MaxPatrol Carbon – палочка выручалочка для ИТ. Positive Technologies
Коллеги, добрый день! Искренне рада вас видеть сегодня в нашем зале. Буквально пару слов представлюсь. Меня зовут Важения Анастасия. Я руководитель практики развития метапродуктов, если переводить на понятный русский язык. Я отвечаю за то, чтобы наши метапродукты работали у наших заказчиков, приносили своим пользователям пользу, делали их жизнь каждый день безопасней и, главное, удобней. И сегодня я бы хотела с вами поговорить про киберинциденты и о том, как один из наших метапродуктов MaxPatrol Carbon может помогать команде IT в рамках этого неприятного мероприятия. И начать бы я
хотела с вопроса. Смотрите, представим, что у нас есть компания и в ней случился какой-то киберинцидент. Чисто по логике кажется, ну безопасность это дело команды ИБ, но при этом кажется, что и IT очень сильно вовлечены в эту историю. Подскажите, пожалуйста, как, на ваш взгляд, вот если происходит киберинцидент, чья в основном это проблема, чья в основном это работа по восстановлению инфраструктуры? Кто считает, что это команда информационной безопасности? Кто считает, что это проблема IT? Я думала, что на самом деле будет меньшая пропорция, практически подавляющая число наших сегодняшних участников считает, что это IT. Хорошо. Совместное хорошо принимается. Спасибо. Как сегодня говорили про зону безответственности. Смотрите, когда у нас происходит кибератака, для команды ИБ,
и как мы только что выяснили, для команды IT наступает очень непростое время. То действия этому киберинциденту, и на самом деле к нему можно и нужно готовиться. То есть сделать так, чтобы наша инфраструктура была максимально защищена, и вероятность того, что в ней могут быть реализованы киберинциденты, стремилась к нулю. И отсюда я бы хотела поговорить про основные проблемы, которые могут возникать у команды IT, когда возникает задача подготовиться вот к тому самому киберинциденту. И первая проблема
киберустойчивости, которая перед нами всегда встает, это вообще, а как понять, защищены ли мы, можем ли мы противостоять киберинцидентам, насколько мы к этому готовы. И наши исследования показывают, что только четверть компаний вообще используют для вот этой верификации своей киберустойчивости реальную хакерскую активность, то есть привлекает белых хакеров для того, чтобы понять, защищены ли мы. И мы в позитиве считаем, что это на самом деле единственный способ опираться на реальный опыт белых хакеров, чтобы понять киберустойчива наша компания или нет. Какие вообще варианты
оценки киберустойчивости есть? Что делают остальные 75 процентов компаний? Часто это история про аттестацию на соответствии требований нормативно-правым актам. Я ни в коем случае не говорю, что не нужно отчитать документы. Документация в России развивается достаточно быстро во области инфобеза, но нельзя говорить, что если мы аттестованы, мы можем противостоять киберугрозам. Аттестации – это история про то, что мы проходим compliance, что мы соответствуем требованиям регуляторов. Второй вариант – это
тестирование на проникновение, так называемые пентесты. Это уже отличный способ проверить уровень киберустойчивости своей компании, но есть нюанс. То есть, проводя пентест, мы с вами понимаем, что мы киберустойчивы к атакам конкретной команды хакеров в конкретный момент времени. То есть,
проводя его раз в год, мы не можем говорить о том, что у нас постоянно процесс киберустойчивости, он вообще есть, и мы защищены. Третий вариант — это как раз вот то, про что рассказывали сегодня мои коллеги, про моделирование атак. Это отличный вариант, потому что мы используем действительно те техники, которыми пользуются реальные хакеры. Но опять же есть нюанс. Как ребята говорили, это достаточно трудоемкий длительный процесс. Пока мы по нему идем, мы приходим к ситуации, что к завершению для нас эта информация уже не очень актуальна, потому что инфраструктуры очень динамично развиваются, они меняются, и заниматься киберустойчивостью нужно в режиме реального времени. И как раз это та задача, которую нам может помочь решить наш метапродукт MaxPatrol Carbon.
