Sunday, October 7, 2018

Карьера карьериста

Каждый растет до уровня своей некомпетентности
(Принцип Питера)


Вынужден признаться я не очень хорошо отношусь к карьеристам. Наверно, это неверно, но у меня есть на этот счет предположения и предрассудки, которые попробую изложить в этой заметке.
Прежде чем о чем-то рассуждать, надо синхронизоваться по терминологии. Карьерист в моем понимании - это тот, кто делает все для того, чтобы его позиция изменялась быстро, в результате наблюдался карьерный рост.
Что такое "быстро"? Мой опыт показывает, что придя на новое место (если это, например, не сборочный конвейер, где задачи понятны просто из наблюдения за соседями, а показатели эффективности четко определены), нужно в среднем полгода, чтобы разобраться что к чему. Т.е. только в среднем через полгода новичок научится работать на уровне не нарушения ожиданий от него. Если наша работа имеет творческую составляющую (а любая должна иметь, иначе могла бы выполняться машинами), то возможности по оптимизации/инноваторству также появятся не раньше чем через полгода (пока не будем обсуждать тот сценарий, когда, напротив, требуется свежий взгляд на процессы, лишенный предубеждений, чтобы предложить улучшения). Пойдем дальше: через полгода становится понятно что надо поменять\улучшить. Но на реализацию этих улучшений также нужно время, причем, чем "революционнее" изменения, тем больше требуется времени на их реализацию. Если мы говорим о карьерном продвижении в рамках компании, то логично предположить, что реализуемые инновационные идеи также должны быть заметны в масштабах компании. В зависимости от размеров компании и масштабов изменений, реализация последних может занять от полугода до бесконечности. Теперь мы получили представление о минимальном сроке нахождения в одной позиции, в течение которого можно реализовать что-то, способствующее продвижению как в рамках компании, так и за ее пределами, - это один год. На практике, я бы полагался на срок - два года, минимум, а, беря во внимание, размер компании, предметную область изменений и их масштабность, - этот срок "зарабатывания звезд\орденов\медалей" значительно больше.
При стремительном карьерном росте продолжительной работы в одной позиции не наблюдается, поэтому добиться даже состояния эффективной работы в текущей позиции не всегда удается (выше мы разобрали, что нужно минимум полгода, чтобы просто научиться работать и минимум год, чтобы сделать что-то значимое). Поэтому мы получаем, что из плохих сотрудников службы поддержки пользователей вырастают плохие сисадмины, которые потом становятся плохими архитекторами или начальниками отделов, которые, в свою очередь, становятся плохими директорами департаментов. При этом эффективность сотрудника при столь стремительном карьерном росте весьма невелика: он просто не успевает стать эффективным - нет у него этих год-два, за которые можно научиться работать, понять как изменить[ся] к лучшему и реализовать изменения. Беря во внимание принцип Питера, который в упрощенном виде я вынес с эпиграф, мы получаем, что достигнув карьерных высот, ограничивающихся исключительно возможностями и способностями карьериста, его эффективность также остается нулевой, так как на вершине карьеры не хватает самого главного - компетентности.
Я всегда ценил профессионализм, а он, на мой взгляд, - фактически, опыт, который приобретается за долгие годы работы на одном месте. В любой творческой позиции всегда есть что оптимизировать и нормальные руководители всегда поощряют инициативу, поэтому, для того, чтобы делать что-то выдающееся, совсем не обязательно постоянно сремиться менять круг обязанностей. Постоянное прыгание с позиции на позицию размывает ответственность (этой проблеме стоило бы посветить, как минимум, отдельный абзац, но и так уже много написал, не буду утомлять занудством), в итоге мы получаем кучу проблем, в которых, вроде как, никто и не виноват.
В завершении, хочу отметить, что, конечно же, я не против карьерного роста, в его гармоничном проявлении: реализовал один проект, перешел к другому и т.п., при этом не один из реализованных проектов не загнулся (опять же, по опыту, успешные проекты превращаются в операционную историю, поэтому по завершении проекта ситуация, когда данная сфера деятельности уже не требует внимания, часто не наблюдается; решение - более комплексный подход: реализовать успешно не только проект, но и построить его операционную модель, при которой проект мог бы успешно продолжать жить без нашего с вами внимания, а мы могли бы переключиться на новые задачи ). С каждым проектом - новые знания, навыки, опыт, профессионализм, что позволяет браться за новые проекты, более сложные, чем предыдущие, требующие большей компетентности... Но все начатое нужно доводить до успешного конца, а на это нужно время, чего нет в рамках стремительной карьеры карьериста.

