Снижение киберрисков в эпоху цифровой трансформации

Отступая, отстреливайтесь!

В начале июля делал доклад на Конгрессе по кибербезопасности Сбербанка. Трансляции всех выступлений, в том числе и моего, доступны здесь.

Отдельно выкладываю презентацию.

Reducing cyber risks in the era of digital transformation from Sergey Soldatov

Раздел, посвященный циклам (или эшелонированному подходу к безопасности) можно кратко изобразить следующей схемой.

Про различные ветки этой схемы неоднократно писалось (раз, два, три, четыре и т.п.), но важна именно их совокупность, - надо реализовывать эшелонированный подход везде, где это возможно. Только в этом случае можно надеяться, что мы более, или менее в безопасности, хотя, ... нам всем надо помнить, что тишина - страшный звук!

Оперативность и Релевантность

У меня создалось впечатление, что вера среди широких масс в то, что IoC-и  - это основа  современной безопасности, достигла своего апогея. Уже вполне толковые ребята со сцены всерьез (хотя, может, шутил, но я шутку не почувствовал) заявляют о том, что они у себя выкинули антивирус и заменили его на EDR с хешевым фидом, и это - революционный подход к безопасности. Удивительно?!
В целом, любому здравомыслящему человеку понятно, что даже файловая антивирусная сигнатура - куда более продвинутая технология детектированя, чем хеш, как минимум, потому, что одна сигнатрура может детектить одно и то же зло с разными хешами, а современный EPP еще имеет кучу других технологий, в том числе, и по поведению (кстати, единственный способ детекта malware less атак). Если рассмотреть Пирамиду Боли, то статические индикторы - низшие в иерархии. Ниже я раскрасил где о чем написано.

Да и EDR - не панацея сама по себе, но только в связке с EPP. А вообще, нужна целая совокупность технологий и сервисов, и только тогда, может быть, будет возможность эффектино обнаруживать и реагировать.

Но в каждой сказке есть своя доля правды. Чем более таргетированными становятся атаки, тем сложнее вендорам их найти в Интернет и выпустить детект, тем больше временной зазор, в течение которого атака, нацеленная на конкретную инфраструктуру может оставаться необнаруженной. Поэтому я много писал и говорил об актином поиске угроз (Threat hunting) в конкретной инфраструктуре, так как только таким образом можно оперативно находить то, что пропустили, а также акцентировать внимание на том, что актуально для данной конкретной сети. Проще говоря, так мы компенсируем вендорское проблемы с Оперативностью (нужна защита не завтра, а сейчас) и Релевантностью (нужна защита от угроз в моей сети, а не угроз, найденных где-то у кого-то).

Для решения этой задачи можно немного поколхозить. Раз выше упоминался коллега с хешовыми фидами, продолжим эту же тему (хотя подход может быть растянут на любые другие индикторы). Нормальные EPP умеют создавать кастомизированные черные списки по хешам (ну уж EDR-ы - точно умеют, любой современный EPP и EDR тоже - вон, Гарнтер, их уже и различать перестал). В целом, можно этот Черный список формировать скриптами. Тогда компенсация проблем с Оперативностью и Релевантностью может выглядеть как-то так.

1. Я каким-то образом обнаружил вредоносных хеш, который пока не обнаруживается вендорским ЕРР.

2. Добавляю этот хеш в мой кастомизированный Черный спискок.

3. Сэмпл добавляю в папочку, которая постоянно сканируется моим вендорским EPP в применяемой у меня комплектации (я бы порекомендовал использовать полную комплектацию - с облаком, с поведенческими и эвристирческими движками и т.п.) - это будет моя "лаборатория постоянной проверки детекта"

4. Как только сэмпл стал обезвреживаться используемым у меня ЕРР, его можно удалить из Черного списка, чтобы список не был бесконечно большим, но содержал ровно то, что для меня релевантно, но пока не покрывается вендором ЕРР.

Не раз писал, что я фанат схемок, поэтому ниже картинка про эти 4 пункта. Черными буквами на синем фоне отражено описание ситуации в указанной точке, белыми буквами на синем фоне - мои действия.

Теперь, когда концепт понятен, важное дополнение относительно "лаборатории постоянной проверки детекта". ЕРР может обнаруживать в разных режимах - при запуске файла, при просто его обнаружении на диске, при получении в виде почтового вложения, при скачивании из Интернет и т.п. Детакт может работать в одном режиме и не работать в другом. Поэтому, постонно проверять детект надо в той же ситуации, в которой вы ожидаете детект. Т.е. если вы ожидаете, что вложение будет удалено из почнового сообщения, правильно было бы не положить сэмпл в папочку, а посылать его по почте, чтобы проверять именно ожидаемую ситуацию. Если так сложно, то хотя бы запускать сэмпл в песочнице с установленным и обновленным вашим ЕРР, - это будет более достоверная проверка наличия детекта, чем сканирование папочки (где по сути отработает только файловый детект, что не евляется единственным детектирующим движком в современных ЕРР).

