Monday, August 21, 2017

Критерий успеха

В одну реку нельзя войти дважды

Как писали ранее, тишина - это страшный звук. И уж тем более не критерий успеха для корпоративной безопасности. Но как же понять, что зачистка была успешна? Практика показывает косвенный рабочий критерий успешного избавления: радикальное увеличения интенсивности попыток проинфектить через характерные для конкретной атаки векторы и техники. Действительно, если бы закрепление сохранилось, предпринимать новые попытки пробива было бы не за чем. Ну, а поскольку оно было утрачено, + согласно 1-ому тезису, ребята не отстанут, - успешная чистка провоцирует активацию попыток новой компрометации. Не думаю, что возобновление забрасывания "плохими" письмами по почте служит исключительно для целей сохранения среднестатистического спам-фишинг-шума, так как попытки пробива с характерными нагрузками\атрибутикой - вынужденное палево для всех "новинок". Поэтому, несмотря на заметное осложнение ситуации на периметре, вывод здесь все-таки напрашивается позитивный: они пока не попали внутрь, раз так усиленно пытаются это сделать.


Saturday, August 19, 2017

После взлома

Есть цель? Иди к ней!
Не получается? Ползи к ней!
Не можешь? Ляг и лежи в ее направлении!

Уже писал об оперативности обнаружения, однако, заметна потребность в более системном объяснении, попробую здесь.

Любую атаку хочется предвидеть и предотвратить. Если не получилось предотвратить, то минимизировать ущерб. Минимизировать ущерб можно пытаясь обнаружить успешную атаку как можно раньше и прервать "работу" ребят, пока атакующий не достиг своих целей полностью. Если брать во внимание целевые атаки, планируемые с учетом используемых у Цели средств безопасности, а, следовательно, успешно их обходящие, и выполняемые людьми, и поэтому крайне проблематичны для обезвреживания исключительно автоматическими средствами, то такие атаки гарантировано будут пропущены. И здесь мы как раз попадаем на тот случай, когда предотвратить не получилось и надо обнаружить, расследовать и почиститься. Для достижения этих целей и служит TH, который включается уже после взлома. Поскольку любая атака - это трата ресурсов, а тратить ресурсы впустую - глупо, и атакующие это понимают, постепенно сбывается то, что писал: "в перспективе нас ожидают исключительно таргетированные атаки". Как следствие - повышенное внимание к TH, как подходу, эффективно работающему после взлома.
Ну а что же работает до взлома? Как прежде - все те же автоматические превентивные меры: IPS-ы, WAF-ы, антивирусы и пр. И, если у них не получилось, включается ТН. Печальная очевидная правда в том, что для того, чтобы отличить плохое поведение от хорошего, нужно чтобы это поведение случилось, т.е. придется дозволить допустить сделать плохо, поскольку это (выполненное плохое действие) - единственный индикатор. Но, с дугой стороны, не надо рефлексировать относительно этого вынужденного дозволения, поскольку пока плохое не сделано, ущерба нет и, можно сказать, нет и инцидента.

Закончить этот короткий пост хочется очередной ассоциативной картинкой о до и после взлома, показывающей, что успех - не в чем-то одном, но в совокупности эффективно взаимно дополняющих подходов, хорошо работающих на разных этапах (в общем, как и с детектом).

Saturday, August 12, 2017

Next-gen

Старый конь борозды не испортит
(Поговорка)

Полагаю, не мне одному и не раз приходила мысль о том, что неожиданности лучше врезаются в память. Поэтому, в рекламах допускают орфографические ошибки, да и прославиться значительно проще, если придумать какой-нибудь радикальный взгляд, что привело к появлению великого множества паранаук, псевдоисторических фильмов, новых прочтений и прочей почвы для "шокового маркетинга", когда эмоциональное потрясение\удивление\неожиданность\неготовность трансформируют в почти рациональные убеждения.

