Zdroj: Acunetix
Red Teaming je komplexní simulace skutečných útoků za účelem posouzení kybernetické bezpečnosti systémů. "Červený tým" je skupina (specialisté provádějící penetrační test do systému). Mohou být buď najati zvenčí nebo zaměstnanci vaší organizace, ale ve všech případech je jejich role stejná – napodobovat akce vetřelců a snažit se proniknout do vašeho systému.
Spolu s „červenými týmy“ v kybernetické bezpečnosti existuje řada dalších. Například Blue Team spolupracuje s Red Teamem, ale jeho aktivity směřují ke zlepšení zabezpečení infrastruktury systému zevnitř. Purpurový tým je spojovacím článkem, který pomáhá dalším dvěma týmům při vývoji útočných strategií a obrany. Redtiming je však jednou z nejméně pochopených metod řízení kybernetické bezpečnosti a mnoho organizací se zdráhá tuto praxi přijmout.
V tomto článku si podrobně vysvětlíme, co se skrývá za konceptem Red Teaming a jak může implementace komplexních simulačních praktik skutečných útoků pomoci zlepšit bezpečnost vaší organizace. Účelem tohoto článku je ukázat, jak tato metoda může výrazně zvýšit bezpečnost vašich informačních systémů.
Přehled Red Teaming
Přestože v naší době jsou „červené“ a „modré“ týmy spojeny především s oblastí informačních technologií a kybernetické bezpečnosti, tyto pojmy vytvořila armáda. Obecně jsem o těchto pojmech poprvé slyšel v armádě. Práce analytika kybernetické bezpečnosti v 1980. letech byla velmi odlišná od současnosti: přístup k šifrovaným počítačovým systémům byl mnohem omezenější než dnes.
Jinak moje první zkušenost s válečnými hrami – simulace, simulace a interakce – byla velmi podobná dnešnímu složitému procesu simulace útoku, který si našel cestu do kybernetické bezpečnosti. Stejně jako nyní byla velká pozornost věnována používání metod sociálního inženýrství, které měly zaměstnance přesvědčit, aby „nepříteli“ umožnili nepatřičný přístup k vojenským systémům. Proto, přestože technické metody simulace útoků od 80. let výrazně pokročily, stojí za zmínku, že mnoho z hlavních nástrojů kontradiktorního přístupu, a zejména techniky sociálního inženýrství, jsou do značné míry nezávislé na platformě.
Základní hodnota komplexní imitace skutečných útoků se také od 80. let nezměnila. Díky simulaci útoku na vaše systémy je pro vás snazší odhalit zranitelná místa a pochopit, jak je lze zneužít. A zatímco redteaming dříve využívali především hackeři s bílým kloboukem a profesionálové v oblasti kybernetické bezpečnosti, kteří hledali zranitelnosti prostřednictvím penetračních testů, nyní se začal více využívat v oblasti kybernetické bezpečnosti a obchodu.
Klíčem k redtimingu je pochopit, že nemůžete skutečně získat pocit bezpečnosti svých systémů, dokud nejsou napadeny. A místo toho, abyste se vystavovali riziku napadení skutečnými útočníky, je mnohem bezpečnější simulovat takový útok pomocí červeného příkazu.
Red Teaming: případy použití
Snadný způsob, jak pochopit základy redtimingu, je podívat se na několik příkladů. Zde jsou dva z nich:
- Scénář 1. Představte si, že stránka zákaznických služeb byla testována a úspěšně otestována. Zdálo by se, že to naznačuje, že je vše v pořádku. Později však při složitém simulovaném útoku červený tým zjistí, že zatímco samotná aplikace zákaznických služeb je v pořádku, funkce chatu třetí strany nedokáže přesně identifikovat lidi, a to umožňuje přimět zástupce zákaznických služeb, aby změnili svou e-mailovou adresu. v účtu (v důsledku čehož může získat přístup nová osoba, útočník).
