19 и 20 мая провел на Positive Hack Days. В этом году, помимо доклада (19 мая, 17:00 в секции Defensive), мне удалось принять участие в трех обсуждениях, причем, два из них были, в моем понимании и стремлении к обобщениям, примерно про одно и то же: Экспертная открытость (19 мая в 13:00, Эфирная студия) и Почему мы не умеем дружить домами (20 мая в 11:15, Бизнес-трек 1), что наводит на мысль о важности проблематики. Расскажу здесь свои мысли об этом.
1. О коллективной защите
Киберугрозы - общемировая проблема, как и различного рода пандемии, терроризм и т.п. Противостоять таким вещам лучше сообща, причем, чем больше вовлеченность и чем больше различных участников, тем выше результативность инициативы. Однако, то, что когда-то писал К. Маркс о крахе капитализма, мы начинаем наблюдать только сейчас, разваливается и глобализм, раньше встречался термин "балканизация", в общем, рвутся горизонтальные связи. Странное дело, что организации и индивиды, которые приписывали себе гуманные позывы повышать безопасность в мире в целом, сами инициируют разрыв эффективных доселе коммуникаций, что неизбежно ведет к снижению безопасности в мире... Но не будем об этом, я очень часто видел ситуации, когда стремясь к чему-то наше поведение приводит к ровно противоположным результатам, может, это следствие законов Мерфи.
Потеряв участие в международных организация, России обязательно нужно создавать отечественные аналоги и привлекать туда всех участников рынка. С глобальным злом надо бороться глобально.
Прежде чем что-то делать, обязательно определить цель. В этой заметке я пишу с позиции цели повышения безопасности на уровне страны, т.е. к повышению уровня зрелости отрасли в целом.
2. О конкуренции
Участие предполагает чем-то делиться, и существует мнение, что делиться никто не будет, так как это предмет интеллектуальной собственности, т.е. в плоскости конкуренции. Говоря проще, компании не будут делиться каким-либо контентом ради общей цели. Это не так.
Во-первых, детекты, IoC-и и т.п. не являются основным полем конкуренции. Между вендорами есть обмен IoC-ами и даже тушками ВПО. Вендоры конкурируют технологиями, исследованиями, упрощенно можно сказать, что конкуренция там, где патенты.
Во-вторых, просто раздача IoC-ов бесплатно не приведет к повышению зрелости отрасли на уровне страны. В моем понимании, это все равно, что развивать внутреннее производство, импортируя готовую продукцию, так как надо создать процесс, в результате которого будет возникать TI для обнаружения современных угроз, надо создать процесс обнаружения, расследования, предотвращения и восстановления после атак. Для эффективного ведения войны надо не просто импортировать патроны, надо уметь их самостоятельно создавать с адекватным качеством и в нужном количестве.
В-третьих, если мы пытаемся обнаруживать целевую атаку, то используемые инструменты атакующих уникальны и не будут ловиться на IoC-и, а для commodity прекрасно подходит современный антивирус (если честно, у меня постоянно когнитивный диссонанс, когда коллеги по цеху кричат о несовершенстве современных EPP, и параллельно продвигают ловлю на IoC-и... Вы серьезно полагаете, что ловля на хеш эффективнее обнаружения по сигнатуре?! Тем более, по поведению!).
В общем, делиться контентом из основания Пирамиды боли - не будет результативно, надо подниматься выше к ТТР. Однако, надо понимать, что любой высокоуровневый контент требует постоянной адаптации. Мы, как поставщик, можем отработать только сигнатурные ложные срабатывания, контекстные - полностью в ответственности пользователя. Очевидно, и это подтверждается практикой, что контекстные ложные срабатывания являются отражением изменения конфигурации обслуживаемой инфраструктуры, а так как изменения происходят постоянно, требуется и постоянная подстройка детектирующей логики, т.е. постоянный Operations, без которого детектирующая логика не будет давать ожидаемую ценность, будет только фолсить. Поэтому, даже получив качественный контент, у потребителя не будет возможности сидеть сложа руки, а эффективность и результативность полученного контента будут полностью зависеть от того, как бодро он отрабатывает контекстную (или инфраструктурную) фолсу.
А вообще, вполне можно создавать условия, когда вклад в сообщество будет конкурентным преимуществом, тогда вендоры, напротив, будут стремиться вкладываться.
3. О вовлеченности коммерческих компаний и их интересах
Бытует мнение, что коммерческие компании не заинтересованы участвовать своими ресурсами (например, временем экспертов) в открытых инициативах. Однако, мир состоит из компромиссов, тем более, если мы с вами занимаемся ИБ, которая всегда представляет собой компромисс, - это в наших с вами силах донести до лиц, принимающих решение, аргументы в пользу участия разного рода инициативах.
