A maneira mais eficaz de ajudar os outros é ajudá-los a se ajudar.
Jerry Corstens
Do tradutor
Trago à sua atenção uma tradução do artigo do CEO da SpecterOps, David McGuire,
“A Push Toward Transparency” . Como não tenho nada a ver com essa empresa e nunca usei seus produtos, o artigo não serve para fins publicitários, mas apenas uma ocasião para refletir, discutir e usar ou recusar o uso da abordagem proposta pelo autor.
David levanta a questão da transparência no setor de segurança da informação, argumentando que a disseminação de conhecimento sobre ferramentas e métodos de trabalho não é uma ameaça à vantagem competitiva, mas uma etapa muito importante para todos os participantes do mercado, que pode aumentar significativamente o nível geral de segurança das infraestruturas de informação. Nos comentários, eu gostaria de ver uma discussão sobre essa posição: quão compatível é com a realidade, o que nos impede de sermos transparentes e se precisamos deixar de criar dependência de consultores e produtos para treinar clientes para combater ameaças de forma independente?
O desejo de transparência
A segurança da informação é uma área jovem que continua a mudar rapidamente em comparação com as indústrias que existem há séculos (por exemplo, medicina). Como o IB, a medicina é projetada para ser um negócio lucrativo e servir ao bem público. Milhares de anos foram gastos por pesquisadores médicos para contribuir com essa área, compartilhar hipóteses e aumentar o conhecimento coletivo. Para avançar uma hipótese na medicina, ela deve ser abertamente estudada, testada, revisada por pares e defendida. Esse sistema permite aumentar conscientemente e constantemente a eficiência da prática de médicos. Compare isso com a situação atual em segurança da informação. Ideias, hipóteses e resultados de pesquisa raramente são publicados, pois muitos vêem isso como um risco de perder sua vantagem competitiva. O problema dessa abordagem é que ela diminui o progresso, limitando a disseminação do conhecimento. Apesar de várias restrições, defendemos fortemente a transparência na segurança da informação.
Na SpecterOps, acreditamos que a maneira de aumentar a maturidade de nossa indústria é contribuir para uma base de conhecimento coletiva. Estamos convencidos de que para indiciar o sistema existente, nós mesmos devemos usar na prática o que pregamos: a descoberta de nossas idéias e hipóteses para testes e críticas. Essa é a base da nossa abordagem à transparência e um princípio fundamental do nosso relacionamento com os clientes e a comunidade. Ao compartilhar nosso conhecimento de táticas, técnicas e procedimentos (TTPs) dos oponentes, esperamos destacar as fraquezas dos sistemas que lhes permitem atacar, além de convidar a cooperação para eliminar essas lacunas.
Transparência em ação
Vejamos uma tecnologia na qual a pesquisa de segurança foi realizada publicamente: PowerShell. Os recursos de segurança do PowerShell percorreram um longo caminho nos últimos cinco anos, graças a apoiadores internos da Microsoft e a muitos advogados do setor de segurança que os promoveram. Mas esse nem sempre foi o caso. Em algum momento, a superfície de ataque apresentada pelo PowerShell era enorme e obscura.
Em 2015, alguns de nossos membros da equipe criaram um projeto chamado PowerShell Empire, o culminar de trabalhos anteriores no setor, além de projetos e pesquisas de nossa equipe. O Empire naquela época era uma ferramenta de pós-exploração no PowerShell puro, demonstrando como as ações inimigas podem ser reproduzidas e fortalecidas no decorrer da simulação de um ataque. Desde a criação do Empire, vimos vários projetos ofensivos do PowerShell que avançaram o sistema de conhecimento muito mais do que qualquer um poderia ter feito sozinho. O efeito de tais projetos permitiu que os responsáveis por essa direção na Microsoft tomassem decisões informadas sobre o desenvolvimento de medidas de segurança adicionais para o PowerShell. Congratulamo-nos com essas decisões para implementar medidas como AMSI, rastreamento de script e outras nas versões mais recentes do PowerShell.
Para promover e aumentar a disponibilidade de formas defensivas de usar o PowerShell, nossa equipe criou o PowerForensics, fornecendo recursos de investigação que antes eram apenas parte de ferramentas pesadas. A pesquisa contínua em projetos como o Get-InjectedThread, com funcionalidade tipicamente relacionada a agentes de endpoint e pesquisa de memória, facilita o aproveitamento dos recursos de investigação fornecidos pelo idioma. Hoje, o uso do PowerShell está se tornando menos atraente para os invasores, pois suas técnicas são bem conhecidas. Além disso, vemos uma implementação mais ampla das salvaguardas do PowerShell por muitas organizações. Ambos os aspectos representam a evolução da abordagem de segurança linguística devido à disseminação e transparência da informação.
Nosso compromisso da comunidade com a transparência
Cada membro da equipe SpecterOps se beneficiou enormemente da disseminação de conhecimento na comunidade de código aberto dos desenvolvedores de ferramentas e técnicas. Incentivamos todos e todos da nossa equipe a ajudar a comunidade em suas pesquisas. As contribuições geralmente se manifestam na forma de entradas de blog, vídeos e artigos para transmitir nossas idéias. Acreditamos que a criação e distribuição de kits de ferramentas permite que outras equipes de segurança entendam e baseiem essas idéias. Esperamos que esses esforços permitam que o SpecterOps tenha um impacto significativo no setor, indo além dos clientes que atendemos diretamente.
