الطريقة الأكثر فعالية لمساعدة الآخرين هي مساعدتهم على مساعدة أنفسهم.
جيري كورستينس
من المترجم
أوجه انتباهكم إلى ترجمة المقال الذي أعده الرئيس التنفيذي لشركة SpecterOps ديفيد ماكجواير
"دفعة نحو الشفافية" . ليس لدي أي علاقة بهذه الشركة ولم أستخدم منتجاتها مطلقًا ، وبالتالي فإن المقالة لا تخدم أغراض الإعلان ، ولكن فقط مناسبة للتفكير والمناقشة واستخدام أو رفض استخدام النهج الذي اقترحه المؤلف.
يطرح ديفيد قضية الشفافية في صناعة أمن المعلومات ، بحجة أن نشر المعرفة حول الأدوات وأساليب العمل لا يشكل تهديدًا للميزة التنافسية ، ولكنه خطوة مهمة جدًا لجميع المشاركين في السوق ، والتي يمكن أن تزيد بشكل كبير المستوى العام لأمن البنية التحتية للمعلومات. في التعليقات ، أود أن أرى مناقشة لهذا الموقف: ما مدى توافقه مع الواقع ، ما الذي يمنعنا من الشفافية ، وما إذا كنا بحاجة إلى الانتقال من بناء الاعتماد على الاستشاريين والمنتجات إلى تدريب العملاء على مواجهة التهديدات بشكل مستقل؟
الرغبة في الشفافية
إن أمن المعلومات هو منطقة شابة تستمر في التغير بسرعة مقارنة بالصناعات الموجودة منذ قرون (على سبيل المثال ، الطب). تم تصميم الطب ، مثل البكالوريا الدولية ، ليكون تجارة مربحة ويخدم الصالح العام. قضى الباحثون الطبيون آلاف السنين للمساهمة في هذا المجال ومشاركة الفرضيات وزيادة المعرفة الجماعية. لتعزيز الفرضية في الطب ، يجب دراستها واختبارها ومراجعتها والدفاع عنها علانية. يتيح لك هذا النظام زيادة كفاءة الأطباء الممارسين بوعي وبشكل مستمر. قارن هذا مع الوضع الحالي في أمن المعلومات. نادرًا ما يتم نشر الأفكار والفرضيات ونتائج البحث ، حيث يرى الكثيرون ذلك على أنه خطر فقدان ميزتهم التنافسية. المشكلة في هذا النهج هي أنه يبطئ التقدم من خلال الحد من انتشار المعرفة. على الرغم من عدد من القيود ، فإننا نؤيد بشدة الشفافية في أمن المعلومات.
في SpecterOps ، نعتقد أن الطريقة التي يمكننا من خلالها زيادة نضج صناعتنا هي المساهمة في قاعدة معرفية جماعية. نحن مقتنعون بأنه لتوجيه النظام الحالي ، يجب علينا نحن أنفسنا أن نستخدم عمليا ما نكرز به: اكتشاف أفكارنا وفرضياتنا للاختبار والنقد. هذا هو أساس نهجنا للشفافية ومبدأ أساسي لعلاقتنا مع العملاء والمجتمع. من خلال مشاركة معرفتنا بالتكتيكات والتقنيات والإجراءات (TTPs) للخصوم ، نأمل في تسليط الضوء على نقاط الضعف في الأنظمة التي تسمح بمهاجمتهم ، بالإضافة إلى دعوتهم إلى التعاون لإزالة هذه الثغرات.
الشفافية في العمل
لنلق نظرة على تقنية تم فيها إجراء بحث أمني علنًا: PowerShell. لقد قطعت قدرات PowerShell الأمنية شوطا طويلا على مدى السنوات الخمس الماضية ، وذلك بفضل الداعمين الداخليين في Microsoft والعديد من دعاة صناعة الأمن الذين روجوا لها. ولكن لم يكن هذا هو الحال دائمًا. في مرحلة ما ، كان سطح الهجوم الذي قدمه PowerShell ضخمًا وغامضًا.