Инструкция по применению

Несложно догадаться как пользоваться вилкой или ложкой, или штопором, однако, более сложные приспособления, даже, типа, открывалки, уже имеют инструкцию по применению.
Очевидно, что чем сложнее система, тем больше ошутима необходимость руководства пользователя.

Любые инструменты появляются под потребность, т.е. сначала возникает какая-то проблема, затем появляется решение, затем - инструменты, где придуманное решение уже реализуется. Если решаемая проблема понятна, то достаточно обойтись исключительно инструкцией по применению инструмента. Например, проблематика, адресуемая лопатой - понятна, поэтому исключительно инструкции ( шутка, :) ) - достаточно.

В сфере высоких технологий проблематика далеко не всегда понятна, как следствие, не понятна и потребность в инструментарии, и уж тем более не понятно как пользоваться имеющимися инструментами. В этих случаях просто руководством пользователя не обойтись (тем более, все еще хуже, когда нет и такого руководства). С высокотехнологическими продуктами надо продавать законченную историю, закрывающую не только вопросы о том, как правильно пользоваться инструментом, но и:
- какой операционный процесс нужно построить над этим инструментом (его поддержка, использование - если он генерит какие-то алерты, какая на них необходима реакция в каких случаях и т.п.)
- как этот бизнес-процесс использования инструмента вписывается в существующую операционную модель потенциального потребителя (да и вообще, каков профиль потенциального потребителя)
- как контролировать эффективность и результативность использования инструмента (т.е. как понять, что связка инструмент-процесс над ним работают, и работают как надо, каковы метрики).

Для передачи этой истории про правильное использование инструмента хороши все методы:
- гора печатных документов,
- доступ к вендорской базе знаний, где рассмотрены типовые сценарии,
- сиквел из коротких полумаркетинговых роликов продолжительностью не более 5 минут о том, как с помощью данного инструмента решать какие-то конкретные (лучше те, что на слуху) задачи,
- тренинги и сертификации,
- открытые community форумы\конферении\вебинары (да и любые другие мероприятия как физические, так и виртуальные), где потребители делятся своим опытом использования инструмента.

Причем, со стороны вендора инвестиции в эту историю вокруг продукта должны быть ничуть не менее важными, чем в сам продукт. Я бы даже сказал, что правильнее это рассматривать как часть продукта, и продукт считать законченным только когда он готов технологически и готовы все материалы, требуемые для обеспечения его правильного использования потребителем. Ведь, если пользователь будет использовать продукт неправильно\неэффективно, - это означает, что он не получит ожидаемой ценности, а это уже проблема вендора (ну конечно нормальные вендор заинтресован в том, чтобы его прдукты приносили пользу!), и вендор должен ее решать всеми доступными методами.

Managed Defence and Response

Есть в среде аналитиков такой устоявшийся термин - MDR.
Сам феномен этот, в целом, несложно объяснить. Ранее, когда угрозы, с которыми мы сражались были "обычными", проблема в случае аутсорсинга закрывалась предложением MSSP. Высокая эффективность MSSP обеспечивается жесткой формализованностью его бизнес-процессов, зарегулированностью и алгоритмизацией деятельности участников. Но, как конвейер пригоден для массового производства, и не работает в случае выпуска опытных образцов, так и MSSP не может быстро перестраиваться при возникновении угроз, требующих изменения подходов к управлению ими.
Сейчас мы узнали (и убедились, что целевые атаки - реальность), и эти "Продвинутые угрозы" требуют иных подходов к управлению такими угрозами. Мы заговорили об активном поиске угроз, Threat intelligence, EDR и т.п.
Перестройка зарегулированного "конвейера" MSSP требует времени, а угрозы адресовать нужно сейчас, - это создало нишу "MDR", как совокупность технологий-процессов-людей (да, то же, что и в MSSP), способную решить задачу обнаружения необнаружимого. Я фанат схемок и картинок, способствующих пониманию, поэтому вот "домики", красноречиво описывающие сказанное.

Иметь только MDR - мало, а иметь только MSSP не компенсирует все риски, поэтому, очевидно, что, справившись со своей инерцией, и наладив новый\старый конвейер по обнаруженинию "продвинутых" атак, MSSP в ближайшем будущем поглотит MDR, и, то что раньше было MDR, будет компонентом в составе предложения MSSP...

Но этот пост всего лишь о названии (а предметные рассуждения на эту тему я продолжу когда-нибудь потом)! Получившееся комплексное предлоение я бы назвал тоже MDR, но "Managed Defence & Response". Одно слово на "De" полностью меняет ситуацию. Так как мы уже не говорим только об "обнаружении", но о "защите",  что с точки зрения конечного потребителя - более ценный продукт. Но этот продукт и более сложен: он уже не является просто сервисом мониторинга над EDR (Managed EDR, MEDR) или (Managed Detection and Response, где к EDR добавляется еще что-то, помимо Endpoint-а), а где реализуются все возможные слои и циклы.
Managed Defence & Response предоставляет в первую очередь защиту, если это возможно, если невозможно - обнаружение (и автоматизированное и ручное, т.е. с активным поиском угроз), а также - реагирование. И к такому "MDR" надо стремиться, и такой смысл надо в него вкладывать, - "Defence" вместо незаконченного "Detection".