Източник: Acunetix
Red Teaming е сложна симулация на реални атаки с цел оценка на киберсигурността на системите. "Червен отбор" е група (специалисти, извършващи тест за проникване в системата). Те могат да бъдат наети отвън или служители на вашата организация, но във всички случаи ролята им е една и съща - да имитират действията на нарушителите и да се опитат да проникнат във вашата система.
Наред с „червените екипи“ в киберсигурността има и редица други. Например Синият екип работи заедно с Червения екип, но дейността му е насочена към подобряване на сигурността на инфраструктурата на системата отвътре. Лилавият отбор е връзката, която помага на другите два отбора в разработването на стратегии за атака и защити. Redtiming обаче е един от най-малко разбраните методи за управление на киберсигурността и много организации остават неохотни да възприемат тази практика.
В тази статия ще обясним подробно какво се крие зад концепцията за Red Teaming и как прилагането на сложни практики за симулация на реални атаки може да помогне за подобряване на сигурността на вашата организация. Целта на тази статия е да покаже как този метод може значително да увеличи сигурността на вашите информационни системи.
Преглед на Red Teaming
Въпреки че в наше време "червените" и "сините" отбори се свързват предимно с областта на информационните технологии и киберсигурността, тези концепции са измислени от военните. Като цяло за първи път чух за тези понятия в армията. Работата като анализатор по киберсигурност през 1980-те години беше много различна от днешната: достъпът до криптирани компютърни системи беше много по-ограничен, отколкото днес.
Иначе първият ми опит с военни игри — симулация, симулация и взаимодействие — беше много подобен на днешния сложен процес на симулация на атаки, който намери своето място в киберсигурността. Както и сега, голямо внимание беше отделено на използването на методи за социално инженерство, за да се убедят служителите да предоставят на „врага“ неправомерен достъп до военни системи. Следователно, въпреки че техническите методи за симулация на атаки са напреднали значително от 80-те години на миналия век, заслужава да се отбележи, че много от основните инструменти на състезателния подход и особено техниките за социално инженерство са до голяма степен независими от платформата.
Основната стойност на сложната имитация на реални атаки също не се е променила от 80-те години насам. Чрез симулиране на атака срещу вашите системи е по-лесно за вас да откриете уязвимостите и да разберете как могат да бъдат използвани. И докато redteaming се използва предимно от бели хакери и професионалисти по киберсигурност, търсещи уязвимости чрез тестове за проникване, сега той се използва по-широко в киберсигурността и бизнеса.
Ключът към redtiming е да разберете, че не можете наистина да добиете представа за сигурността на вашите системи, докато не бъдат атакувани. И вместо да се излагате на риск да бъдете атакувани от истински нападатели, е много по-безопасно да симулирате такава атака с червена команда.
Red Teaming: случаи на употреба
Лесен начин да разберете основите на redtiming е да разгледате няколко примера. Ето две от тях:
- Сценарий 1. Представете си, че сайт за обслужване на клиенти е тестван и успешно тестван. Изглежда, че това предполага, че всичко е наред. Въпреки това, по-късно, в сложна симулативна атака, червеният екип открива, че докато самото приложение за обслужване на клиенти е наред, функцията за чат на трета страна не може да идентифицира точно хората и това прави възможно да подмами представителите на отдела за обслужване на клиенти да променят своя имейл адрес .в акаунта (в резултат на което ново лице, нападател, може да получи достъп).
- Сценарий 2. В резултат на pentesting всички VPN и контроли за отдалечен достъп бяха установени като сигурни. Тогава обаче представителят на "червените" минава свободно покрай гишето за регистрация и вади лаптопа на един от служителите.
И в двата горни случая "червеният отбор" проверява не само надеждността на всяка отделна система, но и цялата система като цяло за слабости.
Кой се нуждае от сложна симулация на атака?
С две думи, почти всяка компания може да се възползва от redtiming. Както е показано , плашещо голям брой организации са под фалшивото убеждение, че имат пълен контрол върху своите данни. Открихме например, че средно 22% от папките на една компания са достъпни за всеки служител и че 87% от компаниите имат повече от 1000 остарели чувствителни файла в своите системи.
Ако вашата компания не е в технологичната индустрия, може да изглежда, че redtiming няма да ви помогне много. Но не е. Киберсигурността не е само защита на поверителна информация.
