Μετατρέποντας την Κόκκινο-Μπλε Αντιπαλότητα σε Πραγματική Άμυνα

Με Sila Ozeren HaciogluΜηχανικός Έρευνας Ασφαλείας στην Picus Security.

Σε πολλούς οργανισμούς, οι κόκκινες και μπλε ομάδες εξακολουθούν να εργάζονται σε σιλό, συνήθως κοντράρονται μεταξύ τους, με την επίθεση να υπερηφανεύεται για τη διάρρηξη και την άμυνα να κάνει ό,τι μπορεί για να κρατήσει τη γραμμή.

Ωστόσο, πολύ συχνά, οι προσπάθειές τους δεν συναντώνται στη μέση, δημιουργία θορύβου. Η κόκκινη ομάδα εκτελεί μια άσκηση, δημοσιεύει ευρήματα και προχωρά, ενώ η μπλε ομάδα πλημμυρίζει από μια θάλασσα μη επικυρωμένων ειδοποιήσεων ευπάθειας και κανόνων. Μπορεί να φαίνεται ως πρόοδος, αλλά δεν είναι. Το αδίκημα εντοπίζει κενά μία φορά. η άμυνα μάχεται, ουσιαστικά τυφλή, μέρα με τη μέρα.

Το Purple teaming ξαναγράφει αυτή την εξίσωση. Φέρνει το κόκκινο και το μπλε μαζί, όχι για να ανταγωνιστούν, αλλά να συνεργαστούνμετατρέποντας τις δοκιμές σε κοινή διαδικασία και την επικύρωση σε μετρήσιμα στοιχεία.

Το κλειδί για να γίνει αυτή η συνεργασία πολύ πιο πολύτιμη είναι Προσομοίωση παραβίασης και επίθεσης (BAS)το οποίο επιτρέπει σε πραγματικό χρόνο, συνεχή, συνεχή επικύρωση.

Γιατί η αλήθεια είναι η εξής: Οι επιτιθέμενοι εξελίσσονται ταχύτερα από ό,τι μπορούν να συντονίσουν οι άμυνες, και μόνο μέσω συνεχούς επικύρωσης μπορούμε να κλείσουμε το χάσμα.

Το Purple Teaming δεν είναι ένας χρωματικός τροχός, είναι το κλειδί για την πραγματική άμυνα στον κυβερνοχώρο

Η μωβ ομαδοποίηση δεν είναι «πιο φιλική κόκκινη ομάδα». Είναι μια ουσιαστικά πιο αποτελεσματική ροή εργασίας, μετατρέποντας συνεχώς κάθε επιθετικό τρέξιμο σε αμυντική βελτίωση. Η ροή εργασίας έχει ως εξής:

• Κόκκινες επιθέσεις. Μιμούνται τους αντιπάλους με ακρίβεια, αποκαλύπτοντας πού κρατούν ή υποχωρούν οι άμυνες.

• Ο Μπλε απαντά. Εντοπίζουν ποιοι ελέγχει τη φωτιά, ποιος παραμένει σιωπηλός και γιατί.

• Μετά πάνε και τα δύο ξανάστερέωση, επανάληψη και τελειοποίηση μέχρι να κλείσουν τα κενά.

Αυτός ο βρόχος, όχι το χρώμα, είναι που κάνει μια ομάδα πραγματικά μωβ.

Όπως το έθεσε ο Chris Dale, Κύριος Εκπαιδευτής στο SANS κατά τη διάρκεια της πρόσφατης παρουσίας μας Σύνοδος Κορυφής BAS:

“Θέλω να βλέπω λιγότερο από αυτό το κόκκινο έναντι του μπλε. Θέλω σύγκλιση. Θέλω να κάνουμε ο ένας τον άλλον καλό.”

Η μωβ ομαδοποίηση κάνει αυτή τη σύγκλιση πραγματική.

Αντικατάσταση της αντιπαλότητας με συνεργασίαη μωβ ομαδοποίηση μετατρέπει τις δοκιμές σε έναν συνεχή κύκλο επικύρωσης και βελτίωσης. Σε έναν τομέα όπου το διακύβευμα είναι τόσο υψηλό και η ταχύτητα και η ακρίβεια μπορούν να καθορίσουν την επιβίωση, αυτό δεν είναι απλώς μια καλύτερη νοοτροπία. είναι ο μόνος λογικός δρόμος μπροστά.

