Mais presque aucun d'entre eux ne s'est avéré suffisamment grand, persistant ou suffisamment influent pour affecter considérablement ce qui se passe dans l'espace de sécurité de l'information des produits et des données. De plus, la nature même d'une telle coopération, quelles que soient les conditions du marché, est directement opposée au concept de libre concurrence. Et en général, la recherche conjointe d'exploits et de moyens de contrer les hackers est vicieuse, car elle repose sur les outils de piratage du produit - ce qui peut aboutir à un espionnage industriel banal, couvert de bons objectifs de sécurité collective. Et pourquoi ne pas regarder votre concurrent direct combattre une attaque de hacker? Un tel typique: "Je suis assis au bord de la rivière, et le cadavre de mon ennemi flotte."
Mais ce «cadavre» empoisonne alors toute la «rivière», car dans la tête des clients potentiels, y compris les têtes de ceux qui signent les budgets et la mise en œuvre de nouvelles solutions, les noms des entreprises ne s'attardent pas, mais le concept lui-même est persistant. En conséquence, nous avons toujours "les nuages sont dangereux", "les données sont volées quotidiennement" et ainsi de suite.
Et maintenant, nous avons un monde où les informations, y compris les informations sur le thème de la sécurité de l'information, sont précieuses, fermées et extrêmement réticentes à les partager. Et pour cette raison, les hackers gagnent, et en toute confiance.
Pourquoi les hackers gagnent-ils?
Premièrement: l'échange d'informations. Contrairement aux entreprises commerciales regroupées dans leur propre coin, la communauté des hackers est très sociable et assez ouverte. Et les cambrioleurs partagent activement des informations entre eux. Parfois, bien sûr, pas la clé, mais le fait lui-même: la circulation des données entre les hackers de chapeau gris et noir est beaucoup plus active que la même au niveau de l'entreprise. Les pirates ont des forums, des canaux, des communautés entiers. Les entreprises, au mieux, se réunissent pour quelques conférences par an, où les orateurs, en cliquant surtout sur des diapositives sur grand écran, parlent de quelque chose qui n'est plus à jour depuis au moins six mois. Maintenant, quand le monde est paralysé, il est complètement passé dans la catégorie des performances enregistrées pendant 15-20 minutes, que vous pouvez simplement regarder en ligne sans aucune interaction.
Deuxièmement, nous sommes toujours à la traîne. Il est impossible de prévoir tous les vecteurs d'attaque et les méthodes de piratage. Nous sommes du côté du bouclier, pas de l'épée, donc la seule chose qui nous reste est de combler les failles de sécurité et de nous assurer que cet exploit, mécanisme, scénario ou tout ce qui a été utilisé ne fonctionne plus jamais comme ça. Un hacker peut préparer son attaque pendant des semaines, l'exécuter en une minute, et vous en raterez les conséquences pendant des mois. Ou, comme dans le cas de l'exécution de code spéculatif sur des processeurs, vous ne pourrez pas surmonter le problème jusqu'au bout. Et vous avez de la chance si l'attaquant est White Hat, qui vous fournira toutes les données sur la façon exacte dont il a mené l'attaque, et vos données n'iront nulle part. Et sinon?
Les murs sont tombés et nous nous sommes réveillés dans un nouveau monde
Seuls les paresseux ne connaissent pas le concept de «périmètre de sécurité» et, nous en sommes sûrs, presque tous ceux qui ont travaillé dans l'informatique l'ont rencontré sous une forme ou une autre. Ou il l'a construit lui-même.
L'essence du périmètre est que c'est une chose des années 80 barbus. C'est juste qu'une fois sur la table d'une quarantaine de grands CTO des entreprises technologiques de l'époque, le concept de sécurité de l'information s'est posé selon le principe du périmètre, qu'ils ont signé ... Ou ils l'ont même inventé eux-mêmes. Ou ils ont espionné les militaires. Pas le point. Et l'essentiel est que le périmètre n'existe plus - COVID-19 l'a détruit dans l'œuf avec l'avènement du concept de travail à distance de masse.
Comment les employés ont-ils été transférés au télétravail ou au télétravail partiel plus tôt? Ce processus a été élaboré étape par étape. Accès - souvent via VPN, cryptage, espaces de travail séparés pour ces employés et, bien sûr, leur isolement des friandises et des parties les plus douces de l'entreprise ou du projet. Eh bien, la plupart du temps. Soit des employés qui n'avaient absolument aucune importance en termes d'accès, soit des spécialistes formés pour une telle interaction ont été transférés vers un site éloigné. Qu'avons-nous maintenant?
Des tunnels sont maintenant levés pour des millions de travailleurs distants déplacés à travers le monde, mais combien d'entre eux maintiennent au moins les bases de l'hygiène et de la sécurité de l'information sur leurs ordinateurs personnels? Combien ont vérifié leurs mots de passe et au moins se sont assurés que leurs machines peuvent être connectées au réseau de l'entreprise?