- Scénář 2. Výsledkem pentestingu bylo, že všechny kontroly VPN a vzdáleného přístupu byly bezpečné. Poté však zástupce „červeného týmu“ volně projde kolem registračního pultu a vytáhne notebook jednoho ze zaměstnanců.
V obou výše uvedených případech „červený tým“ kontroluje nejen spolehlivost každého jednotlivého systému, ale i celého systému jako celku na slabá místa.
Kdo potřebuje komplexní simulaci útoku?
Stručně řečeno, z redtimingu může těžit téměř každá společnost. Jak je znázorněno děsivě velký počet organizací je falešně přesvědčen, že mají úplnou kontrolu nad svými daty. Zjistili jsme například, že v průměru 22 % firemních složek má k dispozici každý zaměstnanec a že 87 % firem má ve svých systémech více než 1000 XNUMX zastaralých citlivých souborů.
Pokud vaše společnost nepůsobí v technologickém průmyslu, nemusí se zdát, že redtiming vám přinese mnoho dobrého. Ale není. Kybernetická bezpečnost není jen o ochraně důvěrných informací.
Zločinci se rovněž snaží získat technologie bez ohledu na obor činnosti společnosti. Mohou se například snažit získat přístup k vaší síti, aby skryli své kroky k převzetí jiného systému nebo sítě jinde na světě. Při tomto typu útoku útočníci nepotřebují vaše data. Chtějí infikovat vaše počítače malwarem, aby s jejich pomocí váš systém proměnili ve skupinu botnetů.
Pro menší společnosti může být obtížné najít zdroje k uplatnění. V tomto případě má smysl svěřit tento proces externímu dodavateli.
Red Teaming: Doporučení
Optimální čas a frekvence redtimingu závisí na sektoru, ve kterém pracujete, a na vyspělosti vašich nástrojů kybernetické bezpečnosti.
Zejména byste měli mít automatizované činnosti, jako je průzkum aktiv a analýza zranitelnosti. Vaše organizace by také měla kombinovat automatizovanou technologii s lidským dohledem pravidelným prováděním úplného penetračního testování.
Po dokončení několika obchodních cyklů penetračního testování a nalezení zranitelností můžete přistoupit ke komplexní simulaci skutečného útoku. V této fázi vám redtiming přinese hmatatelné výhody. Pokus o to, než budete mít základy kybernetické bezpečnosti, však nepřinese hmatatelné výsledky.
Tým s bílým kloboukem bude pravděpodobně schopen ohrozit nepřipravený systém tak rychle a snadno, že získáte příliš málo informací na to, abyste mohli podniknout další kroky. Aby měly skutečný efekt, musí být informace získané „červeným týmem“ porovnány s předchozími penetračními testy a hodnocením zranitelnosti.
Co je penetrační testování?
Často bývá zaměňována komplexní imitace skutečného útoku (Red Teaming). , ale oba způsoby se mírně liší. Přesněji řečeno, penetrační testování je jen jednou z metod redtimingu.
Role pentestera . Práce pentesterů je rozdělena do čtyř hlavních fází: plánování, zjišťování informací, útok a podávání zpráv. Jak můžete vidět, pentesterové dělají víc, než jen hledají softwarová zranitelnost. Snaží se vžít do kůže hackerů, a jakmile se dostanou do vašeho systému, jejich skutečná práce začíná.
Objevují zranitelnosti a poté provádějí nové útoky na základě obdržených informací, pohybují se v hierarchii složek. To je to, co odlišuje penetrační testery od těch, kteří jsou najímáni pouze k nalezení zranitelnosti pomocí softwaru pro skenování portů nebo detekce virů. Zkušený pentester může určit:
- kam mohou hackeři nasměrovat svůj útok;
- způsob, jakým hackeři zaútočí;
- Jak se zachová vaše obrana?
- možný rozsah porušení.
Penetrační testování je zaměřeno na identifikaci slabých míst na úrovni aplikace a sítě, stejně jako příležitosti k překonání fyzických bezpečnostních bariér. Zatímco automatizované testování může odhalit některé problémy s kybernetickou bezpečností, manuální penetrační testování také bere v úvahu zranitelnost podniku vůči útokům.