Εγχειρίδιο No More: How BAS Powers Continuous Purple Teaming

Η χειροκίνητη μωβ ομαδοποίηση είναι αργή.

Κάθε νέα αντίπαλη καμπάνια απαιτεί ώρες σεναρίου, σκηνοθεσίας και συντονισμού. Μέχρι να είναι έτοιμη μια αλυσίδα θανάτωσης, ενδέχεται να βρίσκονται ήδη σε εξέλιξη νέες καμπάνιες και ο οργανισμός σας μπορεί εμφανίζονται ήδη σε δημόσιες αναφορές.

Τώρα μπορείτε να εξαλείψετε αυτήν την καθυστέρηση, αυτοματοποιώντας τις μη αυτόματες εργασίες που παραδοσιακά επιβραδύνουν ή σταματούν την πρόοδο. BAS:

• Προσομοιώνει συνεχώς αντιπάλους του πραγματικού κόσμου χρησιμοποιώντας TTP που έχουν αντιστοιχιστεί στο MITER ATT&CK σκελετός

• Εκτελεί με ασφάλεια προσομοιωμένα ωφέλιμα φορτία έναντι ζωντανών ελέγχων και

• Σκοράρει αμέσως αποτελεσματικότητα πρόληψης, ανίχνευσης και ανταπόκρισης.

Εδώ, ο αυτοματισμός δεν αντικαθιστά την ανθρώπινη δημιουργικότητα. το ενισχύει, επιτρέποντας ταχύτερη και ακριβέστερη επικύρωση.

Volkan Ertürk τόνισε στη Σύνοδο Κορυφής της BAS, “Το BAS είναι το τεστ τάσης της σύγχρονης ασφάλειας, το ρεύμα που περνάτε στη στοίβα σας για να δείτε τι ισχύει.”

Με το BAS, το purple teaming παύει να είναι ένα μοναδικό γεγονός και γίνεται παραγωγικός ρυθμός. Επίθεση. Παρατηρώ. Διορθώνω. Επικυρώνω. Επαναλαμβάνω.

Διαλέξτε έναν αγώνα που έχει σημασία

Μην οδηγείτε με λίστα ελέγχου συμμόρφωσης. Ξεκινήστε με αυτό που πραγματικά θα σας κάψει.

Εστιάστε σε ρεαλιστικά μονοπάτια επίθεσης που θα χρησιμοποιούσε ένας αντίπαλος για να αποκτήσει πρόσβαση στα κοσμήματα του στέμματος σας:

• εσωτερική αναδιοργάνωση → κλιμάκωση προνομίων → πλευρική κίνηση (WMI, PsExec) → επιμονή (μητρώο, προγραμματισμένες εργασίες) → εξαγωγή δεδομένων → παραβίαση κρυπτογράφησης και δημιουργίας αντιγράφων ασφαλείας (π.χ. διαγραφή σκιώδους αντιγράφου).

Πεδίο εφαρμογής αυτής της αλυσίδας επίθεσης στα χειριστήρια που προορίζονται για διακοπή ή ανίχνευση, τείχη προστασίας, WAF, πύλες ηλεκτρονικού ταχυδρομείου, IPS/IDS, EDR/XDR και εκτέλεση του σεναρίου στο BAS με ασφάλεια για τη μέτρηση της πρόληψης, του εντοπισμού και της απόκρισης.

Παρακολουθήστε τη στοίβα:

• Τι πυροβόλησε; — Αυτοί οι έλεγχοι λειτούργησαν.

• Τι έμεινε σιωπηλό; — Κάντε αυτό την κορυφαία σας προτεραιότητα αποκατάστασης.

• Τι προειδοποίησε για τις υπογραφές παρά για τη συμπεριφορά/τεχνική; — Αυτός είναι θόρυβος. επανασυντονίστε έτσι οι ανιχνεύσεις αντιστοιχίζονται στην τεχνική.