Престъпниците еднакво се опитват да се доберат до технологиите, независимо от сферата на дейност на компанията. Например, те могат да се стремят да получат достъп до вашата мрежа, за да скрият действията си, за да поемат друга система или мрежа другаде по света. При този тип атака нападателите не се нуждаят от вашите данни. Те искат да заразят компютрите ви със зловреден софтуер, за да превърнат системата ви в група от ботнети с тяхна помощ.
За по-малките компании може да е трудно да намерят ресурси за осребряване. В този случай има смисъл да поверите този процес на външен изпълнител.
Red Teaming: Препоръки
Оптималното време и честота за redtiming зависи от сектора, в който работите, и зрелостта на вашите инструменти за киберсигурност.
По-специално, трябва да имате автоматизирани дейности като проучване на активи и анализ на уязвимости. Вашата организация трябва също така да комбинира автоматизирана технология с човешки надзор чрез редовно провеждане на пълно тестване за проникване.
След завършване на няколко бизнес цикъла на тестове за проникване и намиране на уязвимости, можете да продължите към сложна симулация на реална атака. На този етап redtiming ще ви донесе осезаеми ползи. Опитът да го направите обаче, преди да имате основите на киберсигурността, няма да доведе до осезаеми резултати.
Екипът с бели шапки вероятно ще успее да компрометира неподготвена система толкова бързо и лесно, че да получите твърде малко информация, за да предприемете по-нататъшни действия. За да има реален ефект, информацията, получена от "червения екип", трябва да бъде сравнена с предишни тестове за проникване и оценки на уязвимостта.
Какво е тест за проникване?
Сложната имитация на истинска атака (Red Teaming) често се бърка с , но двата метода са малко по-различни. По-точно, тестът за проникване е само един от методите за редтайминг.
Ролята на пентестер . Работата на пентестерите е разделена на четири основни етапа: планиране, откриване на информация, атака и докладване. Както можете да видите, пентестерите правят повече от това просто да търсят софтуерни уязвимости. Те се опитват да се поставят на мястото на хакери и след като влязат във вашата система, тяхната истинска работа започва.
Те откриват уязвимости и след това извършват нови атаки въз основа на получената информация, движейки се през йерархията на папките. Това е, което отличава тестерите за проникване от тези, които са наети само да откриват уязвимости, използвайки софтуер за сканиране на портове или откриване на вируси. Опитен пентестер може да определи:
- къде хакерите могат да насочат своите атаки;
- начина, по който хакерите ще атакуват;
- Как ще се държи защитата ви?
- възможната степен на нарушението.
Тестването за проникване се фокусира върху идентифицирането на слабости на ниво приложение и мрежа, както и върху възможности за преодоляване на физически бариери за сигурност. Докато автоматизираното тестване може да разкрие някои проблеми с киберсигурността, ръчното тестване за проникване също взема предвид уязвимостта на бизнеса към атаки.
Red Teaming vs. тестване за проникване
Несъмнено тестът за проникване е важен, но е само една част от цяла поредица от редтайминг дейности. Дейностите на „червения отбор“ имат много по-широки цели от тези на пентестерите, които често просто се стремят да получат достъп до мрежата. Redteaming често включва повече хора, ресурси и време, докато червеният екип копае дълбоко, за да разбере напълно истинското ниво на риск и уязвимост в технологиите и човешките и физически активи на организацията.
Освен това има и други разлики. Redtiming обикновено се използва от организации с по-зрели и напреднали мерки за киберсигурност (въпреки че това не винаги е така на практика).
Това обикновено са компании, които вече са направили тестове за проникване и са коригирали повечето от откритите уязвимости и сега търсят някой, който може да опита отново да получи достъп до чувствителна информация или да наруши защитата по какъвто и да е начин.
Ето защо redtiming разчита на екип от експерти по сигурността, фокусирани върху конкретна цел. Те са насочени към вътрешни уязвимости и използват както електронни, така и физически техники за социално инженерство върху служителите на организацията. За разлика от пентестерите, червените екипи не бързат по време на атаките си, като искат да избегнат откриването, както би направил истински киберпрестъпник.
Предимства на Red Teaming
Има много предимства на сложната симулация на реални атаки, но най-важното е, че този подход ви позволява да получите цялостна картина на нивото на киберсигурност на дадена организация. Типичен процес на симулирана атака от край до край ще включва тест за проникване (мрежа, приложение, мобилен телефон и друго устройство), социално инженерство (на живо на място, телефонни обаждания, имейл или текстови съобщения и чат) и физическо проникване (разбиване на брави, откриване на мъртви зони на охранителни камери, заобикаляне на системи за предупреждение). Ако има уязвимости в някой от тези аспекти на вашата система, те ще бъдат открити.
