Добавить в корзинуПозвонить
Найти в Дзене
DigiNews
1832 подписчика

Кот Шрёдингера и парадокс корпоративной «security»

4
9 мин
Большинство руководителей в сфере безопасности смирились с парадоксом: пока вы не заглянете внутрь своей инфраструктуры, ваша организация одновременно и защищена, и скомпрометирована. Панели мониторинга могут показывать зеленый свет, но реальность такова, что вы не знаете истинного положения дел, пока не увидите это непосредст […] — csoonline.com Большинство руководителей в сфере безопасности смирились с парадоксом, который редко озвучивают вслух. Пока вы не заглянете внутрь своей инфраструктуры, ваша организация одновременно и защищена, и скомпрометирована. Панели мониторинга могут показывать зеленый свет, а отчеты аудита — успокаивать, но неприятная реальность такова, что вы не знаете истинного положения дел, пока не увидите это непосредственно и часто. Многие читатели слышали о коте Шрёдингера, но детали со временем размываются, поэтому стоит напомнить, что означает эта аналогия, прежде чем применять ее к безопасности. Это мысленный эксперимент в квантовой физике, который иллюстриру
Оглавление

Большинство руководителей в сфере безопасности смирились с парадоксом: пока вы не заглянете внутрь своей инфраструктуры, ваша организация одновременно и защищена, и скомпрометирована. Панели мониторинга могут показывать зеленый свет, но реальность такова, что вы не знаете истинного положения дел, пока не увидите это непосредст […] — csoonline.com

Большинство руководителей в сфере безопасности смирились с парадоксом, который редко озвучивают вслух. Пока вы не заглянете внутрь своей инфраструктуры, ваша организация одновременно и защищена, и скомпрометирована. Панели мониторинга могут показывать зеленый свет, а отчеты аудита — успокаивать, но неприятная реальность такова, что вы не знаете истинного положения дел, пока не увидите это непосредственно и часто.

Встреча с котом — парадокс с зубами

Многие читатели слышали о коте Шрёдингера, но детали со временем размываются, поэтому стоит напомнить, что означает эта аналогия, прежде чем применять ее к безопасности. Это мысленный эксперимент в квантовой физике, который иллюстрирует, насколько странными кажутся правила микромира применительно к повседневным объектам, таким как кот в коробке.

В классической постановке кот помещается в закрытую коробку с тремя компонентами: крошечным радиоактивным источником, детектором, способным определить, распался ли атом, и флаконом с ядом, который будет выпущен, если детектор сработает. Пока коробка остается закрытой, квантовая механика описывает радиоактивный атом как находящийся в суперпозиции состояний «распался» и «не распался» одновременно.

Снаружи кот кажется одновременно живым и мертвым, пока кто-нибудь не откроет коробку и не проверит. В тот момент, когда наблюдатель заглядывает внутрь, неопределенность схлопывается в один исход: жив или мертв, но не оба сразу. Шрёдингер предложил это не потому, что верил в полумертвых котов, а чтобы раскритиковать упрощенные интерпретации квантовой теории и заставить людей столкнуться с тем, насколько странно относиться к ненаблюдаемым системам так, как если бы они занимали несколько состояний одновременно.

Эта структура — система, существующая в нескольких возможных состояниях до момента наблюдения, а затем схлопывающаяся в одно реальное состояние, — именно то, что делает кота Шрёдингера столь мощным способом говорить о современной кибербезопасности.

Две компании, которыми управляет каждый лидер

Когда я впервые занялся консультированием в области безопасности, я понял, что многие руководители фактически управляли двумя разными компаниями одновременно: одной, которая выглядела безопасной на аудитах, панелях мониторинга и в документах, и другой, которую злоумышленники исследовали и учились использовать под поверхностью. В отчетах для совета директоров организация выглядела контролируемой, соответствующей требованиям и упорядоченной в журналах и обзорах инцидентов, но на практике она выглядела беспорядочной, импровизированной и полной слепых зон.

