Крыніца: Acunetix
Red Teaming (атака "чырвонай каманды") - гэта комплексная імітацыя рэальных нападаў з мэтай ацэнкі кібербяспекі сістэм. «Чырвоная каманда» уяўляе сабой групу (спецыялістаў, якія выконваюць тэст на пранікненне ў сістэму). Яны могуць быць як найманымі з боку, так і супрацоўнікамі вашай арганізацыі, але ва ўсіх выпадках іх роля аднолькавая - імітаваць дзеянні зламыснікаў і спрабаваць пракрасціся ў вашу сістэму.
Нараўне з "чырвонымі камандамі" у кібербяспецы існуе і шэраг іншых. Так, напрыклад, "сіняя каманда" (Blue Team) працуе разам з чырвонай, але яе дзейнасць накіравана на павышэнне бяспекі інфраструктуры сістэмы знутры. "Пурпурная каманда" (Purple Team) з'яўляецца сувязным звяном, дапамагаючы двум іншым камандам у распрацоўцы стратэгіі нападу і мер абароны. Тым не менш, рэтымінг з'яўляецца адным з найменш зразумелых метадаў кіравання кібербяспекай, і многія арганізацыі па-ранейшаму неахвотна выкарыстоўваюць гэтую практыку.
У гэтым артыкуле мы падрабязна растлумачым, што крыецца за паняццем Red Teaming, і як укараненне практык комплекснай імітацыі рэальных нападаў можа дапамагчы палепшыць бяспеку вашай арганізацыі. Мэта артыкула - паказаць, як гэты метад можа значна павысіць бяспеку вашых інфармацыйных сістэм.
Red Teaming: агляд
Хоць у наш час "чырвоныя" і "сінія" каманды асацыююцца ў першую чаргу са сферай інфармацыйных тэхналогій і кібербяспекай, гэтыя паняцці былі прыдуманыя вайскоўцамі. Наогул, менавіта ў войскі я ўпершыню і пачуў аб гэтых паняццях. Праца аналітыкам па кібербяспецы ў 1980-х гадах шмат у чым адрознівалася ад сённяшняй: доступ да зашыфраваных кампутарных сістэм быў значна больш абмежаваны, чым цяпер.
У астатнім мой першы досвед ваенных гульняў – мадэлявання, імітацыі і арганізацыі ўзаемадзеяння – быў вельмі падобны на сённяшні працэс комплекснай імітацыі нападаў, які знайшоў распаўсюджванне ў кібербяспецы. Як і цяпер, вялікая ўвага надавалася выкарыстанню метадаў сацыяльнай інжынерыі, каб пераканаць супрацоўнікаў падаць "ворагу" неправамерны доступ да ваенных сістэм. Таму, хоць тэхнічныя метады імітацыі нападаў значна рушылі наперад у параўнанні з 80-мі гадамі, варта адзначыць, што шматлікія з асноўных прылад спаборнага падыходу, а асабліва прыёмы сацыяльнай інжынерыі, у значнай ступені не залежаць ад платформы.
Асноўная каштоўнасць комплекснай імітацыі рэальных нападаў таксама не змянілася з 80-х гадоў. Імітуючы напад на свае сістэмы, вам лягчэй выявіць уразлівасці і зразумець, як яны могуць быць скарыстаны. І хоць раней рэтымінг выкарыстоўваўся ў асноўным «белымі хакерамі» і адмыслоўцамі па кібербяспецы, якія шукаюць уразлівасці шляхам тэставання на пранікненне, цяпер у гэтага метаду з'явілася шырэйшае ўжыванне ў сферы кібербяспекі і бізнэсу.
Ключавым для рэдымінгу з'яўляецца разуменне таго, што ў рэчаіснасці вы не можаце атрымаць уяўленне аб абароненасці вашых сістэм, пакуль яны не будуць атакаваны. І замест таго, каб падвяргаць сябе рызыцы нападу са боку сапраўдных зламыснікаў, значна бяспечней змадэляваць такі напад з дапамогай «чырвонай каманды».