Red Teaming vs. penetrační testování
Penetrační testování je bezesporu důležité, ale je to jen jedna část z celé řady redtimingových aktivit. Aktivity „červeného týmu“ mají mnohem širší cíle než ty pentesterů, kteří se často jen snaží získat přístup k síti. Redteaming často zahrnuje více lidí, zdrojů a času, protože červený tým hloubí, aby plně porozuměl skutečné úrovni rizik a zranitelnosti v technologii a lidských a fyzických aktivech organizace.
Kromě toho existují další rozdíly. Redtiming obvykle používají organizace s vyspělejšími a pokročilejšími opatřeními v oblasti kybernetické bezpečnosti (ačkoli tomu tak v praxi není vždy).
Obvykle se jedná o společnosti, které již provedly penetrační testy a opravily většinu nalezených zranitelností a nyní hledají někoho, kdo by se mohl znovu pokusit získat přístup k citlivým informacím nebo jakkoli prolomit ochranu.
To je důvod, proč redtiming spoléhá na tým bezpečnostních expertů zaměřených na konkrétní cíl. Zaměřují se na vnitřní zranitelnosti a na zaměstnance organizace používají techniky elektronického i fyzického sociálního inženýrství. Na rozdíl od pentesterů si červené týmy při svých útocích dávají na čas a chtějí se vyhnout odhalení jako skutečný kyberzločinec.
Výhody Red Teamingu
Komplexní simulace skutečných útoků má mnoho výhod, ale co je nejdůležitější, tento přístup umožňuje získat komplexní obrázek o úrovni kybernetické bezpečnosti organizace. Typický end-to-end simulovaný proces útoku by zahrnoval penetrační testování (síť, aplikace, mobilní telefon a další zařízení), sociální inženýrství (živě na místě, telefonní hovory, e-maily nebo textové zprávy a chat) a fyzické narušení. (prolomení zámků, detekce mrtvých zón bezpečnostních kamer, obcházení varovných systémů). Pokud jsou v některém z těchto aspektů vašeho systému zranitelnosti, budou nalezeny.
Jakmile jsou zranitelnosti nalezeny, lze je opravit. Efektivní postup simulace útoku nekončí odhalením zranitelnosti. Jakmile budou bezpečnostní chyby jasně identifikovány, budete chtít pracovat na jejich opravě a znovu je otestovat. Ve skutečnosti skutečná práce obvykle začíná po zásahu červeného týmu, kdy forenzně analyzujete útok a pokusíte se zmírnit nalezená zranitelnosti.
Kromě těchto dvou hlavních výhod nabízí redtiming i řadu dalších. Takže „červený tým“ může:
- identifikovat rizika a zranitelná místa vůči útokům v klíčových obchodních informačních aktivech;
- simulovat metody, taktiky a postupy skutečných útočníků v prostředí s omezeným a kontrolovaným rizikem;
- Zhodnoťte schopnost vaší organizace detekovat, reagovat a předcházet komplexním, cíleným hrozbám;
- Podporujte úzkou spolupráci s bezpečnostními odděleními a modrými týmy, abyste zajistili významné zmírnění a vedli komplexní praktické workshopy po objevených zranitelnostech.
Jak Red Teaming funguje?
Skvělý způsob, jak pochopit, jak redtiming funguje, je podívat se na to, jak to obvykle funguje. Obvyklý proces komplexní simulace útoku se skládá z několika fází:
- Organizace se dohodne s „červeným týmem“ (interním nebo externím) na účelu útoku. Takovým cílem může být například získání citlivých informací z určitého serveru.
- Poté „červený tým“ provádí průzkum cíle. Výsledkem je schéma cílových systémů včetně síťových služeb, webových aplikací a interních zaměstnaneckých portálů. .
- Poté se v cílovém systému vyhledávají zranitelnosti, které jsou obvykle implementovány pomocí phishingu nebo XSS útoků. .
- Jakmile jsou přístupové tokeny získány, červený tým je použije k prozkoumání dalších zranitelností. .
