Дело вот в чём: когда отчёт по безопасности попадает к вам на стол с цифрами вроде «в 4 раза быстрее к эксфильтрации», это не просто данные. Это сирена. Для обычного Джо или Джейн, пытающихся выполнять свою работу, это означает, что системы, на которые они полагаются, становятся ещё менее надёжными, а плохие парни становятся пугающе хороши в просачивании сквозь щели. Основной посыл последнего отчёта Unit 42 — не о модных новых технологиях; он о фундаментальном сдвиге в том, как мы подвержены риску, и о том, соответствуют ли наши средства защиты этому темпу.
Нам годами продавали конечную точку как бастион безопасности. И, конечно, она по-прежнему важна. Но мир не остановился на ноутбуке. Он взорвался в облако, породил микросервисы, как сорняк, и рассеял пользователей по дюжине удалённых локаций. Теперь эти разрозненные зоны — идентификация и доступ, облачные активы, OT, IoT, AI — каждая со своими инструментами безопасности и логированием, становятся зияющими дырами. Злоумышленники не дураки; они используют беспорядочные стыки между этими системами. Это похоже на вора, проверяющего каждое окно и каждую дверь дома, а не только парадную.
Unit 42 указывает, что в 75% исследованных инцидентов доказательства были в логах, просто их было слишком сложно найти.
Невидимый пивот: где конечные точки терпят неудачу
Подумайте об этом. Злоумышленник получает плацдарм через неправильно сконфигурированный ключ доступа к облачному сервису. Оттуда он может перескочить на сервер, размещённый в облаке. Для SOC-аналитика, пристально смотрящего в логи своих конечных точек, всё это начальное вторжение и последующая фаза обнаружения может выглядеть как совершенно легитимная активность пользователя. Пуф. Невидимо. EDR конечной точки ничего не видит, потому что действие происходит не на конечной точке. Оно в облаке, дёргает за ниточки.
Затем есть аспект кражи личности. Злоумышленники могут использовать подозрительный DNS-туннелирование для контроля скомпрометированного устройства, одновременно пытаясь украсть учётные данные для легитимных облачных приложений. Они маскируют свой вредоносный C2-трафик под обычное использование приложений. Если ваша команда безопасности ищет только сигнатуры вредоносного ПО на машине, она упускает компрометацию идентификационных данных, происходящую по всей сети, по всем этим SaaS-приложениям. Это цифровая дымовая завеса.
И даже не начинайте мне про теневое IT и эти неуправляемые устройства. Они часто не управляются, не имеют агентов и, следовательно, невидимы для традиционных инструментов EDR и SIEM. Злоумышленники обожают это. Они могут размещать свои собственные постоянные инструменты в этих забытых уголках сети, а ваш SOC не узнает. Это как оставить заднюю калитку незапертой и надеяться, что никто не заметит.
«Хотя подход, ориентированный на обнаружение и реагирование на конечных точках (EDR), является фундаментальным элементом, опора только на EDR создаёт пробелы, которые злоумышленники используют для невидимого перемещения».
Эта цитата бьёт в точку. Дело не в том, что EDR — это плохо; дело в том, что опора только на EDR — это рецепт катастрофы. Мы строим цифровые замки с одним ровом, а злоумышленники поняли, что могут просто обойти его.
Почему это важно для разработчиков и DevOps?
Для тех, кто создаёт системы, это означает, что ваш код, ваши развёртывания и ваши облачные конфигурации — все они являются потенциальными точками входа, которые EDR может даже не увидеть. Неправильно сконфигурированное ведро S3 или слабая роль IAM — это не проблема конечной точки. Это проблема облачного происхождения, требующая облачного видения для обеспечения безопасности. Старый сценарий «установить агент, сканировать на вирусы» больше не работает. Нам нужно думать о всей поверхности атаки, от репозитория кода до развёрнутого микросервиса, и о том, как всё это взаимодействует друг с другом (и с чем оно взаимодействует).
Обещание «единой панели управления» — это сирена, звучащая от каждого поставщика услуг безопасности. Palo Alto Networks через свой Unit 42 продвигает свою платформу Cortex XSIAM как решение. Идея состоит в том, чтобы консолидировать все журналы безопасности — от облачной инфраструктуры до поставщиков идентификации и тех самых неуправляемых IoT-устройств — в одном центральном репозитории. Затем ИИ сможет переварить всё это, сшивая разрозненные события, чтобы нарисовать единую картину атаки. Речь идёт о том, чтобы взять эти 75% скрытых данных и сделать их видимыми.
Они говорят об ИИ-управляемых SOC, оценке инцидентов на основе машинного обучения и анализе поведения пользователей для выявления аномалий до их эскалации. Вот где истинная ценность, если она будет реализована
