La forma más efectiva de ayudar a otros es ayudarlos a ayudarse a sí mismos.
Jerry Corstens
Del traductor
Les traigo a su atención una traducción del artículo del CEO de SpecterOps, David McGuire,
“Un impulso hacia la transparencia” . No tengo nada que ver con esta empresa y nunca he usado sus productos, por lo que el artículo no tiene fines publicitarios, sino solo una ocasión para reflexionar, discutir y usar o rechazar el enfoque propuesto por el autor.
David plantea el tema de la transparencia en la industria de la seguridad de la información, argumentando que la difusión del conocimiento sobre herramientas y métodos de trabajo no es una amenaza para la ventaja competitiva, sino un paso muy importante para todos los participantes del mercado, que puede aumentar significativamente el nivel general de seguridad de las infraestructuras de información. En los comentarios, me gustaría ver una discusión sobre esta posición: ¿qué tan compatible es con la realidad, qué nos impide ser transparentes y si necesitamos pasar de construir dependencia de consultores y productos a capacitar a los clientes para contrarrestar las amenazas de manera independiente?
El deseo de transparencia.
La seguridad de la información es un área joven que continúa cambiando rápidamente en comparación con las industrias que han existido durante siglos (por ejemplo, la medicina). Al igual que IB, la medicina está diseñada para ser un negocio rentable y servir al bien público. Los investigadores médicos han dedicado miles de años a contribuir a esta área, compartir hipótesis y aumentar el conocimiento colectivo. Para avanzar una hipótesis en medicina, debe ser abiertamente estudiada, probada, revisada por pares y defendida. Tal sistema le permite aumentar consciente y constantemente la eficiencia de los médicos en ejercicio. Compare esto con la situación actual en seguridad de la información. Raramente se publican ideas, hipótesis y resultados de investigaciones, ya que muchos ven esto como un riesgo de perder su ventaja competitiva. El problema con este enfoque es que ralentiza el progreso al limitar la difusión del conocimiento. A pesar de una serie de restricciones, abogamos firmemente por la transparencia en la seguridad de la información.
En SpecterOps, creemos que la forma en que podemos aumentar la madurez de nuestra industria es contribuir a una base de conocimiento colectiva. Estamos convencidos de que para acusar al sistema existente, nosotros mismos debemos usar en la práctica lo que predicamos: el descubrimiento de nuestras ideas e hipótesis para probar y criticar. Esta es la base de nuestro enfoque de transparencia y un principio clave de nuestra relación con los clientes y la comunidad. Al compartir nuestro conocimiento de Tácticas, Técnicas y Procedimientos (TTP) de los oponentes, esperamos resaltar las debilidades en los sistemas que les permiten atacar, así como invitar a la cooperación para eliminar estas brechas.
Transparencia en acción
Veamos una tecnología en la que la investigación de seguridad se realizó públicamente: PowerShell. Las capacidades de seguridad de PowerShell han recorrido un largo camino en los últimos cinco años, gracias a los partidarios internos de Microsoft y los muchos defensores de la industria de la seguridad que los han promovido. Pero ese no fue siempre el caso. En algún momento, la superficie de ataque presentada por PowerShell era masiva y oscura.
En 2015, algunos de los miembros de nuestro equipo crearon un proyecto llamado PowerShell Empire, la culminación del trabajo previo en la industria, así como los proyectos e investigaciones de nuestro equipo. Empire en ese momento era una herramienta posterior a la explotación en PowerShell puro, que demostraba cómo las acciones enemigas se pueden reproducir y fortalecer en el curso de la simulación de un ataque. Desde la creación de Empire, hemos visto varios proyectos ofensivos adicionales de PowerShell que han avanzado el sistema de conocimiento mucho más de lo que cualquiera podría haberlo hecho solo. El efecto de tales proyectos permitió a los responsables de esta dirección en Microsoft tomar decisiones informadas sobre el desarrollo de medidas de seguridad adicionales para PowerShell. Agradecemos estas decisiones para implementar medidas como AMSI, rastreo de scripts y otras en las últimas versiones de PowerShell.
Para promover y aumentar la disponibilidad de formas defensivas de usar PowerShell, nuestro equipo creó PowerForensics, proporcionando capacidades de investigación que anteriormente solo eran parte de herramientas pesadas. La investigación continua en proyectos como Get-InjectedThread, con una funcionalidad típicamente relacionada con los agentes de punto final y la investigación de memoria, hace que sea fácil aprovechar las capacidades de investigación proporcionadas por el lenguaje. Hoy, el uso de PowerShell se está volviendo menos atractivo para los atacantes, ya que sus técnicas son bien entendidas. Además, vemos una implementación más amplia de las salvaguardas de PowerShell por parte de muchas organizaciones. Ambos aspectos representan la evolución del enfoque de seguridad lingüística debido a la difusión de información y la transparencia.
Nuestro compromiso comunitario con la transparencia.
Cada miembro del equipo SpecterOps se ha beneficiado enormemente de la difusión del conocimiento en la comunidad de desarrolladores de herramientas y técnicas de código abierto. Alentamos a todos y a todos en nuestro equipo a ayudar a la comunidad con su investigación. Las contribuciones generalmente se manifiestan en forma de entradas de blog, videos y artículos para transmitir nuestras ideas. Creemos que crear y distribuir juegos de herramientas permite que otros equipos de seguridad comprendan y basen estas ideas. Esperamos que estos esfuerzos permitan a SpecterOps tener un impacto significativo en la industria, yendo más allá de los clientes a los que servimos directamente.