- Když jsou objeveny další zranitelnosti, „červený tým“ se bude snažit zvýšit úroveň jejich přístupu na úroveň nezbytnou k dosažení cíle. .
- Po získání přístupu k cílovým datům nebo aktivům je úloha útoku považována za dokončenou.
Ve skutečnosti zkušený specialista na červený tým použije obrovské množství různých metod, aby prošel každým z těchto kroků. Klíčovým poznatkem z výše uvedeného příkladu je však to, že malé zranitelnosti v jednotlivých systémech se mohou změnit v katastrofální selhání, pokud jsou spojeny dohromady.
Co je třeba vzít v úvahu při odkazu na „červený tým“?
Abyste z redtimingu vytěžili maximum, musíte se pečlivě připravit. Systémy a procesy používané každou organizací se liší a úrovně kvality redtimingu je dosaženo, když je zaměřeno na nalezení zranitelných míst ve vašich systémech. Z tohoto důvodu je důležité vzít v úvahu řadu faktorů:
Vědět, co hledáte
Nejprve je důležité pochopit, které systémy a procesy chcete kontrolovat. Možná víte, že chcete otestovat webovou aplikaci, ale moc dobře nerozumíte tomu, co to ve skutečnosti znamená a jaké další systémy jsou integrovány s vašimi webovými aplikacemi. Proto je důležité, abyste před zahájením komplexní simulace skutečného útoku dobře rozuměli svým vlastním systémům a opravili všechny zjevné zranitelnosti.
Poznejte svou síť
To souvisí s předchozím doporučením, ale jde spíše o technické vlastnosti vaší sítě. Čím lépe dokážete kvantifikovat své testovací prostředí, tím přesnější a konkrétnější bude váš červený tým.
Znáte svůj rozpočet
Redtiming lze provádět na různých úrovních, ale simulace celé řady útoků na vaši síť, včetně sociálního inženýrství a fyzického narušení, může být nákladná. Z tohoto důvodu je důležité pochopit, kolik můžete utratit za takový šek, a podle toho nastínit jeho rozsah.
Poznejte svou míru rizika
Některé organizace mohou tolerovat poměrně vysokou úroveň rizika jako součást svých standardních obchodních postupů. Ostatní budou muset omezit míru rizika v mnohem větší míře, zejména pokud společnost působí ve vysoce regulovaném odvětví. Při provádění redtimingu je proto důležité zaměřit se na rizika, která skutečně představují nebezpečí pro vaše podnikání.
Red Teaming: Nástroje a taktiky
Pokud je implementován správně, „červený tým“ provede úplný útok na vaše sítě pomocí všech nástrojů a metod používaných hackery. Mimo jiné sem patří:
- Testování penetrace aplikací - má za cíl identifikovat slabá místa na aplikační úrovni, jako je padělání požadavků napříč weby, chyby při zadávání dat, slabé řízení relací a mnoho dalších.
- Testování penetrace sítě - má za cíl identifikovat slabá místa na úrovni sítě a systému, včetně chybné konfigurace, zranitelnosti bezdrátové sítě, neautorizovaných služeb a dalších.
- Fyzikální penetrační testování — kontrola účinnosti, jakož i silných a slabých stránek fyzických bezpečnostních kontrol v reálném životě.
- sociální inženýrství - má za cíl využívat slabosti lidí a lidské přirozenosti, testovat náchylnost lidí ke klamání, přesvědčování a manipulaci prostřednictvím phishingových e-mailů, telefonátů a textových zpráv i fyzického kontaktu na místě.
Všechny výše uvedené jsou komponenty redtimingu. Jedná se o plnohodnotnou, vrstvenou simulaci útoku navrženou tak, aby určila, jak dobře mohou vaši lidé, sítě, aplikace a kontroly fyzického zabezpečení odolat útoku skutečného útočníka.
Neustálý vývoj metod Red Teamingu
Povaha komplexní simulace skutečných útoků, ve kterých se červené týmy snaží najít nové bezpečnostní zranitelnosti a modré týmy se je snaží opravit, vede k neustálému vývoji metod takových kontrol. Z tohoto důvodu je obtížné sestavit aktuální seznam moderních technik redtimingu, protože rychle zastarávají.
