YORUM
1931’de bilim adamı ve filozof Alfred Korzybski “Harita bölge değildir” diye yazdı. Haritalar gibi tüm modellerin gerçekliğe kıyasla bazı bilgileri dışarıda bıraktığını kastediyordu. Siber güvenlikte tehditleri tespit etmek için kullanılan modeller de benzer şekilde sınırlıdır; bu nedenle savunmacılar her zaman kendilerine şu soruyu sormalıdır: “Tehdit tespit sistemim, tespit etmesi gereken her şeyi tespit ediyor mu?” Sızma testi ve kırmızı ve mavi takım çalışmaları bu soruyu yanıtlamaya yönelik girişimlerdir. Veya başka bir deyişle, tehdit haritaları tehdidin gerçekliğiyle ne kadar örtüşüyor?
Maalesef, kırmızı takım değerlendirmeleri Bu soruya çok iyi cevap vermeyin. Kırmızı takım oluşturma pek çok başka şey için de faydalıdır ancak savunma etkinliğiyle ilgili bu özel soruyu yanıtlamak için yanlış protokoldür. Sonuç olarak savunmacılar, savunmalarının ne kadar güçlü olduğuna dair gerçekçi bir algıya sahip değiller.
Kırmızı Takım Değerlendirmeleri Doğası gereği Sınırlıdır
Kırmızı takım değerlendirmeleri savunmaların çalıştığını doğrulamada o kadar da iyi değil. Doğaları gereği, bir düşmanın kullanabileceği birkaç olası saldırı tekniğinin yalnızca birkaç spesifik varyantını test ederler. Bunun nedeni, gerçek dünyadaki bir saldırıyı taklit etmeye çalışmalarıdır: önce keşif, sonra izinsiz giriş, sonra yanal hareket vb. Ancak savunmacıların bundan öğrendiği tek şey, bu belirli tekniklerin ve çeşitlerin savunmalarına karşı çalıştığıdır. Başka teknikler veya aynı tekniğin diğer çeşitleri hakkında hiçbir bilgi alamıyorlar.
Yani defans oyuncuları kırmızı takımı tespit edemiyorsa bunun nedeni savunmalarının eksik olması mıdır? Yoksa kırmızı takım hazırlıklı olmadığı tek seçeneği seçtiği için mi? Ve eğer kırmızı takımı tespit ettilerse, tehdit tespitleri kapsamlı mı? Yoksa “saldırganlar” hazırlandıkları bir tekniği mi seçtiler? Kesin olarak bilmenin bir yolu yok.
Bu sorunun temelinde kırmızı takımların, savunmanın genel gücünü değerlendirmek için olası saldırı çeşitlerini yeterince test etmemesi yer alıyor (her ne kadar başka şekillerde değer katsalar da). Saldırganların muhtemelen sandığınızdan daha fazla seçeneği vardır. İncelediğim bir tekniğin 39.000 varyasyonu vardı. Bir başkasının 2,4 milyonu vardı! Bunların tamamını veya çoğunu test etmek imkansızdır ve çok azını test etmek yanlış bir güvenlik duygusu verir.
Satıcılar için: Güvenin ama Doğrulayın
Tehdit tespitini test etmek neden bu kadar önemli? Kısacası güvenlik profesyonelleri, satıcıların durdurduklarını iddia ettikleri davranışları gerçekten kapsamlı bir şekilde tespit edebildiklerini doğrulamak istiyor. Güvenlik duruşu büyük ölçüde satıcılara dayanmaktadır. Kuruluşun güvenlik ekibi, izinsiz giriş önleme sistemini (IPS), uç nokta tespit ve yanıtını (EDR), kullanıcı ve varlık davranışı analitiğini (UEBA) veya benzer araçları seçer ve devreye alır ve seçilen satıcının yazılımının, yapacağını söylediği davranışları algılayacağına güvenir. Güvenlik profesyonelleri giderek daha fazla satıcı iddialarını doğrulamak istiyor. Kırmızı takımın ağa sızmak için ne yaptığını rapor ettiği, mavi takımın bunun mümkün olmaması gerektiğini söylediği ve kırmızı takımın omuz silkip şöyle dediği konuşmaların sayısını unuttum: “Eh, biz öyle yaptık…” Savunmacılar bu tutarsızlığı incelemek istiyor.
