Czytając książkę o niebieskich zespołach znowu trafiłem na przewijające się stanowczo zbyt często stwierdzenie, by "myśleć jak atakujący".

Uważam, że to myślenie jest stanowczo przeceniane i jest objawem niedojrzałości danego zespołu, organizacji lub osoby decyzyjnej w temacie cyberbezpieczenstwa. Takie określenie miało sens pod koniec poprzedniego i na początku obecnego stulecia, w rozwiniętych krajach, kiedy trzeba było przekonywać rządzących i korporacje, by wziąć cyberbezpieczenstwo na poważnie i w okolicach drugiej dekady obecnego wieku w krajach takich jak Polska, kiedy dopiero zaczynał się boom na cyberbezpieczenstwo i rozwijało się ono powoli na konferencjach takich jak BSides Warsaw czy w NASKu, skąd było dalej promowane przez CERT Polska. Obecnie jesteśmy na zupełnie innym etapie, zagrożenia są znacznie poważniejsze, a stan wiedzy i procedur jest również na kompletnie innym pułapie (przynajmniej powinien być…). Na konferencjach organizowanych przez zespoły defensywne (na które warto zajrzeć będąc napastnikiem, bo bardzo dużo informacji dla swoich metodyk można wyciągnąć ;) ) nie słyszymy ciągle o tym, by "myśleć jak atakujący", bo brzmi to w obecnych realiach trochę jak by ktoś naoglądał się filmów z Hollywood i wstydził się powiedzieć wprost, że ma skryte fantazje zabawy w hakera z iq200. Mówi się za to o badaniu, obserwowaniu i analizie napastników, wyciąganiu własnych wniosków oraz budowaniu własnych metodyk, procedur i playbooków na bazie tych wniosków, ale też na podstawie innych czynników i informacji, które wpływają na środowisko bezpieczeństwa Twojej organizacji.

Obrońcy są własną wartościową rolą

Przede wszystkim wydaje mi się, że takie określenia umniejszają specjalistom i ekspertom w niebieskich zespołach. Niejako w domyśle uznając ich za nieprawdziwych specjalistów od bezpieczeństwa, albo stawiając ich rolę w odniesieniu do — często w odniesieniu do jakiejś bandy dzieciaków ze skryptami z internetu… Nie powinno tak być, a bezpieczeństwo organizacji i jakość zabezpieczeń nie są względne wobec napastników, bo kiepsko zabezpieczona firma, której nikt teraz atakuje, to nadal kiepsko zabezpieczona firma.

Zupełnie inne potrzeby napastnika i obrońcy

Obecnie, kiedy mamy bardzo rozbudowane standardy, które możesz nawet wziąć z półki dla struktur defensywnych myślenie jak napastnik jest tym bardziej anachroniczne, bo nawet architektem bezpieczeństwa w danej organizacji, to potrzebujesz znać całą powierzchnię ataku oraz całą głębię obrony. Musisz poznać i zmitygować każdą podatność (w teorii, ale to jest rageposting, a nie wykład z zarządzania ryzykiem), a napastnik potrzebuje jednej podatności, by zrobić nam ogromną krzywdę (również w teorii, ale ja tutaj chcę zrobić obrazowe przedstawienie teorii dla średnio rozgarniętych kierowników, a nie wykład o tym, że za niektóre konfiguracje AD powinno się publicznie chłostać…)

Myślenie jak napastnik w tradycyjnie "ofensywnych" rolach

Również przestarzałym i niedojrzałym jest romantyzowanie myślenia jak "napastnik" w rolach uznawanych za ofensywne, które nie są częścią zadań red team. Zespoły typu red team, to zupełnie inny temat, który opiszę innym razem. Tu krótkie rozpisanie tego czym są usługi, które Twój kierownik mógłby uznać za ofensywne, nazwać je pentestami, a potem wyobrażać sobie zadania typu red team-blue team, oparte na scenach z amerykańskiego kina akcji:

• Test penetracyjny / pentest: skupia się na znalezieniu maksymalnej ilości podatności, często oparty o skanery, wsparte analizą manualną i eksploitacją manualną. Pentesterzy szukają zwykle znanych podatności.
• Badanie bezpieczeństwa aplikacji / Vulnerability research: bada bardzo dokładnie aplikację w poszukiwaniu maksymalnej liczby podatności. Skupia się głównie na nieznanych podatnościach i podatnościach typu 0-day (w odniesieniu do oprogramowania już wypuszczonego na rynek albo "produkcję").
• Audyt techniczny: sprawdza zgodność z wybraną normą, standardem, regulacją lub innym zamkniętym katalogiem wymagań.
• Skan podatności (widziałem to pod setką różnych nazw, więc wybrałem ostatnią przeczytaną): sprawdza podatności, widoczność itd. z użyciem automatycznego narzędzia. Zazwyczaj bazuje na wgranych danych i ustawieniach narzędzia. Można wykorzystać do sprawdzenia zgodności z jakimś standardem, ale większość tego typu uslug na rynku niestety nadal bazuje na kilku domyślnych ustawieniach…

W każdym z tych przypadków cel, narzędzia i zasoby są diametralnie odmienne od tych, które mają napastnicy, a usiłowanie wepchnięcia tych specjalistów w ramy myślenia "jak napastnik" ogranicza ich w myśleniu o tym, by zrealizować swój cel oraz zupełnie niepotrzebnie związuje im jedną rękę pozbawiając zasobów wewnątrz organizacji (lub swoich własnych, jeśli to jest wykonawca zewnętrzny), o których napastnik moze jedynie pomarzyć albo zdobyć dużym kosztem czasu, energii i pieniedzy, sposobami wywiadowczymi.