Pull to refresh

Comments 8

 И поскольку у защитников нет возможности отследить неочевидные связи, такой компьютер не будет защищаться как высококритичный актив, на нем могут быть не установлены необходимые обновления безопасности или отсутствовать антивирусное средство.

Очень странное обобщение. Вроде бы системы тиринга изобрели уже давно и именно во многом потому, что нельзя учесть всего. Поэтому на "таком" компьютере, при нормально настроенной системе, будет применены некий политики ограничивающие его возможности в зависимости от tier`а к которому данный компьютер относится. Например - на нем в принципе нельзя будет залогиниться от учетной записи администратора домена. Так как такой логин возможен только на компьютерах уровня Т0.

Ну и в целом, рассуждения на тему того, что у атакующих и защитников различаются, оно не проходит проверку тем фактом, что многие бывшие хакеры ушли в defense. А пресловутым графом оперирует любой уважающий себя системный архитектор. Именно для понимания всех связей и зависимостей внутри инфраструктуры.

Все верно, механизмы и стратегии безопасного построения инфраструктуры, позволяющие противостоять хакеру, имеются, но это тема отдельной статьи. Помимо упомянутой модели тиринга есть и подходы Zero Trust, Assume compromise, модели ролевого предоставления доступа и т.д. При этом необходимого уровня безопасности можно достичь только их совместное применение, в одиночку они зачастую малоэффективны.

Про бывшых хакеров в дефенсе согласна, хорошо когда на стороне защиты трудится человек, знающий тонкости работы с другой стороны баррикад. Но виден ли от этого эффект? Пентестеры в аналитических отчетах поражаются, что многие компании до сих пор не знают своего периметра, не говоря уже о построении внутренней инфраструктуры. Количество и громкость инцидентов растет год от года, а под удар попадают и крупнейшие IT-компании. При этом применяемые хакерами приемы - далеко не рокет саенс, по статистике из DFIR знание только 5% техник и тактик MITRE обеспечивает обнаружение 95% всех инцидентов.

При этом применяемые хакерами приемы - далеко не рокет саенс, по статистике из DFIR знание только 5% техник и тактик MITRE обеспечивает обнаружение 95% всех инцидентов.

Насколько я знаком со спецификой работы пентестеров, они прогоняют, как правило, только общедоступные решения. Т.е. грубо говоря нашли что-то и "загуглили", что с этим можно сделать. Если ответ находится - применили. И даже при таком подходе - дыр находится огромное количество.

Но проблема в первую очередь не в том, что система защиты не продумана, а в том, что защита, в отличие от взлома, это не разовая акция. Ее мало один раз простроить. Ее эффективность напрямую зависит от готовности соблюдать разработанные и внедренные правила и полиси. И в этом месте начинаются проблемы. Люди не понимают и не хотят понимать, зачем в их работе введено столько неудобств. Бизнес требует быстрых решений уже завтра и не готов ждать анализа возможных рисков и т.д. В итоге накапливается legacy временных решений, служебных бекдоров и прочих радостей пентестера.

Второй аспект момент - облака. Да, это удобно, быстро, эффективно. Но тот же AWS или Azure не будет за вас ограничивать доступ к вашим ресурсам. Это не их задача - они нам продают ресурс (с оговорками конечно), а не вмешиваются в ваши процессы.

Поэтому мало видеть условный граф. Крайне важно удерживать систему в неких заданных рамках, а это в реальности крайне тяжело реализуемо.

Он опубликовал это ещё в 2015 году, но всё равно спасибо, познавательно.

Защитники думают списками, атакующие думают графами.

Не будем забывать, что граф можно описать как списки вершин и соединений между ними.

И что же, в таком случае, делать защитникам?

В романе 1984 старший брат знает ответ.

Спасибо, за статью.

Вообще, количество фактов в статье не большое, но она очень глубокая. Метод представления любого явления очень важен. Он определяет сложность понимания понятия и, как результат, позволяет это понимание углубить или наоборот запутать наблюдателя. Граф действительно наглядно отображает взаимосвязи и состояния объектов.

Не совсем согласен с тем что защитники оперируют списками, хотя действительно значительная часть инфраструктуры не поддается эффективному контролю.

Sign up to leave a comment.

Articles