Saturday, September 15, 2018

Практика обнаружения атак, использующих легальные инструменты @BIS Summit 2018

Сегодня делал 15-и минутный доклад посвещенный атакам, основанным на штатном функционале легальных инструментов, в секции "Конвергенция последней линии защиты или единственно нужная защита?". Несмотря на то, что тема предвещает сложный контент, презентация была совсем нетехническая, однако, лично у меня все равно сложилось впечатление, что доклад был не формат и следовало бы рассказать про какие-то еще более концептуальные вещи.

Выкладываю презентацию.


Времени было 15 минут, а рассказать хотелось о многом, поэтому говорил быстро. Вполне возможно, что что-то не отложилось на слух, поэтому привожу в этом посте кратко драфт скрипта к слайдам.

О чем речь?

В моей презентации я расскажу, что возможность эксплуатации – неизбежное следствие функционала, что уязвимости бизнес-логики существуют на всех уровнях модели OSI. Для обнаружения таких атак требуется экспертиза в бизнес-процессах и такая экспертиза плохо аутсорсится, так как никто не знает наши бизнес-процессы лучше нас самих.

Инфраструктура – первый эшелон

Любое приложение имеет аутентификацию и авторизацию, что является инфраструктурными функциями, а любая атака – это неавторизованный доступ. Поэтому первый эшелон преодоления для атакующего – инфраструктурный.

Анатомия современной таки

Если рассмотреть анатомию современной атаки, то можно сделать следующие выводы.
  • Использование специальных инструментов (будем дальше их называть "вредоносное ПО"), если и требуется, то только на этапах компрометации и закрепления. После компрометации и закрепления в сети, как правило, достижение целей выполняется полностью с использованием легальных инструментов: используются учетные записи реальных пользователей, имеющиеся в корпорации системы удаленного доступа и т.п.
  • Как мы отметили ранее первый эшелон – инфраструктура, поэтому применение специализированных инструментов для взлома, характерно именно для инфраструктурных компонент системы.
  • Поскольку после закрепления атакующий использует легитимные инструменты, вероятность его обнаружения резко снижается со временем. Практика показывает, что чем дольше атака остается незамеченной в системе, тем сложнее от нее потом избавиться\почиститься.

Инфраструктура

Рассмотрим более детально, что творится в инфраструктуре

Мотивация

Как показывает практика, на уровне инфраструктуры тоже можно обойтись без аномалий и вредоносного ПО. На слайде представлена ссылка на выступление от 2013 года, демонстрирующее подход "Living off the land" – выполнение вредоносных действий без использования вредоносного ПО и генерации аномалий. Мотивация понятна: оставаться как можно дольше незамеченным (мы помним, что чем дольше атакующий сидит в инфраструктуре, тем сложнее его оттуда вычистить), во-вторых, не надо тащить с собой инструменты, что само по себе может и не получиться сделать незаметно.

Некоторые примеры нестандартного использования

Здесь, во-первых, на помощь приходят возможности альтернативного использования штатных утилит операционной системы. В целом, такое использование – нестандартно, и это может быть подозрительной аномалией.

Некоторые примеры стандартного использования

Однако, если посмотреть на инструменты, которые можно применять для вредоносных целей, не выходя за рамки их типового использования – их гораздо больше! Если на это использование делать детекты, то ложных срабатываний будет очень и очень много.

