автоматизация безопасности ставит скорость выше точности, превращая ответные действия в кувалды, которые команды боятся применять. DevOps решил эту проблему десять лет назад с помощью GitOps, постепенного развертывания и канареечных развертываний, что сделало автоматизацию безопаснее, а не просто быстрее.
Пришло время операциям по обеспечению безопасности принять те же принципы. Хирургическое сдерживание – это основа обратимых ответных действий с наименьшим воздействием, которые останавливают угрозы, не нарушая при этом производство. Внедрив предполетную проверку, частичную изоляцию и автоматический откат, мы, наконец, можем доверять машинам в масштабировании.
Парадокс автоматизации
В операциях по обеспечению безопасности автоматизация стала синонимом скорости, но не точности. Мы создали системы, которые могут обнаруживать угрозы за миллисекунды и вызывать ответные действия за секунды, однако большинство команд SOC по-прежнему не решаются позволить этим ответам выполняться без одобрения человека.
Причина проста.
Мы в ужасе от того, что происходит, когда мы нажимаем кнопку.
- Будет ли автоматизация отключать важную учетную запись службы?
- Заблокировать исполнительную команду перед заседанием совета директоров?
- Изолировать рабочий сервер, обрабатывающий транзакции клиентов?
Страх не иррационален.
Большинство средств автоматизации безопасности — это кувалды. Они действуют на основе двоичной логики, не прибегая к концепции пропорциональности, не осознавая бизнес-контекста и не имея простого способа исправить ущерб, если они допустили ошибку.
Это парадокс автоматизации. Инструменты, которые обещают сократить время реагирования, часто остаются неиспользованными, поскольку риск сопутствующего ущерба слишком высок. Мы оптимизировали скорость, но пожертвовали уверенностью, создав узкое место, из-за которого операции безопасности выполняются реактивно, вручную и медленно.
Другие инженерные дисциплины усвоили этот урок много лет назад. DevOps не решил проблему непрерывного развертывания, внося изменения быстрее. Они решили эту проблему, сделав изменения более безопасными – поэтому неудивительно, что показатели, определяющие элитные инженерные команды (такие как DORA), основаны на скорости и безопасности.
GitOps представил декларативную конфигурацию, журналы аудита и простые откаты. Постепенное и канареечное развертывание позволило командам протестировать изменения на небольших группах населения перед полным развертыванием. Эти шаблоны позволили масштабировать автоматизацию, создавая уверенность в том, что ошибки можно обнаружить на ранней стадии и быстро исправить.
Операции по обеспечению безопасности по-прежнему развертываются в рабочей среде без плана отката.
Безопасность требует точности: введите хирургическое сдерживание
Хирургическое сдерживание, категория, которую мы представляем и помогаем определить, представляет собой основу проектирования для создания обратимых ответных мер безопасности с наименьшим воздействием. Он заимствует принципы DevOps и проектирования надежности и применяет эти принципы для сдерживания угроз. Цель состоит не в том, чтобы ускорить автоматизацию, а в том, чтобы сделать ее достаточно безопасной, чтобы ей можно было доверять.
Хирургическое сдерживание следует структурированной схеме развертывания, состоящей из трех основных этапов и двух расширенных схем для выбора правильных действий.
Структура развертывания (предварительная проверка, развертывание, возврат):
- Предполетная проверка проверяет текущее состояние, подтверждает бизнес-контекст и проверяет радиус взрыва, прежде чем предпринимать какие-либо действия. Это производственная система? Кому он принадлежит? Что еще от этого зависит? Если вы не можете ответить на эти вопросы программно, вы не готовы к автоматизации.
- Постепенное внедрение начинается с канареечных действий, которые сначала проверяют сдерживание в ограниченном объеме. Отозвать один токен, а не все токены. Изолируйте один экземпляр, а не всю службу. Прежде чем расширять действие, следите за непредвиденными побочными эффектами.
- Автоматический откат гарантирует, что каждое действие сдерживания имеет определенную процедуру возврата, которая выполняется автоматически, если проверка не удалась, влияние на бизнес превышает пороговые значения или если человек отменяет решение.
Расширенные шаблоны выбора действий:
- Частичная изоляция признает, что большинство угроз не требуют полного сдерживания. Вместо отключения учетной записи отзовите области OAuth с высоким риском. Вместо блокировки сервера ограничьте его доступ к хранилищам конфиденциальных данных.
- Режим тени обрабатывает сценарии с низким и средним риском, отслеживая угрозы, не предпринимая никаких действий. Запишите, что вы бы сделали, измерьте гипотетическое воздействие и укрепите уверенность, прежде чем переходить к принудительному исполнению.
Хирургическое сдерживание на практике
Давайте возьмем несколько реальных практических примеров, чтобы получить представление о том, как это выглядит на практике.
Хирургическое сдерживание проверяет базовый уровень поведения учетной записи службы (полученный на основе 90-дневных журналов CloudTrail и истории выполнения CI/CD). Он определяет, что доступ к базе данных клиентов является аномальным, в то время как действия по развертыванию соответствуют установленным шаблонам.
Взлом сервисного аккаунта
Учетная запись службы CI/CD внезапно загружает данные клиента в 3 часа ночи. Форма автоматизации «кувалда» немедленно отключает учетную запись, нарушая конвейер развертывания и блокируя утренние выпуски на несколько часов.