Red Teaming: сцэнары выкарыстання
Просты спосаб зразумець асновы рэдымінгу - зірнуць на некалькі прыкладаў. Вось два з іх:
- Сцэнар 1. Уявіце, што ў адносінах да сайта абслугоўвання кліентаў праведзены пентэст, і праверка прайшла паспяхова. Здавалася б, гэта гаворыць аб тым, што ўсё ў парадку. Аднак, пазней, у выніку комплекснай імітацыі нападу "чырвоная каманда" выяўляе, што, хоць само прыкладанне абслугоўвання кліентаў у парадку, функцыя іншага чата не можа дакладна ідэнтыфікаваць людзей, і гэта дае магчымасць падмануць прадстаўнікоў службы падтрымкі кліентаў, каб яны змянілі адрас электроннай пошты ва ўліковым запісе (у выніку чаго новы чалавек, зламыснік, можа атрымаць доступ).
- Сцэнар 2. У выніку правядзення пентэста было выяўлена, што ўсе сродкі кіравання VPN і выдаленым доступам абаронены. Аднак, затым прадстаўнік "чырвонай каманды" бесперашкодна праходзіць міма стойкі рэгістрацыі і выносіць наўтбук аднаго з супрацоўнікаў.
У абодвух вышэйзгаданых выпадках "чырвоная каманда" правярае не толькі надзейнасць кожнай кожнай сістэмы па асобнасці, але і ўсю сістэму ў комплексе на наяўнасць слабых месцаў.
Каму патрэбна комплексная імітацыя нападаў?
У двух словах, практычна любая кампанія можа атрымаць выгаду ад рэдымінгу. Як паказана , палохала вялікая колькасць арганізацый знаходзіцца ў ілжывай упэўненасці аб тым, што маюць поўны кантроль над сваімі дадзенымі. Мы выявілі, напрыклад, што ў сярэднім 22% тэчак кампаніі даступныя кожнаму супрацоўніку, і што 87% кампаній маюць больш састарэлых 1000 канфідэнцыйных файлаў у сваіх сістэмах.
Калі ваша кампанія не працуе ў сферы тэхналогій, можа здацца, што рэтымінг не прынясе вам шмат карысці. Але гэта не так. Кібербяспека - гэта не толькі абарона канфідэнцыйнай інфармацыі.
Зламыснікі ў роўнай ступені спрабуюць завалодаць тэхналогіямі незалежна ад сферы дзейнасці кампаніі. Напрыклад, яны могуць імкнуцца атрымаць доступ да вашай сеткі, каб з яе дапамогай схаваць свае дзеянні па захопе іншай сістэмы ці сеткі ў іншым месцы свету. Пры гэтым тыпе нападу вашыя дадзеныя зламыснікам не патрэбныя. Яны жадаюць заразіць шкоднасным праграмным забеспячэннем менавіта вашы кампутары, каб з іх дапамогай ператварыць вашу сістэму ў групу ботнэтаў.
Для невялікіх кампаній можа быць складана знайсці рэсурсы для правядзення рэдымінгу. У гэтым выпадку мае сэнс даручыць выкананне гэтага працэсу знешняму падрадчыку.
Red Teaming: рэкамендацыі
Аптымальны час для правядзення рэдымінгу і яго частата залежаць ад таго, у якім сектары вы працуеце, і ад развітасці вашых сродкаў забеспячэння кібербяспекі.
У прыватнасці, у вас павінны быць аўтаматызаваны такія дзеянні, як даследаванне актываў і аналіз уразлівасцяў. Ваша арганізацыя таксама павінна спалучаць аўтаматызаваныя тэхналогіі з чалавечым кантролем, рэгулярна праводзячы паўнавартаснае тэсціраванне на пранікненне.
