Стремление к прозрачности
Самый эффективный способ помочь другим — это помочь им помочь самим себе.
Джерри Корстенс
От переводчика
Предлагаю вашему вниманию перевод статьи CEO SpecterOps David McGuire «A Push Toward Transparency». Никакого отношения к данной компании я не имею и никогда не пользовался её продуктами, поэтому статья служит не рекламным целям, а лишь поводом для того, чтобы задуматься, обсудить и использовать или отказаться от использования предлагаемого автором подхода.
Дэвид поднимает вопрос прозрачности в индустрии информационной безопасности, утверждая, что распространение знаний об инструментах и методах работы — это не угроза конкурентному преимуществу, а очень важный шаг для всех участников рынка, который способен значительно повысить общий уровень защищенности информационных инфраструктур. В комментариях хотелось бы увидеть обсуждение этой позиции: насколько она совместима с реальностью, что нам мешает быть прозрачными, и нужно ли переходить от формирования зависимости от консультантов и продуктов к обучению заказчиков самостоятельному противодействию угрозам?
Стремление к прозрачности
Информационная безопасность — молодая область, продолжающая стремительно меняться по сравнению с отраслями, которые существуют столетиями (например, медицина). Как и ИБ, медицина призвана одновременно быть прибыльным бизнесом и служить общественному благу. Тысячи лет были потрачены медицинскими исследователями на то, чтобы внести свой вклад в эту область, поделиться гипотезами и преумножить коллективное знание. Для продвижения гипотезы в медицине её необходимо открыто изучать, проверять, подвергать экспертной оценке и защищать. Такая система позволяет осознанно и постоянно повышать эффективность работы практикующих медиков. Сравните это с текущей ситуацией в ИБ. Идеи, гипотезы и результаты исследований редко публикуются, так как многие видят в этом риск утраты конкурентного преимущества. Проблема с этим подходом в том, что он замедляет прогресс, ограничивая распространение знаний. Несмотря на ряд ограничений, мы решительно выступаем за прозрачность в ИБ.
В SpecterOps мы верим, что способ, которым мы можем повышать зрелость нашей отрасли — это внесение вклада в коллективную базу знаний. Мы убеждены, что для предъявления обвинений существующей системе мы должны сами использовать на практике то, что проповедуем: открытие наших идей и гипотез для проверки и критики. Это основа нашего подхода к прозрачности и ключевой принцип наших отношений с клиентами и сообществом. Делясь нашими знаниями о Тактиках, Техниках и Процедурах (TTPs) противников, мы надеемся осветить слабые места в системах, позволяющие атаковать их, а также пригласить к сотрудничеству для устранения этих брешей.
Прозрачность в действии
Давайте рассмотрим технологию, в которой исследования безопасности проводились публично: PowerShell. Возможности PowerShell в части безопасности прошли долгий путь за последние пять лет, благодаря внутренним сторонникам в Microsoft и многим поборникам в отрасли ИБ, которые способствовали их продвижению. Но так было не всегда. В какой-то момент поверхность атаки, представленная PowerShell, была массовой и малопонятной.
Некоторые из членов нашей команды в 2015 году создали проект, названный PowerShell Empire, ставший кульминацией предшествующей работы в отрасли, а также проектов и исследований нашей команды. Empire был на тот момент инструментом постэксплуатации на чистом PowerShell, демонстрировавшим, как действия противника могут быть воспроизведены и усилены в ходе имитации атаки. С момента создания Empire мы увидели несколько дополнительных проектов наступательного PowerShell, которые продвинули систему знаний гораздо дальше, чем это мог сделать кто-либо в одиночку. Эффект от подобных проектов позволил ответственным за это направление в Microsoft принять обоснованные решения о разработке дополнительных мер безопасности для PowerShell. Мы приветствуем эти решения по внедрению таких мер, как AMSI, трассировка сценариев и других в последних версиях PowerShell.
Для продвижения и повышения доступности защитных способов использования PowerShell наша команда создала PowerForensics, предоставляя возможности по расследованию, которые были ранее лишь в составе тяжеловесных инструментов. Продолжение исследований в таких проектах, как Get-InjectedThread, с функционалом, обычно относящимся к агентам на конечных точках и исследованиям памяти, позволяет легко использовать возможности проведения расследований, предоставляемые языком. Сегодня использование PowerShell становится менее привлекательным для нападающих, так как их техники хорошо изучены. Кроме того, мы видим более обширное внедрение защитных мер PowerShell многими организациями. Оба аспекта представляют эволюцию подхода к безопасности в языке, обусловленную распространением информации и прозрачностью.
Наши обязательства прозрачности перед сообществом
Каждый член команды SpecterOps получил колоссальную выгоду от распространения знаний в сообществе разработчиков инструментов и методик с открытым исходным кодом. Мы поощряем всех и каждого в нашей команде помогать сообществу своими исследованиями. Вклад, как правило, проявляется в виде записей в блогах, видеозаписей и статей для передачи наших идей. Мы верим, что создание и распространение наборов инструментов позволяет другим командам безопасников понять и взять за основу эти идеи. Мы надеемся, что эти усилия позволят SpecterOps оказать значительное влияние на отрасль, выходя за рамки клиентов, которых мы непосредственно обслуживаем.