Em termos de pesquisa ofensiva, os resultados de nosso trabalho são frequentemente publicados imediatamente após a conclusão. Obviamente, há exceções a essa regra: por exemplo, vulnerabilidades às quais a abordagem de divulgação responsável se aplica. Nossa intenção em divulgar publicamente os métodos do invasor é ajudar o setor a detectar e combater as abordagens de trabalho que são ou podem ser usadas em ataques reais. Tal "queima" de esforços de pesquisa pode parecer contra-intuitivo. Temos duas objeções a isso. Primeiro, a publicação de possíveis técnicas de ataque serve ao bem público, alertando a indústria sobre pontos fracos específicos. Em segundo lugar, na prática, descobrimos que a publicação dos métodos utilizados raramente desvaloriza imediatamente o estudo.
Do ponto de vista da pesquisa defensiva, reconhecemos que o problema enfrentado pelos defensores é muito maior que o dos atacantes, o que pode ser visto ao comparar o crescimento do custo de uma defesa eficaz com o custo de um ataque bem-sucedido. Acreditamos que um setor pode enfrentar um adversário com recursos ilimitados somente através do intercâmbio de tecnologia e técnicas de detecção de ataques. O acúmulo de mecanismos defensivos garante apenas que lutaremos como equipes isoladas contra um inimigo que se move livremente ao longo do campo de batalha. Realizando qualquer pesquisa ofensiva, estamos trabalhando em questões de proteção e contra-ação. No caso de pesquisas defensivas, oferecemos oportunidades que antes estavam disponíveis apenas em um pequeno número de produtos. Isso não significa que somos contra soluções prontas, mas acreditamos que combater os invasores deve ser uma oportunidade universal e parte de uma base de conhecimento comum. Projetos como PowerForensics, Bloodhound, Uproot, ACE, HELK e o Threat Hunter's Playbook são exemplos dessa metodologia.
Nosso compromisso com a transparência do cliente
Com muita frequência, em nossa área, serviços e produtos são oferecidos aos clientes na forma de uma caixa preta. Os clientes são incentivados a confiar no marketing e / ou na reputação da empresa. Acreditamos que isso afeta negativamente a capacidade de obter melhorias significativas a longo prazo. Se um cliente deseja avaliar nossas capacidades, pode recorrer a nossas obras públicas. Ao fornecer serviços, fornecemos aos nossos clientes os métodos que usamos. Nosso objetivo é sempre ajudar na criação de conhecimento e oportunidades a longo prazo.
Por exemplo, em nossas avaliações da modelagem de ataques, consideramos significativo o componente educacional da avaliação. Para interromper sistematicamente os invasores, os clientes devem entender os TTPs usados em cada estágio do ataque. Estamos trabalhando no treinamento da segurança de nossos clientes, para que eles tenham um entendimento completo de nossas abordagens e de como alcançamos nossos objetivos. Isso pode incluir trabalhar em condições reais, fornecer uma ferramenta ou código-fonte para o implante desenvolvido durante o ataque e organizar o treinamento para reproduzir os ataques. Durante as operações de detecção de intrusões, documentamos os TTPs que estamos tentando detectar e os métodos usados para fazer isso. Nem todos os TTPs são iguais em termos de prevalência, complexidade e furtividade. Trabalhamos com os clientes para fornecer uma compreensão do que estamos procurando, por que os TTPs foram escolhidos e como coletamos e analisamos dados. O objetivo dessa cooperação é fornecer ao cliente o conhecimento e as habilidades necessárias para que ele possa coletar e analisar informações de forma independente.
O objetivo de todos os nossos serviços é educar os clientes e identificar lacunas em suas abordagens de proteção. Se fornecermos uma classificação opaca, faremos um desserviço à capacidade deles de proteger seus sistemas. Estamos convencidos de que as organizações devem ter seus próprios recursos para avaliar o nível de segurança de suas infra-estruturas, e não confiar apenas em terceiros para entender a superfície de ataque.
Conclusão
A SpecterOps acredita que a busca pela transparência reflete o progresso em nosso setor. Como representantes de uma área que inclui uma missão para garantir o bem público, devemos ser mais exigentes e não confiar em uma abordagem que crie dependência de consultores e produtos. Ao colaborar e contribuir para um conjunto de conhecimentos comuns, podemos enfrentar conjuntamente ameaças que nunca poderíamos combater sozinhas.
Não reivindicamos ser os únicos proponentes de uma contribuição aberta à indústria. De fato, os membros de nossa equipe e muitos outros já praticaram o que defendemos como empresa. Também não prometemos publicar todas as ideias ou invenções. Muitas vezes, existem razões legítimas para uma empresa proteger informações. No entanto, o que fazemos e faremos sempre buscará transparência.
Nossa proposta: na próxima vez que uma organização terceirizada realizar testes de segurança de sua infraestrutura, exija transparência. Faça perguntas. Tente entender o pensamento e as ferramentas usadas. Faça isso não tanto para entender os TTPs como tais, mas para se armar melhor e ajudar seu pessoal de segurança a crescer depois que os auditores forem embora. Assim como rejeitamos a segurança através da obscuridade como um forte mecanismo de defesa, devemos abandonar a eficácia dos ataques através da obscuridade. Podemos realmente elevar a fasquia na nossa área através da aprendizagem colaborativa.