Пасля завяршэння некалькіх бізнес-цыклаў тэсціравання на пранікненне і пошуку ўразлівасцяў, вы можаце прыступаць да комплекснай імітацыі рэальнай атакі. На гэтым этапе рэтымінг прынясе вам адчувальную карысць. Аднак спроба правесці яго да таго, як вы наладзіце асновы кібербяспекі, не прынясе адчувальных пладоў.
Каманда "белых хакераў", верагодна, зможа так хутка і лёгка паставіць пад пагрозу непадрыхтаваную сістэму, што вы атрымаеце занадта мала інфармацыі для прыняцця далейшых мер. Для дасягнення рэальнага эфекту інфармацыя, атрыманая "чырвонай камандай", павінна быць супастаўлена з папярэднімі тэстамі на пранікненне і ацэнкамі ўразлівасці.
Што такое тэсціраванне на пранікненне?
Комплексную імітацыю рэальнага нападу (Red Teaming) часта блытаюць з , Але гэтыя два метады крыху адрозніваюцца. Дакладней, тэсціраванне на пранікненне - гэта толькі адзін з метадаў рэтымінгу.
Роля пентэстэра . Праца пентэстэраў падзелена на чатыры асноўныя этапы: планаванне, выяўленне інфармацыі, атака і справаздачнасць. Як бачыце, пентэстары робяць больш, чым проста шукаюць уразлівасці праграмнага забеспячэння. Яны спрабуюць паставіць сябе на месца хакераў, і пасля таго, як яны пападаюць у вашу сістэму, пачынаецца іх сапраўдная праца.
Яны выяўляюць уразлівасці, а затым ажыццяўляюць новыя напады, засноўваючыся на атрыманай інфармацыі, перасоўваючыся па іерархіі тэчак. Менавіта гэтым адрозніваюцца адмыслоўцы, якія праводзяць тэст на пранікненне, ад тых, каго наймаюць толькі для пошуку ўразлівасцяў, з дапамогай праграмнага забеспячэння для сканавання партоў ці выяўленні вірусаў. Доследны пентэстар можа вызначыць:
- куды хакеры могуць накіраваць свой напад;
- спосаб, якім хакеры будуць атакаваць;
- як будзе паводзіць сябе ваша абарона;
- магчымы маштаб парушэння.
Тэсціраванне на пранікненне накіравана на выяўленне недахопаў на ўзроўні дадаткаў і сетак, а таксама магчымасцей пераадолення фізічных бар'ераў бяспекі. У той час як аўтаматычнае тэсціраванне можа выявіць некаторыя праблемы кібербяспекі, ручное тэсціраванне на пранікненне акрамя гэтага ўлічвае ўразлівасць бізнесу да нападаў.
Red Teaming vs. тэсціраванне на пранікненне
Несумненна, тэст на пранікненне важны, але ён з'яўляецца толькі адной часткай з цэлага шэрагу мерапрыемстваў, якія праводзяцца пры рэдытымінгу. Дзейнасць «чырвонай каманды» мае значна шырэйшыя мэты, чым у пентэстэраў, якія часцяком проста імкнуцца атрымаць доступ да сеткі. У рэдытымінгу часта задзейнічана больш людзей, рэсурсаў і часу, паколькі спецыялісты з "чырвонай каманды" глыбока капаюць, каб поўнасцю зразумець сапраўдны ўзровень рызыкі і ўразлівасці ў тэхналогіях, а таксама чалавечых і фізічных актывах арганізацыі.
Акрамя таго, існуюць і іншыя адрозненні. Рэтымінг звычайна выкарыстоўваецца арганізацыямі з больш сталымі і развітымі мерамі кібербяспекі (хоць, на практыцы гэта не заўсёды так).
Звычайна гэта кампаніі, якія ўжо правялі тэставанне на пранікненне і выправілі большасць знойдзеных уразлівасцяў, і зараз шукаюць кагосьці, хто зможа зноў паспрабаваць атрымаць доступ да канфідэнцыйнай інфармацыі ці ўзламаць абарону любым спосабам.