За что зацепиться à Детекты/Ханты, Алерты

Чтобы сделать детекты на различные варианты использования легальных утилит в первую очередь нам нужны события сенсоров. Некоторые из них получить несложно, некоторые – требуют ресурсоемкой разработки.
Во-вторых, нужно как-то обеспечивать и контролировать полноту покрытия всех возможных техник нашими детекторами.
В-третьих, нам нужна инфраструктура, способная эффективно обработать собираемые данные. И здесь обязательно встанет вопрос оптимизации.
Ну и, конечно, чтобы понимать какие данные собирать и как их обрабатывать, чтобы обеспечить достойное покрытие, нам нужны исследования. Только исследования, как операционный процесс, позволят обеспечивать стабильно хорошее качество обнаружения.

Конверсия детектов/хантов = NTP/(NTP + NFP)%

Если говорить о поиске и обнаружении атак, основанных на использовании только легальных инструментов, то неизбежен высокий процент ложных срабатываний для детекторов. Для управления ложными срабатываниями хорошей метрикой является конверсия детекта, выраженная в процентах. На основании ее можно определять
  • приоритет взятия детектов в работу,
  • порядок использования (алерт, который сразу надо расследовать; разметка событий, на которые надо обратить внимание или как обогащение для событий, требующих рассмотрения в совокупности с другими событиями – пример разбивки приведен на слайде)
  • ну и, конечно, метрика показывает эффективность детекта – можно сразу определять неэффективные и дорабатывать их.

Приложения и Бизнес-процессы

С инфраструктурой, вкратце, понятно. Перейдем на уровень бизнес-процессов и приложений, их автоматизирующих.

Использование легальных возможностей приложений

На уровне приложений также полно функциональных особенностей, позволяющих атакующему их использовать в своих вредоносных целях. Вот лишь несколько примеров, исключительно для понимания.
Лидером, безусловно, является SSO, поскольку благодаря этому чудесному механизму аутентификационные данные (пароли, хеши, билеты Kerberos) хранятся в памяти и их можно оттуда извлекать и в дальнейшем использовать во своему усмотрению.
Следующий пример – субъект, не имеющий сам прав, но имеющий права на назначение прав. Ярким примером здесь является Агент регистрации УЦ (Enrolment agent), который, как правило, не является админом в домене, но может зарегистрировать в УЦ (Enrol) сертификат для учетной записи админа и аутентифицироваться им. Ну и банально, если мы говорим о ERP, например, SAP, то данные, хранящиеся в приложении могут увидеть: админы базиса SAP – если прав нет, могут себе легко дать, админы СУБД – прямо в таблицах базы (в SAP есть функционал шифрования данных в базе, но я не видел, чтобы так кто-то делал), админы ОС, которые могут увидеть данные СУБД.
Третий пример про обфускацию данных – она никогда не работает, всегда по косвенным признакам можно догадаться чей профиль мы смотрим.
Четвертый пример – про DLP: если я имею доступ к данным, я могу их тиражировать: могу их запомнить, сфотографировать телефоном, переписать ручкой – не важно, я всегда могу унести эти данные с собой.
Последний очевидный пример про накручивание счетчиков. Сайт определяет меня по моей локальной конфигурации, которой я полностью управляю. Здесь проблема в логике и это можно эксплуатировать.

Атаки на бизнес-процессы («лайф-хаки» с оттенками грязи)

Но поднимемся еще выше - на уровень взаимоотношений между людьми, то, что наши приложения автоматизируют. Здесь тоже полно логических ошибок, позволяющих обходить различные ограничения. Я резко отрицательно отношусь к этим «лайф-хаки», порой, попросту мошенничеству. Но, тем не менее, если занимается безопасностью бизнес-процессов, то схемы мошенничества надо очень хорошо знать, чтобы понимать как их можно обнаруживать и предотвращать, отслеживать на уровне каких-либо логов приложений или инфраструктуры.
Итак, есть лоукостеры, которые предлагают весьма выгодные условия перелета, при условии отсутствия багажа. С учетом того, что ручная кладь может достигать 10 кг, а вес чемодана не должен превышать 23 килограмма, получаем, что семья из шести человек в ручной клади может провести багажа на 3 чемодана, что по вещам вполне достаточно на две недели.
Раньше в электричках билеты продавались по тарифным зонам. Например, покупаете билет из пятой зоны до Москвы и обратно. Это позволяло весь день ездить по всем направлениям в пределах пятой зоны, так как не станция, до которой ехать и сколько раз можно проехать нигде не уточнялось.
Что касается схем мошенничества, то их великое множество. На слайде я привел два, скорее, классы, чем конкретные сценарии: карты лояльности и компенсацию расходов по чекам.

