Добавить в корзинуПозвонить
Найти в Дзене
DigiNews
1891 подписчик

Самая сложная часть «purple teaming» начинается после обнаружения.

5 мин
Пурпурный тиминг (purple teaming) утратил глубину, превратившись в формальность. Стандартные тесты успокаивают, но не выявляют реальные уязвимости. ИИ не решает проблему. Нужен новый подход, ориентированный на результат и реальную устойчивость. — csoonline.com В своих недавних статьях для CSO я рассказывал об ограничениях текущих моделей SOC и важности репетиций. На этот раз я хочу сосредоточиться на том, что становится все более очевидным: пурпурный тиминг (purple teaming) утратил свою глубину. Мы превратили один из самых мощных инструментов обеспечения устойчивости в транзакционное упражнение, которое успокаивает, но очень мало говорит о том, как организация справится, когда давление станет реальным. Забота и внимание стали редкими активами в нашем мире. Отвлечение доминирует как в потреблении, так и в предложении услуг кибербезопасности. Клиенты погружаются в сложность и новизну, в то время как поставщики услуг — в сроки и результаты. Тем временем злоумышленники, все чаще использующ
Оглавление

Пурпурный тиминг (purple teaming) утратил глубину, превратившись в формальность. Стандартные тесты успокаивают, но не выявляют реальные уязвимости. ИИ не решает проблему. Нужен новый подход, ориентированный на результат и реальную устойчивость. — csoonline.com

В своих недавних статьях для CSO я рассказывал об ограничениях текущих моделей SOC и важности репетиций. На этот раз я хочу сосредоточиться на том, что становится все более очевидным: пурпурный тиминг (purple teaming) утратил свою глубину.

Мы превратили один из самых мощных инструментов обеспечения устойчивости в транзакционное упражнение, которое успокаивает, но очень мало говорит о том, как организация справится, когда давление станет реальным.

Забота и внимание стали редкими активами в нашем мире. Отвлечение доминирует как в потреблении, так и в предложении услуг кибербезопасности. Клиенты погружаются в сложность и новизну, в то время как поставщики услуг — в сроки и результаты.

Тем временем злоумышленники, все чаще использующие ИИ, становятся быстрее, незаметнее и решительнее.

Когда угрозы ускоряются, поверхностное тестирование больше не подходит.

Отсутствие обнаружений — не отсутствие риска

Я видел эту закономерность повсюду: проведение пурпурного тиминга дает впечатляющие результаты. Отчет выглядит хорошо. Обнаружения соответствуют ожиданиям. Руководство успокаивается.

Но результат часто воспринимается как *единственный* результат, как будто отсутствие обнаружений означает отсутствие риска. Это ошибка.

Стандартный подход отрасли обусловлен нехваткой времени, коммерческими ограничениями и слишком узкими рамками. Ничто из этого не является злонамеренным, это просто эволюция системы. Поставщики предоставляют то, на что заключили контракт, а клиенты воспринимают отчет как знак глубины.

Упущения, часто вызванные нехваткой времени или отсутствием умственного пространства, невидимы. А невидимые упущения — самые опасные.

Два клиента, которых «не должны были взломать»

Недавно мы работали с двумя чрезвычайно зрелыми организациями. На бумаге обе выглядели почти неуязвимыми.

Вместо стандартного пурпурного тиминга мы совместно разработали с ними план. Мы посмотрели на проблему глазами решительного злоумышленника и открыто поделились неявными знаниями — как своими, так и их. Важно, что все участники имели представление о действующих мерах контроля. Это было настоящее партнерство в области кибербезопасности, а не аудит.

И обе организации были скомпрометированы — глубоко — почти без каких-либо признаков компрометации.

В одном случае был лишь один индикатор компрометации: «domain admin». Ничего о том, *как* это произошло. Ничего о том, *что делать дальше*. Никакой инстинктивной или автоматизированной реакции. Просто загорелся красный свет без какого-либо сценария действий.

В другом случае SOC обнаружил множество сигналов, но так и не отреагировал вовремя. Обнаружение без действия — это просто шум.

