Русский
Русский
English
Статистика
Реклама

Оценка рисков

Пентест Свет не выключайте, пожалуйста. Киберполигон А город надолго без света?

11.11.2020 16:12:52 | Автор: admin

Потребность в оценке защищенности ИТ-инфраструктуры появилась практически одновременно с компьютерными системами. В 50-е годы прошлого столетия ученые начали предполагать, что на компьютерные системы возможны атаки, а в 1988 году Робертом Моррисом младшимбыл создан первый массовый сетевой червь, который по скромным оценкам нанес ущерб в 96 млн долларов. Тогда общественность всерьез задумалась над угрозой компьютерных атак.

В 1992 году появился первый документ, содержащий правила управления ИБ в компании, который впоследствии превратился во всем известный ISO/IEC 17799. На основании этого документа стали проводиться аудиты для выявления несоответствий. Вот только аудиты эти помогали убедиться, что системы обеспечения информационной безопасности в компании соответствуют установленным на бумаге (в политиках, регламентах) требованиям, а не защищают от реальных киберугроз. Причем сама проверка проводилась преимущественно в форме опроса сотрудников.

Спустя десять лет появилась методология оценки рисков, которая направила сообщество на путь поиска инцидентов, которые могли бы произойти, и выявления наиболее подходящих путей их предотвращения.Вначале оценка рисков происходила опять же только на бумаге, но затем эксперты стали проводить практический анализ защищенности информационных систем и тестирование на проникновение, для того чтобы корректно верифицировать риски.

Тестирование на проникновение (пентест) это проверка возможности получения злоумышленником несанкционированного доступа к ИТ-ресурсам компании. Пентестеры ищут уязвимые места в системе и демонстрируют возможность проведения атак, моделируя действия хакеров. Формальной эту проверку уже не назовешь. Однако у современного пентеста есть существенный недостаток: он всегда ограничен списком ресурсов, которые можно ломать, но самое главное он ограничен в сценариях поведения атакующих из-за невозможности влиять на реальную инфраструктуру. Есть перечень действий, которые для пентестеров под запретом, как правило, он прописан в договоре. Например, нельзя переводить миллиард с банковского счета, даже если есть такая возможность, или останавливать турбину на теплоэлектростанции.

Эти запреты связаны с тем, что компании боятся необратимости последствий, вызванных моделированием кибератак. Из-за этих ограничений пентест, как правило, заканчивается либо проникновением в локальную сеть компании, либо получением доступа к учетной записи администратора домена. И все. Только демонстрация гипотетических возможностей злоумышленников. И то без демонстрации последствий, ведь доводить атаку до конца запрещено. Это минус для всех сторон: для экспертов ИБ, которые не могут предоставить доказательства своих слов, лишь предполагая, к чему приведут действия хакеров; для службы ИБ компании, которая не может проверить, работают ли меры по противодействию атакующим; для руководства компании, которое может не доверять гипотетическим угрозам.

Еще один недостаток есть во всех перечисленных выше методах. В них не принимается во внимание человеческий фактор: сотрудники службы ИБ не могут оказать сопротивление пентестерам и остановить атаку, а сами пентестеры находятся в тепличных условиях они действуют открыто. Уровень зрелости ИБ в компаниях зачастую невысок, поэтому иногда работа пентестеров и вовсе сводится к подбору учетных данных администратора. В итоге пентестерам сложно развиваться в экспертном плане, им нет смысла совершенствовать свои методы и скрываться от службы ИБ, то есть действовать как реальный хакер, который всегда старается остаться незамеченным. Сотрудники службы мониторинга обычно тоже не принимают участия в пентестах, не анализируют действия пентестеров.

Тестирование на проникновение в режиме Red Team это способ приблизиться к условиям реальной атаки. В рамках Red Team эксперты ИБ имитируют целенаправленные атаки на компанию. В отличие от пентеста служба ИБ оказывает противодействие и тем самым повышает свою готовность к реагированию на киберугрозы. Однако слабой стороной Red Team аналогично пентесту является использование реальной инфраструктуры компании, поскольку вновь невозможно реализовать риск до конца.

Поэтому среди экспертов ИБ так популярны соревнования Capture the Flag (CTF). На CTF-площадках участники могут искать уязвимости в сервисах и использовать их для развития векторов атак на другие команды без негативного влияния на бизнес-функции компаний. Кроме того, эти соревнования отличный способ обучения экспертов ИБ (исследователей, пентестеров, участников Red Team и Bug Hunter). И если раньше бизнес не относился серьезно к CTF, считая это лишь развлечением, то сейчас мы видим, что многие общепризнанные эксперты ИБ, которые теперь занимают высокие должности, когда-то принимали участие в CTF. Правда, соревнования за более чем 20-летнюю историю преобразились.

До 2010 года CTF-соревнования были далеки от реальной жизни и инфраструктуры, уязвимости искусственны, а результат игры неприменим для бизнеса. Есть два формата проведения CTF:

  • Task-based, в котором требуется решать отдельные задачи и получать очки за правильные ответы (флаги).