След като бъдат открити уязвимости, те могат да бъдат коригирани. Една ефективна процедура за симулация на атака не завършва с откриването на уязвимости. След като пропуските в сигурността бъдат ясно идентифицирани, ще искате да работите върху тяхното коригиране и повторно тестване. Всъщност истинската работа обикновено започва след нахлуване на червен екип, когато криминалистите анализират атаката и се опитват да смекчат откритите уязвимости.
В допълнение към тези две основни предимства, redtiming предлага и редица други. И така, "червеният отбор" може:
- идентифициране на рискове и уязвимости към атаки в ключови бизнес информационни активи;
- симулират методите, тактиките и процедурите на реални нападатели в среда с ограничен и контролиран риск;
- Оценете способността на вашата организация да открива, реагира и предотвратява сложни, насочени заплахи;
- Насърчавайте тясното сътрудничество с отделите по сигурността и сините екипи за осигуряване на значително смекчаване и провеждане на изчерпателни практически семинари след открити уязвимости.
Как работи Red Teaming?
Чудесен начин да разберете как работи redtiming е да погледнете как работи обикновено. Обичайният процес на симулация на комплексна атака се състои от няколко етапа:
- Организацията се съгласява с "червения отбор" (вътрешен или външен) за целта на атаката. Например, такава цел може да бъде извличане на чувствителна информация от определен сървър.
- След това "червеният екип" провежда разузнаване на целта. Резултатът е диаграма на целевите системи, включително мрежови услуги, уеб приложения и вътрешни портали за служители. .
- След това се търсят уязвимости в целевата система, които обикновено се реализират чрез фишинг или XSS атаки. .
- След като бъдат получени токени за достъп, червеният екип ги използва, за да проучи допълнителни уязвимости. .
- Когато бъдат открити други уязвимости, "червеният отбор" ще се стреми да повиши нивото си на достъп до нивото, необходимо за постигане на целта. .
- При получаване на достъп до целевите данни или актив, задачата за атака се счита за завършена.
Всъщност един опитен специалист от червен екип ще използва огромен брой различни методи, за да премине през всяка от тези стъпки. Ключовият извод от горния пример обаче е, че малките уязвимости в отделните системи могат да се превърнат в катастрофални повреди, ако се свържат заедно.
Какво трябва да се има предвид, когато се говори за "червения отбор"?
За да извлечете максимума от redtiming, трябва да се подготвите внимателно. Системите и процесите, използвани от всяка организация, са различни и нивото на качество на redtiming се постига, когато е насочено към намиране на уязвимости във вашите системи. Поради тази причина е важно да се вземат предвид редица фактори:
Знайте какво търсите
На първо място, важно е да разберете кои системи и процеси искате да проверите. Може би знаете, че искате да тествате уеб приложение, но не разбирате много добре какво всъщност означава то и какви други системи са интегрирани с вашите уеб приложения. Ето защо е важно да разбирате добре собствените си системи и да коригирате всички очевидни уязвимости, преди да започнете сложна симулация на истинска атака.
Познайте вашата мрежа
Това е свързано с предишната препоръка, но е по-скоро за техническите характеристики на вашата мрежа. Колкото по-добре можете да определите количествено вашата тестова среда, толкова по-точен и конкретен ще бъде вашият червен екип.
Познайте бюджета си
Redtiming може да се извърши на различни нива, но симулирането на пълния набор от атаки във вашата мрежа, включително социално инженерство и физическо проникване, може да бъде скъпо. Поради тази причина е важно да разберете колко можете да похарчите за такава проверка и съответно да очертаете нейния обхват.
Знайте вашето ниво на риск
Някои организации може да толерират доста високо ниво на риск като част от техните стандартни бизнес процедури. Други ще трябва да ограничат нивото си на риск в много по-голяма степен, особено ако компанията работи в силно регулирана индустрия. Ето защо, когато провеждате redtiming, е важно да се съсредоточите върху рисковете, които наистина представляват опасност за вашия бизнес.