Вось чаму рэтымінг належыць на каманду экспертаў па бяспецы, засяроджаных на канкрэтнай мэты. Яны накіраваны на ўнутраныя ўразлівасці і выкарыстоўваюць як электронныя, так і фізічныя метады сацыяльнай інжынерыі ў адносінах да супрацоўнікаў арганізацыі. У адрозненне ад пентэстэраў, "чырвоныя каманды" не спяшаюцца падчас сваіх нападаў, жадаючы пазбегнуць выяўленні, як гэта зрабіў бы сапраўдны кіберзлачынца.
Перавагі Red Teaming
У комплекснай імітацыі рэальных нападаў ёсць шмат пераваг, але самае галоўнае - гэты падыход дазваляе атрымаць вычарпальную карціну ўзроўню кібербяспекі арганізацыі. Тыповы працэс комплекснай імітацыі нападу будзе ўключаць тэставанне на пранікненне (сетка, прыкладанне, мабільны тэлефон і іншая прылада), сацыяльную інжынерыю (у жывых зносінах на месцы, з дапамогай тэлефонных званкоў, па электроннай пошце ці ў тэкставых паведамленнях і чаце) і фізічнае ўварванне ( узлом замкаў, выяўленне мёртвых зон камер сачэння, абыход сістэм абвесткі). Калі ў любым з гэтых аспектаў вашай сістэмы ёсць уразлівасці, яны будуць выяўлены.
Як толькі ўразлівасці выяўлены, іх можна выправіць. Эфектыўная працэдура імітацыі нападу не сканчаецца пасля выяўлення ўразлівасцяў. Пасля таго, як недахопы бяспекі будуць цотна вызначаны, вы захочаце папрацаваць над іх выпраўленнем і паўторным тэсціраваннем. Фактычна, сапраўдная праца звычайна пачынаецца пасля ўварвання "чырвонай каманды", калі вы праводзіце крыміналістычны аналіз нападу і спрабуеце скараціць знойдзеныя ўразлівасці.
У дадатак да гэтых двух асноўных пераваг рэтымінг таксама прапануе шэраг іншых. Так, "чырвоная каманда" можа:
- выявіць у ключавых інфармацыйных актывах бізнесу рызыкі і ўразлівасці да нападаў;
- змадэляваць метады, тактыку і працэдуры рэальных зламыснікаў у асяроддзі з абмежаванай і кантраляванай рызыкай;
- ацаніць здольнасць вашай арганізацыі выяўляць, рэагаваць і прадухіляць складаныя мэтавыя пагрозы;
- стымуляваць цеснае ўзаемадзеянне з ИБ-аддзеламі і "сінімі камандамі", каб забяспечыць істотнае памяншэнне наступстваў і правесці комплексныя практычныя семінары па выніках выяўленых уразлівасцяў.
Як працуе Red Teaming?
Выдатны спосаб зразумець прынцып працы рэдымінгу - зірнуць на тое, як звычайна гэта адбываецца. Звычайны працэс комплекснай імітацыі нападаў складаецца з некалькіх этапаў:
- Арганізацыя ўзгадняе з "чырвонай камандай" (унутранай або вонкавай) мэта праводжанай напады. Напрыклад, такой мэтай можа быць выманне канфідэнцыйнай інфармацыі з вызначанага сервера.
- Затым "чырвоная каманда" праводзіць разведку мэты. У выніку складаецца схема мэтавых сістэм, уключаючы сеткавыя службы, вэб-прыкладанні і ўнутраныя парталы для супрацоўнікаў. .
- Пасля гэтага ў мэтавай сістэме шукаюцца ўразлівасці, якія звычайна рэалізуюцца з дапамогай фішынгу або XSS-нападаў. .
- Як толькі будуць атрыманы токены для доступу, "чырвоная каманда" выкарыстоўвае іх для даследавання далейшых уразлівасцяў. .