  • Attackdefense, в котором участники получают идентичные серверы с набором уязвимых сервисов (приложений), не связанных между собой. Задача каждой команды заключается в том, чтобы найти уязвимости, устранить их на своем сервере и воспользоваться ими для получения конфиденциальной информации (флагов) у соперников.

Во время соревнований участники отрабатывают навыки быстрого поиска и закрытия уязвимостей, они учатся работать в команде, развиваются как эксперты. Сегодня работодатели приветствуют опыт в CTF как для пентестеров, так и для специалистов службы ИБ и SOC. Компании даже сами устраивают соревнования, например Trend Micro с 2015 года, Google с 2016 года. Кроме того, появились публичные программы bug bounty, в которых любой желающий может протестировать сервисы и продукты известных компаний и получить денежное вознаграждение за выявленные уязвимости. Так, за zero-click-уязвимость с исполнением кода на ядре компания Apple готова заплатить 1 млн долларов.

В 2010 году НАТО впервые провела открытые соревнования Locked Shields, в которых столкнулись Red Team (атакующие) и Blue Team (защитники). С 2001 года подобные соревнования под названием Cyber Defense Exercise проводило Агентство национальной безопасности США, но только для учащихся военных академий США. Формат таких соревнований не похож на CTF, это киберучения, эмулирующие реальный мир. В киберучениях применяются ИТ-системы, выполняющие бизнес-процессы, присущие реальным компаниям. Так, в декабре 2020 года Европейское агентство по сетевой иинформационной безопасности(ENISA) проведет Cyber Europe 2020, в котором организаторы смоделируют сценарии, касающиеся здравоохранения.

Движение бизнеса в сторону практической безопасности прозрачной, результативной и обоснованной привело к абсолютно новому формату соревнований. Этим форматом стали киберучения, в которых одновременно могут принять участие все специалисты компьютерной безопасности: пентестеры, исследователи, сотрудники службы ИБ и центра мониторинга. Сценарии атак для киберучений могут быть автоматизированы, а могут реализовываться с привлечением Red Team, состоящей из экспертов ИБ. Привлечение нескольких команд атакующих позволяет улучшить подготовку сотрудников службы ИБ и SOC, поскольку у них появляется возможность проработать больше техник и сценариев атак.

С появлением киберполигона The Standoff у сообщества появилась среда для моделирования кибератак, оценки значимости ресурсов и реализуемости рисков на цифровом макете реального города. В инфраструктуру города заложены живые бизнес-сценарии нефтяной компании, ТЭЦ, подстанции, химического завода, аэропорта, банка, железной дороги, морского порта, а значит, участники столкнутся с настоящим оборудованием и сервисами, используемыми в этих компаниях. The Standoff это уникальная возможность довести вектор атаки до конца и посмотреть, к чему это приведет: будет ли украден миллиард и надолго ли останется город без электричества после выхода из строя паровой турбины ТЭЦ. При проектировании The Standoff были использованы реальные контроллеры, которые используются на идентичных объектах критически значимой инфраструктуры, а значит, у экспертов ИБ есть возможность протестировать сценарии атак до конца. Если атака будет успешной и электростанция остановится, значит, она остановилась бы и в реальной жизни.

С развитием киберполигонов у компаний начинает появляться возможность как можно точнее моделировать собственую инфраструктуру, а значит, оценка рисков и последствий выходит на новый уровень. Пока хакеры совершенствуют свои методы атак, компании повышают уровень зрелости в сфере ИБ и отрабатывают техники реагирования на киберинциденты. Все специалисты компьютерной безопасности от администраторов до пентестеров улучшают свои навыки не в искусственном окружении, а в реалистичной среде, повторяющей и инфраструктуру, и бизнес-процессы компаний. А это значит, что завтра враг уже не пройдет.

Изучить киберполигон The Standoff вживую вы сможете уже завтра 12 ноября. The Standoff стартует в онлайн-формате и продлится в этом году целых шесть дней. Помимо активностей, связанных с кибер-битвой, вы сможете послушать доклады лучших экспертов в области практической кибербезопасности со всего мира: более 30 спикеров из России, США, стран Европы и Азии поделятся с вами своими последними наработками. Для участия в мероприятии достаточно лишь подключиться к онлайн-платформе.

Автор: Ольга Зиненко, аналитики информационной безопасностиPositiveTechnologies

Подробнее..

Перевод Мышление миллиардера из Кремниевой долины как принимать решения, связанные с риском

26.05.2021 20:08:54 | Автор: admin


Пол Букхайт создатель Gmail и FriendFeed, партнер Y Combinator. 12.09.2009 г.

Наши жизни полны решений, которые заставляют нас балансировать между риском и возможностью: должны ли вы согласиться на на эту новую работу, купить этот дом, инвестировать в эту компанию, проглотить эту таблетку, прыгнуть с обрыва и т.д. Как мы решаем, какой риск оправдан, а какой является идиотизмом? Готовы ли мы, сделав выбор, принять его последствия?

