ProHoster > Blog > administration > Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer
Kilde: Acunetix

Red Teaming er en kompleks simulering af virkelige angreb for at vurdere systemernes cybersikkerhed. "Red Team" er en gruppe pentestere (specialister, der udfører en penetrationstest i systemet). De kan enten ansættes udefra eller ansatte i din organisation, men i alle tilfælde er deres rolle den samme - at efterligne ubudne gæsters handlinger og forsøge at trænge ind i dit system.

Sammen med de "røde hold" inden for cybersikkerhed er der en række andre. Eksempelvis arbejder Blue Team sammen med Red Team, men dets aktiviteter er rettet mod at forbedre sikkerheden i systemets infrastruktur indefra. Det lilla hold er bindeleddet, der hjælper de to andre hold med at udvikle angrebsstrategier og forsvar. Redtiming er dog en af ​​de mindst forståede metoder til styring af cybersikkerhed, og mange organisationer er fortsat tilbageholdende med at anvende denne praksis.
I denne artikel vil vi forklare i detaljer, hvad der ligger bag konceptet Red Teaming, og hvordan implementeringen af ​​komplekse simuleringspraksis af rigtige angreb kan hjælpe med at forbedre sikkerheden i din organisation. Formålet med denne artikel er at vise, hvordan denne metode kan øge sikkerheden i dine informationssystemer markant.

Red Teaming Oversigt

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

Selvom de "røde" og "blå" hold i vores tid primært er forbundet med området informationsteknologi og cybersikkerhed, blev disse begreber opfundet af militæret. Generelt var det i hæren, jeg første gang hørte om disse begreber. At arbejde som cybersikkerhedsanalytiker i 1980'erne var meget anderledes end i dag: adgangen til krypterede computersystemer var meget mere begrænset, end den er i dag.

Ellers var min første erfaring med krigsspil – simulering, simulering og interaktion – meget lig nutidens komplekse angrebssimuleringsproces, som har fundet vej til cybersikkerhed. Som nu blev der lagt stor vægt på brugen af ​​sociale ingeniørmetoder for at overbevise medarbejderne om at give "fjenden" uretmæssig adgang til militære systemer. Derfor, selvom de tekniske metoder til angrebssimulering har udviklet sig betydeligt siden 80'erne, er det værd at bemærke, at mange af de vigtigste værktøjer i den kontradiktoriske tilgang, og især social engineering-teknikker, stort set er platformsuafhængige.

Kerneværdien af ​​kompleks efterligning af rigtige angreb har heller ikke ændret sig siden 80'erne. Ved at simulere et angreb på dine systemer er det nemmere for dig at opdage sårbarheder og forstå, hvordan de kan udnyttes. Og mens redteaming plejede at blive brugt primært af white hat hackere og cybersikkerhedsprofessionelle, der ledte efter sårbarheder gennem penetrationstest, er det nu blevet mere udbredt i cybersikkerhed og forretning.

Nøglen til redtiming er at forstå, at du ikke rigtig kan få en følelse af sikkerheden i dine systemer, før de bliver angrebet. Og i stedet for at udsætte dig selv for at blive angrebet af rigtige angribere, er det meget mere sikkert at simulere et sådant angreb med en rød kommando.

Red Teaming: use cases

En nem måde at forstå det grundlæggende i redtiming er at se på et par eksempler. Her er to af dem:

  • Scenario 1. Forestil dig, at et kundeservicested er blevet gennemtestet og testet med succes. Det ser ud til, at dette tyder på, at alt er i orden. Men senere, i et komplekst falsk angreb, opdager det røde team, at selvom selve kundeservice-appen er i orden, kan tredjeparts chatfunktionen ikke nøjagtigt identificere personer, og dette gør det muligt at narre kundeservicerepræsentanter til at ændre deres e-mailadresse . på kontoen (som et resultat af hvilket en ny person, en angriber, kan få adgang).
  • Scenario 2. Som et resultat af pentesting blev alle VPN- og fjernadgangskontroller fundet sikre. Men så går repræsentanten for det "røde hold" frit forbi registreringsskranken og tager en af ​​medarbejdernes bærbare computer frem.

I begge ovenstående tilfælde kontrollerer det "røde hold" ikke kun pålideligheden af ​​hvert enkelt system, men også hele systemet som helhed for svagheder.

Hvem har brug for kompleks angrebssimulering?

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

I en nøddeskal kan næsten enhver virksomhed drage fordel af redtiming. Som vist i vores globale datarisikorapport for 2019., er et skræmmende stort antal organisationer under den falske tro, at de har fuldstændig kontrol over deres data. Vi fandt for eksempel, at i gennemsnit 22 % af en virksomheds mapper er tilgængelige for hver medarbejder, og at 87 % af virksomhederne har mere end 1000 forældede følsomme filer på deres systemer.

Hvis din virksomhed ikke er i tech-industrien, ser det måske ikke ud til, at redtiming vil gøre dig meget godt. Men det er det ikke. Cybersikkerhed handler ikke kun om at beskytte fortrolige oplysninger.

Forbrydere forsøger ligeledes at få fat i teknologier, uanset hvilken aktivitetssfære virksomheden har. For eksempel kan de søge at få adgang til dit netværk for at skjule deres handlinger for at overtage et andet system eller netværk andre steder i verden. Med denne type angreb behøver angriberne ikke dine data. De ønsker at inficere dine computere med malware for at gøre dit system til en gruppe af botnets med deres hjælp.

For mindre virksomheder kan det være svært at finde ressourcer til at indløse. I dette tilfælde giver det mening at overlade denne proces til en ekstern entreprenør.