Что делать?

Ответ на вопрос что делать очевиден. Понять свои бизнес-процессы – исследовать схемы атак – придумать контроли – построить операционные сервисы управлениям придуманными контролями – анализ метрик этих сервисов позволит совершенствовать весь процесс.

Эпилог 1(2). Безопасность – это компромисс

В завершении, высокоуровнево, хочу отметить, что атаки на бизнес-логику, с использованием штатных возможностей легальных компонентов – следствие широкой функциональности приложений, что, в свою очередь, следствие высоких бизнес-требований. Мы сами постоянно хотим гибкости, широких возможностей, чтобы все можно было конфигурировать – получайте за одно и возможности по эксплуатации.

Эпилог 2(2). Комбинируй эшелоны

Обнаруживать такого рода эксплуатации позволит все тот же эшелонированный подход из контролей на уровне инфраструктуры, приложений, бизнес-процессов и разумная комбинация аутсорсинга и работы внутренних подразделений.



Из зала был один вопрос: "Где в вашем докладе про конвергенцию? Тема нашей секции "Конвергенция последней линии...". Этот же вопрос потом повторился еще к одному докладчику, я решил, что это - критерий неформатности доклада, поскольку остальным спикерам такой вопрос не задавался, полагаю, в их докладах было как раз про конвергенцию. С нетерпением жду записи всех докладов, чтобы повнимательнее ознакомиться с материалом.
Я попытался ответить на этот вопрос, но, по-моему, спрашивающий не был удовлетворен. Что ж, давайте попробуем разобраться здесь, и, если среди читающих мои заметки, есть автор вопроса, надеюсь, мой ответ устроит.
По определению: Конвергенция - это объединение, сближение, схождение. В докладе я рассказывал о том, как на разных уровнях абстракции (инфраструктуре, приложении, бизнес-процессах) мы имеем объекты, объединяющие в себе функционал различного назначения в зависимости от контекста - одна и та же утилита операционной системы, или функция приложения, или свойство бизнес-процесса может нести в себе в одних условиях - желаемое благо (хорошо), а в других - недопустимый ущерб (плохо). Нож - хорошо для нарезки хлеба, но плохо, что им можно убить; вообще, любое оружие - это хорошо для защиты, но плохо, что с его использованием можно совершать преступления. SSO - это хорошо для удобства, но плохо, так как неизбежно приводит к доступности аутентификационных данных из памяти. Программы лояльности - это хорошо, так как это позаоляет привлекать клиентов, но плохо, так как с ними можно придумать много схем мошенничества и, связанные с этим риски, придется как-то адресовать.... В общем, думаю понятно.


Sunday, August 12, 2018

Инерция

Инерция – это физическое явление сохранения скорости тела постоянной, если на него не действуют другие тела или их действие скомпенсировано
(Из учебника Физики за 7 класс)

Уже писал о том, что требование использования различных СЗИ от ВПО в инфраструктуре не добаляет безопасности. Однако, это требование по-прежнему есть в СТО БР ИББС и 382-П, вот, например, цитата из последнего:
"2.7.3. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств, а также на межсетевых экранах, задействованных в осуществлении переводов денежных средств, при наличии технической возможности."
Согласен, что Положение устаревшее, написано в 2012 году, но проблема в том, что и сейчас, на закате 2018, его по-прежнему пытаются исполнять, продолжая увеличивать энтропию там, где, напротив, требуется порядок.

Как использование двух паролей не считается двухфакторной аутентификацией, так и использование двух эквивалентных систем не является эшелонированной обороной, смысл имеет только полностью различные подходы - об этом писал и в 2013, и год назад, а также рассказывал намедни.

Боль в том, что уже понимая низкую эффективность автоматически привентивных средств защиты, мы на уровне регулятора продолжаем культивировать веру в них.