- Пры выяўленні іншых уразлівасцяў "чырвоная каманда" будзе імкнуцца павысіць свой узровень доступу да неабходнага ўзроўню для дасягнення мэты. .
- Пры атрыманні доступу да мэтавых дадзеных ці актыву задача нападу лічыцца выкананай.
Насамрэч, дасведчаны адмысловец "чырвонай каманды" будзе выкарыстоўваць велізарную колькасць розных метадаў для праходжання кожнага з пералічаных крокаў. Аднак ключавая выснова з прыведзенага вышэй прыкладу складаецца ў тым, што невялікія ўразлівасці ў асобных сістэмах могуць перарасці ў катастрафічныя збоі, калі аб'яднаны ў ланцужок.
Што трэба ўлічваць пры звароце да "чырвонай каманды"?
Каб атрымаць максімальную аддачу ад рэдымінгу, неабходна старанна падрыхтавацца. Сістэмы і працэсы, якія выкарыстоўваюцца кожнай арганізацыяй, розныя, і якасны ўзровень рэтымінгу дасягаецца, калі ён накіраваны на пошук уразлівасцяў менавіта ў вашых сістэмах. Па гэтай прычыне важна ўлічыць шэраг фактараў:
Ведайце, што шукаеце
У першую чаргу важна зразумець, якія сістэмы і працэсы вы хочаце праверыць. Магчыма, вы ведаеце, што хочаце пратэставаць вэб-дадатак, але не вельмі добра разумееце, што гэта на самой справе азначае і якія іншыя сістэмы інтэграваныя з вашымі вэб-прыкладаннямі. Таму важна, каб вы добра разбіраліся ў сваіх уласных сістэмах і выправілі ўсе відавочныя ўразлівасці, перш чым пачынаць комплексную імітацыю рэальнага нападу.
Ведайце сваю сетку
Гэта злучана з папярэдняй рэкамендацыяй, але больш дакранаецца тэхнічных характарыстак вашай сеткі. Чым лепш вы зможаце колькасна ацаніць асяроддзе тэсціравання, тым дакладней і канкрэтней будзе дзейнічаць ваша "чырвоная каманда".
Ведайце свой бюджэт
Рэтымінг можа выконвацца на розных узроўнях, але імітацыя поўнага спектру нападаў на вашу сетку, уключаючы сацыяльную інжынерыю і фізічнае ўварванне, можа апынуцца дарагім мерапрыемствам. Па гэтай прычыне важна разумець, колькі вы можаце патраціць на такую праверку і, адпаведна, акрэсліць яе аб'ём.
Ведайце свой узровень рызыкі
Некаторыя арганізацыі могуць дапускаць даволі высокі ўзровень рызыкі ў рамках сваіх стандартных бізнес-працэдур. Іншым жа неабходна будзе абмежаваць свой узровень рызыкі ў значна большай ступені, асабліва калі кампанія працуе ў высока рэгуляванай галіны. Таму пры правядзенні рэдымінгу важна засяродзіцца на рызыках, якія сапраўды ўяўляюць небяспеку для вашага бізнесу.
Red Teaming: інструменты і тактыкі
Пры правільнай рэалізацыі «чырвоная каманда» правядзе поўнамаштабны напад на вашы сеткі з ужываннем усіх прылад і метадаў, выкарыстоўваных хакерамі. Сярод іншага сюды адносіцца:
- Тэставанне прыкладанняў на пранікненне - накіравана на выяўленне недахопаў на ўзроўні прыкладанняў, такіх як падробка міжсайтавых запытаў, недахопы ўводу дадзеных, слабое кіраванне сеансамі і многія іншыя.
- Тэставанне сеткі на пранікненне - накіравана на выяўленне недахопаў на ўзроўні сеткі і сістэмы, уключаючы няправільныя канфігурацыі, уразлівасці бесправадной сеткі, несанкцыянаваныя службы і шматлікае іншае.