С его помощью мы говорим о том, что мы в принципе с вами можем посмотреть на нашу IT-инфраструктуру глазами хакеров. Как мы с вами, добропорядочные граждане смотрим на свою инфраструктуру. У вас есть в ней активы, есть между ними сетевые связности, есть софты и есть пользователи, которые всем этим пользуются. Как злоумышленники видят нашу инфраструктуру? Они видят пул возможностей, что мы можем сделать в инфраструктуре, чтобы атаковать ее, чтобы достичь вот тех самых нехороших целей, которые хакеры ставят перед собой. И если мы говорим
то тогда мы видим инфраструктуру через избыточные сетевые привилегии, через уязвимости, через мисконфигурации. Все то, что хакеры могут эксплуатировать для атаки нашей инфраструктуры. И как раз MaxPatrol Carbon позволяет нам взглянуть на нашу инфраструктуру вот этими глазами. За счет того, что Carbon забирает информацию из нашего ассет менеджмента, который входит в состав MaxPatrol VM, при каждом пересканировании инфраструктуры мы узнаем информацию о том, что у нас либо появились новые активы, либо они исчезли инфраструктуры, у нас изменились сетевые конфигурации оборудования, у нас появились новые пользователи. То есть в тот момент, как у нас что-то происходит в инфраструктуре, эти данные в реал-тайме попадают у нас в карбон и векторы, которыми злоумышленники могут атаковать нашу инфраструктуру, они пересчитываются. Благодаря этому мы в режиме практически приближенном к реальному можем оценивать состояние киберустойчивости нашей компании. И не
только оценивать ее, но и смотреть в динамике. То есть мы понимаем, что если у нас уровень защищенности падает, значит мы делаем что-то не так. То есть если день от дня у нас маршрутов в нашей инфраструктуре становится все больше, значит необходимо что-то менять. И отсюда мы приходим с вами ко второй
к нехватке человеческих ресурсов, чтобы захарднить нашу инфраструктуру так, как это хотелось бы. Статистика нам показывает, что если мы возьмем среднестатистическую организацию, в ней будет порядка 15 тысяч различных возможностей, которыми хакеры могут воспользоваться. Это и повышение привилегий, это боковые перемещения, это закрепление. Когда команда информационной безопасности, особенно в начале вот этого процесса харднинга, приходит к своим коллегам и зайти и говорит, вот, 15 тысяч, давайте делать. Обычно, мне кажется, возникает ощущение, что мы никогда это не сделаем, это вообще нереально провернуть всю эту историю, а при том, что инфраструктура у нас меняется, задача становится практически утопичной. И тут бы я хотела с вами поделиться еще одной статистикой про те цифры, которые в мире показывают нам различные отрасли экономики.
То есть в первом столбике мы с вами видим средний размер организации. Во втором столбце мы видим возможности. Вот то количество возможностей, которые есть у злоумышленников в них среднестатистически. И в последнем столбце мы видим статистику, а сколько на самом деле из этих возможностей действительно критично для инфраструктуры.
Что я подразумеваю под критичным? Если посмотреть в целом, то практически три четверти тех возможностей, которые есть в инфраструктуре, не приведут хакера к самым значимым активам в этой инфре. То есть они приведут его в тупик, ему придется делать шаг назад и снова развивать свою атаку. И только 2% вот тех возможностей, которые есть у злоумышленников, они реально ведут хакера к нашим самым с вами ключевым активам. Отсюда мы приходим к выводу о том, что не нужно пытаться защищать все. Это утопия, это невозможно, с этим надо смириться и принять. Нам нужно защищать только самые важные, самые значимые для нас с вами активы.
И отсюда мы в Carbon выработали следующий подход. Из всех тех маршрутов, которые нам строит MaxPatrol Carbon про возможности злоумышленников, мы выбираем только те, которые ведут к самым важным критическим активам, тем самым недопустимым событиям или целевым системам, которые обеспечивают функционирование нашей организации. Это так называемая точка B, то есть куда мы ни в коем случае не хотим, чтобы пришли хакеры в наше инфре. И при этом мы задаем точку A, откуда мы считаем нас будут атаковать.
