Der effektivste Weg, anderen zu helfen, besteht darin, ihnen zu helfen, sich selbst zu helfen.
Jerry Corstens
Vom Übersetzer
Ich mache Sie auf eine Übersetzung des Artikels von David McGuire, CEO von SpectreOps,
„A Push Toward Transparency“ aufmerksam . Ich habe nichts mit diesem Unternehmen zu tun und habe seine Produkte nie verwendet. Daher dient der Artikel keinen Werbezwecken, sondern nur einer Gelegenheit, den vom Autor vorgeschlagenen Ansatz zu reflektieren, zu diskutieren und zu verwenden oder abzulehnen.
David wirft das Problem der Transparenz in der Informationssicherheitsbranche auf und argumentiert, dass die Verbreitung von Wissen über Tools und Arbeitsmethoden keine Bedrohung für den Wettbewerbsvorteil darstellt, sondern ein sehr wichtiger Schritt für alle Marktteilnehmer, der das allgemeine Sicherheitsniveau von Informationsinfrastrukturen erheblich erhöhen kann. In den Kommentaren würde ich gerne eine Diskussion über diese Position sehen: Wie kompatibel ist sie mit der Realität, was hindert uns daran, transparent zu sein, und ob wir von der Abhängigkeit von Beratern und Produkten zur Schulung von Kunden übergehen müssen, um Bedrohungen unabhängig entgegenzuwirken?
Der Wunsch nach Transparenz
Informationssicherheit ist ein junger Bereich, der sich im Vergleich zu Branchen, die seit Jahrhunderten existieren (z. B. Medizin), weiterhin rasant verändert. Wie IB soll auch die Medizin ein profitables Geschäft sein und dem Gemeinwohl dienen. Tausende von Jahren wurden von medizinischen Forschern aufgewendet, um zu diesem Bereich beizutragen, Hypothesen auszutauschen und das kollektive Wissen zu erweitern. Um eine Hypothese in der Medizin voranzutreiben, muss sie offen untersucht, getestet, begutachtet und verteidigt werden. Mit einem solchen System können Sie die Effizienz praktizierender Ärzte bewusst und ständig steigern. Vergleichen Sie dies mit der aktuellen Situation in der Informationssicherheit. Ideen, Hypothesen und Forschungsergebnisse werden selten veröffentlicht, da viele dies als Risiko ansehen, ihren Wettbewerbsvorteil zu verlieren. Das Problem bei diesem Ansatz ist, dass er den Fortschritt verlangsamt, indem er die Verbreitung von Wissen begrenzt. Trotz einer Reihe von Einschränkungen setzen wir uns nachdrücklich für Transparenz in der Informationssicherheit ein.
Wir bei SpectreOps glauben, dass wir die Reife unserer Branche steigern können, indem wir zu einer kollektiven Wissensbasis beitragen. Wir sind davon überzeugt, dass wir, um das bestehende System anzuklagen, in der Praxis das verwenden müssen, was wir predigen: die Entdeckung unserer Ideen und Hypothesen zum Testen und zur Kritik. Dies ist die Grundlage unseres Ansatzes zur Transparenz und ein Schlüsselprinzip unserer Beziehung zu Kunden und der Gemeinschaft. Durch den Austausch unseres Wissens über Taktiken, Techniken und Verfahren (TTPs) von Gegnern möchten wir die Schwachstellen in den Systemen hervorheben, die es ihnen ermöglichen, anzugreifen, und zur Zusammenarbeit einladen, um diese Lücken zu schließen.
Transparenz in Aktion
Schauen wir uns eine Technologie an, in der Sicherheitsforschung öffentlich durchgeführt wurde: PowerShell. Die Sicherheitsfunktionen von PowerShell haben in den letzten fünf Jahren dank interner Unterstützer von Microsoft und der vielen Befürworter der Sicherheitsbranche, die sie beworben haben, einen langen Weg zurückgelegt. Das war aber nicht immer der Fall. Irgendwann war die von PowerShell präsentierte Angriffsfläche massiv und dunkel.
Im Jahr 2015 haben einige unserer Teammitglieder ein Projekt namens PowerShell Empire erstellt, das den Höhepunkt früherer Arbeiten in der Branche sowie Projekte und Forschungen unseres Teams darstellt. Empire war zu dieser Zeit ein Post-Exploitation-Tool für reine PowerShell, das demonstrierte, wie feindliche Aktionen im Verlauf der Simulation eines Angriffs reproduziert und verstärkt werden können. Seit der Gründung von Empire haben wir mehrere zusätzliche offensive PowerShell-Projekte gesehen, die das Wissenssystem viel weiter vorangetrieben haben, als es irgendjemand allein hätte tun können. Die Auswirkungen solcher Projekte ermöglichten es den Verantwortlichen bei Microsoft, fundierte Entscheidungen über die Entwicklung zusätzlicher Sicherheitsmaßnahmen für PowerShell zu treffen. Wir begrüßen diese Entscheidungen, um Maßnahmen wie AMSI, Skriptverfolgung und andere in den neuesten Versionen von PowerShell zu implementieren.