- Фізічнае тэсціраванне на пранікненне - Праверка эфектыўнасці, а таксама моцных і слабых бакоў фізічных сродкаў кантролю бяспекі ў рэальным жыцці.
- Сацыяльная інжынерыя — накіравана на выкарыстанне слабасцей людзей і чалавечай прыроды, праверка ўспрымальнасці людзей да падману, пераканання і маніпуляцый з дапамогай фішынгу па электроннай пошце, тэлефонных званкоў і тэкставых паведамленняў, а таксама пры фізічным кантакце на месцы.
Усё вышэйпералічанае з'яўляецца кампанентамі рэдымінгу. Гэта поўнамаштабнае шматузроўневае мадэляванне нападу, прызначанае для вызначэння таго, наколькі добра вашыя людзі, сеткі, прыкладанні і фізічныя сродкі кантролю бяспекі могуць супрацьстаяць нападу рэальнага зламысніка.
Пастаяннае развіццё метадаў Red Teaming
Прырода комплекснай імітацыі рэальных нападаў, у якіх "чырвоныя каманды" спрабуюць знайсці новыя ўразлівасці ў сістэме бяспекі, а "сінія каманды" спрабуюць іх выправіць, прыводзіць да сталага развіцця метадаў такіх праверак. Па гэтай прычыне складана скласці актуальны спіс сучасных тэхнік рэдымінгу, паколькі яны хутка выходзяць з моды.
Таму большасць адмыслоўцаў, якія праводзяць рэтымінг, будуць марнаваць хоць бы частку свайго часу на вывучэнне новых уразлівасцяў і метадаў іх эксплуатацыі, выкарыстаючы мноства рэсурсаў, якія прадстаўляюцца супольнасцю "чырвоных каманд". Вось самыя папулярныя з такіх суполак:
- — гэта сэрвіс па падпісцы, які прапануе анлайн-відэакурсы, прысвечаныя, галоўным чынам, тэсціраванню на пранікненне, а таксама курсы па крыміналістыцы аперацыйных сістэм, задачам сацыяльнай інжынерыі і мове асэмблера для абароны інфармацыі.
- - «аператар наступальнай кібербяспекі», які рэгулярна вядзе блог аб метадах комплекснай імітацыі рэальных нападаў і з'яўляецца добрай крыніцай новых падыходаў.
- Twitter - таксама добрая крыніца, калі вы шукаеце актуальную інфармацыю аб рэдымінгу. Вы можаце знайсці яе па хэштэгах и .
- - яшчэ адзін вопытны спецыяліст па рэдымінгу, які выпускае інфармацыйны бюлетэнь і , вядзе і шмат піша аб сучасных тэндэнцыях "чырвоных каманд". Сярод яго апошніх артыкулаў: и .
- -— гэта інфармацыйны бюлетэнь па вэб-бяспецы, фундаваны PortSwigger Web Security. Гэта добры рэсурс, каб даведацца пра напрацоўкі і навіны ў галіне рэдымінгу — узломы, уцечкі дадзеных, эксплойты, уразлівасці вэб-прыкладанняў і новыя тэхналогіі бяспекі.
- - "белы хакер" і спецыяліст па тэставанні на пранікненне, ён рэгулярна асвятляе новыя тактыкі "чырвонай каманды" ў сваім .
- MWR labs - добрая, хоць і надзвычай тэхнічная крыніца навін аб рэдымінгу. Яны публікуюць карысныя для чырвоных каманд , А іх змяшчае парады па вырашэнні праблем, з якімі сутыкаюцца спецыялісты па тэсціраванню бяспекі.
- - юрыст і «белы хакер». У яго стужцы Twitter ёсць метады, карысныя для "чырвоных каманд", такія як напісанне SQL-ін'екцый і падробка токенаў OAuth.
- (ATT & CK) - гэта старанна падабраная база ведаў аб паводзінах зламыснікаў. У ёй адсочваюцца фазы жыццёвага цыклу зламыснікаў і платформаў, на якія яны накіраваны.