On Binlerce Varyanta Karşı Test
Bir saldırı tekniğinin her bir çeşidini test etmek pratik olmasa da, bunların temsili bir örneğini test etmenin pratik olduğuna inanıyorum. Bunu yapmak için kuruluşlar Red Canary’nin açık kaynağı gibi yaklaşımları kullanabilir Atomik Testtekniklerin her biri için birden fazla test senaryosu kullanılarak ayrı ayrı (kapsamlı bir saldırı zincirinin parçası olarak değil) test edildiği yer. Kırmızı takım çalışması bir futbol hücumuna benziyorsa, Atom Testi bireysel oyun antrenmanına benzer. Bu oyunların tümü tam bir hücumda gerçekleşmeyecek, ancak gerçekleştiğinde pratik yapmak yine de önemlidir. Her ikisi de çok yönlü bir eğitim programının veya bu durumda çok yönlü bir güvenlik programının parçası olmalıdır.
Daha sonra, söz konusu tekniğin tüm olası varyantlarını kapsayan bir dizi test senaryosu kullanmaları gerekiyor. Bu test senaryolarını oluşturmak savunmacılar için çok önemli bir görevdir; testin güvenlik kontrollerini ne kadar iyi değerlendirdiğiyle doğrudan ilişkili olacaktır. Yukarıdaki benzetmeye devam edersek, bu test senaryoları tehdidin “haritasını” oluşturur. İyi bir harita gibi, tehdidin daha düşük çözünürlüklü ancak genel olarak doğru bir temsilini oluşturmak için önemli olmayan ayrıntıları dışarıda bırakır ve önemli olanları vurgularlar. Bu test senaryolarının nasıl oluşturulacağı hâlâ uğraştığım bir sorundur ( hakkında yazılmış şu ana kadar yaptığım bazı çalışmalar).
Mevcut tehdit tespitindeki eksikliklerin bir başka çözümü de kullanmaktır. mor takımlar – Kırmızı ve mavi takımların birbirlerini rakip olarak görmek yerine birlikte çalışmasını sağlamak. Kırmızı ve mavi takımlar arasında daha fazla işbirliği iyi bir şey, dolayısıyla mor takım hizmetlerinin yükselişi. Ancak bu hizmetlerin çoğu temel sorunu çözmüyor. Daha fazla işbirliği olsa bile yalnızca birkaç saldırı tekniğini ve varyantını inceleyen değerlendirmeler hala çok sınırlıdır. Mor takım hizmetlerinin gelişmesi gerekiyor.
Daha İyi Test Senaryoları Oluşturmak
İyi test senaryoları oluşturmanın zorluğunun bir kısmı (ve kırmızı-mavi takım işbirliğinin tek başına yeterli olmamasının nedeni), saldırıları kategorize etme şeklimizin birçok ayrıntıyı belirsizleştirmesidir. Siber güvenlik, saldırılara üç katmanlı bir mercekle bakar: taktikler, teknikler ve prosedürler (TTP’ler). Şöyle bir teknik kimlik bilgilerinin boşaltılması Mimikatz veya Dumpert gibi birçok farklı prosedürle gerçekleştirilebilir ve her prosedür birçok farklı işlev çağrısı dizisine sahip olabilir. Bir “prosedürün” ne olduğunu tanımlamak çok çabuk zorlaşır ancak doğru yaklaşımla mümkündür. Sektör henüz tüm bu detayları adlandırmak ve kategorize etmek için iyi bir sistem geliştirmedi.
Tehdit tespitinizi teste tabi tutmak istiyorsanız, daha geniş bir olasılık yelpazesine göre test eden temsili örnekler oluşturmanın yollarını arayın; bu, daha iyi iyileştirmeler sağlayacak daha iyi bir stratejidir. Bu aynı zamanda defans oyuncularının kırmızı takımların zorlandığı soruları nihayet cevaplamasına da yardımcı olacak.