Um die Verfügbarkeit defensiver Möglichkeiten zur Verwendung von PowerShell zu fördern und zu erhöhen, hat unser Team PowerForensics entwickelt und Ermittlungsfunktionen bereitgestellt, die bisher nur Teil schwerer Tools waren. Die fortlaufende Forschung an Projekten wie Get-InjectedThread mit Funktionen, die normalerweise mit Endpunktagenten und Speicherforschung zusammenhängen, macht es einfach, die von der Sprache bereitgestellten Untersuchungsfunktionen zu nutzen. Heutzutage wird die Verwendung von PowerShell für Angreifer weniger attraktiv, da ihre Techniken gut verstanden werden. Darüber hinaus sehen wir eine umfassendere Implementierung von PowerShell-Schutzmaßnahmen durch viele Organisationen. Beide Aspekte repräsentieren die Entwicklung des Ansatzes der Sprachsicherheit aufgrund der Verbreitung und Transparenz von Informationen.
Unser Engagement für Transparenz in der Gemeinschaft
Jedes Mitglied des SpectreOps-Teams hat enorm von der Verbreitung des Wissens in der Open-Source-Community der Entwickler von Tools und Techniken profitiert. Wir ermutigen alle und jeden in unserem Team, der Community bei ihren Recherchen zu helfen. Beiträge manifestieren sich normalerweise in Form von Blogeinträgen, Videos und Artikeln, um unsere Ideen zu vermitteln. Wir glauben, dass das Erstellen und Verteilen von Toolkits es anderen Sicherheitsteams ermöglicht, diese Ideen zu verstehen und zu begründen. Wir hoffen, dass diese Bemühungen es SpectreOps ermöglichen werden, einen signifikanten Einfluss auf die Branche zu haben, der über die Kunden hinausgeht, die wir direkt bedienen.
In Bezug auf offensive Forschung werden die Ergebnisse unserer Arbeit oft sofort nach Fertigstellung veröffentlicht. Natürlich gibt es Ausnahmen von dieser Regel: Zum Beispiel Schwachstellen, für die der Ansatz der verantwortungsvollen Offenlegung gilt. Unsere Absicht bei der öffentlichen Offenlegung von Angreifer-Methoden ist es, der Branche dabei zu helfen, Arbeitsansätze zu erkennen und zu kontern, die bei echten Angriffen verwendet werden oder verwendet werden können. Ein solches "Verbrennen" der Forschungsanstrengungen mag nicht intuitiv erscheinen. Wir haben zwei Einwände dagegen. Erstens dient die Veröffentlichung potenzieller Angriffstechniken dem Gemeinwohl und warnt die Branche vor spezifischen Schwächen. Zweitens haben wir in der Praxis festgestellt, dass die Veröffentlichung der verwendeten Methoden die Studie selten sofort entwertet.
Unter dem Gesichtspunkt der Defensivforschung erkennen wir, dass das Problem der Verteidiger viel größer ist als das der Angreifer. Dies lässt sich daran erkennen, dass die Kosten für eine effektive Verteidigung mit den Kosten für einen erfolgreichen Angriff gestiegen sind. Wir glauben, dass eine Branche einen Gegner nur durch den Austausch von Technologie und Angriffserkennungstechniken mit unbegrenzten Ressourcen konfrontieren kann. Die Anhäufung von Abwehrmechanismen garantiert nur, dass wir als isolierte Teams gegen einen Feind kämpfen, der sich frei auf dem Schlachtfeld bewegt. Wir führen beleidigende Untersuchungen durch und arbeiten an Fragen des Schutzes und der Gegenwirkung. Bei der Defensivforschung bieten wir Möglichkeiten, die bisher nur bei wenigen Produkten zur Verfügung standen. Dies bedeutet nicht, dass wir gegen vorgefertigte Lösungen sind, aber wir glauben, dass die Bekämpfung von Angreifern eine universelle Chance und Teil einer gemeinsamen Wissensbasis sein sollte. Projekte wie PowerForensics, Bloodhound, Uproot, ACE, HELK und das Threat Hunter's Playbook sind Beispiele für diese Methodik.