Есть хороший пример с тестом MITRE. Для подготовки фактического теста учитывается релевантный TI по группировке (в нашем случае была APT29), полученный от каждого участника тестирования. Это позволяет сделать конечный тест более комплексным, а с учетом того, что, наверно, каждый вендор будет стремиться передавать TI, в свете которого он будет выглядеть привлекательно, создается ситуация, когда каждого участника можно потестировать на условиях конкурента, а не только на его собственных. В этом примере как раз показаны механизмы как создается сообщество, в котором выгодно участвовать, хотя, вроде как, и передается TI, который, вроде как, конкурентное преимущество.
Делиться с MITRE выгодно для вендора, так как:
- своим вкладом вендоры увеличивают качество и покрытие (глубину и ширину, количество техник и количество реализаций для каждой техники) MITRE, а результирующая "комплексность" повышает ее популярность. Техники в MITRE публикуются с указанием авторов, а упоминание авторства вендора в столь популярном фреймворке доказывает наличие соответствующих компитенций и опыта, фактически - это один из лучших техноPRов
- продолжим тему TI, имеющего функцию техноPRа. Для PR важен объем аудитории, а попадание TI в MITRE ATT&CK - прекрасный канал продвижения
- привнося свои исследования в общепризнанный\общедоступный фрейморк, вендоры повышают комплексность, качество этого фреймворка. С учетом того, что фреймворк используется как площадка для независимого тестирования решений, это приводит к тому, что и решения подтягиваются по качеству, чтобы не выглядеть бледно. Итак, мы инвестируем в тестирование, тестирование улучшается, что приводит к улучшению решений конкурентов, а это, в конечном счете, приводит к повышению зрелости всей отрасли, - это и есть то, что как раз и нужно!
Последний пункт работает с любым другим compliance: мы вкладываемся в стандартизацию, а если стандартизация применима ко всем, то все стремятся дотянуться до ее уровня. Звучит, возможно, как гонка вооружений, но с позитивным результатом, так как сравниваемые по стандарту решения становятся лучше.
Вендору выгодно вкладываться в стандартизацию, так как фактически, этим же стандартом он потом будет подтверждать свое качество заказчику.
Стандартизация выгодна и заказчику, так как соответствие стандарту гарантирует качество продукта. Заказчику также выгодна и конкуренция, так как она позволяет делать выбор в пользу зрелых решений на рынке, что подтягивает остальных игроков.
Говорят, что лидеры - не бегут за рынком, а формируют его. Вкладываясь в отрытые инициативы вендоры фактически формируют рынок для своих продуктов, они формируют маркетируемые фичи своих решений. Если в инициативу вложиться качественно и результат получится комплексный, то, вполне возможно, он и сможет стать такой самой площадкой для сравнения конкурентных решений, как MITRE ATT&CK или любой другой compliance. В долгосрочной перспективе вендору выгодно формирование таких площадок сравнения, так как это, в некотором роде, возможность формирования рынка "под себя", на базе собственных сильных сторон, - это всяко лучше, чем догонять сильные стороны кого-то другого.
Может возникнуть нелепый вопрос - как же понять, в какую инициативу вкладываться :).... мне смешно, а вам? Поскольку, вопрос частый, придется его здесь немного коснуться. Во-первых, без труда не вытащишь..., поэтому чтобы получилось то, что подхватят и будут использовать, надо вложиться как следует. Во-вторых, на то мы с вами и профессионалы, чтобы предсказывать будущее, какие же мы с вами тогда продуктовые стратеги! У нас с вами должно быть видение (vision) того для чего мы делаем продукты и, если наш вижн соответствует реальности, то он будет подхвачен рынком. Верно и обратно, что если наш с вами вижн не подхватывает сообщество, значит мы ошиблись в прогнозах и, в общем-то, не очень профессионалы :(.
4. Роль регуляторов
Безусловно, я всячески "за" описанные выше принципы морковки спереди. Самосознательность - лучшая мотивация. Но, к сожалению, мой долгий опыт работы в разных коллективах показывает, что еще большего результата можно добиться при комбинации обоих морковок - спереди, и сзади, - банально "добрым словом и кольтом можно добиться большего результата, чем просто добрым словом".
С учетом того, что функция государства в том, чтобы всем было Хорошо, для государственного регулятора есть огромное поле возможностей сделать Хорошо для индустрии.
На уровне государственного регулятора можно (и нужно) находить правильные инициативы и превращать их в Compliance\стандарты, первым этапом - необязательные, а после наблюдения за ситуацией - в обязательные для исполнения. Наличие требований (тем более обязательных) будет стимулировать вендоров им соответствовать, повышать качество решений. Качественные решения будут за собой подтягивать правильные операционные практики и способствовать повышению зрелости индустрии в целом.