Font: Acunetix
Red Teaming és una simulació complexa d'atacs reals per avaluar la ciberseguretat dels sistemes. L'Equip Roig és un grup (especialistes que realitzen una prova de penetració del sistema). Poden ser contractacions externes o empleats de la vostra organització, però en tots els casos la seva funció és la mateixa: imitar les accions dels atacants i intentar penetrar al vostre sistema.
Juntament amb els "equips vermells" en ciberseguretat, n'hi ha d'altres. Per exemple, l'Equip Blau treballa conjuntament amb l'equip vermell, però les seves activitats estan orientades a millorar la seguretat de la infraestructura del sistema des de l'interior. El Purple Team actua com a enllaç, ajudant els altres dos equips a desenvolupar estratègies ofensives i mesures defensives. Tanmateix, el redteaming és una de les tècniques de gestió de la ciberseguretat menys enteses, i moltes organitzacions es mostren reticents a adoptar aquesta pràctica.
En aquest article, explicarem amb detall en què consisteix Red Teaming i com la implementació de pràctiques avançades de simulació d'atacs pot ajudar a millorar la seguretat de la vostra organització. L'objectiu d'aquest article és mostrar com aquest mètode pot millorar significativament la seguretat dels vostres sistemes d'informació.
Red Teaming: visió general
Tot i que els equips vermells i blaus actuals estan associats principalment amb la tecnologia de la informació i la ciberseguretat, aquests conceptes van ser encunyats pels militars. En general, va ser a l'exèrcit on vaig sentir parlar per primera vegada d'aquests conceptes. Treballar com a analista de ciberseguretat a la dècada de 1980 era diferent en molts aspectes del que és avui: l'accés als sistemes informàtics xifrats era molt més limitat del que és avui.
En altres aspectes, la meva primera experiència amb jocs de guerra (modelació, simulació i interacció) va ser molt semblant als processos complexos de simulació d'atacs actuals que s'han tornat habituals en la ciberseguretat. Com ara, es va centrar molt en l'ús de tècniques d'enginyeria social per convèncer els empleats de donar a l'"enemic" accés no autoritzat als sistemes militars. Així, tot i que les tècniques de simulació d'atacs tècnics han avançat significativament des de la dècada de 80, val la pena assenyalar que moltes de les eines adversàries bàsiques, especialment les tècniques d'enginyeria social, són en gran mesura independents de la plataforma.
El valor bàsic de la simulació complexa d'atacs de la vida real tampoc ha canviat des dels anys 80. En simular un atac als vostres sistemes, podeu detectar més fàcilment les vulnerabilitats i entendre com es podrien explotar. Tot i que abans el redteaming era utilitzat principalment per pirates informàtics de barret blanc i especialistes en ciberseguretat que buscaven vulnerabilitats mitjançant proves de penetració, la tècnica ara té aplicacions més àmplies en ciberseguretat i negocis.
La clau de redteaming és entendre que realment no podeu tenir una idea de la seguretat dels vostres sistemes fins que no són atacats. I en lloc d'exposar-se a un atac d'atacants reals, és molt més segur simular aquest atac amb un equip vermell.
Red Teaming: casos d'ús
Una manera fàcil d'entendre els conceptes bàsics de redteaming és mirar alguns exemples. Aquí hi ha dos d'ells:
- Escenari 1. Imagineu-vos que es realitza un pentest en un lloc web d'atenció al client i la prova té èxit. Això sembla indicar que tot està bé. No obstant això, més tard, mitjançant una simulació d'atac completa, l'equip vermell descobreix que, tot i que l'aplicació d'atenció al client està bé, la funció de xat de tercers no pot identificar amb precisió les persones, cosa que permet enganyar els representants del servei al client perquè canviïn la seva adreça de correu electrònic a la compte (que podria donar lloc a que una persona nova, un atacant, hi accedeixi).
- Escenari 2. Com a resultat del pentest, es va descobrir que tots els controls d'accés remot i VPN eren segurs. No obstant això, aleshores un representant de l'"equip vermell" passa sense obstacles per davant del taulell de recepció i treu l'ordinador portàtil d'un dels empleats.