С точки зрения наступательных исследований результаты нашей работы часто публикуются сразу по завершении. Конечно, в этом правиле есть исключения: например, уязвимости, к которым применим подход ответственного разглашения. Наш замысел в публичном раскрытии методов атакующих состоит в том, чтобы помочь отрасли в обнаружении и противодействии рабочим подходам, которые используются или могут быть использованы в реальных атаках. Такое «прожигание» исследовательских усилий может показаться нелогичным. На это у нас есть два возражения. Во-первых, опубликование потенциальных атакующих техник служит общественному благу, предупреждая отрасль о конкретных слабостях. Во-вторых, на практике мы выяснили, что публикация используемых методик редко сразу обесценивает исследование.
С точки зрения оборонительных исследований мы признаём, что проблема, стоящая перед защитниками, гораздо больше, чем перед нападающими, в чём можно убедиться, сравнив рост стоимости эффективной защиты со стоимостью успешной атаки. Мы считаем, что отрасль может противостоять противнику с неограниченными ресурсами только с помощью обмена технологиями и методиками обнаружения атак. Накопление защитных механизмов гарантирует лишь то, что мы будем сражаться как изолированные команды против врага, свободно перемещающегося по полю сражения. Проводя любое наступательное исследование, мы прорабатываем вопросы защиты и противодействия. В случае оборонительных исследований мы даём возможности, которые до этого были доступны лишь в небольшом числе продуктов. Это не означает, что мы против готовых решений, но мы считаем, что противодействие нападающим должно быть универсальной возможностью и частью общей базы знаний. Такие проекты, как PowerForensics, Bloodhound, Uproot, ACE, HELK и the Threat Hunter’s Playbook являются примерами этой методологии.
Наши обязательства прозрачности перед клиентами
Слишком часто в нашей области услуги и продукты предлагаются клиентам в виде чёрного ящика. Клиентам предлагается довериться маркетингу и/или репутации фирмы. Мы полагаем, что это оказывает негативное влияние на их способность к достижению долговременного значимого улучшения. Если клиент хочет оценить наши возможности, он может обратиться к нашим публичным работам. Оказывая услуги, мы предоставляем своим клиентам методики, которые используем. Наша цель — всегда помогать в создании долгосрочных знаний и возможностей.
Например, в наших оценках моделирования нападений мы считаем значимым образовательную составляющую оценки. Чтобы систематически разрушать действия атакующих, клиенты должны понимать TTPs, используемые на каждом этапе атаки. Мы работаем над обучением безопасников наших клиентов, чтобы у них осталось полное понимание наших подходов и того, как мы достигаем поставленных целей. Это может включать в себя совместную работу в реальных условиях, предоставление инструмента или исходного кода импланта, разработанного в процессе атаки, и организация тренингов по воспроизведению атак. В ходе операций выявления вторжения мы документируем TTPs, которые пытаемся обнаружить, и методы, используемые для этого. Не все TTPs одинаковы с точки зрения распространённости, сложности и скрытности. Мы работаем с клиентами, чтобы обеспечить понимание того, что мы ищем, почему те или иные TTPs были выбраны, и как мы собираем и анализируем данные. Цель этого сотрудничества — дать клиенту необходимые знания и умения, чтобы он мог самостоятельно проводить сбор и анализ информации.
Целью всех наших услуг является обучение клиентов и выявление пробелов в их защитных подходах. Если мы предоставим непрозрачную оценку, мы окажем плохую услугу их способности защищать свои системы. Мы убеждены, что организации должны иметь собственные возможности по оценке уровня безопасности своих инфраструктур, а не полагаться исключительно на третьих лиц для понимания поверхности атаки.
Заключение
SpecterOps считает, что стремление к прозрачности отражает прогресс в нашей отрасли. Как представители области, включающей миссию обеспечения общественного блага, мы должны быть более требовательны к себе, а не полагаться на подход, создающий зависимость от консультантов и продуктов. Сотрудничая и делая вклад в общую копилку знаний, мы совместно можем противостоять угрозам, с которыми мы никогда не могли бы эффективно сражаться в одиночку.
Мы не утверждаем, что являемся единственными сторонниками открытого вклада в отрасли. На самом деле, как члены нашей команды, так и многие другие раньше уже практиковали то, за что мы выступаем как компания. Мы также не обещаем, что опубликуем каждую идею или изобретение. Часто есть законные причины для бизнеса защищать информацию. Однако, то, что мы делаем и будем делать, всегда будет стремиться к прозрачности.
Наше предложение: в следующий раз, когда сторонняя организация будет проводить тестирование безопасности вашей инфраструктуры, требуйте прозрачности. Здавайте вопросы. Попытайтесь понять мышление и используемый инструментарий. Сделайте это не столько для понимания TTPs как таковых, сколько для того, чтобы лучше вооружить самих себя, помочь вашим безопасникам вырасти после того, как уйдут аудиторы. Так же, как мы отвергаем безопасность через неясность в качестве сильного механизма защиты, нам стоит отказаться от эффективности атаки через неясность. Мы действительно можем поднять планку в нашей области с помощью совместного обучения.