03.11.2016

Теория "Черного лебедя" в деятельности SOC

Во вчерашней заметке особо пытливые читатели могли заметить, что в неизвестной зоне окна Джохари для ИБ я упомянул термин "Черный лебедь". Так называются события из теории, предложенной Нассимом Николасом Талебом в книге "Черный лебедь. Под знаком непредсказуемости". Это редкие и труднопрогнозируемые, но имеющие значительные последствия, события. По версии Талеба такие события обладают тремя признаками:
  • неожиданность для эксперта
  • значительность последствий
  • рациональное объяснение в ретроспективе (уже после свершения).
Талеб считал почти все научные открытия, значимые политические и исторические события, именно "черными лебедями". Интернет, развал СССР, 11 сентября... С одной стороны его теория кажется вполне реалистичной, но многие ученые подвергают сомнение тот факт, что Талеб свел абсолютно все редкие события со значительным эффектом к "черным лебедям". То, что большинство людей не могло предсказать Stuxnet, взлом RSA или "законопроект Яровой" не означает, что такая слепота была присуща всем и уж тем более, что эти события нельзя было спрогнозировать с применением тех или иных методик (имитационное моделирование, сценарный анализ и т.п.). Кстати, вчера было 28 лет с того дня, как Роберт Моррис запустил своего известного червя (червя Морриса), который в 1988 году вывел из строя около 10% Интернет. И это событие тоже можно считать "Черным лебедем".


Однако применительно к деятельности Security Operations Center такие события существуют и действительно являются одной из серьезных головных болей для аналитиков. Ведь они сложнопредсказуемы, но могут нанести серьезный ущерб защищаемой компании. Особенно опасны такие события для аутсорсингового SOC, который берет на себя ответственность, в том числе и финансовую, за защищенность своих клиентов. Самоуверенность в своих силах может сыграть злую шутку с SOC, который пропустит то, за что потом придется расплачиваться деньгами и репутацией. Талеб в свое книге как раз предупреждает о том, что человек по своей сути излишне самоуверен и на самом деле неспособен прогнозировать; уверенность в своих знаниях опережает сами знания и порождает феномен "сверхуверенности". Взломы Sony, АНБ, Target, JPMorgan, Adobe, RSA лемонстрируют этот феномен. Всех их взломали и все они при этом имели серьезную систему ИБ, включая и систему мониторинга.

Теме редких, но чреватых последствиями событий я уже посвятил несколько заметок и даже дважды проводил интерактивные игры на тему: "А что если?..." (тут и тут). В них я по сути рассматривал тех же "черных лебедей", но включающих в себя и организационные, и юридические события. Что будет, если сошедший с орбиты спутник падает на ваш ЦОД? А если вас отключат от Интернет? Вы готовы к работе в автономном режиме? Это события из разряда "черных лебедей". Сейчас же мне хотелось бы поговорить именно о технических событиях, которым аналитики SOC не уделяют должного внимания, потому что не ожидают от них ничего опасного. 

У нас накапливается много данных в SIEM и это создает уверенность в том, что мы знаем и видим все происходящее с точки зрения кибербезопасности. Но так ли это? Мы даже не всегда индикаторы компрометации применяем для поиска уже известных угроз. И корреляция событий безопасности у нас нередко настроена из рук вон плохо. И сетевые аномалии с помощью Netflow мы не собираем и не анализируем. Чего уж говорить о "черных лебедях"?

Строя свой SOC или выбирая аутсорсинговый стоит обратить внимание на эту проблему. Ведь SOC - это не только мониторинг происходящего, это еще и аналитика для прогнозирования будущего, в том числе и "черных лебедей". SIEM от SOC и просто SOC от хорошего SOC отличается именно способностью видеть за пределами сигнатур и индикаторов компрометации для известных событий. SOCу желательно иметь в своем активе два набора use cases, с которыми он работает, - для широко распространенных угроз и для "черных лебедей". Правда тут возникает иной вопрос - будем ли мы платить за излишнюю избыточность (нейтрализация "черных лебедей" требует ресурсов), которую сложно спрогнозировать?

ЗЫ. В промышленных системах сегодня очень многие событий киберебезопасности относятся именно к категории "черных лебедей". Их мало кто ждет, они могут привести к серьезным последствиям и их, особенно после Stuxnet, элементарно обосновать.

ЗЗЫ. С "черными лебедями" связана и еще одна проблема в ИБ. Такие события лучше прогнозируют молодые специалисты, мозг которых незашорен устаревшими знаниями и не всегда применимым в современных условиях опытом. Однако "старички" боятся такую молодежь, которая может подсидеть их и уйти на пенсию. Отсюда проблема с поиском работы у молодых ИБ-специалистов и выпуск совершенно неадекватных современным реалиям нормативных документов по кибербезопасности.

ЗЗЗЫ. "Черным лебедем" теорию назвали потому, что в средние века считалось, что черных лебедей не бывает в природе. И только организованная экспедиция нашла подтверждение сказкам о черных лебедях, что перевернуло представления многих о данном виде птиц. С тех пор ни у кого уже не вызывает сомнение существование черных лебедей, но они по-прежнему редки в природе.

1 коммент.:

Roman W комментирует...

Что уж говорить, если даже в сетях касперского нашли duqu2?

Большая сеть генерит тысячи и десятки тысяч событий, человеческий мозг гибок (особенно молодой как вы сказали), но не в состоянии обработать такие потоки данных.
На помощь приходят машины, но они работают на основе алгоритмов. И вот тут уже проблема как отстроить эти алгоритмы.
Грубая методика - это поиск уже известных атак. Работает против тупых ботов и вирусов, но не работает против APT.

Более тонкая методика - выявление аномалий и подозрений. Тут тоже, пережмешь - получишь грубую систему. Недожмешь, система будет валить на тебя сотни "аномалий", на разбор которых просто человеческого ресурса не хватит. (средние штаты ИБ в компаниях всем известны)

Поэтому самоуверенность это глупо.