Примерно к таким же мыслям прихожу, когда читаю некоторые маркетинговые листовки о защитах нового поколения, включающих в себя все новомодные базворды: machine learning, artificial intelligence, deep learning, behavioral monitoring,..., next-generation. В этих же публикациях, как правило, не брезгают и покидаться грязью в "legacy AV", "signature-based" и т.п.

Что не так? Продолжим серию разоблачений...
Во-первых, по моему мнению "signature-based legacy AV" уже просто нет (если они еще остались, то скоро вымрут как динозавры). Против современных этак это не работает, это понятно, и надо быть полным невеждой, думая, что антималварные вендоры, кто всю свою историю занимаются поиском новых атак, чтобы в сложнейшей конкурентной борьбе, обеспечить свой detect rate, этого не понимают. Очевидно, производители АВЗ первыми сталкивались с новыми атаками и соответствующим образом развивали свои детектирующие технологии. Весной 2015, когда я работал еще в Заказчике, для меня эта логика была очевидной догадкой, сейчас, работая в Поставщике, я могу с уверенностью сказать - все, что можно продетектить и пролечить автоматически - продетекчивается и пролечивается автоматически, и, безусловно, "legacy" здесь недостаточно, поэтому ими все не ограничивается. Правда, не все можно обнаружить исключительно автоматически - но об этом дальше...

Во-вторых, "сигнатуры" могут быть не только на примитивные последовательности байтов, как многие думают. Они могут быть также и на поведение, "аномалия" - это тоже сигнатура - отклонение от такого-то порога, выход из такой-то статистической зависимости. На слайде 9 рассказывалось о концепции "ханта" - одного из множества используемых подходов к обнаружению - это некоторый квант аномального поведения (например, запуск командного интерпретатора из офисного приложения, или обращение в Интернет не от браузера, или несоответствие имени\пути файла его хешу и т.п.), совокупность которых анализируется при принятии решения о "подозрительности" того или иного наблюдения - это тоже сигнатура. В любом случае, если мы не говорим о каком-то самообучающимся машобуче, нам нужно автоматизированной системе пояснить, "что такое "хорошо", и что такое "плохо" - сигнатура - это один из распространеннейших способов такого пояснения.

В-третьих, есть масса фактов (раз, два, три, четыре, пять и т.п.) демонстрирующих, недостаточность, исключительно новомодных технологий. Тут масса причин: и то, что грань межу "целевой" и "обычной" атакой размыта (писали - вот подтверждение), и то, что и в целевых атаках используется "обычная" malware, и то, что есть миллион+1 вариант, когда никакими анализаторами аномалий нет возможности различить вредоносное поведение файла, и несравненно дешевле сделать детект на семейство файликов, чем стрелять по воробьям сложными математическими вычислениями (даже если они выполняются исключительно в облаке и не грузят endpoint), ... в общем, думаю, не надо быть гениальным, чтобы поверить, что разные технологии показывают разную эффективность в различных сценариях. Поскольку сценариев атак может быть великое множество, для обеспечения эффективности нужно иметь великое множество технологий и только их комбинация может дать желаемый результат. А все эти потуги возвышения "нового" за счет унижения "старого" - дешевый "технологический" маркетинг, попытки хоть чем-то обосновать "революционность" своего решения, что, на мой взгляд, в глазах думающего и понимающего потребителя имеет обратный эффект.

Именно поэтому новые технологии, использующие большие данные, машинное обучение, распределенные вычисления, облака - не вытесняют "легаси", а гармонично дополняют. А "новое поколение" - это не то, что реализует только новые подходы, а то, что реализует все, что показывает максимальную эффективность и результативность на современном ландшафте угроз.

Но даже и этого мало! Современные атаки реализуются людьми и противостоять им исключительно автоматически - невозможно, - все та же проблема с обходом средств защиты (новые навороченные автоматы, да, они более продвинуты, но, в любому случае, они - автоматы) и, поэтому, они [всегда, всегда, всегда] могут быть обойдены. И этот сценарий - компенсируется работой команды, не менее квалифицированной, чем атакующие, и использующей все эти новомодные средства не как стену за которую можно спрятаться, но как инструменты (оружие, если хотите) для активного обнаружения и противодействия.