في عام 2015 ، أنشأ بعض أعضاء فريقنا مشروعًا باسم PowerShell Empire ، تتويجًا للعمل السابق في الصناعة ، بالإضافة إلى المشاريع والأبحاث التي قام بها فريقنا. كانت Empire في ذلك الوقت أداة ما بعد الاستغلال على PowerShell النقي ، توضح كيف يمكن إعادة إنتاج أعمال العدو وتعزيزها في سياق محاكاة الهجوم. منذ إنشاء Empire ، رأينا العديد من مشاريع PowerShell الهجومية الإضافية التي طورت نظام المعرفة أكثر بكثير مما يمكن لأي شخص القيام به بمفرده. سمح تأثير هذه المشاريع للمسؤولين عن هذا الاتجاه في Microsoft باتخاذ قرارات مستنيرة بشأن تطوير إجراءات أمان إضافية لـ PowerShell. نرحب بهذه القرارات لتطبيق تدابير مثل AMSI ، وتتبع البرنامج النصي ، وغيرها في أحدث إصدارات PowerShell.
لتعزيز وزيادة توافر الطرق الدفاعية لاستخدام PowerShell ، أنشأ فريقنا PowerForensics ، حيث قدم قدرات استقصائية كانت في السابق جزءًا فقط من الأدوات الثقيلة. إن استمرار البحث في مشاريع مثل Get-InjectedThread ، مع وظائف تتعلق عادة بعوامل نقطة النهاية وبحوث الذاكرة ، يجعل من السهل الاستفادة من إمكانات الاستقصاء التي توفرها اللغة. اليوم ، أصبح استخدام PowerShell أقل جاذبية للمهاجمين ، لأن تقنياتهم مفهومة جيدًا. بالإضافة إلى ذلك ، نرى تنفيذًا أوسع لضمانات PowerShell من قبل العديد من المنظمات. يمثل كلا الجانبين تطور نهج الأمن اللغوي بسبب نشر المعلومات والشفافية.
التزام مجتمعنا بالشفافية
استفاد كل عضو في فريق SpecterOps بشكل كبير من انتشار المعرفة في مجتمع المصادر المفتوحة لمطوري الأدوات والتقنيات. نحن نشجع الجميع وكل فرد في فريقنا لمساعدة المجتمع في أبحاثهم. تظهر المساهمات عادة في شكل إدخالات مدونة ومقاطع فيديو ومقالات لنقل أفكارنا. نحن نؤمن بأن إنشاء مجموعات الأدوات وتوزيعها يسمح لفرق الأمان الأخرى بفهم هذه الأفكار وتأسيسها. نأمل أن تسمح هذه الجهود لـ SpecterOps بأن يكون لها تأثير كبير على الصناعة ، بما يتجاوز العملاء الذين نخدمهم بشكل مباشر.
من حيث البحث المسيء ، غالبًا ما يتم نشر نتائج عملنا فور الانتهاء. بالطبع ، هناك استثناءات لهذه القاعدة: على سبيل المثال ، نقاط الضعف التي ينطبق عليها نهج الكشف المسؤول. إن هدفنا في الكشف العلني عن أساليب المهاجم هو مساعدة الصناعة على اكتشاف مناهج العمل التي يمكن أو يمكن استخدامها في الهجمات الحقيقية ومواجهتها. قد يبدو هذا "حرق" الجهود البحثية غير بديهي. لدينا اعتراضان على ذلك. أولاً ، إن نشر تقنيات الهجوم المحتملة يخدم الصالح العام ، ويحذر الصناعة من نقاط ضعف معينة. ثانيًا ، في الممارسة العملية ، وجدنا أن نشر الأساليب المستخدمة نادرًا ما يقلل من قيمة الدراسة على الفور.
من وجهة نظر البحث الدفاعي ، ندرك أن المشكلة التي تواجه المدافعين أكبر بكثير من مشكلة المهاجمين ، والتي يمكن رؤيتها من خلال مقارنة النمو في تكلفة الدفاع الفعال بتكلفة الهجوم الناجح. نحن نعتقد أن الصناعة يمكنها مواجهة الخصم بموارد غير محدودة فقط من خلال تبادل التقنيات وتقنيات الكشف عن الهجوم. إن تراكم الآليات الدفاعية يضمن فقط أننا سنقاتل كفرق معزولة ضد عدو يتحرك بحرية على طول ساحة المعركة. من خلال إجراء أي بحث مسيء ، نحن نعمل على قضايا الحماية والرد. في حالة البحث الدفاعي ، نعطي الفرص التي كانت متاحة سابقًا فقط في عدد قليل من المنتجات. هذا لا يعني أننا ضد الحلول الجاهزة ، لكننا نعتقد أن مواجهة المهاجمين يجب أن تكون فرصة عالمية وجزءًا من قاعدة معرفية مشتركة. ومن الأمثلة على هذه المنهجية مشروعات مثل PowerForensics و Bloodhound و Uproot و ACE و HELK و Threat Hunter's Playbook.