En els dos casos esmentats anteriorment, l'"equip vermell" comprova no només la fiabilitat de cada sistema individual, sinó també tot el sistema en conjunt per detectar les debilitats.
Qui necessita una simulació d'atac complexa?
En poques paraules, gairebé qualsevol empresa es pot beneficiar de redteaming. Com es mostra , un nombre alarmantment gran d'organitzacions creuen falsament que tenen un control total sobre les seves dades. Hem trobat, per exemple, que de mitjana el 22% de les carpetes d'una empresa són accessibles per a tots els empleats i que el 87% de les empreses tenen més de 1000 fitxers sensibles obsolets als seus sistemes.
Si la vostra empresa no es troba a la indústria tecnològica, pot semblar que el redteaming no us farà gaire bé. Però això no és cert. La ciberseguretat no es tracta només de protegir la informació confidencial.
Els atacants també intenten fer-se càrrec de la tecnologia independentment de l'àmbit d'activitat de l'empresa. Per exemple, poden intentar accedir a la vostra xarxa per encobrir els seus esforços per fer-se càrrec d'un altre sistema o xarxa en altres llocs del món. Amb aquest tipus d'atac, els atacants no necessiten les vostres dades. Volen infectar els vostres ordinadors amb programari maliciós perquè els puguin utilitzar per convertir el vostre sistema en un grup de botnets.
Per a les empreses més petites, pot ser difícil trobar recursos per a la redteaming. En aquest cas, té sentit externalitzar el procés a un contractista extern.
Red Teaming: recomanacions
El moment òptim per dur a terme el redteaming i la seva freqüència depèn del sector en què opereu i de la maduresa de les vostres capacitats de ciberseguretat.
En particular, hauríeu de tenir activitats automatitzades com ara la recerca d'actius i l'anàlisi de vulnerabilitats. La vostra organització també hauria de combinar la tecnologia automatitzada amb la supervisió humana mitjançant la realització periòdica de proves de penetració sòlides.
Després de completar diversos cicles empresarials de proves de penetració i cercar vulnerabilitats, podeu començar a simular de manera exhaustiva un atac real. En aquesta etapa, el redtiming us aportarà beneficis tangibles. Tanmateix, intentar fer-ho abans d'haver establert els fonaments bàsics de la ciberseguretat no donarà resultats tangibles.
És probable que un equip de pirates informàtics de barret blanc pugui comprometre un sistema no preparat amb tanta rapidesa i facilitat que tindreu massa poca informació per prendre més mesures. Per aconseguir un impacte real, la informació obtinguda per l'equip vermell s'ha de comparar amb proves de penetració anteriors i avaluacions de vulnerabilitats.
Què són les proves de penetració?
Sovint es confon amb la simulació complexa d'un atac real (Red Teaming). , però els dos mètodes són lleugerament diferents. Més precisament, les proves de penetració són només un dels mètodes de temporització vermella.
El paper d'un pentester . El treball dels pentesters es divideix en quatre etapes principals: planificació, descobriment, atac i denúncia. Com podeu veure, els pentesters fan més que buscar vulnerabilitats de programari. Intenten posar-se a la pell dels pirates informàtics i, un cop entren al vostre sistema, comença la seva feina real.
Descobreixen vulnerabilitats i després realitzen nous atacs en funció de la informació que reben, movent-se per la jerarquia de carpetes. Això és el que diferencia els provadors de penetració dels contractats només per trobar vulnerabilitats, mitjançant l'exploració de ports o programari de detecció de virus. Un pentester experimentat pot determinar:
- on els pirates informàtics poden apuntar el seu atac;
- la manera com atacaran els pirates informàtics;
- com es comportarà la teva defensa;
- possible escala de violació.
Les proves de penetració tenen com a objectiu identificar les debilitats a nivell d'aplicació i xarxa, així com oportunitats per superar les barreres de seguretat físiques. Tot i que les proves automatitzades poden identificar alguns problemes de ciberseguretat, les proves de penetració manuals també tenen en compte la vulnerabilitat d'una empresa als atacs.