Wednesday, August 2, 2017

Лес за деревьями

Когда  кариес - гигиена уже на поможет.
(Личный опыт)

Если вам не интересно мнение окружающих - ведите блогОднако, в моем случае совет Силесты не применим, напротив, мне интересно мнение окружающих, и я не навязываю свое (ну, по крайней мере, прилагаю к этому все усилия, а случаи нарушения этого принципа позволю себе списать на слабости, коих у всех нас предостаточно). Одной из значимых причин моего блоггерства является нежелание одно и то же рассказывать много раз, - значительно проще метнуть ссылку, где все изложено (да, да, Силеста тут угадала с преобладанием электронного общения над живым, но это, скорее, особенности нашей профессии). Так и в этот раз - неоднократно говоря везде где возможно о необходимости концентрации на цели, прежде чем подбирать средства, обнаружил, что дело часто обстоит еще хуже - не все понимают цели.

Сложный технологический продукт трудно описать словами, лучшая его демонстрация - возможность испробовать в действии. Чтобы почувствовать прелесть автомобиля - лучше его потестдрайвить, ножом - порезать, камерой - поснимать, телевизор - посмотреть и т.п. Поэтому сервис может быть пропилотирован. Мы не распыляемся, - задача в общем-то одна - обнаружение атак, любых: целевых, безмалварных, с использованием новой малвары, с антифоренсикой - любой, что обошла существующие системы защиты (понятно, что не прошедшая системы защиты атака была успешно ими убита, и участия человека, в большинстве случаев, не требует). В целом, это не все, чем может заниматься SOC, - это один из его процессов, хотя...

После одного из пилотов, где количество выявленной альтернативной жизни красноречиво подтвердило прежде слабые догадки существования множества возможностей компрометации, а также, факты многократных взломов, и, в конечном счете, необходимость экстренной стимуляции кибериммунитета, было удивительно услышать, что Заказчик решил сначала сосредоточиться на более важных задачах обеспечения ИБ: контроль доступа, управление уязвимостями и выполнение требований комплайенса. Даже в обычных условиях список первоочередных мер вызывает улыбку умиления. Истерический смех вызывает этот список в совокупности со осознанием, что там были ребята (которые, возможно, и не ушли), а легковесная чистка на пилоте едва ли компенсирует отсутствие систематического подхода: поиск-расследование-реагирование-адаптация.

Как по-вашему, зачем ИБ? Какова прямая цель? Сохранение прежней эффективности и результативности бизнеса! КЦД информации - одна из перспектив достижения этой цели, но не сама цель. Контроль доступа - это одно из средств сохранения КЦД информации, так же и управление уязвимостями, тем более - комплайенс - это вообще способ измерения эффективности применяемых средств - ничто из перечисленного не годится в первостепенные меры, так как не закрывает цель, а лишь частично приближает к ней: решите вопрос с контролем доступа - атакуют через уязвимость в ПО, решите вопрос с уязвимостями - атакуют через целевой фишинг или зеродей, решение вопроса с комплайенсом - не является достаточным условием состояния безопасности вовсе. А, на самом деле, логическая цепочка очень проста: для сохранения прежних effectiveness и efficiency бизнеса нужно научиться противостоять атакам (это банально просто: любое покушение на бизнес - это  атака) -- чтобы атакам противостоять надо, как минимум научиться их обнаруживать, обнаруживать любые атаки, и реагировать на них. Получается примитивно простая формула: цель ИБ - защита от атак. Именно защиту от атак мы и предлагали, понимая что это - покроет цель, но Клиент предпочел средства: ставить патчи, управлять доступом, делать комплайнс - одним словом, заниматься гигиеной в то время, когда уже нужно лечить кариес.