И тут на самом деле все атаки уникальны, но начинаются они все плюс-минус всегда одинаково. То есть атакуют через что? Через веб-приложения, которые у нас уязвимы и торчат у нас на периметре. Это брутфорс, спрейнг учетных записей наших с вами пользователей. Это фишинг, который, опять же, наши пользователи любят открывать.
Итого, в этом огромном графе возможностей злоумышленника у нас появляется точка А, откуда нас будут атаковывать, и точка Б, докуда ни в коем случае наши злоумышленники не должны дойти. Таким образом выглядят маршруты в карбоне. И хочу предложить один из них нам с вами посмотреть более детально. Для нас, как компании, которая занимается разработкой программного обеспечения и поставкой этого ПО нашим заказчикам, недопустимым событием является, если злоумышленники смогут встроиться в процесс разработки программного обеспечения и заложить в него какие-то недекларированные возможности. Здесь мы с вами видим недопустимое событие — это изменение
кода в репозитории GitLab. Как выглядит маршрут, который Carbon может нам просчитать. Мы знаем, что у нас точка проникновения может являться нулевой хост, который является у нас внутренним в инфраструктуре. Мы видим, что через
эксплуатацию RCE-уязвимости мы можем сделать боковое перемещение на соседнюю машину. Далее, на этой машине мы понимаем, что мы можем сделать lsasdump и тем самым украсть привилегированные креды от учетки. С этими учетными записями и с этой машины мы можем сделать еще одно боковое перемещение через авторизацию по РДП и продвинуться на хост Heldesk уже внутри нашей инфраструктуры. Далее через RPC мы делаем еще одно боковое перемещение и оказываемся на машине разработчика, с которого мы можем уже сделать SSH-авторизацию на GitLab'е и закоммитить те изменения, которые, собственно, и хотели злоумышленники нам донести. Вот такие векторы нам рассчитывает показывая, как реально конкретная наша инфраструктура может быть атакована с помощью тех техник, которые доступны злоумышленнику в ней. После этого мы с
вами переходим к еще одной проблеме, к нехватке компетенций. Будем честны, к сожалению, всегда нам хочется, чтобы мы были более квалифицированы, наши коллеги были более квалифицированы, но мы живем в реальном мире, поэтому всего лишь 37 процентов, наоборот, извиняюсь, целых 37 процентов нам компании говорят о том, что им в принципе не хватает квалификации для того, чтобы заниматься харднингом. Что здесь может предложить Carbon? Вот все те маршруты, которые нам рассчитал наш метапродукт, мы начинаем для них генерировать рекомендации. На первом шаге мы говорим, что нам нужно исключить все нелегитимные маршруты, которые есть у нас в инфраструктуре. Что такое нелегитимные маршруты? Это те атаки, которые связаны с эксплуатацией уязвимостями, мисконфигурациями, то есть те маршруты, которых в принципе не должно существовать в нашей организации. Carbon генерирует нам рекомендации, что нужно
сделать, чтобы этих маршрутов у нас с вами не было. За счет этих рекомендаций мы с вами повышаем вот тот параметр time to attack, то есть время, которое необходимо злоумышленникам для того, чтобы реализовать этот вектор. На следующем шаге мы говорим о том, что хорошо, мы исключили нелегитимные пути, где могли, давай теперь повысим защищенность тех путей, которые у нас остались. То есть на этом шаге наша задача максимально удлинить легитимные пути, максимально их захардонить, чтобы если у нас злоумышленник пойдет по этому маршруту, он шел долго, трудоемко, желательно шумел, чтобы команда нашего мониторинга успела задетектировать эту активность и вовремя ее остановить, пока опять же у нас злоумышленники не добрались до ключевых систем. После этого у нас третий шаг — это
повышение контроля тех путей, которые у нас есть. То есть если мы с вами не можем ликвидировать маршрут, по которому у нас может пойти злоумышленник, значит мы мы должны его покрыть мониторингом так, чтобы если у нас пойдут хакеры по этому вектору, мы с вами их задетектировали и остановили раньше, нежели они добегут до своей цели. Благодаря этому мы уменьшаем параметр time to detect, то есть время, которое необходимо команде мониторинга, чтобы задетектировать эту активность. И на последнем шаге мы обеспечиваем вообще возможность реагирования на каждом из шагов. То есть, чтобы мы знали, что как только мы детектируем нелегитимную активность, у нас есть инструмент, с помощью которого мы ее на этом шаге можем остановить.