Většina redteamerů proto stráví alespoň část svého času učením se o nových zranitelnostech a jejich využíváním s využitím mnoha zdrojů poskytovaných komunitou červených týmů. Zde jsou nejoblíbenější z těchto komunit:
- je předplatitelská služba, která nabízí online videokurzy zaměřené především na penetrační testování a také kurzy forenzní analýzy operačních systémů, úloh sociálního inženýrství a jazyka pro sestavení bezpečnosti informací.
- je „ofenzivní operátor kybernetické bezpečnosti“, který pravidelně bloguje o metodách komplexní simulace skutečných útoků a je dobrým zdrojem nových přístupů.
- Twitter je také dobrým zdrojem, pokud hledáte aktuální informace o redtimingu. Najdete ho pomocí hashtagů и .
- je další zkušený redtiming specialista, který produkuje newsletter a , vede a hodně píše o současných trendech červeného týmu. Mezi jeho nedávnými články: и .
- je zpravodaj webové bezpečnosti sponzorovaný PortSwigger Web Security. Jedná se o dobrý zdroj informací o nejnovějším vývoji a novinkách v oblasti redtimingu – hacky, úniky dat, exploity, zranitelnosti webových aplikací a nové bezpečnostní technologie.
- je hacker a penetrační tester s bílým kloboukem, který ve svém pravidelně pokrývá nové taktiky červeného týmu .
- MWR labs je dobrý, i když extrémně technický zdroj zpráv o redtimingu. Jsou užitečné pro červené týmy a jejich obsahuje tipy pro řešení problémů, kterým čelí bezpečnostní testeři.
- - Právník a "bílý hacker". Jeho Twitter feed obsahuje techniky užitečné pro „červené týmy“, jako je psaní SQL injekcí a falšování tokenů OAuth.
- (ATT & CK) je upravená znalostní báze o chování útočníků. Sleduje fáze životního cyklu útočníků a platformy, na které se zaměřují.
- je příručka pro hackery, která, i když je poměrně stará, pokrývá mnoho základních technik, které jsou stále jádrem komplexního napodobování skutečných útoků. Autor Peter Kim má také , ve kterém nabízí tipy na hackování a další informace.
- SANS Institute je dalším významným poskytovatelem školicích materiálů v oblasti kybernetické bezpečnosti. Jejich Zaměřuje se na digitální forenzní vědu a reakci na incidenty, obsahuje nejnovější zprávy o kurzech SANS a rady od odborníků z praxe.
- Některé z nejzajímavějších zpráv o redtimingu jsou zveřejněny v . Existují články zaměřené na technologie, jako je srovnání Red Teaming s penetračním testováním, stejně jako analytické články, jako je Manifest specialistů Red Teamu.
- A konečně, Awesome Red Teaming je komunita GitHub, která nabízí zdroje věnované Red Teaming. Pokrývá prakticky všechny technické aspekty činností červeného týmu, od získání počátečního přístupu, provádění škodlivých činností až po shromažďování a extrahování dat.
"Modrý tým" - co to je?
S tolika vícebarevnými týmy může být obtížné zjistit, jaký typ vaše organizace potřebuje.
Jednou alternativou k červenému týmu a konkrétněji dalšímu typu týmu, který lze použít ve spojení s červeným týmem, je modrý tým. Modrý tým také posuzuje zabezpečení sítě a identifikuje případné zranitelnosti infrastruktury. Ta má však jiný cíl. Týmy tohoto typu jsou potřebné k nalezení způsobů, jak chránit, měnit a přeskupovat obranné mechanismy, aby byla reakce na incidenty mnohem efektivnější.
Stejně jako červený tým, i modrý tým musí mít stejné znalosti o taktice, technikách a postupech útočníka, aby na nich mohl vytvářet strategie reakce. Povinnosti modrého týmu se však neomezují pouze na obranu před útoky. Podílí se také na posilování celé bezpečnostní infrastruktury, využívá například systém detekce narušení (IDS), který zajišťuje nepřetržitou analýzu neobvyklé a podezřelé aktivity.