Со временем я начал описывать эти два состояния как «бумажную компанию» и «реальную компанию». Бумажная компания определяется контролем. Это версия организации, которая фигурирует в рамках, политиках, архитектурных диаграммах и оценках зрелости, с указанными владельцами, отображенными процессами и успокаивающими отчетами в виде светофора.

Реальная компания определяется поведением. Это версия, которая проявляется в телеметрии, анализе угроз, результатах работы red team и пост-инцидентных обзорах. Она формируется тем, как люди на самом деле работают, сокращениями, встроенными в процессы, устаревшими системами, к которым никто не хочет прикасаться, и интеграциями, которые никогда не были полностью документированы.

Парадокс заключается в том, что беседы руководства обычно исходят из предположения, что существует только бумажная компания. Когда совет директоров спрашивает: «Мы в безопасности?», ответ обычно ссылается на политики, сертификаты и охват инструментов — все атрибуты бумажной компании, в то время как злоумышленники взаимодействуют только с реальной. Пока руководители не смогут четко и регулярно видеть реальную компанию, они фактически управляют котом в коробке: они должны действовать так, как будто они одновременно и в безопасности, и скомпрометированы, не зная, какое состояние истинно в данный момент.

Безопасность как проблема наблюдения, а не только контроля…

Большинство стратегий безопасности по-прежнему рассматривают защиту в первую очередь как проблему контроля: развернуть больше средств контроля, отобразить больше требований и закрыть больше находок. Средства контроля важны, и как консультант было бы безответственно их преуменьшать. Тем не менее, крупные инциденты постоянно напоминают нам, что средства контроля могут существовать на бумаге, в то время как злоумышленники перемещаются боком через пробелы в видимости, неправильные конфигурации и исключения, которые никто не изучал внимательно месяцами.

Мышление в терминах Шрёдингера переосмысливает эту проблему безопасности как также и все более как проблему наблюдения. В физике измерение сворачивает квантовую систему из множества возможных состояний в одну наблюдаемую реальность. В безопасности обнаружение играет ту же роль. Пока нет конкретного сигнала, такого как оповещение, корреляция журналов, расследование аномалии или уведомление от третьей стороны, вы не можете категорически утверждать, присутствует ли злоумышленник. Вы можете обсуждать вероятности и ожидания, но не текущие факты.

Рассматривая это с такой точки зрения, возникают три истины:

1. Отсутствие доказательств (оповещений) — не доказательство отсутствия (безопасности)

Это может просто означать, что ваши инструменты не видят, где находится злоумышленник, или что сигналы не коррелируются и не интерпретируются эффективно. Тихий SIEM может указывать на устойчивость или полную слепоту; без более глубокого наблюдения вы не знаете, что именно.

2. Время пребывания (dwell time) — мера ненаблюдаемой реальности

Каждый день, когда злоумышленник остается необнаруженным, — это день, когда руководство действует под ложным предположением о состоянии системы. Чем дольше разрыв в обнаружении, тем дольше ваша организация живет в суперпозиции «безопасна и скомпрометирована».

3. Внешнее обнаружение — симптом сбоя наблюдения

Когда регуляторы, клиенты или партнеры первыми сообщают вам, что что-то не так, это является сильным сигналом того, что коробка была открыта только снаружи.

Как только вы увидите безопасность как проблему наблюдения, вопрос «Мы в безопасности?» начнет казаться неправильным. Лучше задать следующие вопросы:

  • Как быстро мы узнаем, если будет скомпрометирована ценная учетная запись или система?
  • Какие части нашей среды фактически не наблюдаются с точки зрения телеметрии или ведения журналов?

Консультирование руководителей в условиях парадокса

Как консультант, моя цель — не смутить организации из-за их неопределенности, а нормализовать и систематически уменьшать ее. Сложные среды имеют слепые зоны, и риски возникают из-за их игнорирования.

