Десять лет назад сборники сценариев SOAR были революционными. Они систематизировали знания, сократили время реагирования и освободили аналитиков от повторяющихся задач. Но операции по обеспечению безопасности допустили критическую ошибку — мы оптимизировали ситуацию, чтобы обеспечить согласованность в среде, которая поощряет адаптацию.
Злоумышленники тоже читают ваши сценарии, но не буквально, а путем разведки и методом проб и ошибок. Они узнали, какие пороговые значения вызывают оповещения, какие действия вызывают немедленное сдерживание и какие сигналы игнорируются как шум. Каждый раз, когда ваша книга действий выполняет одну и ту же последовательность — обнаружение → оповещение → блокировка → билет — вы тренируете противников на своих защитных границах. Предсказуемая защита – это разведка об обратной угрозе для другой стороны.
Параллели с безопасностью конечных точек поучительны. Традиционный AV не исчез; он стал одним из уровней в стеке поведенческого обнаружения, поскольку одни лишь статические сигнатуры не могли справиться с полиморфными угрозами. EDR победил благодаря обнаружению злонамеренных намерений, а не сопоставлению подписей файлов.
Расследование и реагирование все еще застряли в эпохе подписи.
Где ломаются статические сценарии
Современные операции по обеспечению безопасности сталкиваются со структурными проблемами, которые не могут решить статические сценарии:
- Смещение контекста: Ваш вице-президент едет в новую страну. Ваша книга действий видит «аномальный вход + новое местоположение + сброс MFA» и блокирует учетную запись; законный бизнес становится ложным срабатыванием. Это напрямую влияет на бизнес, когда финансовый директор пропускает важное заседание совета директоров, а безопасность теряет доверие.
Как это используется: Злоумышленники адаптировали свои TTP специально для того, чтобы они сочетались с законными аномалиями во время резкого увеличения количества подрядчиков, операций по слияниям и поглощениям и удаленных рабочих смен.
- Сложность SaaS: стороннее приложение получает согласие OAuth и начинает массовое чтение файлов. Ваш playbook отключает пользователя вместо того, чтобы отозвать токен приложения — неправильный исполнитель, сопутствующий ущерб. Обоснованная проблема с синхронизацией файлов возникает у 200 сотрудников, влияя на непрерывность бизнеса, прежде чем кто-либо это осознает.
Как это используется: Злоумышленники все чаще действуют через скомпрометированные SaaS-интеграции, зная, что ваша логика ответа нацелена на людей, а не на уровень автоматизации.
- Облачная эфемерность: узел автоматического масштабирования запускается, выполняет подозрительные команды и завершает работу через 90 секунд. Ваша книга сценариев не может сопоставить эфемерный актив и либо пропускает событие, либо блокирует всю подсеть. Производственные нагрузки терпят неудачу, пока служба безопасности гонится за призраками.
Как это используется: Красные команды постоянно демонстрируют эту уязвимость, используя недолговечную инфраструктуру, которая существует ниже пороговых значений обнаружения.
- Пробелы в собственности: EDR отмечает боковое перемещение на рабочей станции, но CMDB устарел, и никто не претендует на право собственности. Ваша книга воспроизведения направляется в очередь по умолчанию, где она умирает. Тревога сохраняется в течение 72 часов, прежде чем кто-либо начнет расследование, задолго до окончания окна содержания.
- Как это используется: Это создает возможность злоумышленникам использовать окна времени пребывания в «серых зонах», таких как системы подрядчиков, теневые ИТ-отделы и активы между командами.Бинарная логика: Playbooks выполняется если (подозрительно), то (блокируется) без нюансов. Они не могут моделировать временные подъемы, постепенное сдерживание или обратимые действия. Это отличный пример того, как безопасность становится блокировщиком, а не активатором бизнеса, количество запросов на исключения увеличивается, а контроль ослабляется.
Как это используется: Опытные игроки намеренно вызывают дорогостоящие ложные срабатывания, обучая команды игнорировать сигналы или создавать исключения, которые ослабляют защиту.
Войдите в книгу-игру
Ферзевый гамбит напомнил всем, что шахматное мастерство – это не запоминание дебютов; это чтение позиций, принуждение к разменам и адаптация по ходу игры. Операции по обеспечению безопасности требуют такого же изменения.
Это то, что мы определили как «книгу-игру», новую категорию систем адаптивного реагирования, которая:
- Моделирует мышление злоумышленника: возможные следующие шаги и контригры в сфере идентификации, SaaS, конечных точек и облака
- Считывает организационный контекст в реальном времени: роли отдела кадров, сигналы командировок, владение активами, рабочие процессы утверждения, последние изменения.
- Выполняет хирургические обратимые действия: отзыв токена вместо блокировки учетной записи, политики с ограниченной областью действия вместо сетевых блокировок.