En términos de investigación ofensiva, los resultados de nuestro trabajo a menudo se publican inmediatamente después de su finalización. Por supuesto, hay excepciones a esta regla: por ejemplo, vulnerabilidades a las que se aplica el enfoque de divulgación responsable. Nuestra intención al divulgar públicamente los métodos de los atacantes es ayudar a la industria a detectar y contrarrestar los enfoques de trabajo que son o pueden usarse en ataques reales. Tal "quema" de esfuerzos de investigación puede parecer contradictoria. Tenemos dos objeciones a esto. Primero, la publicación de posibles técnicas de ataque sirve al bien público, advirtiendo a la industria de debilidades específicas. En segundo lugar, en la práctica, encontramos que la publicación de los métodos utilizados rara vez devalúa inmediatamente el estudio.
Desde el punto de vista de la investigación defensiva, reconocemos que el problema que enfrentan los defensores es mucho mayor que el de los atacantes, lo que se puede ver al comparar el crecimiento en el costo de la defensa efectiva con el costo de un ataque exitoso. Creemos que una industria puede enfrentar a un adversario con recursos ilimitados solo a través del intercambio de tecnología y técnicas de detección de ataques. La acumulación de mecanismos defensivos garantiza solo que lucharemos como equipos aislados contra un enemigo que se mueva libremente por el campo de batalla. Llevando a cabo cualquier investigación ofensiva, estamos trabajando en temas de protección y contraataque. En el caso de la investigación defensiva, brindamos oportunidades que antes solo estaban disponibles en una pequeña cantidad de productos. Esto no significa que estemos en contra de las soluciones ya hechas, pero creemos que contrarrestar a los atacantes debería ser una oportunidad universal y parte de una base de conocimiento común. Proyectos como PowerForensics, Bloodhound, Uproot, ACE, HELK y Threat Hunter's Playbook son ejemplos de esta metodología.
Nuestro compromiso con la transparencia del cliente.
Con demasiada frecuencia en nuestra área, los servicios y productos se ofrecen a los clientes en forma de caja negra. Se alienta a los clientes a confiar en el marketing y / o la reputación de la empresa. Creemos que esto tiene un efecto negativo en su capacidad para lograr una mejora significativa a largo plazo. Si un cliente quiere evaluar nuestras capacidades, puede recurrir a nuestras obras públicas. Al proporcionar servicios, brindamos a nuestros clientes los métodos que utilizamos. Nuestro objetivo es ayudar siempre a crear conocimientos y oportunidades a largo plazo.
Por ejemplo, en nuestras evaluaciones de modelos de ataque, consideramos que el componente educativo de la evaluación es significativo. Para interrumpir sistemáticamente a los atacantes, los clientes deben comprender los TTP utilizados en cada etapa del ataque. Estamos trabajando en la capacitación de la seguridad de nuestros clientes para que comprendan completamente nuestros enfoques y cómo logramos nuestros objetivos. Esto puede incluir trabajar en condiciones reales, proporcionar una herramienta o código fuente para el implante desarrollado durante el ataque y organizar la capacitación para reproducir los ataques. Durante las operaciones de detección de intrusos, documentamos los TTP que intentamos detectar y los métodos utilizados para hacerlo. No todos los TTP son iguales en términos de prevalencia, complejidad y sigilo. Trabajamos con los clientes para proporcionar una comprensión de lo que estamos buscando, por qué se eligieron los TTP y cómo recopilamos y analizamos los datos. El objetivo de esta cooperación es proporcionar al cliente los conocimientos y habilidades necesarios para que pueda recopilar y analizar información de forma independiente.
El objetivo de todos nuestros servicios es educar a los clientes e identificar brechas en sus enfoques de protección. Si proporcionamos una calificación opaca, haremos un mal servicio a su capacidad para proteger sus sistemas. Estamos convencidos de que las organizaciones deben tener sus propias capacidades para evaluar el nivel de seguridad de sus infraestructuras y no depender únicamente de terceros para comprender la superficie de ataque.
Conclusión
SpecterOps cree que la búsqueda de la transparencia refleja el progreso en nuestra industria. Como representantes de un área que incluye una misión para garantizar el bien público, debemos ser más exigentes con nosotros mismos y no confiar en un enfoque que cree dependencia en consultores y productos. Al colaborar y contribuir a un grupo de conocimiento común, podemos enfrentar conjuntamente amenazas que nunca podríamos combatir solos de manera efectiva.
No pretendemos ser los únicos defensores de una contribución abierta a la industria. De hecho, tanto los miembros de nuestro equipo como muchos otros ya han practicado lo que representamos como empresa. Tampoco prometemos publicar cada idea o invención. A menudo hay razones legítimas para que una empresa proteja la información. Sin embargo, lo que hacemos y haremos siempre buscará la transparencia.
Nuestra propuesta: la próxima vez que una organización externa realice pruebas de seguridad de su infraestructura, exija transparencia. Haz preguntas Trata de entender el pensamiento y las herramientas utilizadas. Haga esto no tanto para entender los TTP como tales, sino para armarse mejor y ayudar a su personal de seguridad a crecer después de que los auditores se vayan. Así como rechazamos la seguridad a través de la oscuridad como un fuerte mecanismo de defensa, debemos abandonar la efectividad de los ataques a través de la oscuridad. Realmente podemos elevar el nivel en nuestra área a través del aprendizaje colaborativo.