Red Teaming: Инструменти и тактики
Ако се внедри правилно, „червеният екип“ ще извърши пълномащабна атака на вашите мрежи, използвайки всички инструменти и методи, използвани от хакерите. Наред с други неща, това включва:
- Тестване за проникване на приложения - има за цел да идентифицира слабостите на ниво приложение, като фалшифициране на заявки между сайтове, пропуски при въвеждане на данни, слабо управление на сесии и много други.
- Тест за проникване в мрежата - има за цел да идентифицира слабостите на мрежово и системно ниво, включително грешни конфигурации, уязвимости на безжичната мрежа, неоторизирани услуги и др.
- Тест за физическо проникване — проверка на ефективността, както и на силните и слабите страни на контрола за физическа сигурност в реалния живот.
- социално инженерство - има за цел да използва слабостите на хората и човешката природа, като тества податливостта на хората към измама, убеждаване и манипулация чрез фишинг имейли, телефонни обаждания и текстови съобщения, както и физически контакт на място.
Всички по-горе са компоненти за редтайминг. Това е пълноценна, многослойна симулация на атака, предназначена да определи колко добре вашите хора, мрежи, приложения и контроли за физическа сигурност могат да издържат на атака от истински нападател.
Непрекъснато развитие на методите на Red Teaming
Естеството на сложната симулация на реални атаки, при които червените екипи се опитват да намерят нови уязвимости в сигурността, а сините екипи се опитват да ги поправят, води до постоянно разработване на методи за подобни проверки. Поради тази причина е трудно да се състави актуален списък на съвременните техники за измерване на времето, тъй като те бързо остаряват.
Поради това повечето играчи на червения екип ще прекарат поне част от времето си в изучаване на нови уязвимости и експлоатиране на тях, използвайки многото ресурси, предоставени от общността на червения отбор. Ето най-популярните от тези общности:
- е абонаментна услуга, която предлага онлайн видео курсове, фокусирани предимно върху тестове за проникване, както и курсове по криминалистика на операционни системи, задачи за социално инженерство и асемблерен език за информационна сигурност.
- е „оператор по нападателна киберсигурност“, който редовно пише в блогове за методи за сложна симулация на реални атаки и е добър източник на нови подходи.
- Twitter също е добър източник, ако търсите актуална информация за redtiming. Можете да го намерите с хаштагове и .
- е друг опитен специалист по redtiming, който издава бюлетин и , води и пише много за текущите тенденции в червения екип. Сред последните му статии: и .
- е бюлетин за уеб сигурност, спонсориран от PortSwigger Web Security. Това е добър ресурс, за да научите за най-новите разработки и новини в областта на redtiming - хакове, изтичане на данни, експлойти, уязвимости на уеб приложения и нови технологии за сигурност.
- е хакер с бяла шапка и тестер за проникване, който редовно отразява нови тактики на червения отбор в своя .
- MWR labs е добър, макар и изключително технически, източник за новини за redtiming. Те публикуват полезни за червените отбори и техния съдържа съвети за решаване на проблеми, пред които са изправени тестерите за сигурност.
- - Адвокат и "бял хакер". Неговият канал в Twitter съдържа техники, полезни за „червените отбори“, като писане на SQL инжекции и подправяне на OAuth токени.
- (ATT & CK) е подбрана база от знания за поведението на нападателите. Той проследява фазите от жизнения цикъл на нападателите и платформите, към които са насочени.
- е ръководство за хакери, което, макар и доста старо, обхваща много от фундаменталните техники, които все още са в основата на сложната имитация на реални атаки. Авторът Питър Ким също има , в който предлага хакерски съвети и друга информация.
- SANS Institute е друг основен доставчик на материали за обучение по киберсигурност. Техен Фокусиран върху дигиталната криминалистика и реакцията при инциденти, той съдържа най-новите новини за курсовете по SANS и съвети от практикуващи експерти.
- Някои от най-интересните новини за redtiming са публикувани в . Има статии, фокусирани върху технологиите, като сравняване на Red Teaming с тестове за проникване, както и аналитични статии като The Red Team Specialist Manifesto.
- И накрая, Awesome Red Teaming е GitHub общност, която предлага ресурси, посветени на Red Teaming. Той обхваща практически всеки технически аспект от дейността на червения екип, от получаване на първоначален достъп, извършване на злонамерени дейности до събиране и извличане на данни.
"Син отбор" - какво е това?
С толкова много многоцветни екипи може да е трудно да разберете от кой тип се нуждае вашата организация.
