Thursday, January 19, 2017

Об Ответственности и Возможностях

....тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. 
Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. 
Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.
Сунь-цзы. "Искусство войны"

Ни у кого не вызывает сомнения заключение, что оборона должна соответствовать нападению. Именно поэтому бытовые конфликты в той или иной степени мы способны разрешать самостоятельно, против бандитов-одиночек и организованной преступности у нас есть полиция, для эффективных военный действий - используется армия. Указанные три стратегии обороны характеризуются различными инструментами, применяемыми подходами, глубиной разведки и планирования действий, в общем - сильно разными TTP, следовательно, требуют разного оснащения и обеспечения, прежде чем эффективно и результативно защищаться, и поэтому имеют разные возможности, определяющие их способности и возлагаемую ответственность. Я не раз писал, что профессионалам должны противостоять профессионалы, и дело далеко не полностью определяется исключительно профессионализмом команды, как и эффективность военный действий не определяется исключительно способностью каждого солдата метко стрелять, быстро и незаметно перемещаться и т.п. Здесь нужна целая система взаимосвязанных мероприятий, позволяющая к моменту начала боя полностью знать противника: его цели, тактику и стратегию, применяемые инструменты, в общем, опять ТТР. Понятно, что наши противники имеют достаточно методов и средств, чтобы не делиться с нами своими ТТР, а поэтому нам нужны возможности эти сведения доставать, поскольку без знания противника ему невозможно противостоять. Именно поэтому полиция, не имея поддержки ФСБ, СВР, ГРУ не может противостоять организованным вооруженным силам, и тем более неэффективны гражданские - сколько не было бы отважным народное ополчение, при прочих равных условиях без грамотного руководства (а мы знаем из истории и даже художественной литературы, что эффективные народные ополчения возглавлялись профессиональными военными) оно не сможет противостоять регулярной армии.

Вроде как бы все очевидно, да? Однако почему в области кибербезопасности мы думаем иначе? Сколько ни был бы профессиональным безопасник или целое подразделение копрбезопасности, почему есть полная уверенность, что он способен противостоять киберармии (APT-кампаниям), и что в его ответственности лежит не допустить компрометации? А разве он имеет возможности, для обеспечения этой ответственности? Он имеет возможность провести глубокую разведку противника (== исследовать группировки, организующие APT-кампании)? Он имеет возможность реверсить применяемые противником инструменты/оружие, чтобы выковыривать оттуда информацию о других инструментах и инфраструктуре и придумывать что с этим можно поделать? Он смотрит на вопрос широко (== видит больше своей сети)? Едва ли он имеет многолетний опыт (== критерий профессионализма) таких исследований (давно ли мы заговорили об целевых атака?), позволяющий ему прогнозировать действия противников и производить безошибочную атрибутику. 

Я не вижу ничего особенного в том, что корпоративная безопасность зачастую не может эффективно противостоять целевым атакам - это всего лишь подтверждает мой старый тезис что профессионалам должны противостоять профессионалы с аналогичным обеспечением и возможностями. Поэтому не стоит по этому поводу сокрушаться, ибо для достижения лучшей результативности надо усиливать свои сильные стороны, а не подтягивать свои слабые - не надо бросаться в исследования атак, форенсику и реверс ВПО, - едва ли получится это делать лучше специализированных компаний, делающих это более 20 лет, но надо усиливать те направления, где никто вам не помощник: понимать ваши бизнес-процессы и циркулирующую там информацию, где в них ценность как для потенциального атакующего, так и для вашего бизнеса, что не получится защитить техническими контролями и что с этим можно поделать и т.п. Только так, дополнив "знание себя" аутсорсингом того, кто "знает врага", можно построить действительно эффективную оборону!

3 comments:

Roman said...

Добры день.

Подскажите пожалуйста, ТТР - это Технологии и Техники Разведки?

Igor Gots said...

