Комплаенс всегда опаздывает

#security #russian

Давайте рассмотрим жизненный цикл ответа на новый класс угроз и на время, которое занимает выработка адекватных механизмов противодействия.

Итак, предположим, появляется новый класс атак, скажем, spear phishing, класс браузерных эксплоитов или какой-нибудь новый трюк социальной инженерии. Замечу, что новый метод не сразу становится доступным всем атакующим – это ведь не мистические существа, а люди и группы людей, там есть социальная динамика, деньги и др. Класс атакующих – не монолитная система, а много слабо связанных групп с разными интересами (я это упоминал на PHDays’16). Поэтому в day 0 атака становится доступна только небольшому числу атакующих. Атака неизвестна защищающимся и очень успешна, хотя, возможно, и применяется в самой грубой форме.

Подобно тому, как в некоторых схемах электронной подписи её использование приводит к раскрытию бит ключа, реализация атаки приводит к раскрытию метода или уязвимости. У Microsoft есть пост о том, как они находили в логах WER ранние следы эксплуатации MS08–067 (поверить не могу, что 8 лет прошло). Судя по всему, сейчас WER систематически используется для обнаружения zero day и выпуска исправлений. Тоже касается и социальной инженерии – в какой-то момент найдётся более внимательная жертва и метод будет раскрыт (конечно, в отличие от выпуска патча, он не потеряет сразу всю эффективность, но она может начать снижаться). Понимая это, опытные обладатели zero day обстоятельно относятся к его применению и следят за тем, чтобы срок жизни был как можно больше:

Подтверждение использования этой тактики можно найти в отчётах антивирусных компаний. При обнаружении нового зловредного RAT (это как раз малварь из п.4 выше), зачастую они не могут понять, откуда она взялась.

Тем не менее, со временем об атаке становится широко известно: исследователь находит сэмпл на вирустотал, антивирусный вендор расследует заражение и обнаруживает уязвимость, в Microsoft срабатывает какой-нибудь триггер на основе WER и так далее. Для примера, будем считать, что Microsoft обнаружила уязвимость и выпустила пакет исправлений – атака переходит в категорию day one.

Day one — это уже гонка, а не засада. Тут счёт идёт на дни и недели. Во-первых, есть диффы и точно известно, что вендор поменял. Во-вторых, людей, которые могут отреверсить патч больше, чем тех, кто может найти уязвимость. Много народу по всему миру начинает делать рабочие эксплоиты на основе патчей. Они появляются через часы, максимум – несколько дней после выхода патча.

В этот момент все понимают, что уязвимые системы рано или поздно будут запатчены, так что урожай нужно собирать сейчас, пока это не сделал сосед. Поэтому никто не скрывает уже результаты деятельности, все работают в открытую и побыстрее.

Примерно в это же время, как правило в течение недели, компании, торгующие защитой, выпускают обновления для своего софта: там либо появляются сигнатуры (если это возможно), либо они быстро придумывают какие-нибудь обходные способы, позволяющие защититься от новой атаки, используя существующие возможности платформы. Через несколько месяцев, с выходом новой версии, может появиться и специальная функциональность (например, какая-нибудь дополнительная проверка для защиты от spear phishing).

В общем, через пару-тройку месяцев основная масса компаний запатчилась, сигнатуры доработаны, новые методики защиты появились и наиболее продвинутые организации применяют их.

Через полгода–год, методики переходят в категорию “лучших практик” и даже довольно отсталые организации включают в свой арсенал нужные подходы, а рассказы про атаку в исполнении пресейлов какого-нибудь на конференции какого-нибудь вендора перестают развлекать и становятся поводом для шуток. Тут атаку эксплуатируют уже скрипт-кидди, и не про какую APT, как правило, речь не идет. Про неё напишет журнал Хакер, на гитхабе появятся десяток скриптов, а в Kali Linux будет встроена утилита с GUI.

Еще через год, когда почти все забыли про то, как недавно все носились по плану эвакуации, приходит в сознание регулятор и начинает выпускать методички. Нужно понимать, что в этот момент

В общем, все, кому это надо, уже защищены. Сотрясание воздуха регулятором может стать только поводом для шуток. Но регулятор на этом не успокаивается, он же регулятор. Он вносит изменения в очередной стандарт, включая в него свое понимание мер по защите от угроз. Тут уж самые тупоголовые бумажные безопасники начинают безуспешно догонять ушедший поезд. Наступает эпоха комплаенса.

Какие выводы можно тут сделать?

Во-первых, если вы ориентируетесь на “лучшие практики”, у вас нет шансов стать лидером. Потому, что по определению, лучшие практики это то, что другие многократно попробовали и увидели положительный эффект. Иначе говоря, вы обязательно оказываетесь в хвосте развития.

Во-вторых, если главный драйвер безопасности у вас в компании — это соответствие требованиям регулятора, вы просто не защищаетесь от актуальных угроз. Требования регуляторов еще хуже лучших практик в смысле актуальности, потому, что цикл разработки регулирующих требований велик — пока в сознание придут, пока с “экспертами” посоветуются, пока бумаг напишут, это все время. Для иллюстрации, я недавно слышал историю про организацию, где одновременно проходила проверка Роскомнадзора в отношении защиты персональных данных и пентест. Роскомнадзор не нашел нарушений. Пентестеры поимели вообще всё.

Если такой вывод, каково руководство к действию? На выполнение требований нужно тратить минимум денег. Это как налоги, единственное осмысленное действие — минимизация. Если бюджет на ИБ ограничен, в приоритете должна стоять техническая безопасность и реагирование на инциденты. Тогда есть больше шансов, что следующий скрипт-кидди не утащит то, что у вас, может быть, имеет смысл тащить.

А на успех против APT даже не надейтесь.