Κλείστε τον βρόχο με βάση την επικυρωμένη προτεραιότητα

Κάθε προσομοίωση επίθεσης που εκτελείται από την BAS δημιουργεί στοιχεία και σας επιτρέπει να ενεργήσετε αμέσως για τα κενά που αποκαλύπτονται.

Με αυτόν τον τρόπο, μπορείτε δίνουν προτεραιότητα τι διέφυγε τόσο στην πρόληψη όσο και στην ανίχνευση. Αυτοί είναι οι πραγματικοί κίνδυνοι που οι άμυνές σας δεν κατάφεραν να μπλοκάρουν ή να εντοπίσουν.

Ομοίως, μπορείτε τότε στερήσει προτεραιότητας ευπάθειες που ήδη μετριάζουν τα υπάρχοντα στοιχεία ελέγχου σας. όχι κάθε CVSS-κρίσιμο Η ευπάθεια πρέπει να διορθωθεί, ειδικά εάν υπάρχουν ήδη αντισταθμιστικοί έλεγχοι και αποτρέπουν ενεργά την εκμετάλλευση.

Εξετάστε κάθε κενό που απομένει και αξιολογήστε το χρησιμοποιώντας τρεις παράγοντες:

• Σύγκρουση: Πόσο σημαντική θα ήταν η ζημιά αν γίνει εκμετάλλευση;

• Ανιχνευσιμότητα: Πόσο εύκολο είναι να εντοπιστεί με τα υπάρχοντα εργαλεία;

• Επιχειρηματικό πλαίσιο: Πού βρίσκεται αυτή η έκθεση στο περιβάλλον σας και ποια στοιχεία θα επηρεάσει εάν την εκμεταλλευτείτε;

Στα σημερινά περίπλοκα περιβάλλοντα, η διόρθωση των πάντων ταυτόχρονα είναι ανέφικτο, αν όχι αδύνατο. Εστιάστε πρώτα στα πιο κρίσιμα κενά: στα κενά με τον υψηλότερο αντίκτυπο και τα λιγότερο ανιχνεύσιμα που μπορούν να οδηγήσουν σε πραγματική παραβίαση.

Αυτή η διαδικασία συντομεύει το βρόχο μεταξύ έκθεσης και απόκρισης.

Μετρήστε την πραγματικότητα, όχι τον όγκο

Εστιάστε σε αυτό που έχει πραγματικά βελτιωθεί:

• Χρόνος για ανίχνευση πριν έναντι μετά την εφαρμογή του BAS.

• Μέσος χρόνος για την επικύρωση μιας επιδιόρθωσης και επιβεβαιώστε την αποτελεσματικότητά του.

• Ποσοστό TTP (τακτικές, τεχνικές και διαδικασίες) που εντοπίζονται και προλαμβάνονται.

Αυτές οι μετρήσεις θα σας δείξουν εάν η συνεργασία της κόκκινης και της μπλε ομάδας οδηγεί πραγματικά στην πρόοδο ή αν απλώς κάνετε τις κινήσεις.

Είναι ένας συνεχής βρόχος επικύρωσης που μπορούμε να εκτελέσουμε οποτεδήποτε, οπουδήποτε.“

Ο στόχος δεν είναι μόνο να τρέχουμε επιθέσεις για χάρη του. Είναι να κλείσετε το χάσμα μεταξύ της έκθεσης και της διασφάλισης, διασφαλίζοντας ότι οι πραγματικές σας άμυνες επικυρώνονται συνεχώς και ευθυγραμμίζονται με τους στόχους ασφαλείας σας.

Αξιοποιήστε το AI, προσεκτικά

Το AI μπορεί τώρα να διαβάσει γρήγορα μια αναφορά απειλής και να δημιουργήσει ένα πλήρες σχέδιο εξομοίωσης μέσα σε λίγα λεπτά.

Αν και αυτό είναι ένα σημαντικό άλμα προς τα εμπρός, ενέχει σημαντικούς κινδύνους. Ο Volkan Ertürk προειδοποίησε:Ζητήστε από ένα μεγάλο μοντέλο (LLM) να δημιουργήσει τα ωφέλιμα φορτία σας και μπορεί να βρείτε τον εαυτό σας να προσομοιώνει το λάθος πράγμα, στην πραγματικότητα.”