Една алтернатива на червения отбор и по-конкретно друг тип отбор, който може да се използва заедно с червения отбор, е синият отбор. Синият екип също така оценява сигурността на мрежата и идентифицира всички потенциални уязвимости на инфраструктурата. Тя обаче има друга цел. Необходими са екипи от този тип, за да намерят начини за защита, промяна и прегрупиране на защитните механизми, за да направят реакцията при инцидент много по-ефективна.
Подобно на червения отбор, синият отбор трябва да има същите познания за тактиките, техниките и процедурите на нападателя, за да създаде стратегии за отговор въз основа на тях. Задълженията на синия екип обаче не се ограничават само до защита срещу атаки. Той също така участва в укрепването на цялата инфраструктура за сигурност, използвайки например система за откриване на проникване (IDS), която осигурява непрекъснат анализ на необичайна и подозрителна дейност.
Ето част от стъпките, които "синият отбор" предприема:
- одит на сигурността, по-специално DNS одит;
- анализ на журнал и памет;
- анализ на мрежови пакети данни;
- анализ на данни за риска;
- анализ на дигитален отпечатък;
- обратно инженерство;
- DDoS тестване;
- разработване на сценарии за прилагане на риска.
Разлики между червени и сини отбори
Често срещан въпрос за много организации е кой екип да използват, червен или син. Този въпрос също често е придружен от приятелска враждебност между хора, които работят „от двете страни на барикадите“. В действителност нито една команда няма смисъл без другата. Така че правилният отговор на този въпрос е, че и двата отбора са важни.
Червеният отбор атакува и се използва за проверка на готовността на Синия отбор да се защитава. Понякога червеният екип може да открие уязвимости, които синият екип напълно е пренебрегнал, в който случай червеният екип трябва да покаже как тези уязвимости могат да бъдат коригирани.
За двата екипа е жизненоважно да работят заедно срещу киберпрестъпниците, за да укрепят информационната сигурност.
Поради тази причина няма смисъл да избирате само една страна или да инвестирате само в един тип екип. Важно е да запомните, че целта и на двете страни е да предотвратят киберпрестъпленията.
С други думи, компаниите трябва да установят взаимно сътрудничество на двата екипа, за да осигурят цялостен одит - с логове на всички извършени атаки и проверки, записи на открити функции.
„Червеният екип“ предоставя информация за операциите, които е извършил по време на симулираната атака, докато синият екип предоставя информация за действията, които е предприел, за да попълни пропуските и да поправи откритите уязвимости.
Значението и на двата отбора не може да се подценява. Без техните текущи одити на сигурността, тестове за проникване и подобрения на инфраструктурата, компаниите не биха били наясно със състоянието на собствената си сигурност. Поне докато данните не изтекат и не стане болезнено ясно, че мерките за сигурност не са достатъчни.
Какво е лилав отбор?
„Лилавият отбор“ се роди от опитите за обединяване на червения и синия отбор. Лилавият отбор е по-скоро концепция, отколкото отделен тип отбор. Най-добре се разглежда като комбинация от червени и сини екипи. Тя ангажира и двата екипа, като им помага да работят заедно.
Екипът Purple може да помогне на екипите по сигурността да подобрят откриването на уязвимости, откриването на заплахи и наблюдението на мрежата чрез точно моделиране на често срещани сценарии на заплахи и подпомагане на създаването на нови методи за откриване и предотвратяване на заплахи.
Някои организации използват лилав екип за еднократни фокусирани дейности, които ясно определят целите за безопасност, срокове и ключови резултати. Това включва разпознаване на слабостите в атаката и защитата, както и идентифициране на бъдещи изисквания за обучение и технологии.
Алтернативен подход, който сега набира скорост, е да се гледа на Purple Team като на визионерски модел, който работи в цялата организация, за да помогне за създаването и непрекъснатото подобряване на култура на киберсигурност.
Заключение
Red Teaming или симулация на сложна атака е мощна техника за тестване на уязвимостите в сигурността на организацията, но трябва да се използва внимателно. По-специално, за да го използвате, трябва да имате достатъчно В противен случай той може да не оправдае възложените му надежди.
Redtiming може да разкрие уязвимости във вашата система, за които дори не сте подозирали, че съществуват, и да помогне за отстраняването им. Като възприемете състезателен подход между сини и червени отбори, можете да симулирате какво би направил истински хакер, ако иска да открадне вашите данни или да повреди активите ви.
Източник: www.habr.com