Хирургическое сдерживание исследует стандартные модели поведения, недавние развертывания и текущие рабочие места в конвейере. Вместо полного отключения он отзывает только злоупотребленные разрешения API (доступ к базе данных клиентов), оставляя при этом разрешения на развертывание нетронутыми. Конвейер продолжает работать для некритичных задач. Если законное задание завершается сбоем, откат восстанавливает разрешения после утверждения по вызову.
Угроза сдерживается, пока компания сохраняет код доставки.
Использование OAuth-приложений
Стороннее приложение начинает получать доступ к файлам за пределами своего обычного шаблона. Плохо настроенная автоматизация отключает пользователя, давшего согласие, и нарушает рабочие процессы.
Хирургическое сдерживание определяет обычный график ресурсов приложения и его бизнес-обоснование. Канарейка отзывает токен у одного пользователя и следит за поломкой. Частичная изоляция переводит приложение в режим «только для чтения» и блокирует конфиденциальные категории. Теневой режим регистрируется без отзыва, если аномалия незначительна. Откат восстанавливает области действия после одобрения владельца бизнеса. Приложение остается ограниченным, а пользователи остаются незатронутыми.
Экземпляр эфемерного облака
Перед завершением работы узел автоматического масштабирования демонстрирует признаки криптомайнинга. Чрезмерное использование автоматизации блокирует подсеть и убивает группу автоматического масштабирования, нарушая производство.
Хирургическое сдерживание сопоставляет жизненный цикл экземпляра с CloudTrail и определяет роль IAM. Он присоединяет ограничительную группу безопасности к одному экземпляру в качестве канарейки».
Проблема. Для эфемерных экземпляров, которые быстро завершают работу, присоединение групп безопасности может происходить слишком медленно. К моменту распространения группы безопасности экземпляр уже исчез.
Пересмотр: «Для экземпляров, которые все еще работают, он присоединяет ограничительную группу безопасности. Для уже завершенных экземпляров он фокусируется на роли IAM и применяет политику временного запрета, предотвращающую доступ новых экземпляров с этой ролью к конфиденциальным ресурсам..
Частичная изоляция запрещает конфиденциальные действия IAM с помощью временной политики. Теневой режим фиксирует судебно-медицинскую экспертизу, но позволяет продолжить работу, если риск низкий. Откат удаляет политику при развертывании новых экземпляров. Роль ограничивается, а автоматическое масштабирование остается неизменным.
Это всего лишь несколько распространенных примеров того, как автоматизация ранее теряла доверие, и как восстановить доверие к автоматизации с помощью правильных ограждений.
Тем не менее, хирургическое сдерживание подходит не для каждой угрозы. Активное шифрование программ-вымогателей, утечка подтвержденных учетных данных внешним субъектам и атаки на уничтожение данных требуют немедленной и полной изоляции, когда скорость превосходит точность. Знайте, какие сценарии требуют какого реагирования.
Укрепление уверенности посредством точного подсчета очков
Еще один способ укрепить доверие — через данные и показатели. DevOps использует бюджеты ошибок и отслеживание SLO. Безопасность требует точной оценки для измерения надежности и безопасности автоматизации, хотя этот подход требует инвестиций в контекстные API, управление состоянием для откатов и наблюдаемость для проверки.
Показатель точности отслеживает охват контекста (какой процент необходимого контекста доступен), радиус взрыва (сколько объектов затронуто), обратимость (можно ли отменить действие за считанные минуты), историческую точность (доля ложноположительных результатов) и соответствие бизнесу (соблюдает ли это бюджет воздействия).
Когда показатель точности высок, автоматизация запускается немедленно. Для средних результатов требуется контрольно-пропускной пункт с участием человека. Низкие баллы остаются в теневом режиме до тех пор, пока разрывы не закроются. Это укрепляет доверие команды и создает петлю обратной связи, которая улучшает качество обнаружения и реагирования. Оценка становится общим языком между заинтересованными сторонами в сфере безопасности, ИТ и бизнеса относительно соответствующих уровней автоматизации.
От страха к рычагу воздействия
Парадокс автоматизации, при котором более быстрые инструменты остаются неиспользованными, поскольку они слишком опасны, представляет собой фундаментальный провал в разработке безопасности. Мы оптимизировали скорость, тогда как следовало оптимизировать уверенность.
DevOps решил эту проблему десять лет назад, сделав автоматизацию безопасной, а не просто быстрой. Служба безопасности может усвоить тот же урок. Хирургическое сдерживание, точная оценка и постепенное развертывание — это не просто заимствованные методы; они являются основой автоматизации, которой команды действительно будут доверять.
Инструменты уже здесь. Эти методы проверены в других областях. Единственный вопрос заключается в том, примут ли их на вооружение службы безопасности до того, как следующее нарушение докажет, почему нам это нужно.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Высоко мотивированный исследователь продуктов, ориентированный на результат, обладающий сильным техническим опытом в облачных средах, безопасности K8s, защите данных, автоматизации, а также стратегиях обнаружения и устранения угроз в реальном времени. Лидерство в инициативах по обеспечению безопасности, сотрудничество между командами, страсть к инновациям, решению проблем и вождению… Читать далее от Даны Розен Инбал Аргов — лидер в области продуктов безопасности, включенный в список Forbes 30 до 30 лет за ее вклад в технологии и инновации. В настоящее время она является главным менеджером по продуктам группы в Microsoft, где возглавляет инициативы на стыке… Подробнее от Инбал Аргов