Zde jsou některé z kroků, které „modrý tým“ podniká:
- bezpečnostní audit, zejména audit DNS;
- analýza protokolů a paměti;
- Analýza síťových datových paketů;
- analýza rizikových dat;
- Digitální analýza stopy;
- reverzní inženýrství;
- testování DDoS;
- vývoj scénářů implementace rizik.
Rozdíly mezi červenými a modrými týmy
Častou otázkou mnoha organizací je, který tým by měly použít, červený nebo modrý. Tuto problematiku také často provází přátelská nevraživost mezi lidmi, kteří pracují „na opačných stranách barikád“. Ve skutečnosti žádný příkaz bez druhého nedává smysl. Správná odpověď na tuto otázku tedy zní, že oba týmy jsou důležité.
Červený tým útočí a používá se k testování připravenosti modrého týmu k obraně. Někdy může červený tým najít zranitelná místa, která modrý tým zcela přehlédl, v takovém případě musí červený tým ukázat, jak lze tyto zranitelnosti opravit.
Je životně důležité, aby oba týmy spolupracovaly proti kyberzločincům na posílení bezpečnosti informací.
Z tohoto důvodu nemá smysl volit pouze jednu stranu nebo investovat pouze do jednoho typu týmu. Je důležité si uvědomit, že cílem obou stran je předcházet počítačové kriminalitě.
Jinými slovy, firmy potřebují navázat vzájemnou spolupráci obou týmů, aby zajistily komplexní audit – s logy všech provedených útoků a kontrol, záznamy o detekovaných vlastnostech.
„Červený tým“ poskytuje informace o operacích, které provedl během simulovaného útoku, zatímco modrý tým poskytuje informace o akcích, které podnikl, aby zaplnil mezery a napravil nalezené zranitelnosti.
Význam obou týmů nelze podceňovat. Bez jejich průběžných bezpečnostních auditů, penetračních testů a zlepšování infrastruktury by si společnosti nebyly vědomy stavu svého vlastního zabezpečení. Alespoň do té doby, než uniknou data a nebude bolestně jasné, že bezpečnostní opatření nestačila.
Co je to fialový tým?
„Purpurový tým“ se zrodil z pokusů sjednotit červený a modrý tým. Purple Team je spíše koncept než samostatný typ týmu. Nejlepší je to vidět jako kombinace červených a modrých týmů. Zapojuje oba týmy a pomáhá jim spolupracovat.
Purple Team může bezpečnostním týmům pomoci zlepšit detekci zranitelnosti, zjišťování hrozeb a monitorování sítě přesným modelováním běžných scénářů hrozeb a pomáhá vytvářet nové metody detekce a prevence hrozeb.
Některé organizace používají Purple Team pro jednorázové zaměřené aktivity, které jasně definují bezpečnostní cíle, časové osy a klíčové výsledky. To zahrnuje rozpoznání slabin v útoku a obraně, stejně jako identifikaci budoucích požadavků na výcvik a technologie.
Alternativní přístup, který nyní nabírá na síle, je pohlížet na Purple Team jako na vizionářský model, který funguje v celé organizaci a pomáhá vytvářet a neustále zlepšovat kulturu kybernetické bezpečnosti.
Závěr
Red Teaming neboli simulace komplexních útoků je výkonná technika pro testování bezpečnostních zranitelností organizace, ale měla by být používána opatrně. Abyste jej mohli používat, musíte mít dostatek V opačném případě nemusí ospravedlnit naděje, které jsou do něj vkládány.
Redtiming může odhalit zranitelnosti ve vašem systému, o kterých jste ani nevěděli, a pomoci je opravit. Zaujmutím nepřátelského přístupu mezi modrými a červenými týmy můžete simulovat, co by udělal skutečný hacker, kdyby chtěl ukrást vaše data nebo poškodit váš majetek.
Zdroj: www.habr.com