Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Tại sao đội đỏ không thể trả lời những câu hỏi quan trọng nhất của hậu vệ

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 115

COMMENTARY

Năm 1931, nhà khoa học và triết gia Alfred Korzybski đã viết, “Bản đồ không phải là lãnh thổ.” Ý của ông là tất cả các mô hình, như bản đồ, đều bỏ sót một số thông tin so với thực tế. Các mô hình được sử dụng để phát hiện các mối đe dọa trong an ninh mạng cũng có những hạn chế tương tự, vì vậy, những người bảo vệ phải luôn tự hỏi: "Tính năng phát hiện mối đe dọa của tôi có phát hiện được mọi thứ mà nó phải phát hiện không?" Kiểm tra thâm nhập và các bài tập của đội đỏ và xanh là những nỗ lực để trả lời câu hỏi này. Hay nói cách khác, bản đồ mối đe dọa của họ khớp với thực tế của mối đe dọa đến mức nào? 

Thật không may, đánh giá của đội đỏ không trả lời câu hỏi này tốt lắm Đội đỏ rất hữu ích cho nhiều thứ khác, nhưng đó là quy trình sai để trả lời câu hỏi cụ thể về hiệu quả phòng thủ này. Kết quả là, những người phòng thủ không có cảm nhận thực tế về sức mạnh phòng thủ của họ.

Đánh giá của đội đỏ bị giới hạn bởi bản chất

Các đánh giá của đội đỏ không tốt trong việc xác nhận rằng hệ thống phòng thủ đang hoạt động. Về bản chất, chúng chỉ thử nghiệm một số biến thể cụ thể của một số kỹ thuật tấn công khả thi mà đối thủ có thể sử dụng. Điều này là do họ đang cố gắng bắt chước một cuộc tấn công trong thế giới thực: đầu tiên là do thám, sau đó là xâm nhập, sau đó là di chuyển sang bên, v.v. Nhưng tất cả những gì mà những người phòng thủ học được từ điều này là những kỹ thuật và sự đa dạng cụ thể đó có tác dụng chống lại khả năng phòng thủ của họ. Họ không nhận được thông tin về các kỹ thuật khác hoặc các biến thể khác của cùng một kỹ thuật.

Nói cách khác, nếu hàng phòng ngự không phát hiện ra đội đỏ thì đó có phải là do hàng phòng ngự của họ còn thiếu sót? Hay là vì đội đỏ đã chọn một phương án mà họ chưa chuẩn bị trước? Và nếu họ đã phát hiện ra đội đỏ, liệu việc phát hiện mối đe dọa của họ có toàn diện không? Hay những “kẻ tấn công” chỉ chọn một kỹ thuật mà họ đã chuẩn bị sẵn? Không có cách nào để biết chắc chắn.

Căn nguyên của vấn đề này là do đội đỏ không kiểm tra đủ các biến thể tấn công có thể có để đánh giá sức mạnh tổng thể của hàng phòng thủ (mặc dù chúng tăng thêm giá trị theo những cách khác). Và những kẻ tấn công có thể có nhiều lựa chọn hơn bạn nghĩ. Một kỹ thuật tôi đã thử nghiệm có 39,000 biến thể. Một người khác có 2.4 triệu! Việc kiểm tra tất cả hoặc hầu hết những điều này là không thể và việc kiểm tra quá ít sẽ mang lại cảm giác an toàn sai lầm.

Dành cho nhà cung cấp: Tin tưởng nhưng phải xác minh

Tại sao việc kiểm tra khả năng phát hiện mối đe dọa lại quan trọng đến vậy? Nói tóm lại, đó là vì các chuyên gia bảo mật muốn xác minh rằng các nhà cung cấp thực sự có khả năng phát hiện toàn diện các hành vi mà họ tuyên bố sẽ ngăn chặn. Tư thế bảo mật chủ yếu dựa vào các nhà cung cấp. Nhóm bảo mật của tổ chức chọn và triển khai hệ thống ngăn chặn xâm nhập (IPS), phát hiện và phản hồi điểm cuối (EDR), phân tích hành vi của người dùng và thực thể (UEBA) hoặc các công cụ tương tự và tin tưởng rằng phần mềm của nhà cung cấp được chọn sẽ phát hiện các hành vi mà họ cho biết. Các chuyên gia bảo mật ngày càng muốn xác minh các khiếu nại của nhà cung cấp. Tôi không đếm nổi số cuộc trò chuyện mà tôi đã nghe trong đó đội đỏ báo cáo những gì họ đã làm để đột nhập vào mạng, đội xanh nói rằng điều đó là không thể, còn đội đỏ nhún vai và nói, “Chà, chúng tôi đã làm như vậy…” Những người bảo vệ muốn tìm hiểu sâu hơn về sự khác biệt này.