Et si auparavant nous avions une infrastructure distribuée sur des machines virtuelles, des disques cloud et des environnements SaaS, qui rendait déjà le niveau de sécurité d'un site à l'autre, pour le dire légèrement, inégal, à partir duquel le concept de «périmètre» lui-même explosait à les coutures, maintenant ce concept même peut être envoyé à la poubelle. Car avec autant de trous potentiels et de facteurs humains, aucun périmètre n'est en principe possible.
Et les solutions payantes dans le domaine de la protection des appareils, DevOps, SecOps, etc. sont loin d'être une panacée. Parce qu'ils reposent tous, en fait, sur les épaules de projets open source, avec toutes les conséquences qui en découlent. Vous êtes-vous déjà demandé pourquoi les entreprises qui dépensent des centaines de millions de dollars pour de tels logiciels sont toujours sujettes à des cyberattaques et piratées avec succès par un seul ou un groupe de pirates informatiques?
Nous vivons dans un monde où une solution efficace à 100% ne peut tout simplement pas être achetée, car elle n'existe pas. Et nous avons une situation paradoxale lorsqu'un pirate informatique isolé peut terroriser une entreprise spécifique ou, en général, l'ensemble du secteur. Tout simplement parce qu'il est plus intelligent, plus compétent et plus attentif que n'importe quel ingénieur engagé par ces entreprises. Eh bien, ou parce qu'il a simplement eu la chance de trouver quelque chose dans le code source que même les auteurs du code n'ont pas remarqué.
Une telle situation paradoxale, lorsque la queue ne se contente pas de remuer - elle fait tourner le chien autour de son axe - n'est possible que dans notre sphère informatique et notre réseau natifs :)
Nous sommes tous dans le même bateau
À notre avis, les adresses IP sont les plus utiles pour les pirates modernes. Ils sont comme des masques qui garantissent leur anonymat et plus ils sont disponibles gratuitement, mieux c'est.
Mais nous vivons tous depuis longtemps dans des conditions de pénurie d'adresses gratuites dans l'espace IPv4, et il n'y a pas encore eu de transition massive vers IPv6. Ainsi, chaque attaquant dispose d'un pool d'adresses limité en termes de disponibilité. Et le plus loin - plus ils sont chers pour lui, à la fois en termes de financement et en termes de coûts de main-d'œuvre.
Nous avons créé notre produit avec une idée simple: si vous augmentez le coût du «jeu», il ne sera tout simplement pas «joué». Si pour chaque attaque sur la cible il est nécessaire d'obtenir de plus en plus de nouvelles adresses IP, ou même de rechercher des adresses "propres" qui ne sont pas apparues dans d'autres "projets" du hacker, alors nous pourrons augmenter considérablement le prix d'entrée et de début du «jeu».
Le concept même d'interdire les adresses IP et de créer des listes de blocage est imparfait et ne vous évite pas d'avoir des gars vraiment ingénieux capables de mettre une entreprise à genoux. Mais il est capable de couper la plupart des pirates informatiques qui se livrent eux-mêmes au piratage, n'ont pas d'énormes ressources et valorisent leur temps et leur argent. Une telle pratique, à notre avis, est capable d'équilibrer légèrement les «règles du jeu» actuelles, qui se sont sensiblement orientées vers la communauté des hackers après le début de la pandémie: après tout, le périmètre en tant que concept a, en fait, déchu. Et on ne sait pas s'il sera jamais restauré du tout.
De plus, dans d'autres industries et sphères, une telle collectivisation - quand tout le monde partage ouvertement des informations - fonctionne déjà. Il convient de rappeler comment Reddit sous le slogan "To the moon!" a décidé de punir les courtiers à court terme de Wall Street. La vague nauséabonde qui a augmenté après le pompage massif du stock GameStop continue de rouler dans le monde entier aujourd'hui, consultez les nouvelles.
Le concept d'une liste d'interdiction formée collectivement et vérifiée collectivement nous conduit au tout début du texte: à la thèse selon laquelle il est nécessaire de partager des informations critiques. Pour un hacker, l'adresse IP est critique, c'est son point d'entrée. Pour l'entreprise, les informations sur l'adresse à partir de laquelle l'attaque a été menée n'ont aucune valeur et ne menacent en aucune façon ses secrets et secrets. Nous obtenons une situation gagnant-gagnant lorsque les loups sont nourris et que les moutons sont en sécurité; pas un seul paranoïaque au sein de l'entreprise ne vous reprochera d'avoir divulgué des données stratégiques dans le domaine public, mais en même temps, nous avons la capacité d'atteindre douloureusement des points importants pour les cybercriminels.
C'est la raison pour laquelle nous travaillons sur CrowdSecet nous invitons tout le monde à se joindre à nous dans la formation des listes d'interdiction. Juste pour rendre Internet et, en général, notre monde, plus propres et plus sûrs avec un minimum d'effort.