Unser Engagement für Kundentransparenz
Zu oft werden in unserer Region Dienstleistungen und Produkte den Kunden in Form einer Black Box angeboten. Kunden werden ermutigt, dem Marketing und / oder dem Ruf des Unternehmens zu vertrauen. Wir glauben, dass sich dies negativ auf ihre Fähigkeit auswirkt, langfristig bedeutende Verbesserungen zu erzielen. Wenn ein Kunde unsere Fähigkeiten bewerten möchte, kann er sich an unsere öffentlichen Arbeiten wenden. Durch die Erbringung von Dienstleistungen stellen wir unseren Kunden die Methoden zur Verfügung, die wir verwenden. Unser Ziel ist es, stets bei der Schaffung langfristiger Kenntnisse und Möglichkeiten zu helfen.
Beispielsweise betrachten wir in unseren Bewertungen der Angriffsmodellierung die Bildungskomponente der Bewertung als signifikant. Um Angreifer systematisch zu stören, müssen Clients die in jeder Phase des Angriffs verwendeten TTPs verstehen. Wir arbeiten daran, die Sicherheit unserer Kunden zu schulen, damit diese ein umfassendes Verständnis für unsere Ansätze und die Erreichung unserer Ziele haben. Dies kann das Arbeiten unter realen Bedingungen, das Bereitstellen eines Tools oder Quellcodes für das während des Angriffs entwickelte Implantat und das Organisieren von Schulungen zur Reproduktion der Angriffe umfassen. Während der Intrusion Detection-Vorgänge dokumentieren wir die TTPs, die wir erkennen möchten, und die dafür verwendeten Methoden. Nicht alle TTPs sind in Bezug auf Prävalenz, Komplexität und Stealth gleich. Wir arbeiten mit Kunden zusammen, um zu verstehen, wonach wir suchen, warum TTPs ausgewählt wurden und wie wir Daten sammeln und analysieren. Ziel dieser Zusammenarbeit ist es, dem Kunden die notwendigen Kenntnisse und Fähigkeiten zu vermitteln, damit er unabhängig Informationen sammeln und analysieren kann.
Ziel aller unserer Dienstleistungen ist es, Kunden zu schulen und Lücken in ihren Schutzansätzen zu identifizieren. Wenn wir eine undurchsichtige Bewertung abgeben, werden wir ihre Fähigkeit, ihre Systeme zu schützen, beeinträchtigen. Wir sind davon überzeugt, dass Unternehmen über ihre eigenen Fähigkeiten verfügen sollten, um das Sicherheitsniveau ihrer Infrastrukturen zu bewerten, und sich nicht nur auf Dritte verlassen sollten, um die Angriffsfläche zu verstehen.
Fazit
SpecterOps ist der Ansicht, dass das Streben nach Transparenz den Fortschritt in unserer Branche widerspiegelt. Als Vertreter eines Bereichs, der eine Mission zur Gewährleistung des Gemeinwohls umfasst, sollten wir höhere Anforderungen an uns selbst stellen und uns nicht auf einen Ansatz verlassen, der eine Abhängigkeit von Beratern und Produkten schafft. Indem wir zusammenarbeiten und zu einem gemeinsamen Wissenspool beitragen, können wir gemeinsam Bedrohungen begegnen, die wir allein niemals effektiv bekämpfen könnten.
Wir behaupten nicht, die einzigen Befürworter eines offenen Beitrags zur Industrie zu sein. Tatsächlich haben sowohl unsere Teammitglieder als auch viele andere bereits praktiziert, wofür wir als Unternehmen stehen. Wir versprechen auch nicht, jede Idee oder Erfindung zu veröffentlichen. Oft gibt es legitime Gründe für ein Unternehmen, Informationen zu schützen. Was wir jedoch tun und tun werden, wird immer nach Transparenz streben.
Unser Vorschlag: Wenn das nächste Mal eine Drittorganisation Sicherheitstests Ihrer Infrastruktur durchführt, fordern Sie Transparenz. Fragen stellen. Versuchen Sie, das Denken und die verwendeten Werkzeuge zu verstehen. Tun Sie dies nicht so sehr, um die TTPs als solche zu verstehen, sondern um sich besser zu bewaffnen und Ihren Sicherheitsleuten zu helfen, nach dem Weggang der Prüfer erwachsen zu werden. So wie wir Sicherheit durch Dunkelheit als starken Verteidigungsmechanismus ablehnen, sollten wir die Wirksamkeit von Angriffen durch Dunkelheit aufgeben. Wir können die Messlatte in unserer Region durch gemeinsames Lernen wirklich höher legen.