- - Гэта кіраўніцтва для хакераў, якое, хоць і даволі старое, ахоплівае многія фундаментальныя метады, якія ўсё яшчэ ляжаць у аснове комплекснай імітацыі рэальных нападаў. У аўтара Піцера Кіма (Peter Kim) таксама ёсць , У якой ён прапануе парады па ўзломе і іншую інфармацыю.
- SANS Institute – яшчэ адзін буйны пастаўшчык навучальных матэрыялаў па кібербяспецы. Іх , прысвечаны лічбавай крыміналістыцы і рэагаванні на інцыдэнты, змяшчае апошнія навіны аб курсах SANS і парады экспертаў-практыкаў.
- Некаторыя з самых цікавых навінак аб рэдытымінгу апублікаваны ў . Там ёсць артыкулы, арыентаваныя на тэхналогіі, такія як параўнанне Red Teaming з тэсціраваннем на пранікненне, а таксама аналітычныя артыкулы, такія як «Маніфест спецыяліста чырвонай каманды».
- Нарэшце, Awesome Red Teaming – гэта суполка на GitHub, якая прапануе рэсурсаў, прысвечаных Red Teaming. У ім разглядаюцца практычна ўсе тэхнічныя аспекты дзейнасці "чырвонай каманды", ад атрымання пачатковага доступу, выканання шкоднасных дзеянняў да збору і вымання дадзеных.
Сіняя каманда што гэта?
Пры такой вялікай колькасці "рознакаляровых" каманд можа быць складана вызначыць, які тып патрэбен вашай арганізацыі.
Адной з альтэрнатыў "чырвонай камандзе", а дакладней іншым тыпам каманды, які можа выкарыстоўвацца разам з "чырвонай камандай", з'яўляецца "сіняя каманда". "Сіняя каманда" таксама ацэньвае бяспеку сеткі і выяўляе любыя магчымыя ўразлівасці інфраструктуры. Аднак у яе іншая мэта. Каманды гэтага тыпу патрэбны для знаходжання спосабаў абароны, змены і перагрупоўкі ахоўных механізмаў, каб зрабіць рэагаванне на інцыдэнты нашмат больш эфектыўным.
Як і "чырвоная каманда", сіняя павінна валодаць тымі ж ведамі аб тактыках зламыснікаў, тэхніках і працэдурах, каб на іх падставе ствараць стратэгіі рэагавання. Аднак абавязкі "сіняй каманды" не абмяжоўваюцца адной толькі абаронай ад нападаў. Яна таксама ўдзельнічае ва ўмацаванні ўсёй інфраструктуры бяспекі, выкарыстоўваючы, напрыклад, сістэму выяўлення ўварванняў (IDS), якая забяспечвае бесперапынны аналіз незвычайнай і падазронай актыўнасці.
Вось некаторыя з крокаў, якія выконвае "сіняя каманда":
- аўдыт бяспекі, у прыватнасці, аўдыт DNS;
- аналіз часопісаў і памяці;
- аналіз пакетаў сеткавых даных;
- аналіз дадзеных аб рызыках;
- аналіз лічбавага следа;
- зваротная распрацоўка;
- DDoS-тэставанне;
- распрацоўка сцэнарыяў рэалізацыі рызык.
Адрозненні чырвонай і сіняй каманд
Распаўсюджанае пытанне для многіх арганізацый: якую каманду ім лепш выкарыстоўваць - чырвоную або сінюю. Гэтае пытанне таксама часта суправаджаецца сяброўскай непрыязнасцю паміж людзьмі, якія працуюць "па розныя бакі барыкад". У рэчаіснасці ж ні адна каманда не мае сэнсу без іншай. Так што правільны адказ на гэтае пытанне - важныя абедзве каманды.