То есть у нас есть, если мы говорим про endpoints, агенты, которые могут остановить эту сессию. Если мы говорим про сетевые соединения, то у нас есть возможности изменения конфигураций. И за счет этого мы уменьшаем time-to-response. То есть время, которое необходимо нашей команде мониторинга и реагирования на то, чтобы остановить активность. И благодаря вот этим четырем шагам мы приходим к тому уравнению, про которое мы на самом деле очень много говорим в нашей концепции.
То есть мы делаем так, чтобы любой маршрут, которым злоумышленник может пойти до нашего ключевого актива, занимал у него больше времени, чем потребуется команде защитников для того, чтобы его задетектировать, остановить. То есть делаем так, чтобы time-to-attack был больше, чем time-to-response. Итого, все маршруты в нашей инфраструктуре мы условно делим на нелегитимные, то есть которых в принципе не должно быть, и легитимные, которыми наши обычные пользователи пользуются каждый день, чтобы выполнять свои должностные обязанности. Первые нелегитимные маршруты мы устраняем, то есть правим конфигурации, патчим уязвимости, обновляем слабости в программном обеспечении. И для легитимных маршрутов мы их удлиняем, усложняем, чтобы хакеры наши шли как можно дольше, и обеспечиваем контроль, чтобы наш мониторинг вовремя увидел и остановил эту активность.
После того, как у нас с вами есть множество рекомендаций, а их на самом деле будет немалое количество, возникает вопрос, за что схватиться-то, что делать в первую очередь. И здесь мы приходим к тому, что Carbon нам сортирует рекомендации, приоритизирует их в зависимости от того, что необходимо сделать в первую очередь. Знаете, как есть известный принцип Паретта, куда приложить 20% усилий, которые у нас есть, чтобы привести нас в 80% эффективности, 80% результата, который мы хотим получить.
Вот это как раз эта история. То есть Carbon дает нам рекомендации, что необходимо сделать в первую очередь, во вторую, в третью, чтобы получить максимальный результат. На каком принципе это реализуется? В первую очередь мы смотрим на наиболее влиятельные активы в нашей инфраструктуре, так называемые централити. То есть если у нас есть актив, через который идет там 10, 20, сотни маршрутов, то вот над ним в первую очередь мы будем работать. То есть чтобы максимально, эффективно потратить эти силы, которые есть у нашей команда IT. И второе, это мы, конечно, говорим о степени влияния вот на эту
пропорцию time-to-attack и time-to-response, то есть чтобы максимально увеличить время атаки и максимально уменьшать время детекта реагирования. Следующим образом выглядит как раз перечень рекомендаций, которые нам дает Carbon. Мы можем видеть с вами одну из рекомендаций, то есть устранить уязвимость. Благодаря чему, устранив вот только одну эту уязвимость, мы видим, что 21 маршрут, который проходит через нее, у нас будет автоматически устранен. И последняя проблема.
Все мы хотим оптимизировать и максимально эффективно тратить те ресурсы, которые у нас есть. Финансовые, человеческие. И мы приходим к четвертой проблеме. То есть, когда команда информационной безопасности, команде IT говорит, что нам необходимо захардонить для команды айтишников, это черный ящик. Как вот этот бэклог задач вообще формируется? А какая в нем логика? А можем ли мы что-то делать? Что-то не делать или пересортировать эти задачи.