Thử nghiệm với hàng chục nghìn biến thể

Mặc dù việc kiểm tra từng biến thể của một kỹ thuật tấn công là không thực tế nhưng tôi tin rằng việc kiểm tra một mẫu đại diện của chúng là điều cần thiết. Để làm điều này, các tổ chức có thể sử dụng các phương pháp tiếp cận như nguồn mở của Red Canary Thử nghiệm nguyên tử, trong đó các kỹ thuật được thử nghiệm riêng lẻ (không phải là một phần của chuỗi tấn công tổng thể) bằng cách sử dụng nhiều trường hợp thử nghiệm cho từng kỹ thuật. Nếu bài tập của đội đỏ giống như một trận đấu bóng đá thì Thử nghiệm nguyên tử giống như luyện tập các lối chơi cá nhân. Không phải tất cả các vở kịch đó sẽ diễn ra trong một kịch bản đầy đủ, nhưng điều quan trọng là bạn phải luyện tập khi chúng diễn ra. Cả hai đều phải là một phần của chương trình đào tạo toàn diện, hoặc trong trường hợp này là chương trình bảo mật toàn diện.

Tiếp theo, họ cần sử dụng một bộ trường hợp thử nghiệm bao gồm tất cả các biến thể có thể có của kỹ thuật được đề cập. Xây dựng các trường hợp thử nghiệm này là một nhiệm vụ quan trọng đối với người bảo vệ; nó sẽ tương quan trực tiếp với việc thử nghiệm đánh giá các biện pháp kiểm soát bảo mật tốt như thế nào. Để tiếp tục sự tương tự của tôi ở trên, các trường hợp thử nghiệm này tạo nên “bản đồ” về mối đe dọa. Giống như một bản đồ tốt, chúng loại bỏ những chi tiết không quan trọng và làm nổi bật những chi tiết quan trọng để tạo ra một bản trình bày có độ phân giải thấp hơn nhưng nhìn chung lại chính xác về mối đe dọa. Làm thế nào để xây dựng các trường hợp thử nghiệm này là một vấn đề mà tôi vẫn đang phải vật lộn (tôi đã viết về một số công việc của tôi cho đến nay).

Một giải pháp khác cho những thiếu sót của việc phát hiện mối đe dọa hiện tại là sử dụng đội tím — để các đội đỏ và xanh làm việc cùng nhau thay vì coi nhau là đối thủ. Sự hợp tác nhiều hơn giữa các đội đỏ và xanh là một điều tốt, do đó các dịch vụ của đội tím xuất hiện. Nhưng hầu hết các dịch vụ này không khắc phục được vấn đề cơ bản. Ngay cả khi có sự hợp tác nhiều hơn, những đánh giá chỉ xem xét một số kỹ thuật và biến thể tấn công vẫn còn quá hạn chế. Các dịch vụ của đội tím cần phát triển.

Xây dựng các trường hợp thử nghiệm tốt hơn

Một phần thách thức trong việc xây dựng các trường hợp thử nghiệm tốt (và lý do tại sao sự hợp tác của nhóm đỏ-xanh là chưa đủ) là cách chúng tôi phân loại các cuộc tấn công che khuất rất nhiều chi tiết. An ninh mạng xem xét các cuộc tấn công qua lăng kính ba lớp: chiến thuật, kỹ thuật và quy trình (TTP). Một kỹ thuật như bán phá giá thông tin xác thực có thể được thực hiện bằng nhiều thủ tục khác nhau, như Mimikatz hoặc Dumpert, và mỗi thủ tục có thể có nhiều chuỗi lệnh gọi hàm khác nhau. Việc xác định thế nào là một “thủ tục” rất khó khăn nhưng có thể thực hiện được nếu có cách tiếp cận phù hợp. Ngành công nghiệp vẫn chưa phát triển một hệ thống tốt để đặt tên và phân loại tất cả các chi tiết này.

Nếu bạn đang muốn thử nghiệm khả năng phát hiện mối đe dọa của mình, hãy tìm cách xây dựng các mẫu đại diện để kiểm tra với nhiều khả năng hơn — đây là chiến lược tốt hơn sẽ tạo ra những cải tiến tốt hơn. Nó cũng sẽ giúp các hậu vệ cuối cùng trả lời những câu hỏi mà đội đỏ đang gặp khó khăn.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.