帮助他人的最有效方法是帮助他人自助。
杰里·科斯滕斯
来自翻译
我提请您注意SpectreOps首席执行官David McGuire的文章
“推动透明度”的译文。 我与这家公司无关,也从未使用过其产品,因此,该文章不具有广告目的,而只是一个思考,讨论和使用或拒绝使用作者提出的方法的场合。
David提出了信息安全行业的透明度问题,认为传播有关工具和工作方法的知识并不是对竞争优势的威胁,而是对所有市场参与者而言非常重要的一步,这可以显着提高信息基础架构的整体安全性。 在评论中,我希望看到有关这一立场的讨论:它与现实的兼容性如何,是什么使我们无法透明化?是否需要从建立对顾问和产品的依赖转变为培训客户以独立应对威胁?
对透明度的渴望
与已经存在了几个世纪的行业(例如,医学)相比,信息安全是一个持续快速变化的年轻领域。 像IB一样,医学被设计成既有利可图的业务又为公众利益服务。 医学研究人员已经花费了数千年的时间来为这一领域做出贡献,分享假设并增加集体知识。 为了推进医学假设,必须对其进行公开研究,测试,同行评审和辩护。 这样的系统使您有意识地不断提高执业医师的效率。 将此与当前信息安全状况进行比较。 想法,假设和研究结果很少发表,因为许多人认为这有失去竞争优势的风险。 这种方法的问题在于,它通过限制知识的传播来减缓进度。 尽管有很多限制,我们还是强烈主张信息安全透明。
在SpecterOps,我们相信增加行业成熟度的方法是为集体知识库做出贡献。 我们坚信,要起诉现有的制度,我们自己必须在实践中运用我们所宣扬的东西:发现我们的思想和假设以进行检验和批评。 这是我们提高透明度的基础,也是我们与客户和社区关系的关键原则。 通过分享我们对对手的战术,技巧和程序(TTP)的知识,我们希望着重强调系统中的弱点,使他们能够进行攻击,并邀请合作消除这些差距。
行动透明
让我们看一下公开进行安全性研究的技术:PowerShell。 在过去的五年中,由于Microsoft的内部支持者和许多促进了安全功能的倡导者,PowerShell的安全功能取得了长足的进步。 但这并非总是如此。 在某些时候,PowerShell呈现的攻击面是巨大且晦涩的。
2015年,我们的一些团队成员创建了一个名为PowerShell Empire的项目,该项目是该行业以前的工作的结晶,也是我们团队的项目和研究的结晶。 当时的Empire是纯PowerShell上的后开发工具,展示了在模拟攻击过程中如何重现并加强敌人的行动。 自创建Empire以来,我们已经看到了几个其他的PowerShell进攻性项目,这些项目使知识系统得到了前所未有的发展。 这些项目的效果使Microsoft负责此工作的人员可以针对PowerShell的其他安全措施的开发做出明智的决定。 我们欢迎这些决定在最新版本的PowerShell中实施AMSI,脚本跟踪等措施。
为了促进和提高使用PowerShell的防御方式的可用性,我们的团队创建了PowerForensics,提供了调查功能,这些功能以前只是重型工具的一部分。 继续进行诸如Get-InjectedThread之类的项目的研究,其功能通常与终结点代理和内存研究有关,因此可以轻松利用该语言提供的调查功能。 如今,PowerShell的使用对攻击者的吸引力越来越小,因为他们的技术已广为人知。 此外,我们看到许多组织都在广泛实施PowerShell安全措施。 由于信息传播和透明性,这两个方面都代表了语言安全方法的发展。
我们社区对透明度的承诺
SpecterOps团队的每个成员都从工具和技术开发人员的开源社区中的知识传播中受益匪浅。 我们鼓励团队中的每个人和每个人为社区的研究提供帮助。 贡献通常以博客条目,视频和文章的形式表达出来,以传达我们的想法。 我们相信,创建和分发工具包可以使其他安全团队理解并提出这些想法。 我们希望这些努力将使SpectreOps对行业产生重大影响,超越我们直接服务的客户。