Equip vermell vs. proves de penetració
Per descomptat, una prova de penetració és important, però només és una part d'una sèrie d'activitats realitzades durant el redtiming. Les activitats de l'equip vermell tenen objectius molt més amplis que els pentesters, que sovint simplement busquen accedir a la xarxa. Els equips vermells solen implicar més persones, recursos i temps a mesura que els equips vermells aprofundeixen per entendre completament el veritable nivell de risc i vulnerabilitat en la tecnologia i els actius físics i humans d'una organització.
A més, hi ha altres diferències. El redteaming és utilitzat normalment per organitzacions amb mesures de ciberseguretat més madures i desenvolupades (tot i que a la pràctica no sempre és així).
Normalment, es tracta d'empreses que ja han realitzat proves de penetració i han corregit la majoria de les vulnerabilitats trobades, i ara busquen algú que pugui tornar a intentar accedir a informació sensible o trencar la seguretat de qualsevol manera.
És per això que redteaming es basa en un equip d'experts en seguretat centrat en un objectiu concret. Apunten a vulnerabilitats internes i utilitzen mètodes electrònics i físics d'enginyeria social contra els empleats de l'organització. A diferència dels pentesters, els equips vermells es prenen el seu temps durant els seus atacs, volent evitar la detecció, com ho faria un autèntic cibercriminal.
Beneficis de Red Teaming
La simulació integral d'atacs de la vida real té molts avantatges, però el més important és que aquest enfocament proporciona una imatge completa de la postura de ciberseguretat d'una organització. Un procés típic de simulació d'atac d'extrem a extrem inclouria proves de penetració (xarxa, aplicació, telèfon mòbil i un altre dispositiu), enginyeria social (comunicació en directe in situ, trucades telefòniques, correu electrònic o text i xat) i intrusió física. (aixecar panys, detectar punts cecs de les càmeres de seguretat, evitar els sistemes d'avís). Si hi ha vulnerabilitats en algun d'aquests aspectes del vostre sistema, es descobriran.
Un cop descobertes les vulnerabilitats, es poden solucionar. Un procediment eficaç de simulació d'atac no s'acaba un cop es descobreixen les vulnerabilitats. Un cop s'identifiquin clarament els errors de seguretat, voldreu treballar per solucionar-los i tornar-los a provar. De fet, el treball real comença normalment després de la intrusió de l'equip vermell, quan es realitza una anàlisi forense de l'atac i s'intenta reduir les vulnerabilitats trobades.
A més d'aquests dos avantatges principals, redtiming també ofereix una sèrie d'altres. Així, l'"equip vermell" pot:
- identificar riscos i vulnerabilitats als atacs en actius d'informació empresarial clau;
- simular els mètodes, tàctiques i procediments d'atacants reals en un entorn de risc limitat i controlat;
- Avalueu la capacitat de la vostra organització per detectar, respondre i prevenir amenaces dirigides sofisticades;
- fomentar una col·laboració estreta amb els departaments de seguretat de la informació i els equips blaus per garantir una mitigació significativa i dur a terme tallers pràctics complets després de les vulnerabilitats identificades.
Com funciona Red Teaming?
Una bona manera d'entendre com funciona el redteaming és mirar com succeeix normalment. El procés típic de simulació d'atac complex consta de diverses etapes:
- L'organització està d'acord amb l'"equip vermell" (intern o extern) sobre el propòsit de l'atac. Per exemple, aquest objectiu podria ser recuperar informació sensible d'un servidor específic.
- A continuació, l'equip vermell realitza el reconeixement de l'objectiu. El resultat és un mapa dels sistemes objectiu, inclosos els serveis de xarxa, les aplicacions web i els portals interns dels empleats. .
- Després d'això, es cerquen vulnerabilitats al sistema objectiu, que normalment s'implementen mitjançant atacs de phishing o XSS. .
- Un cop rebuts els fitxes d'accés, l'equip vermell els utilitza per investigar més vulnerabilitats. .
