Wednesday, August 28, 2019

Другие красные

Вполне можно играть в шахматы самому с собой, но с другим соперником - несравненно лучше.
(личный опыт)

Уже сравнительно давно писал про продуктовую безопасность, о том, что полезно иметь своих кто пишет код, и кто этот код ломает, и вопреки первопрешедшему на ум SoD-кофлику, наличие своей продуктовой безопасности местами лучше, так как они обладают большей контекстной погруженностью. На базе этой ситуации можно разыграть что-то вроде конкуренции, когда звезды лепят тем, кто пишет код, который не ломается, и одновременно с этим поощряют тех, кто все же умудряется сломать даже самый хорошо написанный компонент.

Зрелый SOC/поставщик сервиса MDR всегда имеет у себя третью (или любую другую N+1-ую) линию исследований, будем ее называть SOC RnD. В задачи ребят входит разработка детектирующей логики SOC и всей прочей автоматизации, которая позволит 1-N-ым операционным линиям работать максимально эффективно и результативно. Примером цели для SOC RnD может быть: "все инциденты, обнаруженные SOC, найдены с помощью их детектирующих логик и пр. автоматизации". По сути как раз SOC RnD занимается тем самым активным поиском угроз (Threat hunting), найдя что-то однажды вручную, затем реализуя это в какой-либо автоматической логике. У них интересная работа: они эмулируют атаки и решают как это можно обнаружить, и показать такой алерт операционным линиям, который:
а) не будет сильно фолсить (иметь хорошую конверсию);
б) будет результативен (будет хорошо обнаруживать инциденты);
г) требовать от операционных линий минимума времени\усилий на его расследование (т.е. оператору будут предоставлены необходимые события, поля, обогащения и\или даны удобные плейбуки по быстрому "ручному добору" недостающей для успешного триажа информации )
При исследовании возможностей по детекту они являются источником требований для поставщиков телеметрии (сенсоров) - какие события нужны, какие поля, какая обработка на сенсоре необходима и т.п., а также - требований для пайплайна обработки телеметрии - облачной инфраструктуры обогащения, разметки и автоматизации детектирующих логик. Они - "фиолетовая команда", так как комбинируют в себе навыки нападения "красных" и защиты "синих". Важно отметить, что здесь задача красных - реализовать атаку или ее часть (например, реализовать технику).

Но практика показывает, что работа по созданию детекта (буду далее называть их нашим внутренним жаргоном - "хант" (от англ. HUNTing) ) достаточно кропотлива и сложна (вот здесь мы показывали как создается хант, как фильтруются его фолсы), может занимать много времени, а беря во внимание, что SOC RnD в общем-то defensive-подразделение, offensive-часть задачи страдает, поскольку логично стремление обеспечить наибольшее покрытие хантами (результативность хантов).
Но кроме результативности хантов, важна и их "надежность" - т.е. сложность их обхода (эффективность хантов). Варианты обхода хантов можно проверить в offensive-части, но, как отмечалось выше, на это не всегда есть возможность выделить достаточное количество ресурсов.

Думаю, в этом месте начинает быть очевидна необходимость наличия в SOC "другой" красной функции, в задачи которой будет входить не столько реализовать технику атакующего, сколько обойти существующие на эту технику ханты, найти такую реализацию (процедуру), которая еще не покрыта хантами. Здесь также можно сделать встречные КПЭ: красным, выполняющим обходы, раздавать звезды за реализацию техник невидимо для текущих хантов, а фиолетовых, разрабатывающих ханты поощрять за высокую эффективность результатов их труда.

Итого, в нашей фиолетовой команде получаем две красных составляющих и одну синюю:
- красные, реализующие техники - контролируют покрытие все известных техник хантами, контролируют результативность хантов
- красные, выполняющие обходы - контролируют надежность детектирующих логик, реализованных в хантах, - эффективность хантов
- синие, разрабатывающие детектирующую логику хантов.

Никто не утверждает, что красные и "другие красные" должны быть разными командами, роли можно совмещать, например, когда разобрались с покрытием, можно переключиться на обходы. Можно это смешать и с синими: придумал процедуру\реализацию под технику, а потом придумал как ее обложить хантами, - обозвав их фиолетовыми (более того, термин уже прижился в публикациях) - никто не запрещает играть в шахматы самому с собой. Однако, подобное разделение и гемификация с назначением встречных КПЭ создает ощущение возможности достижения более выдающихся результатов.