ИБ-тренировки в смешанном формате (Purple Teaming) — новый сервис на российском рынке, стремительно набирающий популярность. Пока о нём мало говорят, но у CICADA8 он входит в число наиболее часто встречающихся запросов на услуги. Расскажем о проблемах реализации Purple Teaming как со стороны заказчика, так и со стороны исполнителя.
Введение
Purple Teaming — активное взаимодействие (не противодействие!) между командами атакующих и защитников с целью эмуляции самых сложных атак и написания правил обнаружения для них.
В статье поразмышляем над тем, с какими неочевидными на первый взгляд проблемами могут столкнуться обе команды при проведении таких работ.
После десятка панельных дискуссий, нескольких захватывающих статей и интересных книг, общения с ведущими экспертами — мастерами своего дела невольно образовался вопрос: почему одним заказчикам иногда лучше провести десять пентестов, чем один «пурпл», хотя для буквально идентичной компании пентесты уже не дадут тех же плодов, что и Purple Teaming? Эта статья — ответ на него.
Проблемы защитников
В первую очередь Purple Teaming нужен для команды защиты. Работы позволяют познакомиться в «дружественной» атмосфере с новыми атаками, закрыть сложные техники и написать правила детектирования на практически любые процедуры. Под дружественной атмосферой подразумеваются неограниченные возможности по взаимодействию с командой атакующих. Повторить атаку? Без проблем. Взять консультацию? Пожалуйста! Помощь с детектом — за милую душу.
Кстати, обратили внимание на словосочетание «практически любые процедуры»? Почему же практически? Зачастую удаётся предотвратить / обнаружить / зарубить на корню далеко не все атаки, реализовываемые злоумышленниками. И это — та правда, которую боятся говорить.
Здесь нет никакого обмана, секрета или тайного заговора высших ибэшных сил. Если вы захотите охватывать и обнаруживать все известные процедуры с минимальным процентом ложноположительных (false positive) срабатываний, то даже бюджет самой большой и богатой компании придётся практически целиком тратить на безопасность. Естественно, ни одна компания такой роскоши себе позволить не может. Люди почему-то забывают, что хакеры не ломают всё одной атакой, у них выстраивается вполне определённая и последовательная цепочка (kill chain). Как следствие, намного проще, выгоднее и эффективнее будет направить основную мощь своих новомодных средств защиты на определённую широкую область действия, чем пытаться обратить их «взор» на реализацию одной узкой уже давно забытой процедуры.
Конечно, это имеет и обратный эффект: если против нас стоит серьёзная, взрослая APT-группировка, то они будут применять наиболее изощрённые методы и способы проникновения в нашу сеть. С другой стороны, как только эти хакеры хоть раз ступят на проторённую дорожку известных тактик, мы сразу же их обнаружим и заблокируем.
Следующая проблема заключается в том, что не у каждой компании есть полноценный центр мониторинга (SOC), который справится с охватом техник, применяемых как против Windows-хостов, так и против Linux (а там ещё отдельным столпом Mac стоит...). Многие компании отдают SOC на аутсорсинг. Это на порядок дешевле, чем создавать команду защиты «с нуля». В таком случае у владельцев компании (или иных ответственных людей, в зависимости от размера бизнеса) может возникнуть ложное чувство безопасности.
Если жить с мыслью, что любую дыру в безопасности можно закрыть деньгами, то можно совершить грубейшие ошибки, ведь безопасность — это в первую очередь непрерывный и последовательный процесс, который нужно создать, настроить, поддерживать и проверять.
Казалось бы, компания платит деньги, нанятые люди должны делать всё идеально? Одновременно да и нет. Конечно, специалисты придут уже с некоторым багажом знаний, порой даже с первого дня смогут отражать некоторые атаки, но ведь ваша инфраструктура уникальна. Лишь Purple Teaming позволит эффективно обнаружить слепые зоны, настоящие «чёрные дыры», закрома вашей сети.
Подведём итог. Если вы хотите брать Purple Teaming, то у вас как минимум должна иметься команда защиты. Это могут быть как эксперты на аутсорсинге, так и ваши собственные специалисты. Поверьте, в ходе таких работ получается увеличивать эффективность любых защитников в несколько раз — особенно если отрабатываются техники по заранее определённому списку, составленному Blue Team. Как говорится, муха не пролетит.
Проблемы атакующих
По своему опыту могу сказать, что атакующим несколько проще. Им требуется выполнять практически те же действия, что и на Red Teaming (либо — очень редко — что и при типовом пентесте).
Проблема работ по предопределённому списку тактик и процедур или даже симуляции настоящей целевой атаки (APT) заключается в том, что далеко не все методы достаточно хорошо документированы и описаны, чтобы их без проблем реализовать. В таком случае любая серьёзная команда, оказывающая услуги Purple Teaming, начинает процесс исследования безопасности. Иногда результат такого исследования выкладывается на всеобщее обозрение, представляется на конференции или как-то иначе документируется — так сказать, становится достоянием общественности.
Наконец, иногда (к счастью, такое случается крайне редко) топ-менеджмент выбирает услугу Purple Teaming, при этом в компании отсутствуют налаженные процессы ИБ как таковые. В результате получается безопасность «для галочки». В таком случае с экспертами, проводящими Purple Teaming, никто не взаимодействует, никто не просит помощи. Конечно, это далеко не постоянная практика и очень редкое исключение.
Выводы
На текущий момент всё больше и больше компаний озадачиваются вопросом безопасности и под влиянием СМИ хотят всего и сразу, но, как уже было сказано выше, безопасность — это процесс. Его можно только выстроить. Как следствие, если вы никогда не проводили пентестов, если у вас не было проектов по анализу защищённости и не настроены средства защиты, то не стоит сразу брать Purple Teaming: его эффективность снизится.
Однако если вы уже отлично подкованы в вопросах ИБ, регулярно проводите пентесты, у вас высок уровень киберграмотности сотрудников, то Purple Teaming — по-настоящему взрослый, обдуманный и правильный шаг к обеспечению железной безопасности.