И как раз за счет того, что Carbon нам открывает вот эту информацию, почему именно эти задачи надо делать, почему именно в таком порядке, мы с вами можем говорить, что мы можем повышать эффективность той работы, которую делает команда IT. Хочу поделиться с вами некоторыми цифрами, мы поговорили с несколькими нашими заказчиками, и статистика получается примерно следующая. Для компании в 10 тысяч активов в среднем штат IT будет 300 человек. Из этих 300 человек примерно 5 процентов это та команда, которая
будет заниматься харденингом информационной инфраструктуры. Итого, если мы возьмем фод, налоги, отчисления, бэк-офис, само здание, плюшки, в общем все расходы на вот эту команду, то в среднем мы получим 8 миллионов рублей в год на человека, либо 120 миллионов рублей в год на всю эту команду. Переходя на харденинг, с помощью карбона мы можем говорить о том, что минимальное количество задач, которые вообще будут в скоупе у этой команды, уменьшится у нас в 6-8 раз. В зависимости от инфраструктуры эта цифра может быть
сильно больше. Итого мы можем вот в эти 6-8 раз сократить расходы на харденинг. Итого это примерно 100 миллионов в год. Важный момент, я ни в коем случае не говорю, что Carbon это история про то, что уволить всех остальных и мы сэкономим 100 миллионов. Это история про то, чтобы максимально эффективно тратить те ресурсы и те люди, которых мы высвободим, они смогут пойти заниматься другими важными для нас задачами, на которые у нас в принципе не хватало до этого времени. MaxPatrol Carbon достаточно молодой продукт, мы только в этом году его презентовали рынку, у нас сейчас идет пул пилотов, я думаю, что к концу года мы поделимся уже цифрами, которые мы получили на проектах внедрения. Сейчас на
слайде у нас статистика по одному из таких тестирований. Мы взяли небольшую инфраструктуру, буквально 100 активов. В этой инфраструктуре есть учетные записи локальные, доменные, и запустив карбон на этой инфре, что мы получили? На этой, кажется, ну честно, небольшой инфраструктуре в 100 активов, ну кажется можно руками все обойти и захарднить, мы получили больше 200 тысяч маршрутов, которые Carbon нам смог рассчитать. Все эти маршруты были длиной от одного шага до 27. Хакеры люди у нас ленивые, поэтому вот этими 27-шаговыми маршрутами они точно не ходят. То есть вот петлями, стесняясь. Нет, они, если могут, они идут на пролом. То есть наша статистика показывает, что в среднем за 4 шага в любой инфраструктуре можно добежать до наиболее критичных активов. Также
благодаря тому, что Carbon нам автоматически оценивает вот этот time to attack, time to detect и time to response, мы видим, что самый короткий маршрут на этой инфраструктуре можно было реализовать за 11 минут. Можно ли за 11 минут успеть увидеть командой мониторинг этот маршрут и его нейтрализовать? Кажется нет. То есть это тот маршрут, который если злоумышленники по нему пойдут, точно будет реализован. И еще один из результатов, который мы получили, мы во всем перечне рекомендаций, которые нам дал наш продукт, увидели, что только четыре рекомендации сделав, мы можем устранить все одношаговые маршруты. То есть это вот как раз-то история, куда приложить те усилия, чтобы получить максимальный эффект. Если подытожить все вышесказанное, зачем, на мой взгляд,
карбон может быть полезен IT-команде. Во-первых, это возможность в режиме 24 на 7, практически в реал-тайме, понимать, защищены ли мы, киберустойчива ли наша организация и отслеживать это состояние в динамике. Во-вторых, это снижение квалификационных требований. То есть вообще концепция метапродуктов — это про отцифровку наиболее сложных этапов харденинга, реагирования, отцифровку вот этих знаний, которые позитив накопил за 20 лет своего существования, и складывание их в метапродукты. То есть самый сложный этап — понять, как захардонить и дать на