Я думаю, наиболее распространенный способ спросить себя Каков наиболее вероятный исход? Если наиболее вероятный исход нам нравится, мы делаем это (если считать, что люди склонны размышлять, принимая решения). Такой подход отлично работает с большинством решений. К примеру, вы можете верить, что наиболее вероятный исход решения учиться в школе это то, что позже вы получите лучшую работу, потому вы выбираете этот вариант. Так рассуждает большинство людей, когда решают учиться в школе, искать работу, покупать дом или принимают много других нормальных решений. Смещая фокус на ожидаемый результат, люди, использующий этот подход, часто игнорируют возможный неприятный исход. И когда происходит что-то неприятное, они чувствуют горечь и обман: Я получил отучился в универе, где моя работа?! Например, большинство людей, купивших дом пару лет назад, не предполагали, что их новый дом потеряет 20% его стоимости, и в итоге они будут должны больше, чем стоит их дом.

Когда я консультирую стартапы, я часто говорю людям, что они должны начинать с предположения, что стартап провалится и их доля не будет стоить ничего. Многим нелегко принять этот факт. Они говорят, что потеряют всякую мотивацию действовать, если действительно поверят в это. Печально, что этим людям необходимо врать себе, чтобы сохранить мотивацию. Но недавно я понял, что я просто использую иной способ оценки рисков и возможностей.

Вместо вопроса Каков наиболее вероятный исход? мне нравится спрашивать Что самое худшее может произойти? и Может ли это оказаться классным? По сути, вместо оценки медианного исхода, мне нравится взглянуть на 0,01 процентиль и на 95-й процентиль исхода. Если рассматривать стартапы, в худшем случае вы потеряете все свои вложения (но многому научитесь), а в лучшем случае вы сделаете огромную кучу денег, создадите что-то крутое и многому научитесь. (Можете почитать Почему я предпочитаю ошибаться, чтобы больше об этом узнать).

Думать наилучшими исходами просто, и многие люди так и поступают, однако это не сильно ценится (мечтатель это обычно не комплимент). Тем не менее, слишком много людей игнорируют наихудшие варианты, потому что думать о плохом некомфортно. Это заблуждение. Вот почему мы видим, что люди убивают себя из-за потерянных инвестиций, во всяком случае, это одна из причин. Они не планировали наихудшего варианта. Учитывать наихудший вариант не только помогает защититься от ошибок, но создает эмоциональный амортизатор. Если меня устраивает наихудший вариант. то я могу двигаться вперед без страха и сосредоточиться на возможности.

Учитывать только наилучшие и наихудшие варианты не идеальный курс. Лотерейный билет имеет приемлемый наихудший вариант (вы потеряете $1) и отличный наилучший вариант (вы выигрываете миллион), но, как правило, это плохая сделка. В идеале, мы должны учитывать ожидаемую ценность наших решений, но на практике это невозможно для большинства решений из жизни, потому что мир слишком сложен, а математика слишком трудна. Если ожидаемая ценность налицо (как для лотерейных билетов), тогда используйте это (и не покупайте лотерейные билеты), в противном случае нам понадобится некоторая эвристика. Вот что использую я:

  • Многому ли я научусь благодаря этому опыту? (провалы могут многому научить)
  • Сделает ли это мою жизнь интереснее? (предсказуемая жизнь скучная жизнь)
  • Это хорошо для мира? (если я не получу выгоды, может кто-то ее получит)

Все это повышает ожидаемую ценность (на мой взгляд), так что если я отвечаю в основном положительно, и я в восторге от положительного исхода, а наихудший вариант для меня приемлем, то игра стоит свеч. (Заметка: Я должен заметить, что при рассмотрении наихудшего сценария, важно учитывать влияние на окружающих. К примеру, если для вас умереть нормальный риск, то для других людей в вашей жизни это может быть неприемлемый наихудший вариант.)

Мне говорят, что я невероятно циничен. Так же мне говорят, что я необоснованно оптимистичен. Обдумав это, я решил, что меня устраивает быть циничным оптимистом :)

Кстати, вот почему я выбрал значение 0,01 процентиль при оценке наихудшего случая:

За прошлый год 37 261 автомобиль в Соединенных Штатах попал в аварию. Население США около 304 059 724 человека, так что мой шанс умереть в автокатастрофе при грубой прикидке примерно 1 / 10 000 в год. (Конечно, многие из этих людей были подростками или алкоголиками, так что мой шанс вероятно немного меньше, но для грубой прикидки сойдет). Используя логику, я могу в значительной степени игнорировать неясные риски 1 / 1 000 000, которых слишком много и от которых слишком сложно защититься.



Еще переводы Пола Букхайта




Если вы хотите помочь с переводами полезных материалов библиотеки YC пишите в личку, телегу @jethacker или почту alexey.stacenko@gmail.com

Следите за новостями YC Startup Library на русском в телеграм-канале или в фейсбуке.

Полезные материалы


Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru