Парадокс автоматизации, при котором более быстрые инструменты не используются из-за их чрезмерной опасности, представляет собой фундаментальный провал в инжиниринге безопасности, пишут на портале The New Stack Дана Розен из JFrog и Инбал Аргов из Microsoft.

Автоматизация безопасности поставила скорость выше точности, превратив ответные действия в кувалду, которую команды боятся применять. DevOps решила подобную проблему десять лет назад с помощью GitOps, постепенного канареечного развертывания, сделав автоматизацию безопаснее, а не просто быстрее.

Пора службам безопасности взять на вооружение те же принципы. Хирургически точное сдерживание угроз с минимальным общим воздействием (surgical containment, «хирургическое сдерживание») — это основа для наименее разрушительных, обратимых ответных действий, которые блокируют угрозы без остановки производства. Внедрив предварительную проверку, частичную изоляцию и автоматический откат, мы наконец cможем доверять машинам при масштабировании.

Парадокс автоматизации

В службах безопасности автоматизация стала синонимом скорости, но не точности. Мы создали системы, способные обнаруживать угрозы за миллисекунды и запускать ответные меры за секунды, однако большинство команд SOC до сих пор не решаются задействовать эти меры без одобрения человека.

Причина проста. Мы боимся того, что произойдет после того, как нажмем кнопку:

  • Приведет ли автоматизация к отключению критически важной учетной записи сервиса?
  • Не окажется ли руководство заблокированным перед заседанием совета директоров?
  • Не будет ли изолирован производственный сервер, обрабатывающий клиентские транзакции?

Этот страх не иррационален. Большинство систем автоматизации безопасности — это кувалды. Они работают на основе двоичной логики, не придерживаясь принципа пропорциональности, не учитывая бизнес-контекст и не имея простого способа исправить ущерб в случае ошибки.

В этом и заключается парадокс автоматизации. Инструменты, обещающие сократить время реагирования, часто остаются не у дел, поскольку риск сопутствующего ущерба слишком высок. Мы оптимизировали скорость, но пожертвовали уверенностью, создав узкое место, из-за которого операции по обеспечению безопасности выполняются реактивно, вручную и медленно.

Другие инженерные дисциплины усвоили этот урок много лет назад. DevOps не решила проблему непрерывного развертывания, ускорив изменения. Она решила ее, сделав изменения более безопасными — неудивительно, что метрики, характеризующие элитные команды разработчиков (такие как DORA), основаны на сочетании скорости с безопасностью.

GitOps привнесла декларативную конфигурацию, журналы аудита и простые откаты. Постепенные канареечные развертывания позволили командам тестировать изменения на небольших популяциях перед полным развертыванием. Эти шаблоны обеспечили масштабную автоматизацию, вселяющую уверенность в том, что ошибки можно обнаружить на ранней стадии и быстро исправить.

Операции по обеспечению безопасности все еще развертываются в производственной среде без плана отката.

Безопасность требует точности

Хирургическое сдерживание, категория, которую мы вводим и помогаем определить, — это фреймворк для разработки обратимых мер реагирования безопасности с минимальными последствиями. Он заимствует принципы DevOps и инжиниринга надежности и применяет их к сдерживанию угроз. Цель не в том, чтобы ускорить автоматизацию, а в том, чтобы сделать ее достаточно безопасной, чтобы ей доверять.

Хирургическое сдерживание следует структурированной схеме развертывания, включающей три основных этапа и два расширенных шаблона для выбора правильного действия.

Схема развертывания (предварительная проверка, развертывание, откат):

  • Предварительная проверка оценивает текущее состояние, бизнес-контекст и радиус поражения перед выполнением каких-либо действий. Это производственная система? Кому она принадлежит? Что еще от нее зависит? Если вы не можете ответить на эти вопросы программно, вы не готовы к автоматизации.
  • Постепенное развертывание начинается с канареечных действий, которые сначала проверяют сдерживание в ограниченной области. Отозвать один токен, а не все токены. Изолировать один экземпляр, а не всю службу. Отследить непреднамеренные побочные эффекты перед расширением действия.
  • Автоматический откат гарантирует, что для каждого действия по сдерживанию есть определенная процедура отката, которая автоматически выполняется в случае сбоя проверки, превышения пороговых значений влияния на бизнес или отмены решения человеком.

Расширенные шаблоны для выбора действий:

  • Частичная изоляция учитывает, что большинство угроз не требуют полной изоляции. Вместо отключения учетной записи отзовите высокорисковые области OAuth. Вместо блокировки сервера ограничьте его доступ к хранилищам конфиденциальных данных.
  • Теневой режим обрабатывает сценарии низкого и среднего уровня риска, отслеживая угрозы без принятия мер. Регистрируйте свои действия, оценивайте гипотетическое воздействие и укрепляйте доверие, прежде чем переходить к принудительному применению.

Хирургическое сдерживание на практике

Давайте рассмотрим несколько реальных практических примеров, чтобы понять, как это выглядит на практике.

Хирургическое сдерживание анализирует базовый уровень поведения учетной записи службы (на основе 90-дневных журналов облачного мониторинга и истории выполнения CI/CD). Оно выявляет аномалии доступа к базе данных клиента, в то время как действия по развертыванию соответствуют установленным шаблонам.

Компрометация учетной записи службы. Учетная запись службы CI/CD внезапно загружает данные клиента в 3 часа ночи. Метод автоматизации «кувалдой» немедленно отключает учетную запись, нарушая конвейер развертывания и блокируя утренние релизы на несколько часов.

Хирургическое сдерживание анализирует стандартные модели поведения, недавние развертывания и текущие задания конвейера. Вместо полного отключения отзываются только разрешения API с признаками злоупотребления (доступ к базе данных клиентов), при этом разрешения на развертывание сохраняются. Конвейер продолжает работу для неконфиденциальных задач. В случае сбоя легитимного задания откат восстанавливает разрешения после одобрения дежурного.

Угроза локализуется, в то время как компания продолжает доставлять код.

Превышение приложением полномочий OAuth. Стороннее приложение начинает получать доступ к файлам не по своему обычному шаблону. Неправильно настроенная автоматизация отключает пользователя, давшего согласие, и нарушает рабочие процессы.

Хирургическое сдерживание определяет обычный график ресурсов приложения и бизнес-обоснование. Канареечное развертывание отзывает токен для одного пользователя и отслеживает сбои. Частичная изоляция понижает статус приложения до уровня «только для чтения» и блокирует конфиденциальные категории. Теневой режим ведет журнал без отзыва, если аномалия незначительна. Откат восстанавливает области действия после одобрения владельца бизнеса. Приложение остается заблокированным, в то время как пользователи остаются в безопасности.

Эфемерный облачный экземпляр. Узел автоматического масштабирования демонстрирует признаки майнинга криптовалют перед завершением работы. Избыточная автоматизация блокирует подсеть и останавливает группу автомасштабирования, что приводит к сбою в работе.

Синхронизация сопоставляет жизненный цикл экземпляра с данными облачного мониторинга и идентифицирует роль IAM. Она прикрепляет ограничительную группу безопасности к одному экземпляру в качестве «канареечного».

Проблема заключается в том, что для эфемерных экземпляров, которые быстро завершают работу, присоединение групп безопасности может быть слишком медленным. К моменту распространения группы безопасности экземпляр уже может быть удален.

Вариант исправления: система прикрепляет ограничительную группу безопасности для все еще работающих экземпляров. Для уже завершенных экземпляров система фокусируется на роли IAM и применяет временную политику запрета, запрещающую новым экземплярам с этой ролью доступ к конфиденциальным ресурсам.

Частичная изоляция запрещает конфиденциальные IAM-действия с помощью временной политики. Теневой режим фиксирует результаты расследования, но позволяет продолжить работу при низком риске. Откат удаляет политику при чистом развертывании новых экземпляров. Роль становится изолированной, в то время как автомасштабирование остается неизменным.

Это лишь несколько распространенных примеров того, как автоматизация утрачивает доверие и как восстановить доверие к ней, расставив правильные барьеры.

Однако хирургическое сдерживание подходит не для всех угроз. Активное шифрование вирусов-вымогателей, подтвержденная утечка учетных данных внешним субъектам и атаки на уничтожение данных требуют немедленной и полной изоляции, где скорость важнее точности. Надо понимать, какие сценарии требуют каких мер реагирования.

Укрепление доверия с помощью оценки точности

Еще один способ укрепления доверия — использование данных и метрик. DevOps использует «бюджеты ошибок» и отслеживание SLO. Для обеспечения безопасности необходима оценка точности для измерения надежности и безопасности автоматизации, хотя этот подход требует инвестиций в контекстные API, управление состоянием для откатов и наблюдаемость для валидации.

Оценка точности отслеживает контекстный охват (какой процент необходимого контекста доступен), радиус атаки (сколько затронуто сущностей), обратимость (возможна ли отмена за считанные минуты), историческую точность (процент ложноположительных срабатываний) и соответствие бизнес-целям. При высоком показателе точности автоматизация запускается немедленно. Средние показатели требуют участия человека в проверке. Низкие показатели остаются в тени до тех пор, пока не будут устранены пробелы. Это укрепляет уверенность команды и создает цикл обратной связи, который повышает качество обнаружения и реагирования. Оценка становится общим языком для службы безопасности, ИТ-отдела и заинтересованных сторон бизнеса относительно подходящего уровня автоматизации.

От страха к эффективности

Парадокс автоматизации, при котором более быстрые инструменты не используются из-за их чрезмерной опасности, представляет собой фундаментальный провал в инжиниринге безопасности. Мы оптимизировали скорость, когда следовало оптимизировать уверенность.

DevOps решила подобную проблему десять лет назад, сделав автоматизацию безопасной, а не просто быстрой. Служба безопасности может извлечь тот же урок. Хирургическое сдерживание, оценка точности и постепенное развертывание — это не просто заимствованные шаблоны; это основа автоматизации, которой команды действительно доверяют.

Инструменты уже существуют. Методы проверены в других областях. Вопрос только в том, внедрят ли их службы безопасности до того, как следующее нарушение покажет, почему это необходимо.