Le moyen le plus efficace d'aider les autres est de les aider à s'aider eux-mêmes.
Jerry Corstens
Du traducteur
J'attire votre attention sur une traduction de l'article du PDG de SpecterOps, David McGuire,
«A Push Toward Transparency» . Je n'ai rien à voir avec cette entreprise et je n'ai jamais utilisé ses produits, donc l'article ne sert pas à des fins publicitaires, mais seulement une occasion de réfléchir, de discuter et d'utiliser ou de refuser d'utiliser l'approche proposée par l'auteur.
David soulève la question de la transparence dans l'industrie de la sécurité de l'information, faisant valoir que la diffusion des connaissances sur les outils et les méthodes de travail n'est pas une menace pour l'avantage concurrentiel, mais une étape très importante pour tous les acteurs du marché, ce qui peut augmenter considérablement le niveau global de sécurité des infrastructures d'information. Dans les commentaires, j'aimerais voir une discussion sur cette position: dans quelle mesure est-elle compatible avec la réalité, qu'est-ce qui nous empêche d'être transparent et si nous devons passer de la dépendance à l'égard des consultants et des produits à la formation des clients pour contrer les menaces de manière indépendante?
Le désir de transparence
La sécurité de l'information est un domaine jeune qui continue d'évoluer rapidement par rapport aux industries qui existent depuis des siècles (par exemple, la médecine). Comme IB, la médecine est conçue pour être à la fois une activité rentable et au service du bien public. Des milliers d'années ont été consacrées par des chercheurs médicaux à contribuer à ce domaine, à partager des hypothèses et à accroître les connaissances collectives. Pour avancer une hypothèse en médecine, elle doit être étudiée ouvertement, testée, évaluée par des pairs et défendue. Un tel système vous permet d'augmenter consciemment et constamment l'efficacité des médecins praticiens. Comparez cela avec la situation actuelle en matière de sécurité de l'information. Les idées, les hypothèses et les résultats de recherche sont rarement publiés, car beaucoup y voient un risque de perdre leur avantage concurrentiel. Le problème avec cette approche est qu'elle ralentit les progrès en limitant la diffusion des connaissances. Malgré un certain nombre de restrictions, nous préconisons fortement la transparence de la sécurité de l'information.
Chez SpecterOps, nous pensons que la façon d'augmenter la maturité de notre industrie est de contribuer à une base de connaissances collective. Nous sommes convaincus que pour inculper le système existant, nous devons nous-mêmes utiliser dans la pratique ce que nous prêchons: la découverte de nos idées et hypothèses à des fins de test et de critique. C'est la base de notre approche de la transparence et un principe clé de notre relation avec les clients et la communauté. En partageant nos connaissances sur la tactique, les techniques et les procédures (TTP) des opposants, nous espérons mettre en évidence les faiblesses des systèmes qui leur permettent d'attaquer, et inviter à coopérer pour éliminer ces lacunes.
Transparence en action
Examinons une technologie dans laquelle la recherche sur la sécurité a été menée publiquement: PowerShell. Les capacités de sécurité de PowerShell ont parcouru un long chemin au cours des cinq dernières années, grâce aux supporters internes de Microsoft et aux nombreux défenseurs de l'industrie de la sécurité qui les ont promus. Mais cela n'a pas toujours été le cas. À un moment donné, la surface d'attaque présentée par PowerShell était massive et obscure.
En 2015, certains membres de notre équipe ont créé un projet appelé PowerShell Empire, l'aboutissement de travaux antérieurs dans l'industrie, ainsi que des projets et des recherches de notre équipe. Empire à l'époque était un outil de post-exploitation sur PowerShell pur, démontrant comment les actions ennemies peuvent être reproduites et renforcées au cours de la simulation d'une attaque. Depuis la création d'Empire, nous avons vu plusieurs projets PowerShell offensifs supplémentaires qui ont fait progresser le système de connaissances beaucoup plus loin que quiconque aurait pu le faire seul. L'effet de tels projets a permis aux responsables de cette direction chez Microsoft de prendre des décisions éclairées sur le développement de mesures de sécurité supplémentaires pour PowerShell. Nous nous félicitons de ces décisions de mettre en œuvre des mesures telles que AMSI, le suivi de script et d'autres dans les dernières versions de PowerShell.
Pour promouvoir et augmenter la disponibilité des moyens défensifs d'utiliser PowerShell, notre équipe a créé PowerForensics, fournissant des capacités d'enquête qui n'étaient auparavant qu'une partie des outils lourds. La poursuite des recherches sur des projets tels que Get-InjectedThread, avec des fonctionnalités généralement liées aux agents d'extrémité et à la recherche de mémoire, permet de tirer facilement parti des capacités d'investigation fournies par le langage. Aujourd'hui, l'utilisation de PowerShell devient moins attrayante pour les attaquants, car leurs techniques sont bien comprises. En outre, nous constatons une mise en œuvre plus large des protections PowerShell par de nombreuses organisations. Ces deux aspects représentent l'évolution de l'approche de la sécurité linguistique en raison de la diffusion et de la transparence des informations.
Notre engagement communautaire envers la transparence
Chaque membre de l'équipe SpecterOps a énormément bénéficié de la diffusion des connaissances dans la communauté open source des développeurs d'outils et de techniques. Nous encourageons tout le monde et tous les membres de notre équipe à aider la communauté dans leurs recherches. Les contributions se manifestent généralement sous la forme d'entrées de blog, de vidéos et d'articles pour transmettre nos idées. Nous pensons que la création et la distribution de kits d'outils permettent aux autres équipes de sécurité de comprendre et de baser ces idées. Nous espérons que ces efforts permettront à SpecterOps d'avoir un impact significatif sur l'industrie, allant au-delà des clients que nous servons directement.
En termes de recherches offensives, les résultats de nos travaux sont souvent publiés dès leur achèvement. Bien sûr, il y a des exceptions à cette règle: par exemple, les vulnérabilités auxquelles s'applique l'approche de divulgation responsable. Notre intention de divulguer publiquement les méthodes des attaquants est d'aider l'industrie à détecter et à contrer les approches de travail qui sont ou peuvent être utilisées dans les attaques réelles. Une telle «brûlure» des efforts de recherche peut sembler contre-intuitive. Nous avons deux objections à cela. Premièrement, la publication de techniques d'attaque potentielles sert le bien public, avertissant l'industrie de faiblesses spécifiques. Deuxièmement, en pratique, nous avons constaté que la publication des méthodes utilisées dévalue rarement immédiatement l'étude.
Du point de vue de la recherche défensive, nous reconnaissons que le problème auquel sont confrontés les défenseurs est beaucoup plus important que celui des attaquants, ce qui peut être vu en comparant la croissance du coût d'une défense efficace avec le coût d'une attaque réussie. Nous pensons qu'une industrie ne peut affronter un adversaire avec des ressources illimitées que grâce à l'échange de technologies et de techniques de détection des attaques. L'accumulation de mécanismes défensifs garantit seulement que nous combattrons en équipes isolées contre un ennemi se déplaçant librement le long du champ de bataille. Réalisant des recherches offensives, nous travaillons sur les questions de protection et de contre-attaque. Dans le cas de la recherche défensive, nous donnons des opportunités qui n'étaient auparavant disponibles que dans un petit nombre de produits. Cela ne signifie pas que nous sommes contre des solutions toutes faites, mais nous pensons que la lutte contre les attaquants devrait être une opportunité universelle et faire partie d'une base de connaissances commune. Des projets tels que PowerForensics, Bloodhound, Uproot, ACE, HELK et le Threat Hunter's Playbook sont des exemples de cette méthodologie.
Notre engagement envers la transparence du client
Trop souvent dans notre région, les services et produits sont proposés aux clients sous forme de boîte noire. Les clients sont encouragés à faire confiance au marketing et / ou à la réputation de l'entreprise. Nous pensons que cela a un effet négatif sur leur capacité à réaliser une amélioration significative à long terme. Si un client souhaite évaluer nos capacités, il peut se tourner vers nos travaux publics. En fournissant des services, nous fournissons à nos clients les méthodes que nous utilisons. Notre objectif est de toujours aider à créer des connaissances et des opportunités à long terme.
Par exemple, dans nos évaluations de la modélisation des attaques, nous considérons que la composante éducative de l'évaluation est importante. Pour perturber systématiquement les attaquants, les clients doivent comprendre les TTP utilisés à chaque étape de l'attaque. Nous travaillons à la formation de la sécurité de nos clients afin qu'ils comprennent parfaitement nos approches et la façon dont nous atteignons nos objectifs. Cela peut inclure le travail dans des conditions réelles, la fourniture d'un outil ou d'un code source pour l'implant développé pendant l'attaque et l'organisation d'une formation pour reproduire les attaques. Pendant les opérations de détection d'intrusion, nous documentons les TTP que nous essayons de détecter et les méthodes utilisées pour ce faire. Tous les TTP ne sont pas identiques en termes de prévalence, de complexité et de furtivité. Nous travaillons avec les clients pour fournir une compréhension de ce que nous recherchons, pourquoi les TTP ont été choisis et comment nous collectons et analysons les données. Le but de cette coopération est de donner au client les connaissances et les compétences nécessaires pour qu'il puisse collecter et analyser de manière indépendante des informations.
L'objectif de tous nos services est d'éduquer les clients et d'identifier les lacunes dans leurs approches de protection. Si nous fournissons une note opaque, nous ne rendrons pas service à leur capacité à protéger leurs systèmes. Nous sommes convaincus que les organisations doivent avoir leurs propres capacités pour évaluer le niveau de sécurité de leurs infrastructures, et ne pas compter uniquement sur des tiers pour comprendre la surface d'attaque.
Conclusion
SpectreOps estime que la recherche de transparence reflète les progrès de notre industrie. En tant que représentants d'un territoire qui a pour mission d'assurer le bien public, nous devons être plus exigeants envers nous-mêmes et ne pas compter sur une approche qui crée une dépendance vis-à-vis des consultants et des produits. En collaborant et en contribuant à un pool de connaissances commun, nous pouvons affronter conjointement des menaces que nous ne pourrions jamais combattre efficacement seules.
Nous ne prétendons pas être les seuls partisans d'une contribution ouverte à l'industrie. En fait, les membres de notre équipe et bien d'autres ont déjà mis en pratique ce que nous défendons en tant qu'entreprise. Nous ne promettons pas non plus de publier chaque idée ou invention. Il existe souvent des raisons légitimes pour une entreprise de protéger les informations. Cependant, ce que nous faisons et ferons visera toujours la transparence.
Notre proposition: la prochaine fois qu'une organisation tierce procédera à des tests de sécurité de votre infrastructure, exigez la transparence. Posez des questions. Essayez de comprendre la réflexion et les outils utilisés. Faites cela non pas tant pour comprendre les TTP en tant que tels, mais plutôt pour mieux vous armer et aider vos agents de sécurité à grandir après le départ des auditeurs. Tout comme nous rejetons la sécurité par l'obscurité comme un mécanisme de défense puissant, nous devons abandonner l'efficacité des attaques par l'obscurité. Nous pouvons vraiment élever la barre dans notre domaine grâce à l'apprentissage collaboratif.