это рекомендацию, он у нас оцифрован. А соответственно, эту работу не надо делать сотрудникам на местах, мы уже получаем конкретные рекомендации и указания конкретных узлов, где необходимо их выполнить. Третий пойнт — это про самостоятельное усиление защиты. Я думаю, что вы не будете спорить, что IT-специалистами в нашей стране теперь тяжело. Нам всем их не хватает. Безопасников нам не хватает еще сильнее. И благодаря Carbon мы можем помогать Hardening даже те инфраструктуры, где либо вообще нет подразделения IB, либо где оно минимально представлено 1, 2, 3 людьми. То есть благодаря Carbon эту задачу теперь
полностью может делать подразделение IT самостоятельно, не завися от команды безопасников. Ну и повышение эффективности — это те цифры, про которые мы сегодня уже говорили. Знаете, когда мы начали делать метапродукты, перед нами стояла очень амбициозная цель. Мы хотели, чтобы наши заказчики или даже отрасли целиком могли защищаться на уровне позитива. То есть это вот та история, что всю свою экспертизу мы складываем в свои метапродукты. И я искренне верю, что с нашими знаниями, с
усилиями, которые IT-команды готовы вкладывать в кардининг своих инфраструктур, мы точно можем защитить наши компании, сделать так, чтобы недопустимое стало невозможным. Если у вас есть желание, я искренне верю, что оно есть, посмотреть продукт в деле, сегодня на втором этаже у нас есть стенды, я с удовольствием буду ждать вас после выступления там, обсудим более какие-то возникшие детальные вопросы, а сейчас у нас есть несколько минут, я с удовольствием отвечу на вопросы, если они уже появились. Передайте, пожалуйста, микрофон, коллеги. Сейчас, подождите, пожалуйста, нам надо вопросики в микрофон, а то остальные не услышат ни вопрос, ни ответ.
Как часто прилетают обновления в карбон от позитива, ну то есть новые какие-то ветки атак, как в организацию попадают, чтобы обезопасить? Отличный вопрос, спасибо. Смотрите, в рамках обновлений, как всегда мы поставляем обновление самого софта и обновление экспертизы. На текущий момент у нас обновление выходит в среднем раз в месяц. То есть вот раз в месяц появляется билд, который мы готовы поставлять своим заказчикам. Скажите, а как будет лицензироваться? Лицензируется продукт по количеству активов, которые мы защищаем. То есть, как я уже сказала, базовым источником информации для Carbon является VM. Если вы пользовались нашим продуктом MaxPatrol VM, вы знаете, что там идет сканирование активов. Вот по количеству активов, которые есть в VM, лицензируется Carbon. Все просто. Если нормально выстроить процесс управления уязвимостями, то значит ли это, что Carbon не нужен? Смотри, если мы говорим про процесс управления уязвимостями, отчего он будет у нас зависеть? Скорее всего, мы в первую очередь будем с вами обращать внимание на трендовые уязвимости и будем обращать внимание на критические активы.
Тренды уязвимости — это крутой механизм, который нам помогает понимать, а как атакуют сейчас инфраструктуры в мире. Но совершенно не факт, что та трендовая уязвимость, которая есть у нас в инфре, она приведет нас вот к тем самым ключевым активам. Это как раз та история, про которую я говорила, что она может быть в тупике и не входить в те 2% хостов тех возможностей, которые нам действительно нужно подсвечивать и заниматься ими. Плюс карбон — это история не только про уязвимости. То есть это про мисконфигурации на
уровне пользователей, про мисконфигурации на уровне нетворка, то есть нашей сети, про харденинг, про повышение защищенности вообще инпойтов, не только с точки зрения уязвимостей. Поэтому это более такая комплексная история, но, безусловно, всегда начинать надо, конечно, с внедрения VM, с хотя бы базового построения процесса управления уязвимостями. Коллеги, спасибо большое! Ждем всех наверху около стенда. Всего доброго!
2024-12-12 20:02