Этот опыт был отрезвляющим. И он поставил прямой вопрос: «Вы нас видели. И что?»

Это настоящий тест. Не в том, увидит ли SOC что-то. А в том, предпримет ли он *что-то* — достаточно быстро и достаточно точно — чтобы предотвратить ущерб.

Стандартный пурпурный тиминг не приведет вас туда

Пурпурный тиминг должен выявлять эти реалии, но текущая модель редко это делает. Поставщики услуг склонны фокусироваться на обходе защиты, эксплуатации, «победе». Клиенты сосредоточены на закрытии тикетов, завершении работ и получении отчета.

Ни один из этих подходов не создает пространства, необходимого для глубокого осмысления.

Если бы мы торопились, мы бы никогда не нашли того, что нашли. Нехватка времени влияет на результаты сильнее, чем большинство организаций осознают. Когда тестирование ограничено стандартным рабочим днем, это ограничивает возможности команд исследовать условия, ведущие к реальной компрометации.

Устойчивость — это момент «торможения»

Представьте, что вы едете на машине и видите, как автомобиль впереди резко тормозит. Осознание помогает, но именно ваша немедленная реакция позволяет избежать столкновения. Страховые полисы в этот момент не имеют значения. Как и отчеты о соответствии или дашборды.

Имеют значение только бдительность и репетиция.

Киберустойчивость работает так же. Вы не можете выработать инстинкт, необходимый для действий, проведя одну симуляцию в год. Вы вырабатываете его через повторение. Через тестирование того, как разворачиваются конкретные сценарии. Через изучение не только того, как злоумышленники проникают, но и как они перемещаются, повышают привилегии, уклоняются и эксфильтрируют данные.

Это суть настоящего пурпурного тиминга.

ИИ тоже не помог ни одной организации

У обоих клиентов ИИ был встроен в их SOC. И это не имело значения.

ИИ может ускорить анализ, но он не может заменить интуицию, дизайн или суждение, необходимые для действий. Если организация не отрепетировала, что делать, когда появляется сигнал, ИИ лишь ускоряет момент, когда все понимают, что не знают, что делать дальше.

Вот почему так много тестов сегодня нацелено только на оппортунистические атаки. Они устраняют «низко висящие фрукты». Но если бы организованная преступность захотела эти организации, они бы их получили. И это нелегкое предложение.

Модель, создающая ложную уверенность

Стандартная модель тестирования ставит в тупик всех участников:

  • Разовые тесты создают ложную уверенность.
  • Ограниченные рамки подавляют воображение.
  • Нехватка времени исключает глубину.
  • Коммерческие структуры препятствуют сотрудничеству.
  • Инструменты создают иллюзию возможностей.
  • Соответствие нормам поощряет видимость строгости вместо ее реальности.

Вот почему пурпурный тиминг часто становится «выпрыгнул, стабилизировался, дернул парашют, приземлился». Но как насчет сложных сценариев? Как насчет частичных развертываний? Как насчет комплексных сбоев? Именно здесь строится устойчивость.

И сегодня устойчивость — единственная значимая метрика.

Новый подход: медленный, последовательный, вовлеченный, ориентированный на результат

По моему опыту, эффективный пурпурный тиминг требует:

  • Совместное владение миссией.
  • Обмен неявными знаниями с обеих сторон.
  • Полная видимость мер контроля.
  • Разработанные, а не купленные сценарии.
  • Повторение и репетиция.
  • Пространство для размышлений.
  • Дисциплинированная простота.
  • Фокус на «и что?», а не на обход защиты.

Это системное мышление. Инженерия. Психология. Это, во всех смыслах, более сложная работа, чем стандартная модель.

Но кажущееся невозможным становится возможным, когда обе стороны подталкивают друг друга, а целью является не создание отчета, а раскрытие реальности.

Пурпурный тиминг — это, конечно, проникновение. Но это также и то, что происходит после. Без другого подхода, ориентированного на последовательность и результаты, организации будут продолжать проходить тесты, но терпеть неудачу на практике.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Dan Haagman

Оригинал статьи