Найти в Дзене
REPLY-TO-ALL Information Security Blog
120 подписчиков

Отрицание отрицания

52
2 мин
Я не раз рассуждал про атаки, но, всякий раз, расследуя инциденты, прихожу к одному простому выводу: зрелые с позиции защиты инфраструктуры будут ломать значительно более продвинутыми методами. Чем больше внимания мы уделяем безопасности, тем сложнее будет атака против нас, как следствие, тем меньше будут наши шансы ее обнаружить, расследовать и организовать реагирование. Почему так происходит? Любая логика обнаружения основана, в конечном счете, на какой-то аномалии, тип, аутентификация под определенной учетной записью не с того хоста, запрос на репликацию домена не с контроллера домена, доступ к информации от неправильной учетной записи и т.п. В нашем распоряжении еще имеются и превентивные контроли, причем, все книжки по ИБ настоятельно рекомендуют их максимально закрутить, реализовав всем известный "Принцип минимума полномочий". Полная реализация этого принципа приводит к тому, что учетной записью зайти с "неправильного хоста" будет нельзя, как не получится сделать и неавторизован

Я не раз рассуждал про атаки, но, всякий раз, расследуя инциденты, прихожу к одному простому выводу: зрелые с позиции защиты инфраструктуры будут ломать значительно более продвинутыми методами. Чем больше внимания мы уделяем безопасности, тем сложнее будет атака против нас, как следствие, тем меньше будут наши шансы ее обнаружить, расследовать и организовать реагирование.

Почему так происходит? Любая логика обнаружения основана, в конечном счете, на какой-то аномалии, тип, аутентификация под определенной учетной записью не с того хоста, запрос на репликацию домена не с контроллера домена, доступ к информации от неправильной учетной записи и т.п. В нашем распоряжении еще имеются и превентивные контроли, причем, все книжки по ИБ настоятельно рекомендуют их максимально закрутить, реализовав всем известный "Принцип минимума полномочий". Полная реализация этого принципа приводит к тому, что учетной записью зайти с "неправильного хоста" будет нельзя, как не получится сделать и неавторизованный доступ, - аномалий, которых ожидают наши корреляционные правила, не будет.

Означает ли это, что нас не будут атаковать? Конечно нет! Да, это создаст определенные сложности для атакующих: теперь ходить по сети надо будет легальными учетками, причем с тех хостов и по тем протоколам, как это обычно происходит. А в этом случае, наши возможности по обнаружению значительно сокращаются. Уменьшая степени свободы атакующего, мы уменьшаем количество потенциальных способов обнаружения. И здесь не будет лишним повторить с чего начал: чем более зрелые механизмы обеспечения безопасности мы используем, тем более сложно и замысловато нас будут ломать, тем сложнее нам будет это обнаружить и, затем, расследовать - сложность обороны порождает сложность атаки, что, в свою очередь, приводит к сложности реагирования, в какой-то степени мы сами являемся причиной собственных проблем :)

Вероятно, осознав эту простую закономерность, мы кинулись в другую крайность - хонипоты, мы специально создаем слабость, чтобы атакующий ее использовал, а мы его за это будем ловить. Хонипоты, или ловушки, упрощенно можно считать конфигурацией, а конфигурация жертвы внимательно изучается при планировании и подготовке целевой атаки, хорошая защита не должна основываться исключительно на незнании. В этом смысле я люблю расширять применяемое в криптографии правило Керкгоффса на все механизмы безопасности вообще, но практика все больше меня убеждает в том, что грамотного атакующего, порой, удается поймать только за его ошибки, а в таком случае у него должна быть возможность делать ошибки.