Cara paling efektif untuk membantu orang lain adalah dengan membantu mereka membantu diri mereka sendiri.
Jerry Corstens
Dari penerjemah
Saya membawa kepada Anda terjemahan dari artikel oleh CEO SpecterOps David McGuire
"A Push Toward Transparency" . Saya tidak ada sangkut pautnya dengan perusahaan ini dan tidak pernah menggunakan produk-produknya, jadi artikel itu tidak melayani tujuan periklanan, tetapi hanya kesempatan untuk merefleksikan, membahas dan menggunakan atau menolak untuk menggunakan pendekatan yang diusulkan oleh penulis.
David mengangkat masalah transparansi dalam industri keamanan informasi, dengan alasan bahwa penyebaran pengetahuan tentang alat dan metode kerja bukanlah ancaman bagi keunggulan kompetitif, tetapi merupakan langkah yang sangat penting bagi semua pelaku pasar, yang secara signifikan dapat meningkatkan tingkat keamanan keseluruhan infrastruktur informasi. Dalam komentar, saya ingin melihat diskusi tentang posisi ini: seberapa serasi dengan kenyataan, apa yang mencegah kita menjadi transparan, dan apakah kita perlu beralih dari membangun ketergantungan pada konsultan dan produk ke melatih pelanggan untuk secara mandiri menghadapi ancaman?
Keinginan untuk transparansi
Keamanan informasi adalah bidang muda yang terus berubah dengan cepat dibandingkan dengan industri yang telah ada selama berabad-abad (misalnya, kedokteran). Seperti IB, kedokteran dirancang untuk menjadi bisnis yang menguntungkan dan melayani kepentingan publik. Ribuan tahun telah dihabiskan oleh para peneliti medis untuk berkontribusi dalam bidang ini, berbagi hipotesis dan meningkatkan pengetahuan kolektif. Untuk memajukan hipotesis dalam kedokteran, itu harus dipelajari secara terbuka, diuji, ditinjau sejawat dan dipertahankan. Sistem seperti ini memungkinkan Anda untuk secara sadar dan terus-menerus meningkatkan efisiensi praktik dokter. Bandingkan ini dengan situasi saat ini dalam keamanan informasi. Gagasan, hipotesis, dan hasil penelitian jarang dipublikasikan, karena banyak yang melihat ini sebagai risiko kehilangan keunggulan kompetitif mereka. Masalah dengan pendekatan ini adalah memperlambat kemajuan dengan membatasi penyebaran pengetahuan. Meskipun ada sejumlah batasan, kami sangat menganjurkan transparansi dalam keamanan informasi.
Di SpecterOps, kami percaya bahwa cara kami dapat meningkatkan kematangan industri kami adalah dengan berkontribusi pada basis pengetahuan kolektif. Kami yakin bahwa untuk menuntut sistem yang ada, kami sendiri harus menggunakan dalam praktik apa yang kami khotbahkan: penemuan ide dan hipotesis kami untuk pengujian dan kritik. Ini adalah dasar dari pendekatan kami terhadap transparansi dan prinsip utama hubungan kami dengan pelanggan dan masyarakat. Dengan berbagi pengetahuan kami tentang Taktik, Teknik, dan Prosedur (TTP) dari lawan, kami berharap dapat menyoroti kelemahan dalam sistem yang memungkinkan mereka untuk menyerang, serta mengundang kerja sama untuk menghilangkan kesenjangan ini.
Transparansi dalam tindakan
Mari kita lihat teknologi di mana riset keamanan dilakukan secara publik: PowerShell. Kemampuan keamanan PowerShell telah berjalan jauh selama lima tahun terakhir, terima kasih kepada pendukung internal di Microsoft dan banyak pendukung industri keamanan yang telah mempromosikannya. Tapi itu tidak selalu terjadi. Di beberapa titik, permukaan serangan yang disajikan oleh PowerShell sangat besar dan tidak jelas.
Pada 2015, beberapa anggota tim kami menciptakan proyek yang disebut PowerShell Empire, puncak dari pekerjaan sebelumnya di industri ini, serta proyek dan penelitian oleh tim kami. Empire pada waktu itu adalah alat pasca-eksploitasi pada PowerShell murni, menunjukkan bagaimana tindakan musuh dapat direproduksi dan diperkuat dalam mensimulasikan serangan. Sejak penciptaan Empire, kami telah melihat beberapa proyek PowerShell ofensif tambahan yang telah memajukan sistem pengetahuan lebih jauh daripada siapa pun bisa melakukannya sendiri. Efek dari proyek semacam itu memungkinkan mereka yang bertanggung jawab untuk arahan ini di Microsoft untuk membuat keputusan berdasarkan informasi tentang pengembangan langkah-langkah keamanan tambahan untuk PowerShell. Kami menyambut keputusan ini untuk menerapkan langkah-langkah seperti AMSI, penelusuran skrip, dan lainnya dalam versi terbaru PowerShell.
Untuk mempromosikan dan meningkatkan ketersediaan cara defensif untuk menggunakan PowerShell, tim kami menciptakan PowerForensics, menyediakan kemampuan investigasi yang sebelumnya hanya bagian dari alat berat. Penelitian berkelanjutan pada proyek-proyek seperti Get-InjectedThread, dengan fungsionalitas yang biasanya terkait dengan agen titik akhir dan penelitian memori, membuatnya mudah untuk mengambil keuntungan dari kemampuan investigasi yang disediakan oleh bahasa. Saat ini, penggunaan PowerShell menjadi kurang menarik bagi penyerang, karena teknik mereka dipahami dengan baik. Selain itu, kami melihat implementasi yang lebih luas dari pengamanan PowerShell oleh banyak organisasi. Kedua aspek tersebut mewakili evolusi pendekatan keamanan bahasa karena penyebaran informasi dan transparansi.
Komitmen komunitas kami terhadap transparansi
Setiap anggota tim SpecterOps telah mendapat manfaat luar biasa dari penyebaran pengetahuan di komunitas open source pengembang alat dan teknik. Kami mendorong semua orang dan semua orang di tim kami untuk membantu komunitas dengan penelitian mereka. Kontribusi biasanya diwujudkan dalam bentuk entri blog, video, dan artikel untuk menyampaikan gagasan kami. Kami percaya bahwa membuat dan mendistribusikan toolkit memungkinkan tim keamanan lain untuk memahami dan mendasarkan ide-ide ini. Kami berharap bahwa upaya ini akan memungkinkan SpecterOps memiliki dampak signifikan pada industri, melampaui pelanggan yang kami layani secara langsung.
Dalam hal penelitian ofensif, hasil pekerjaan kami sering diterbitkan segera setelah selesai. Tentu saja, ada pengecualian untuk aturan ini: misalnya, kerentanan yang menerapkan pendekatan pengungkapan yang bertanggung jawab. Tujuan kami dalam mengungkapkan metode penyerang secara publik adalah untuk membantu industri mendeteksi dan melawan pendekatan kerja yang sedang atau dapat digunakan dalam serangan nyata. "Pembakaran" upaya penelitian semacam itu mungkin tampak berlawanan dengan intuisi. Kami memiliki dua keberatan terhadap hal ini. Pertama, publikasi teknik penyerangan potensial melayani kepentingan publik, memperingatkan industri tentang kelemahan spesifik. Kedua, dalam praktiknya, kami menemukan bahwa publikasi metode yang digunakan jarang mendevaluasi studi secara langsung.
Dari sudut pandang penelitian defensif, kami menyadari bahwa masalah yang dihadapi para pembela HAM jauh lebih besar daripada masalah para penyerang, yang dapat dilihat dengan membandingkan pertumbuhan biaya pertahanan efektif dengan biaya serangan yang berhasil. Kami percaya bahwa suatu industri dapat menghadapi musuh dengan sumber daya yang tidak terbatas hanya melalui pertukaran teknologi dan teknik deteksi serangan. Akumulasi mekanisme pertahanan hanya menjamin bahwa kita akan bertarung sebagai tim terisolasi melawan musuh yang bergerak bebas di sepanjang medan perang. Melakukan penelitian ofensif apa pun, kami sedang mengerjakan masalah perlindungan dan balasan. Dalam kasus penelitian defensif, kami memberikan peluang yang sebelumnya hanya tersedia dalam sejumlah kecil produk. Ini tidak berarti bahwa kami menentang solusi yang sudah jadi, tetapi kami percaya bahwa melawan penyerang harus menjadi peluang universal dan bagian dari basis pengetahuan umum. Proyek-proyek seperti PowerForensics, Bloodhound, Uproot, ACE, HELK, dan Playbook Threat Hunter's adalah contoh dari metodologi ini.
Komitmen kami terhadap transparansi pelanggan
Terlalu sering di daerah kami, layanan dan produk ditawarkan kepada pelanggan dalam bentuk kotak hitam. Pelanggan didorong untuk mempercayai pemasaran dan / atau reputasi perusahaan. Kami percaya bahwa ini memiliki efek negatif pada kemampuan mereka untuk mencapai peningkatan yang berarti dalam jangka panjang. Jika klien ingin mengevaluasi kemampuan kami, ia dapat beralih ke pekerjaan umum kami. Dengan menyediakan layanan, kami menyediakan metode yang kami gunakan kepada pelanggan. Tujuan kami adalah untuk selalu membantu menciptakan pengetahuan dan peluang jangka panjang.
Sebagai contoh, dalam penilaian pemodelan serangan kami, kami menganggap komponen pendidikan dari penilaian menjadi signifikan. Untuk mengganggu penyerang secara sistematis, klien harus memahami TTP yang digunakan pada setiap tahap serangan. Kami berupaya melatih keamanan pelanggan kami sehingga mereka memiliki pemahaman penuh tentang pendekatan kami dan bagaimana kami mencapai tujuan kami. Ini mungkin termasuk bekerja dalam kondisi nyata, menyediakan alat atau kode sumber untuk implan yang dikembangkan selama serangan, dan mengatur pelatihan untuk mereproduksi serangan. Selama operasi deteksi intrusi, kami mendokumentasikan TTP yang kami coba deteksi dan metode yang digunakan untuk melakukan ini. Tidak semua TTP sama dalam hal prevalensi, kompleksitas, dan sembunyi-sembunyi. Kami bekerja dengan klien untuk memberikan pemahaman tentang apa yang kami cari, mengapa TTP dipilih, dan bagaimana kami mengumpulkan dan menganalisis data. Tujuan dari kerjasama ini adalah untuk memberi klien pengetahuan dan keterampilan yang diperlukan sehingga ia dapat secara independen mengumpulkan dan menganalisis informasi.
Tujuan dari semua layanan kami adalah untuk mendidik klien dan mengidentifikasi kesenjangan dalam pendekatan perlindungan mereka. Jika kami memberikan peringkat buram, kami akan merugikan kemampuan mereka untuk melindungi sistem mereka. Kami yakin bahwa organisasi harus memiliki kemampuan mereka sendiri untuk menilai tingkat keamanan infrastruktur mereka, dan tidak hanya bergantung pada pihak ketiga untuk memahami permukaan serangan.
Kesimpulan
SpecterOps percaya bahwa pengejaran transparansi mencerminkan kemajuan dalam industri kami. Sebagai perwakilan dari suatu area yang mencakup misi untuk memastikan barang publik, kita harus lebih menuntut diri kita sendiri, dan tidak bergantung pada pendekatan yang menciptakan ketergantungan pada konsultan dan produk. Dengan berkolaborasi dan berkontribusi pada kumpulan pengetahuan umum, kita dapat bersama-sama menghadapi ancaman yang tidak pernah bisa kita lawan secara efektif.
Kami tidak mengklaim sebagai pendukung tunggal kontribusi terbuka untuk industri. Faktanya, baik anggota tim kami dan banyak lainnya sudah mempraktikkan apa yang kami perjuangkan sebagai perusahaan. Kami juga tidak berjanji untuk mempublikasikan setiap ide atau penemuan. Seringkali ada alasan sah untuk bisnis untuk melindungi informasi. Namun, apa yang kami lakukan dan akan lakukan akan selalu mengupayakan transparansi.
Proposal kami: waktu berikutnya organisasi pihak ketiga melakukan pengujian keamanan infrastruktur Anda, menuntut transparansi. Ajukan pertanyaan. Cobalah untuk memahami cara berpikir dan alat yang digunakan. Lakukan ini bukan untuk memahami TTP seperti itu, tetapi lebih baik mempersenjatai diri dan membantu petugas keamanan Anda tumbuh setelah auditor pergi. Sama seperti kita menolak keamanan melalui ketidakjelasan sebagai mekanisme pertahanan yang kuat, kita harus meninggalkan efektivitas serangan melalui ketidakjelasan. Kami benar-benar dapat meningkatkan standar di bidang kami melalui pembelajaran kolaboratif.