Об Ответственности и Возможностях

Об Ответственности и Возможностях
....тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. 
Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. 
Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.
Сунь-цзы. "Искусство войны"

Ни у кого не вызывает сомнения заключение, что оборона должна соответствовать нападению. Именно поэтому бытовые конфликты в той или иной степени мы способны разрешать самостоятельно, против бандитов-одиночек и организованной преступности у нас есть полиция, для эффективных военный действий - используется армия. Указанные три стратегии обороны характеризуются различными инструментами, применяемыми подходами, глубиной разведки и планирования действий, в общем - сильно разными TTP, следовательно, требуют разного оснащения и обеспечения, прежде чем эффективно и результативно защищаться, и поэтому имеют разные возможности, определяющие их способности и возлагаемую ответственность. Я не раз писал, что п рофессионалам должны противостоять профессионалы , и дело далеко не полностью определяется исключительно профессионализмом команды, как и эффективность военный действий не определяется исключительно способностью каждого солдата метко стрелять, быстро и незаметно перемещаться и т.п. Здесь нужна целая система взаимосвязанных мероприятий, позволяющая к моменту начала боя полностью знать противника: его цели, тактику и стратегию, применяемые инструменты, в общем, опять ТТР. Понятно, что наши противники имеют достаточно методов и средств, чтобы не делиться с нами своими ТТР, а поэтому нам нужны возможности эти сведения доставать, поскольку без знания противника ему невозможно противостоять . Именно поэтому полиция, не имея поддержки ФСБ, СВР, ГРУ не может противостоять организованным вооруженным силам, и тем более неэффективны гражданские - сколько не было бы отважным народное ополчение, при прочих равных условиях без грамотного руководства (а мы знаем из истории и даже художественной литературы , что эффективные народные ополчения возглавлялись профессиональными военными) оно не сможет противостоять регулярной армии.

Вроде как бы все очевидно, да? Однако почему в области кибербезопасности мы думаем иначе? Сколько ни был бы профессиональным безопасник или целое подразделение копрбезопасности, почему есть полная уверенность, что он способен противостоять киберармии (APT-кампаниям), и что в его ответственности лежит не допустить компрометации? А разве он имеет возможности, для обеспечения этой ответственности? Он имеет возможность провести глубокую разведку противника (== исследовать группировки, организующие APT-кампании)? Он имеет возможность реверсить применяемые противником инструменты/оружие, чтобы выковыривать оттуда информацию о других инструментах и инфраструктуре и придумывать что с этим можно поделать? Он смотрит на вопрос широко (== видит больше своей сети)? Едва ли он имеет многолетний опыт (== критерий профессионализма) таких исследований (давно ли мы заговорили об целевых атака?), позволяющий ему прогнозировать действия противников и производить безошибочную атрибутику. 

Я не вижу ничего особенного в том, что корпоративная безопасность зачастую не может эффективно противостоять целевым атакам - это всего лишь подтверждает мой старый тезис что профессионалам должны противостоять профессионалы с аналогичным обеспечением и возможностями. Поэтому не стоит по этому поводу сокрушаться, ибо для достижения лучшей результативности надо усиливать свои сильные стороны, а не подтягивать свои слабые - не надо бросаться в исследования атак, форенсику и реверс ВПО, - едва ли получится это делать лучше специализированных компаний, делающих это более 20 лет, но надо усиливать те направления, где никто вам не помощник: понимать ваши бизнес-процессы и циркулирующую там информацию, где в них ценность как для потенциального атакующего, так и для вашего бизнеса, что не получится защитить техническими контролями и что с этим можно поделать и т.п. Только так, дополнив "знание себя" аутсорсингом того, кто "знает врага", можно построить действительно эффективную оборону!

Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Сергей Солдатов

REPLY-TO-ALL is a double language blog (English/Russian) run by three information security practitioners. Want to discuss information security problems? This is the place.