- Si es descobreixen altres vulnerabilitats, l'equip vermell s'esforçarà per augmentar el seu nivell d'accés al nivell necessari per assolir l'objectiu. .
- Un cop s'obté l'accés a les dades o actiu objectiu, la tasca d'atac es considera completada.
De fet, un equip vermell experimentat utilitzarà un gran nombre de mètodes diferents per completar cadascun d'aquests passos. Tanmateix, la conclusió clau de l'exemple anterior és que les petites vulnerabilitats dels sistemes individuals poden convertir-se en bola de neu en fallades catastròfiques quan s'encadenen.
Què has de tenir en compte a l'hora de contactar amb l'equip vermell?
Per treure el màxim profit de redteaming, cal preparar-se a fons. Els sistemes i processos utilitzats per cada organització són diferents, i el redteaming de qualitat s'aconsegueix quan es centra específicament a trobar vulnerabilitats als vostres sistemes. Per aquest motiu, és important tenir en compte una sèrie de factors:
Saber què estàs buscant
En primer lloc, és important entendre quins sistemes i processos voleu provar. Potser sabeu que voleu provar una aplicació web, però no enteneu bé el que això significa realment o quins altres sistemes estan integrats amb les vostres aplicacions web. Per tant, és important que entengueu bé els vostres propis sistemes i solucioneu qualsevol vulnerabilitat evident abans de començar una simulació complexa d'un atac real.
Coneix la teva xarxa
Això està relacionat amb la recomanació anterior, però és més sobre les característiques tècniques de la vostra xarxa. Com millor pugueu quantificar el vostre entorn de proves, més precís i específic serà el vostre equip vermell.
Coneix el teu pressupost
Redteaming es pot fer a diferents nivells, però simular tota la gamma d'atacs a la vostra xarxa, inclosa l'enginyeria social i la intrusió física, pot ser un esforç costós. Per aquest motiu, és important entendre quant podeu gastar en aquest xec i, en conseqüència, esbossar-ne l'abast.
Coneix el teu nivell de risc
Algunes organitzacions poden tolerar un nivell de risc força elevat com a part dels seus procediments empresarials estàndard. Altres hauran de limitar el seu nivell de risc en una mesura molt més gran, sobretot si l'empresa opera en una indústria altament regulada. Per tant, quan realitzeu redteaming, és important centrar-vos en els riscos que realment representen una amenaça per al vostre negoci.
Red Teaming: eines i tàctiques
Quan s'implementa correctament, un equip vermell realitzarà un atac a gran escala a les vostres xarxes utilitzant totes les eines i tècniques utilitzades pels pirates informàtics. Entre altres coses, això inclou:
- Prova de penetració de l'aplicació - Té com a objectiu identificar defectes a nivell d'aplicació, com ara la falsificació de sol·licituds entre llocs, defectes d'entrada de dades, gestió de sessions feble i molts altres.
- Proves de penetració a la xarxa - Té com a objectiu identificar les deficiències a nivell de xarxa i sistema, incloses les configuracions incorrectes, les vulnerabilitats de la xarxa sense fil, els serveis no autoritzats i molt més.
- Proves de penetració física — provar l'eficàcia, els punts forts i els punts febles dels controls de seguretat física a la vida real.
- Enginyeria social - té com a objectiu explotar les debilitats de les persones i la naturalesa humana, posant a prova la susceptibilitat de les persones a l'engany, la persuasió i la manipulació mitjançant correus electrònics de pesca, trucades telefòniques i missatges de text, i contacte físic in situ.
Tots els anteriors són components de redtiming. Es tracta d'una simulació d'atac a gran escala i de diverses capes dissenyada per determinar fins a quin punt la vostra gent, xarxes, aplicacions i controls de seguretat física poden suportar l'atac d'un atacant real.
Desenvolupament continu dels mètodes de Red Teaming
La naturalesa de les simulacions complexes d'atacs de la vida real, en què els "equips vermells" intenten trobar noves vulnerabilitats de seguretat i els "equips blaus" intenten solucionar-les, condueix al desenvolupament constant de mètodes per a aquestes proves. Per aquest motiu, és difícil compilar una llista actualitzada de les tècniques modernes de redtiming, ja que ràpidament queden obsoletes.