Работа включает три сдвига в мышлении и действиях:

  1. Измените вопросы в зале заседаний. Вместо того чтобы спрашивать «Мы в безопасности?», спросите: «Где у нас есть веские доказательства, а где мы предполагаем?» Эта честность согласует решения с реальностью и проясняет потребности в инвестициях.
  2. Измеряйте уверенность, а не только средства контроля. Включите такие метрики, как охват телеметрии, скорость обнаружения и результаты работы red team, чтобы оценить, насколько хорошо организация выявляет угрозы. Когнитивные искажения среди практиков усугубляют эти пробелы.
  3. Поощряйте выявление неоднозначности, а не наказывайте за неопределенность, и призывайте команды признавать пробелы и улучшать наблюдение, укрепляя доверие со временем.

Приземление парадокса

Схлопывание парадокса в реальном предприятии — это не поиск единственного волшебного средства контроля, доказывающего вашу безопасность; это построение привычек наблюдения, которые постоянно сужают разрыв между бумажной и реальной компанией. Практически несколько моделей оказывают непропорционально большое влияние. Что влечет за собой переход от суперпозиции к наблюдению в корпоративной среде? С точки зрения консультанта, определенные модели значительно влияют на этот процесс:

  • Относитесь к охоте на угрозы (threat hunting) как к рутине, а не как к героизму. Многие организации рассматривают охоту как редкие специальные проекты, часто обусловленные конкретной проблемой или давлением со стороны регуляторов. Более эффективная модель — сделать их операционной функцией, способом непрерывно проверять предположения о том, где могут скрываться злоумышленники, и подтверждать, что существующие средства обнаружения по-прежнему работают должным образом.
  • Проектируйте телеметрию с учетом вопросов. Вместо того чтобы начинать с вопроса «какие журналы мы можем легко захватить?», начните с «на какие вопросы мы хотели бы ответить после инцидента и что мы хотели бы наблюдать в реальном времени?». Отталкивайтесь от этих вопросов, чтобы определить необходимую телеметрию и аналитику. Это позволяет сосредоточиться на понимании поведения, а не просто на заполнении хранилища.
  • Интегрируйте внешнее наблюдение в свою картину реальности. Bug bounty программы, тесты на проникновение, независимые оценки и обмен информацией в отрасли — все это способы позволить другим открыть коробку с разных сторон. Ключ в том, чтобы интегрировать эти наблюдения в собственное повествование, а не рассматривать их как несвязанные упражнения.

Со временем эти практики сужают разрыв между бумажной и реальной компанией. Руководителям по-прежнему нужны политики, средства контроля и отчеты, но эти артефакты начинают отражать наблюдаемое поведение гораздо точнее, чем амбиции.

Руководство в мире полуоткрытых коробок

Самое честное заявление, которое может сделать руководитель в сфере безопасности, — это не «мы в безопасности», а «вот что мы знаем, вот чего мы еще не знаем, и вот как быстро мы сокращаем этот разрыв». По сути, это обязательство непрерывного наблюдения. Это также переосмысливает безопасность из статического состояния в динамическую практику, что соответствует тому, как работают современные цифровые бизнесы.

Кот Шрёдингера напоминает нам, что ненаблюдаемые системы могут существовать одновременно в нескольких состояниях. В кибербезопасности это означает, что спокойная среда может быть одновременно устойчивой и глубоко скомпрометированной, пока не доказано обратное. Задача руководителей в сфере безопасности и их консультантов — не делать вид, что парадокс не существует, а создавать технические, организационные и культурные возможности, которые позволят организации открывать коробку рано и часто, и быть готовыми действовать в отношении всего, что будет найдено, когда это произойдет.

Эта статья публикуется в рамках Foundry Expert Contributor Network.
Хотите присоединиться?

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Dino Velusamy

Оригинал статьи

Бизнес и финансы
1,13 млн интересуются