"Чырвоная каманда" атакуе і выкарыстоўваецца для праверкі падрыхтаванасці "сіняй каманды" да абароны. Часам "чырвоная каманда" можа знаходзіць уразлівасці, якія "сіняя каманда" цалкам выпусціла з-пад увагі, і ў гэтым выпадку "чырвоная каманда" павінна паказаць, як гэтыя ўразлівасці могуць быць выпраўленыя.
Для абедзвюх каманд жыццёва важна працаваць разам супраць кіберзлачынцаў над узмацненнем інфармацыйнай бяспекі.
Па гэтай прычыне няма сэнсу выбіраць толькі адзін бок ці інвеставаць толькі ў адзін тып каманды. Важна памятаць, што мэта абодвух бакоў - прадухіленне кіберзлачынстваў.
Іншымі словамі, кампаніям неабходна наладзіць узаемнае супрацоўніцтва абедзвюх каманд, каб забяспечыць комплексны аўдыт – з часопісамі ўсіх выкананых нападаў і праверак, запісамі выяўленых асаблівасцяў.
"Чырвоная каманда" падае інфармацыю аб аперацыях, якія яны выканалі падчас імітацыі нападу, а сіняя - аб дзеяннях, якія яны распачалі, каб запоўніць прабелы і ўхіліць знойдзеныя ўразлівасці.
Важнасць абедзвюх каманд нельга недаацэньваць. Без іх сталага аўдыту бяспекі, правядзенні тэставання на пранікненне і ўдасканаленні інфраструктуры кампаніі не ведалі бы аб стане сваёй уласнай бяспекі. Прынамсі датуль, пакуль не адбудзецца ўцечка дадзеных, і стане да болю ясна, што мер бяспекі было нядосыць.
Што такое "пурпурная каманда"?
"Пурпурная каманда" з'явілася ў выніку спроб аб'яднаць чырвоную і сінюю каманды. «Пурпурная каманда» - гэта хутчэй канцэпцыя, а не асобны тып каманды. Яе лепш разглядаць як спалучэнне чырвонай і сіняй каманд. Яна задзейнічае абедзве каманды, дапамагаючы ім працаваць разам.
"Пурпурная каманда" можа дапамагчы службам бяспекі павысіць эфектыўнасць выяўлення ўразлівасцяў, пошуку пагроз і маніторынгу сеткі за кошт дакладнага мадэлявання агульных сцэнарыяў пагроз і дапамогі ў стварэнні новых метадаў выяўлення і прадухілення пагроз.
Некаторыя арганізацыі задзейнічаюць "пурпурную каманду" для разавых мэтанакіраваных мерапрыемстваў, пры якіх дакладна вызначаны мэты бяспекі, тэрміны і ключавыя вынікі. Гэта ўключае ў сябе прызнанне недахопаў у нападзе і абароне, а таксама вызначэнне будучых патрабаванняў да навучання і тэхналогіям.
Альтэрнатыўны падыход, які набірае зараз абароты, заключаецца ў тым, каб разглядаць «пурпурную каманду» як канцэптуальную мадэль, якая працуе ва ўсёй арганізацыі, спрыяючы стварэнню культуры кібербяспекі і яе бесперапыннага паляпшэння.
Заключэнне
Red Teaming, або комплексная імітацыя нападаў - гэта магутны метад тэставання ўразлівасцяў сістэмы бяспекі арганізацыі, але яго варта ўжываць асцярожна. У прыватнасці, для яго прымянення вам неабходна мець дастаткова , інакш ён можа не апраўдаць ускладзеных на яго надзей.
Рэтымінг можа выявіць уразлівасці вашай сістэмы, пра якія вы нават не меркавалі, і дапамагчы ўхіліць іх. Ужываючы спаборны падыход паміж сіняй і чырвонай камандамі, вы можаце змадэляваць дзеянні сапраўднага хакера, калі б ён захацеў выкрасці вашыя дадзеныя ці пашкодзіць вашыя актывы.
Крыніца: habr.com