Per tant, la majoria de redteamers passaran almenys part del seu temps aprenent sobre noves vulnerabilitats i com explotar-les, utilitzant els molts recursos que ofereix la comunitat de red teaming. Aquestes són les més populars d'aquestes comunitats:
- és un servei de subscripció que ofereix cursos de vídeo en línia centrats principalment en proves de penetració, així com cursos sobre sistemes operatius forenses, reptes d'enginyeria social i llenguatge ensamblador per a la seguretat de la informació.
- és un "operador de ciberseguretat ofensiu" que publica regularment un blog sobre tècniques avançades de simulació d'atacs i és una bona font de nous enfocaments.
- Twitter també és una bona font si busqueu informació actualitzada sobre redtiming. Podeu trobar-la mitjançant hashtags и .
- és un altre especialista en redtiming experimentat que elabora un butlletí i , condueix i escriu àmpliament sobre les tendències modernes d'equip vermell. Entre els seus últims articles: и .
- -- és un butlletí de seguretat web patrocinat per PortSwigger Web Security. Aquest és un bon recurs per conèixer els desenvolupaments i notícies en l'àmbit del redtiming: pirateria, filtracions de dades, exploits, vulnerabilitats d'aplicacions web i noves tecnologies de seguretat.
- és un hacker de barret blanc i provador de penetració que cobreix regularment les noves tàctiques de l'equip vermell .
- MWR labs és una bona font, encara que extremadament tècnica, per obtenir notícies sobre redtiming. En publiquen d'utils per als equips vermells , i els seus ofereix consells per resoldre problemes als quals s'enfronten els verificadors de seguretat.
- - advocat i hacker de barret blanc. El seu canal de Twitter inclou tècniques útils per als equips vermells, com ara escriure injeccions SQL i falsificar fitxes OAuth.
- (ATT&CK) és una base de coneixement curada del comportament dels atacants. Fa un seguiment de les fases del cicle de vida dels atacants i de les plataformes a les quals es dirigeixen.
- és una guia per a pirates informàtics que, tot i que és força antiga, cobreix moltes de les tècniques fonamentals que encara subjauen a simulacions complexes d'atacs de la vida real. L'autor Peter Kim també ho té , en què ofereix consells de pirateria i altra informació.
- SANS Institute és un altre proveïdor important de materials de formació en ciberseguretat. Els seus , dedicat a la forense digital i la resposta a incidents, conté les últimes notícies sobre cursos SANS i consells de professionals experts.
- Algunes de les notícies més interessants sobre redtiming s'han publicat a . Hi ha articles centrats en la tecnologia, com ara comparar Red Teaming amb proves de penetració, així com articles analítics com el Red Team Practitioner's Manifesto.
- Finalment, Awesome Red Teaming és una comunitat a GitHub que ofereix recursos dedicats a Red Teaming. Cobreix pràcticament tots els aspectes tècnics de l'equip vermell, des de l'accés inicial, la realització d'accions malicioses fins a la recollida i l'extracció de dades.
"Blue Team": què és?
Amb tants equips de colors diferents, pot ser difícil determinar quin tipus necessita la vostra organització.
Una alternativa a l'equip vermell, o més aviat un altre tipus d'equip que es pot utilitzar conjuntament amb l'equip vermell, és l'equip blau. L'equip blau també avalua la seguretat de la xarxa i identifica les possibles vulnerabilitats de la infraestructura. Tanmateix, té un objectiu diferent. Aquest tipus d'equips són necessaris per trobar maneres de protegir, canviar i reagrupar els mecanismes de defensa per fer que la resposta a incidents sigui molt més efectiva.
Igual que l'Equip Vermell, l'Equip Blau ha de tenir el mateix coneixement de les tàctiques, tècniques i procediments dels atacants per informar les estratègies de resposta. Tanmateix, les responsabilitats de l'equip blau no es limiten només a protegir-se dels atacs. També participa en l'enfortiment de tota la infraestructura de seguretat, utilitzant, per exemple, un sistema de detecció d'intrusions (IDS), que proporciona una anàlisi contínua d'activitats inusuals i sospitoses.