Но нет смысла писать про то же самое, если дело только создании неправильных стереорипов. Основная проблема в том, что требование использования гетерогенного покрытия инфраструктуры средствами защиты - снижает возможности по обнаружению сложных атак, проще говоря, - вредит безопасности. Логика эта на поверхности. Если говорить о целевых атаках, то они тщательно готовятся, безусловно, беря во внимание испльзуемые средства защиты, поэтому предотвратить такую атаку исключительно превентивными автоматами практически невозможно. В этих условиях мы вынуждены отступать, сдвигая приоритеты от предотвращения в сторону обнаружения, поиска и реагирования. Ключевым моментом для эффективного обнаружения является - visibility (попробую перевести это как "наглядность-обзорность") - надо в едином месте обозревать все данные со всей инфраструктуры. Если говорить о endpoint-е, то поставщиком таких данных является EPP-EDR. Все нормальные EPP-вендоры это уже давно поняли это и оснастили свои автоматические Anti-malware-движки агентами EDR и сервисным предложением над ними, потому что только такой полный стек обеспечивает более-менее высокую эффективность.
Требование наличия решений разных роизводителей на разных частях инфраструктуры (например, один вендор - на рабочих станциях, другой - на серверах) приводит к раздроблению наглядности-обзорности на части, что снижает возможности по обнаружению атаки после взлома. Ну, или, как минимум, значительно усложняет обнаружение и активный поиск угроз (Threat hunting).

Серьезные атаки можно адресовать только после взлома, но мы жертвуем нашей способностью по обнаружению постэксплуатации в пользу малоэффективного предотвращения, да возможностей по предотвращению это особо не добавляет.

К сожалению, снова складывается ситуация, когда требования регуляторов отстают от реальности и этим становятся, как минимум - бесполезными, а как максимум - мешающими. Что делать - понятно: активнее обновлять документы, чтобы они были актуальны современному ландшафту угроз. Эпоха веры в полностью автоматическое предотвращение всевозможных атак - давно ушла в прошлое, вместе с ней и вера в мультисканеры, - это должно привести к соответсвующим изменениям нормативных требований, инерции здесь не место.


Tuesday, July 31, 2018

Снижение киберрисков в эпоху цифровой трансформации

Отступая, отстреливайтесь!

В начале июля делал доклад на Конгрессе по кибербезопасности Сбербанка. Трансляции всех выступлений, в том числе и моего, доступны здесь.

Отдельно выкладываю презентацию.


Раздел, посвященный циклам (или эшелонированному подходу к безопасности) можно кратко изобразить следующей схемой.

Про различные ветки этой схемы неоднократно писалось (раз, два, три, четыре и т.п.), но важна именно их совокупность, - надо реализовывать эшелонированный подход везде, где это возможно. Только в этом случае можно надеяться, что мы более, или менее в безопасности, хотя, ... нам всем надо помнить, что тишина - страшный звук!


Saturday, July 28, 2018

Оперативность и Релевантность

У меня создалось впечатление, что вера среди широких масс в то, что IoC-и  - это основа  современной безопасности, достигла своего апогея. Уже вполне толковые ребята со сцены всерьез (хотя, может, шутил, но я шутку не почувствовал) заявляют о том, что они у себя выкинули антивирус и заменили его на EDR с хешевым фидом, и это - революционный подход к безопасности. Удивительно?!
В целом, любому здравомыслящему человеку понятно, что даже файловая антивирусная сигнатура - куда более продвинутая технология детектированя, чем хеш, как минимум, потому, что одна сигнатрура может детектить одно и то же зло с разными хешами, а современный EPP еще имеет кучу других технологий, в том числе, и по поведению (кстати, единственный способ детекта malware less атак). Если рассмотреть Пирамиду Боли, то статические индикторы - низшие в иерархии. Ниже я раскрасил где о чем написано.
Да и EDR - не панацея сама по себе, но только в связке с EPP. А вообще, нужна целая совокупность технологий и сервисов, и только тогда, может быть, будет возможность эффектино обнаруживать и реагировать.