التزامنا بشفافية العميل
في كثير من الأحيان في منطقتنا ، يتم تقديم الخدمات والمنتجات للعملاء في شكل صندوق أسود. يتم تشجيع العملاء على الثقة في التسويق و / أو سمعة الشركة. نعتقد أن هذا له تأثير سلبي على قدرتهم على تحقيق تحسن ذي مغزى على المدى الطويل. إذا أراد العميل تقييم قدراتنا ، يمكنه اللجوء إلى أعمالنا العامة. من خلال تقديم الخدمات ، نقدم لعملائنا الطرق التي نستخدمها. هدفنا هو المساعدة دائمًا في خلق المعرفة والفرص على المدى الطويل.
على سبيل المثال ، في تقييماتنا لنمذجة الهجوم ، نعتبر المكون التعليمي للتقييم ذا أهمية. لتعطيل المهاجمين بشكل منهجي ، يجب على العملاء فهم TTPs المستخدمة في كل مرحلة من مراحل الهجوم. نحن نعمل على تدريب سلامة عملائنا حتى يكون لديهم فهم كامل لمناهجنا وكيف نحقق أهدافنا. قد يشمل ذلك العمل في ظروف حقيقية ، وتوفير أداة أو شفرة مصدر للزرع الذي تم تطويره أثناء الهجوم ، وتنظيم التدريب لإعادة إنتاج الهجمات. أثناء عمليات كشف التسلل ، نقوم بتوثيق TTPs التي نحاول اكتشافها والطرق المستخدمة للقيام بذلك. ليست كل TTPs متشابهة من حيث الانتشار والتعقيد والخلسة. نحن نعمل مع العملاء لتوفير فهم لما نبحث عنه ولماذا تم اختيار TTPs وكيف نجمع البيانات ونحللها. الغرض من هذا التعاون هو تزويد العميل بالمعرفة والمهارات اللازمة حتى يتمكن من جمع المعلومات وتحليلها بشكل مستقل.
الهدف من جميع خدماتنا هو تثقيف العملاء وتحديد الثغرات في مناهجهم الوقائية. إذا قدمنا تصنيفًا غير شفاف ، فسوف نضر بقدرتهم على حماية أنظمتهم. نحن مقتنعون بأن المنظمات يجب أن يكون لديها قدراتها الخاصة لتقييم مستوى أمن بنيتها التحتية ، وألا تعتمد فقط على أطراف ثالثة لفهم سطح الهجوم.
الخلاصة
تعتقد SpecterOps أن السعي لتحقيق الشفافية يعكس التقدم في صناعتنا. كممثلين لمنطقة تتضمن مهمة لضمان الصالح العام ، يجب أن نكون أكثر مطالبة بأنفسنا ، وألا نعتمد على نهج يخلق الاعتماد على الاستشاريين والمنتجات. من خلال التعاون والمساهمة في مجموعة المعارف المشتركة ، يمكننا أن نواجه التهديدات التي لا يمكن أن نحاربها بمفردنا بشكل فعال.
نحن لا ندعي أننا المؤيدون الوحيدون لمساهمة مفتوحة في الصناعة. في الواقع ، كل من أعضاء فريقنا والعديد من الآخرين مارسوا بالفعل ما نمثله كشركة. كما أننا لا نعد بنشر كل فكرة أو اختراع. غالبًا ما تكون هناك أسباب مشروعة للشركات لحماية المعلومات. ومع ذلك ، فإن ما نقوم به وما سنفعله سوف نسعى دائمًا لتحقيق الشفافية.
اقتراحنا: في المرة التالية التي تجري فيها منظمة خارجية اختبارات أمان لبنيتك الأساسية ، تطلب الشفافية. اطرح الأسئلة. حاول فهم التفكير والأدوات المستخدمة. لا تفعل هذا كثيرًا لفهم TTPs على هذا النحو ، ولكن بدلاً من ذلك لتسليح نفسك بشكل أفضل ومساعدة أفراد الأمن لديك على النمو بعد مغادرة المدققين. مثلما نرفض الأمن من خلال الغموض كآلية دفاع قوية ، يجب أن نتخلى عن فعالية الهجمات من خلال الغموض. يمكننا حقا رفع المستوى في منطقتنا من خلال التعلم التعاوني.