Сергей, не согласен с тобой.
Во-первых слоистая структура не характерна для нашей отрасли, скорее у нас горизонтальное деление по областям компетенции. То есть консультант по охоте за APT может быть невероятно хорош, но ему сложно понять почему на ключевой БД админ вынужден оставить пароль по-умолчанию.
Во-вторых, армейский профессионал - это человек выращиваемый годами в определенной среде по определенному плану. В нашем случае, профессионалом по взлому может оказаться ребенок досконально изучивший мануал на одну из систем контроля версий и нашедший ее в интернете. Подчеркиваю - может.

Структура обороны скорее связана с необходимостью физического перемещения больших объемов людей и техники в ограниченных условиях.
Структура обороны в ИТ лишена этих особенностей, но обладает своими - скорость и гибкость атак.

Отсюда, скорее необходимо подготовить базу для быстрого ответа. А на эту базу могут прийти и пешая дружина и авиация и крестьяне с вилами с соседнего хутора.

Sergey Soldatov said...

Роман, TTP == Tactics, Techniques, and Procedures, я часто использую этот термин как собирательный для описания методов и средств атакующих.


Игорь, хороший комментарий, но я не нашел противоречий между твоими замечаниями и мыслями в моей заметке.
То, что ты привел в "во-первых" называется "situational awareness". Никто не отрицает необходимость этих знаний для эффективного мониторинга, поскольку они снижают количество контекстных ложных срабатываний. Но, даже если знаний об инфраструктуре изначально недостаточно - они пополняются в процессе мониторинга - расследуя инциденты, да, сначала будет много контекстной фолсы, но со временем это количество будет неуклонно снижаться.

Необходимость уметь быстро восстанавливаться я также не отрицаю - это одна из ступенек, на которую можно отступить: если своевременно обнаружить и предотвратить ущерб полностью не удалось - давайте тогда быстро восстановимся.

О чем я писал в посте (видимо, не умею я писать понятно, поскольку это уже не первый раз, когда я поясняю что имел в виду):
1. Не имея многолетнего опыта расследования и реагирования на разные инциденты ИБ, невозможно с первого же раза сделать это правильно, а ошибки здесь могут быть очень драматичны.
2. И даже только опыта не достаточно, нужно много другой различной информации о всевозможных артефактах, которые могут попадаться при расследовании, - назовем всю эту совокупность знаний\ресёча - Threat intelligence.
3. Интерпрайзный безопасник может делать расследование целевых атак сам, но, скорее хуже, чем это сделали бы аутсорсеры, обладая ресурсами\возможностями\знаниями\опытом, указанными в пп. 1-2.
4. Наличие практики и TI - принципиальны, поэтому без них делать хорошо - тяжело, точнее - невозможно, поэтому, в том, что интерпрайзный безопасник плохо противостоит целевым атакам в одиночку - нет его вины, так как у него, нет пп 1-2. Имея Ответственность за защиту от целевых атак, он не имеет Возможностей это сделать.
5. Но не стоит переживать и тем более комплексовать по поводу п.4, и не стоит пытаться усилить эти свои слабые стороны, а лучше инвестировать ресурсы и время в свои сильные стороны, тем более, что есть направления, которые НИКТО, кроме интерпрайзного безопасника за него не сделает (ну, конечно, нам с тобой попадались CISO, которые верили в то, что придет умный консультант и научит их делать безопасность, но, не раз писал и, по-моему очевидно, что так не бывает).
6. Ну, и полное счастье будет тогда, когда интерпрайзный безопасник, усилив свои сильные стороны, компенсирует свои слабые стороны аутсорсингом у того, у кого его слабые стороны являются сильными сторонами. Деление на сильные и слабые стороны может быть как вертикально (по целым процессам), так и горизонтально - по группам\линиям сопровождения\поддержки в рамках одного процесса - тут как угодно, любая комбинация возможна. Идея, в целом, не новая и я ее не раз говорил.