Но в каждой сказке есть своя доля правды. Чем более таргетированными становятся атаки, тем сложнее вендорам их найти в Интернет и выпустить детект, тем больше временной зазор, в течение которого атака, нацеленная на конкретную инфраструктуру может оставаться необнаруженной. Поэтому я много писал и говорил об актином поиске угроз (Threat hunting) в конкретной инфраструктуре, так как только таким образом можно оперативно находить то, что пропустили, а также акцентировать внимание на том, что актуально для данной конкретной сети. Проще говоря, так мы компенсируем вендорское проблемы с Оперативностью (нужна защита не завтра, а сейчас) и Релевантностью (нужна защита от угроз в моей сети, а не угроз, найденных где-то у кого-то).

Для решения этой задачи можно немного поколхозить. Раз выше упоминался коллега с хешовыми фидами, продолжим эту же тему (хотя подход может быть растянут на любые другие индикторы). Нормальные EPP умеют создавать кастомизированные черные списки по хешам (ну уж EDR-ы - точно умеют, любой современный EPP и EDR тоже - вон, Гарнтер, их уже и различать перестал). В целом, можно этот Черный список формировать скриптами. Тогда компенсация проблем с Оперативностью и Релевантностью может выглядеть как-то так.
1. Я каким-то образом обнаружил вредоносных хеш, который пока не обнаруживается вендорским ЕРР.
2. Добавляю этот хеш в мой кастомизированный Черный спискок.
3. Сэмпл добавляю в папочку, которая постоянно сканируется моим вендорским EPP в применяемой у меня комплектации (я бы порекомендовал использовать полную комплектацию - с облаком, с поведенческими и эвристирческими движками и т.п.) - это будет моя "лаборатория постоянной проверки детекта"
4. Как только сэмпл стал обезвреживаться используемым у меня ЕРР, его можно удалить из Черного списка, чтобы список не был бесконечно большим, но содержал ровно то, что для меня релевантно, но пока не покрывается вендором ЕРР.
Не раз писал, что я фанат схемок, поэтому ниже картинка про эти 4 пункта. Черными буквами на синем фоне отражено описание ситуации в указанной точке, белыми буквами на синем фоне - мои действия.

Теперь, когда концепт понятен, важное дополнение относительно "лаборатории постоянной проверки детекта". ЕРР может обнаруживать в разных режимах - при запуске файла, при просто его обнаружении на диске, при получении в виде почтового вложения, при скачивании из Интернет и т.п. Детакт может работать в одном режиме и не работать в другом. Поэтому, постонно проверять детект надо в той же ситуации, в которой вы ожидаете детект. Т.е. если вы ожидаете, что вложение будет удалено из почнового сообщения, правильно было бы не положить сэмпл в папочку, а посылать его по почте, чтобы проверять именно ожидаемую ситуацию. Если так сложно, то хотя бы запускать сэмпл в песочнице с установленным и обновленным вашим ЕРР, - это будет более достоверная проверка наличия детекта, чем сканирование папочки (где по сути отработает только файловый детект, что не евляется единственным детектирующим движком в современных ЕРР).

Thursday, July 26, 2018

Инструкция по применению

Несложно догадаться как пользоваться вилкой или ложкой, или штопором, однако, более сложные приспособления, даже, типа, открывалки, уже имеют инструкцию по применению.
Очевидно, что чем сложнее система, тем больше ошутима необходимость руководства пользователя.

Любые инструменты появляются под потребность, т.е. сначала возникает какая-то проблема, затем появляется решение, затем - инструменты, где придуманное решение уже реализуется. Если решаемая проблема понятна, то достаточно обойтись исключительно инструкцией по применению инструмента. Например, проблематика, адресуемая лопатой - понятна, поэтому исключительно инструкции ( шутка, :) ) - достаточно.

В сфере высоких технологий проблематика далеко не всегда понятна, как следствие, не понятна и потребность в инструментарии, и уж тем более не понятно как пользоваться имеющимися инструментами. В этих случаях просто руководством пользователя не обойтись (тем более, все еще хуже, когда нет и такого руководства). С высокотехнологическими продуктами надо продавать законченную историю, закрывающую не только вопросы о том, как правильно пользоваться инструментом, но и:
- какой операционный процесс нужно построить над этим инструментом (его поддержка, использование - если он генерит какие-то алерты, какая на них необходима реакция в каких случаях и т.п.)
- как этот бизнес-процесс использования инструмента вписывается в существующую операционную модель потенциального потребителя (да и вообще, каков профиль потенциального потребителя)
- как контролировать эффективность и результативность использования инструмента (т.е. как понять, что связка инструмент-процесс над ним работают, и работают как надо, каковы метрики).

