب عن بعض أعمالي حتى الآن).

هناك حل آخر لأوجه القصور في الكشف عن التهديدات الحالية وهو استخدام فرق أرجوانية – جعل الفرق الحمراء والزرقاء تعمل معًا بدلاً من رؤية بعضها البعض كمعارضين. يعد المزيد من التعاون بين الفرق الحمراء والزرقاء أمرًا جيدًا، ومن هنا ظهور خدمات الفرق الأرجوانية. لكن معظم هذه الخدمات لا تحل المشكلة الأساسية. وحتى مع المزيد من التعاون، فإن التقييمات التي تنظر فقط في عدد قليل من تقنيات الهجوم ومتغيراته لا تزال محدودة للغاية. تحتاج خدمات الفريق الأرجواني إلى التطور.

بناء حالات اختبار أفضل

جزء من التحدي المتمثل في بناء حالات اختبار جيدة (والسبب في أن التعاون بين الفريق الأحمر والأزرق ليس كافيًا في حد ذاته) هو أن الطريقة التي نصنف بها الهجمات تحجب الكثير من التفاصيل. ينظر الأمن السيبراني إلى الهجمات من خلال عدسة ثلاثية الطبقات: التكتيكات والتقنيات والإجراءات (TTPs). تقنية مثل إغراق أوراق الاعتماد يمكن إنجازه من خلال العديد من الإجراءات المختلفة، مثل Mimikatz أو Dumpert، ويمكن أن يحتوي كل إجراء على العديد من التسلسلات المختلفة لاستدعاءات الوظائف. إن تحديد ماهية "الإجراء" يصبح أمرًا صعبًا بسرعة كبيرة ولكنه ممكن من خلال النهج الصحيح. لم تطور الصناعة بعد نظامًا جيدًا لتسمية وتصنيف كل هذه التفاصيل.

إذا كنت تتطلع إلى اختبار اكتشاف التهديدات لديك، فابحث عن طرق لبناء عينات تمثيلية يتم اختبارها مقابل مجموعة واسعة من الاحتمالات - فهذه إستراتيجية أفضل من شأنها أن تؤدي إلى تحسينات أفضل. كما أنه سيساعد المدافعين أخيرًا في الإجابة على الأسئلة التي تواجهها الفرق الحمراء.

بقعة_صورة

أحدث المعلومات الاستخباراتية

بقعة_صورة

حقوق النشر @ 2024 Plato Technologies Inc.