在进攻性研究方面,我们的工作成果通常在完成后立即发布。 当然,该规则也有例外:例如,负责任的披露方法所适用的漏洞。 我们公开披露攻击者方法的目的是帮助业界检测和应对实际攻击中或可以使用的可行方法。 研究工作的这种“消耗”似乎是违反直觉的。 我们对此有两个反对意见。 首先,发布潜在的攻击技术符合公共利益,并向行业发出特定弱点的警告。 其次,在实践中,我们发现所用方法的发布很少会立即使研究贬值。
从防御研究的角度来看,我们认识到防御者面临的问题比攻击者要严重得多,这可以通过将有效防御成本的增长与成功攻击成本的增长进行比较来看出。 我们相信,只有通过交换技术和攻击检测技术,一个行业才能以无限的资源与对手对抗。 防御机制的积累仅保证我们将作为孤立的团队与在战场上自由移动的敌人作战。 我们正在进行任何令人反感的研究,正在研究保护和反击问题。 在防御性研究方面,我们提供了以前只有少数产品才能提供的机会。 这并不意味着我们反对现成的解决方案,但我们认为,对付攻击者应该是一个普遍的机会,并且是一个共同知识库的一部分。 这种方法的示例包括PowerForensics,Bloodhound,Uproot,ACE,HELK和Threat Hunter's Playbook等项目。
我们对客户透明度的承诺
在我们地区,黑匣子常常向客户提供服务和产品。 鼓励客户信任公司的市场营销和/或声誉。 我们认为,这会对他们实现长期有意义的改进的能力产生负面影响。 如果客户想评估我们的能力,可以求助于我们的公共工程。 通过提供服务,我们为客户提供了所使用的方法。 我们的目标是始终帮助创造长期的知识和机会。
例如,在我们对攻击模型的评估中,我们认为评估的教育内容很重要。 为了系统地破坏攻击者,客户端必须了解在攻击的每个阶段使用的TTP。 我们正在努力培训客户的安全性,以便他们对我们的方法以及我们如何实现目标有充分的了解。 这可能包括在真实条件下工作,为发作期间开发的植入物提供工具或源代码,以及组织培训以重现发作。 在入侵检测操作期间,我们记录了我们尝试检测的TTP以及用于执行此操作的方法。 并非所有的TTP在患病率,复杂性和隐身性方面都是相同的。 我们与客户合作,以了解我们在寻找什么,为什么选择TTP以及我们如何收集和分析数据。 合作的目的是为客户提供必要的知识和技能,以便他可以独立收集和分析信息。
我们所有服务的目标是教育客户并找出其保护方法上的空白。 如果我们提供不透明的等级,将损害他们保护其系统的能力。 我们坚信组织应该具有自己的能力来评估其基础结构的安全级别,而不是仅依靠第三方来了解攻击面。
结论
SpecterOps相信追求透明度反映了我们行业的进步。 作为负责确保公共利益的使命的地区的代表,我们应该对自己有更高的要求,而不是依靠会依赖顾问和产品的方法。 通过合作并为共同的知识库做出贡献,我们可以共同面对我们永远无法单独有效对抗的威胁。
我们不声称自己是对该行业做出公开贡献的唯一支持者。 实际上,我们的团队成员和许多其他成员都已经实践了我们所代表的公司形象。 我们也不保证发布每一个想法或发明。 通常,企业有正当理由保护信息。 但是,我们将做的事情和将要做的事情将始终争取透明度。
我们的建议:下次第三方组织对您的基础结构进行安全测试时,要求透明。 提出问题。 尝试了解所使用的思想和工具。 这样做不是为了了解TTP,而是为了更好地武装自己并帮助安全人员在审计师离开后成长。 正如我们拒绝通过默默无闻的安全性作为强大的防御机制一样,我们也应该放弃通过默默无闻的攻击的有效性。 通过协作学习,我们可以真正提高我们所在领域的标准。