Для передачи этой истории про правильное использование инструмента хороши все методы:
- гора печатных документов,
- доступ к вендорской базе знаний, где рассмотрены типовые сценарии,
- сиквел из коротких полумаркетинговых роликов продолжительностью не более 5 минут о том, как с помощью данного инструмента решать какие-то конкретные (лучше те, что на слуху) задачи,
- тренинги и сертификации,
- открытые community форумы\конферении\вебинары (да и любые другие мероприятия как физические, так и виртуальные), где потребители делятся своим опытом использования инструмента.

Причем, со стороны вендора инвестиции в эту историю вокруг продукта должны быть ничуть не менее важными, чем в сам продукт. Я бы даже сказал, что правильнее это рассматривать как часть продукта, и продукт считать законченным только когда он готов технологически и готовы все материалы, требуемые для обеспечения его правильного использования потребителем. Ведь, если пользователь будет использовать продукт неправильно\неэффективно, - это означает, что он не получит ожидаемой ценности, а это уже проблема вендора (ну конечно нормальные вендор заинтресован в том, чтобы его прдукты приносили пользу!), и вендор должен ее решать всеми доступными методами.


Friday, July 20, 2018

Managed Defence and Response

Есть в среде аналитиков такой устоявшийся термин - MDR.
Сам феномен этот, в целом, несложно объяснить. Ранее, когда угрозы, с которыми мы сражались были "обычными", проблема в случае аутсорсинга закрывалась предложением MSSP. Высокая эффективность MSSP обеспечивается жесткой формализованностью его бизнес-процессов, зарегулированностью и алгоритмизацией деятельности участников. Но, как конвейер пригоден для массового производства, и не работает в случае выпуска опытных образцов, так и MSSP не может быстро перестраиваться при возникновении угроз, требующих изменения подходов к управлению ими.
Сейчас мы узнали (и убедились, что целевые атаки - реальность), и эти "Продвинутые угрозы" требуют иных подходов к управлению такими угрозами. Мы заговорили об активном поиске угроз, Threat intelligence, EDR и т.п.
Перестройка зарегулированного "конвейера" MSSP требует времени, а угрозы адресовать нужно сейчас, - это создало нишу "MDR", как совокупность технологий-процессов-людей (да, то же, что и в MSSP), способную решить задачу обнаружения необнаружимого. Я фанат схемок и картинок, способствующих пониманию, поэтому вот "домики", красноречиво описывающие сказанное.

Иметь только MDR - мало, а иметь только MSSP не компенсирует все риски, поэтому, очевидно, что, справившись со своей инерцией, и наладив новый\старый конвейер по обнаруженинию "продвинутых" атак, MSSP в ближайшем будущем поглотит MDR, и, то что раньше было MDR, будет компонентом в составе предложения MSSP...


Но этот пост всего лишь о названии (а предметные рассуждения на эту тему я продолжу когда-нибудь потом)! Получившееся комплексное предлоение я бы назвал тоже MDR, но "Managed Defence & Response". Одно слово на "De" полностью меняет ситуацию. Так как мы уже не говорим только об "обнаружении", но о "защите",  что с точки зрения конечного потребителя - более ценный продукт. Но этот продукт и более сложен: он уже не является просто сервисом мониторинга над EDR (Managed EDR, MEDR) или (Managed Detection and Response, где к EDR добавляется еще что-то, помимо Endpoint-а), а где реализуются все возможные слои и циклы.
Managed Defence & Response предоставляет в первую очередь защиту, если это возможно, если невозможно - обнаружение (и автоматизированное и ручное, т.е. с активным поиском угроз), а также - реагирование. И к такому "MDR" надо стремиться, и такой смысл надо в него вкладывать, - "Defence" вместо незаконченного "Detection".