- Намеренно держит людей в курсе: в качестве ускорителей принятия решений (одобрить, отменить, уточнить) на разветвлениях с высокими ставками.
Там, где в учебниках написано «делайте X, когда Y», книги-игры спрашивают: «Учитывая эту позицию – контекст пользователя, состояние активов, бизнес-риск – каково минимальное жизнеспособное сдерживание, которое позволяет нам двигаться вперед, не нарушая законную работу?»
Обратимость — ключевой архитектурный принцип, который отличает книги-игры от книг-игр. Если действие по сдерживанию не может быть автоматически отменено, это приводит к бинарному мышлению: «Рискую ли я нарушить бизнес или рискнуть пропустить угрозу?» Возможность отката обеспечивает поэтапный ответ: «Я могу безопасно сдержать это сейчас и автоматически восстановить, если я ошибаюсь».
Как работают книги-игры
Рассмотрим классический провал сценария: VIP входит в систему из новой страны, MFA сбрасывается дважды за 24 часа.
Статический сценарий: отключить учетную запись → сбросить MFA → вызвать страницу → пользователь жалуется → расследование показывает законные поездки → восстановить доступ → накапливается ложноположительный долг.
Путь к книге-игре:
Результат: более быстрое сдерживание, когда угрозы реальны, почти нулевое количество сбоев, когда это не так, и злоумышленники не могут предсказать, какой сценарий применим.
Книги-игры привносят измеренную непредсказуемость — с внешней точки зрения злоумышленника, где реакция варьируется в зависимости от контекста, сохраняя при этом полную внутреннюю проверку. Каждый путь принятия решения, каждый контекстный сигнал, каждое человеческое суждение регистрируются. Правозащитники приобретают способность к адаптации, не жертвуя при этом подотчетностью.
Поскольку ответ зависит от этого живого контекста, человеческого суждения, градуированных вариантов и непрерывного обучения, злоумышленники не могут полагаться на последовательные или повторяемые пороговые значения. То, что сработало на прошлой неделе, может не сработать сегодня. Оборона становится неотслеживаемой извне, ту же цель преследуют противники с запутыванием.
Защитники наконец-то получают то, что всегда было у нападающих: способность адаптироваться быстрее, чем может смоделировать противник.
Создание книг-игр: практический путь
Хорошая новость в том, что вам не нужно начинать с нуля.
Примитивы для книг-игр уже существуют в вашем стеке, системах управления персоналом, графах идентификации, инвентаризациях активов и платформах продажи билетов.
Злоумышленники действуют быстрее, поскольку поверхности в SaaS-приложениях и эфемерной облачной инфраструктуре резко возросли, защитники утомлены усталостью от оповещений, а ИИ демократизирует наступательные возможности. Статические сценарии были созданы для более медленного и предсказуемого мира. Современные противники адаптируются за считанные часы, и ваша защита должна соответствовать этому темпу.
Начните с построения графа владения, который объединяет данные отдела кадров, группы идентификации, входы в конечные точки и аренду активов, чтобы каждый инцидент мог ответить на важный вопрос: «Кому это принадлежит и кого мне следует задать?»
Инструмент для обогащения контекста, превращая календари поездок, смену ролей, положение устройств и рабочие процессы утверждения из приятных метаданных в первоклассные сигналы, которые помогают принимать решения. Определите бюджеты воздействия для каждого класса инцидентов, какие нарушения пропорциональны?
Подозрение на компрометацию учетных данных может служить основанием для отзыва токена, но не для полной блокировки учетной записи. В основе книг-игр лежит присущая им обратимость: каждое сдерживающее действие обратимо с логикой отката, что обеспечивает большее доверие, потому что, если вы не можете безопасно отменить его, вам следует переосмыслить подход.
Преимущество адаптивности
Индустрия безопасности конечных точек сделала этот сдвиг десять лет назад, перейдя от сигнатур к поведению. Переход не был комфортным, он потребовал новой архитектуры, новых навыков и новых показателей. Но это было необходимо.
Расследование и реагирование сейчас переживают один и тот же переломный момент. Вы можете продолжать добавлять правила в сборники сценариев, настраивать пороговые значения и создавать списки исключений. Или вы можете признать, что предсказуемая защита в условиях адаптивного противника — это вообще не защита, а театр военных действий.
Вопрос не в том, стоит ли выходить за рамки статических сборников сценариев. Вопрос в том, возглавите ли вы эту эволюцию в своей организации или подождите, пока злоумышленники не заставят вас действовать.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Я люблю кибербезопасность, потому что это беспроигрышный вариант: сражайтесь с плохими парнями, создавайте потрясающие продукты и доводите технологии до совершенства. Это никогда не переставало быть захватывающим». Орен сочетает глубокие знания в области обеспечения безопасности с опытом разработки продуктов искусственного интеллекта. До Mate он руководил… Подробнее от Орена Сабана