Μια πιο έξυπνη προσέγγιση είναι:

• Χρησιμοποιήστε AI για να αναλύσετε τη νοημοσύνη απειλών και να την αντιστοιχίσετε σε TTP.

• Διατηρήστε και ενημερώστε τα ωφέλιμα φορτία σε μια επιμελημένη βιβλιοθήκη BAS για ασφάλεια και ποιότητα.

• Πάντα να ζητάτε από την ομάδα σας να εξετάζει τα σχέδια πριν από την εκτέλεση.

Το AI θα πρέπει να βοηθά, όχι να αντικαθιστά, την ανθρώπινη κρίση. Μπορεί να συντάξει το σχέδιο, αλλά η ομάδα ασφαλείας σας πρέπει να αποφασίσει τι είναι ασφαλές για εκτέλεση.

Με αυτόν τον τρόπο, η τεχνητή νοημοσύνη εξαλείφει την ανάγκη για τον παραδοσιακό κύκλο χαρτογράφησης 48 ωρών, όπου οι ομάδες ασφαλείας χαρτογραφούν χειροκίνητα τις απειλές που θα περιλαμβάνουν.

Ξανασκέψου την επιτυχία

Εάν η κόκκινη ομάδα σας εξακολουθεί να μετράει το “επιτεύχθηκε διαχειριστής τομέα”, συγχαρητήρια, έχετε κολλήσει στο 2015.
Εάν η μπλε ομάδα σας εξακολουθεί να πανηγυρίζει «οι ειδοποιήσεις ενεργοποιούνται», ζείτε επίσης επικίνδυνα στο παρελθόν.

Σήμερα, η επιτυχία μετριέται με συνεχή απόδειξη που προέρχεται από κάθε σπριντ:

• Ποια TTP μιμήθηκαν;

• Ποιες ανιχνεύσεις συντονίστηκαν;

• Ποιες διορθώσεις επικυρώθηκαν εκ νέου;

Η ωριμότητα ασφαλείας δεν είναι πόσα εργαλεία έχετε αναπτύξει. είναι πόσο συχνά επαληθεύετε ότι λειτουργούν.

Η ανταμοιβή: Συνεχής εμπιστοσύνη

Μετά από μήνες μωβ ομαδοποίησης με την BAS, βλέπουμε μερικές θεμελιώδεις, δραματικές αλλαγές:

• Οι ομάδες δεν συζητούν υποθετικούς κινδύνους.

• Τα στελέχη δεν ζητούν αναφορές διασφάλισης επειδή έχουν ήδη τα δεδομένα που χρειάζονται.

• Κάθε ενημέρωση κώδικα, κάθε μετριασμός, κάθε κανόνας έχει έναν συγκεκριμένο λόγο: δοκιμασμένο, επικυρωμένο και αποδεδειγμένο.

Σε αυτό το σημείο, η συνεχής επικύρωση γίνεται δεύτερη φύση, σηματοδοτώντας μια θεμελιώδη αλλαγή στη νοοτροπία ασφαλείας των ομάδων σας.

Η κεντρική ομιλία του Chris Dale άφησε μια ισχυρή δήλωση:Η ασφάλεια δεν αποτυγχάνει στην παραβίαση. αποτυγχάνει στο σημείο πρόσκρουσης.”

Η μωβ ομαδοποίηση με γνώμονα το BAS έχει δημιουργηθεί για να αποτρέψει αυτόν τον αντίκτυπο, όχι μέσω υποθέσεων ή ελπίδων, αλλά δοκιμάζοντας αυστηρά τις άμυνές σας, αποκαλύπτοντας την αλήθεια και ενδυναμώνοντας την ομάδα σας να δράσει.

Ζητήστε το demo σας τώρα να υιοθετήσει μωβ ομαδοποίηση με επίκεντρο την απειλή και επικυρώστε την ετοιμότητά σας έναντι ρεαλιστικών αντιπάλων συμπεριφορών και κλείνοντας τον κύκλο μεταξύ έκθεσης και διασφάλισης.

Χορηγός και γραμμένος από Picus Security.