Aquests són alguns dels passos que fa l'equip blau:
- auditoria de seguretat, en particular auditoria de DNS;
- anàlisi de registre i memòria;
- anàlisi de paquets de dades de xarxa;
- anàlisi de dades de risc;
- anàlisi de la petjada digital;
- enginyeria inversa;
- proves DDoS;
- desenvolupament d'escenaris d'implementació de riscos.
Diferències entre els equips vermell i blau
Una pregunta habitual per a moltes organitzacions és si haurien d'utilitzar un equip vermell o un equip blau. Aquest problema també s'acompanya sovint d'una hostilitat amistosa entre persones que treballen "a costats oposats de les barricades". En realitat, cap comanda té sentit sense l'altre. Així que la resposta correcta a aquesta pregunta és que els dos equips són importants.
L'equip vermell ataca i s'utilitza per provar la preparació de l'equip blau per defensar-se. De vegades, l'equip vermell pot trobar vulnerabilitats que l'equip blau va perdre completament, en aquest cas l'equip vermell ha de mostrar com es poden solucionar aquestes vulnerabilitats.
És vital que ambdós equips treballin junts contra els ciberdelinqüents per reforçar la seguretat de la informació.
Per aquest motiu, no té sentit triar només un bàndol o invertir només en un tipus d'equip. És important recordar que l'objectiu d'ambdues parts és prevenir la ciberdelinqüència.
En altres paraules, les empreses han d'establir una cooperació mútua entre ambdós equips per garantir una auditoria completa, amb registres de tots els atacs i comprovacions realitzades, registres de les característiques detectades.
L'Equip Vermell proporciona informació sobre les operacions que van realitzar durant l'atac simulat, mentre que l'Equip Blau proporciona informació sobre les accions que van fer per omplir els buits i solucionar les vulnerabilitats que van trobar.
No es pot menystenir la importància dels dos equips. Sense les seves auditories de seguretat contínues, proves de penetració i millores de la infraestructura, les empreses no serien conscients de l'estat de la seva pròpia seguretat. Almenys fins que es produeixi una violació de dades i es faci evident que les mesures de seguretat eren insuficients.
Què és el Purple Team?
L'"Equip Purple" va sorgir com a resultat dels intents d'unir els equips vermells i blaus. El Purple Team és més un concepte que un tipus específic d'equip. Es pensa millor com una combinació dels equips vermell i blau. Ella implica els dos equips, ajudant-los a treballar junts.
L'equip Purple pot ajudar els equips de seguretat a millorar la seva detecció de vulnerabilitats, la recerca d'amenaces i el seguiment de la xarxa modelant amb precisió els escenaris d'amenaces habituals i ajudant a crear noves tècniques de detecció i prevenció d'amenaces.
Algunes organitzacions despleguen l'equip Purple per a activitats puntuals i focalitzades on els objectius de seguretat, els terminis i els resultats clau estan clarament definits. Això inclou el reconeixement de les debilitats en l'atac i la defensa, així com la identificació de futurs requisits de formació i tecnologia.
Un enfocament alternatiu que està guanyant força és veure el Purple Team com un model conceptual que funciona a tota l'organització per fomentar una cultura de ciberseguretat i millora contínua.
Conclusió
Red Teaming, o simulació integral d'atac, és un mètode potent per provar les vulnerabilitats de seguretat d'una organització, però s'ha d'utilitzar amb precaució. En particular, per utilitzar-lo cal tenir-ne prou , en cas contrari pot no estar a l'altura de les expectatives que té en ell.
Redtiming pot revelar vulnerabilitats del vostre sistema que ni tan sols sabíeu que existien i ajudar-vos a solucionar-les. En adoptar un enfocament contradictori entre els equips blau i vermell, podeu simular el que faria un pirata informàtic real si volgués robar les vostres dades o danyar els vostres actius.
Font: www.habr.com