Red Teaming: Anbefalinger

Den optimale tid og frekvens for redtiming afhænger af den sektor, du arbejder i, og modenheden af ​​dine cybersikkerhedsværktøjer.

Især bør du have automatiserede aktiviteter såsom aktivudforskning og sårbarhedsanalyse. Din organisation bør også kombinere automatiseret teknologi med menneskeligt tilsyn ved regelmæssigt at udføre fuld penetrationstest.
Efter at have gennemført flere forretningscyklusser med penetrationstest og fundet sårbarheder, kan du fortsætte til en kompleks simulering af et rigtigt angreb. På dette stadium vil redtiming give dig håndgribelige fordele. Men at prøve at gøre det, før du har det grundlæggende i cybersikkerhed på plads, vil ikke give håndgribelige resultater.

Et team med hvid hat vil sandsynligvis være i stand til at kompromittere et uforberedt system så hurtigt og nemt, at du får for lidt information til at tage yderligere skridt. For at få en reel effekt skal den information, som det "røde hold" har indhentet, sammenlignes med tidligere penetrationstest og sårbarhedsvurderinger.

Hvad er penetrationstest?

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

Kompleks efterligning af et rigtigt angreb (Red Teaming) forveksles ofte med penetrationstest (pentest), men de to metoder er lidt forskellige. Mere præcist er penetrationstest blot en af ​​redtiming-metoderne.

Pentesters rolle veldefineret. Pentesternes arbejde er opdelt i fire hovedfaser: planlægning, informationssøgning, angreb og rapportering. Som du kan se, gør pentestere mere end blot at lede efter softwaresårbarheder. De forsøger at sætte sig i hackernes sted, og når de kommer ind i dit system, begynder deres virkelige arbejde.

De opdager sårbarheder og udfører derefter nye angreb baseret på den modtagne information og bevæger sig gennem mappehierarkiet. Det er det, der adskiller penetrationstestere fra dem, der kun er ansat til at finde sårbarheder ved at bruge software til portscanning eller virusdetektion. En erfaren pentester kan bestemme:

  • hvor hackere kan rette deres angreb;
  • måden hackerne vil angribe;
  • Hvordan vil dit forsvar opføre sig?
  • bruddets mulige omfang.

Penetrationstest fokuserer på at identificere svagheder på applikations- og netværksniveauer samt muligheder for at overvinde fysiske sikkerhedsbarrierer. Mens automatiseret test kan afsløre nogle cybersikkerhedsproblemer, tager manuel penetrationstest også højde for en virksomheds sårbarhed over for angreb.

Red Teaming vs. penetrationstest

Uden tvivl er penetrationstest vigtig, men det er kun en del af en hel række af redtiming-aktiviteter. Det "røde holds" aktiviteter har meget bredere mål end pentesternes, som ofte blot søger at få adgang til netværket. Redteaming involverer ofte flere mennesker, ressourcer og tid, mens det røde team graver dybt for fuldt ud at forstå det sande niveau af risiko og sårbarhed i teknologi og organisationens menneskelige og fysiske aktiver.

Derudover er der andre forskelle. Redtiming bruges typisk af organisationer med mere modne og avancerede cybersikkerhedsforanstaltninger (selvom dette ikke altid er tilfældet i praksis).

Disse er normalt virksomheder, der allerede har lavet penetrationstest og lappet de fleste af de fundne sårbarheder, og som nu leder efter nogen, der kan prøve igen at få adgang til følsomme oplysninger eller bryde beskyttelsen på nogen måde.
Det er derfor, redtiming er afhængig af et team af sikkerhedseksperter, der fokuserer på et specifikt mål. De retter sig mod interne sårbarheder og bruger både elektroniske og fysiske social engineering-teknikker på organisationens medarbejdere. I modsætning til pentestere tager røde hold sig god tid under deres angreb og ønsker at undgå opdagelse, som en rigtig cyberkriminel ville.

Fordele ved Red Teaming

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

Der er mange fordele ved kompleks simulering af rigtige angreb, men vigtigst af alt, denne tilgang giver dig mulighed for at få et omfattende billede af niveauet af cybersikkerhed i en organisation. En typisk end-to-end simuleret angrebsproces vil omfatte penetrationstest (netværk, applikation, mobiltelefon og anden enhed), social engineering (live on-site, telefonopkald, e-mail eller tekstbeskeder og chat) og fysisk indtrængen ( bryde låse, opdage døde zoner af sikkerhedskameraer, omgå advarselssystemer). Hvis der er sårbarheder i nogen af ​​disse aspekter af dit system, vil de blive fundet.

Når sårbarheder er fundet, kan de rettes. En effektiv angrebssimuleringsprocedure slutter ikke med opdagelsen af ​​sårbarheder. Når først sikkerhedsfejlene er klart identificeret, vil du gerne arbejde på at rette dem og teste dem igen. Faktisk begynder det virkelige arbejde normalt efter et rødt holds indbrud, når du kriminalteknisk analyserer angrebet og forsøger at afbøde de fundne sårbarheder.

Ud over disse to hovedfordele byder redtiming også på en række andre. Så det "røde hold" kan:

  • identificere risici og sårbarheder over for angreb i vigtige forretningsinformationsaktiver;
  • simulere virkelige angriberes metoder, taktikker og procedurer i et miljø med begrænset og kontrolleret risiko;
  • Vurder din organisations evne til at opdage, reagere og forhindre komplekse, målrettede trusler;
  • Tilskynd til tæt samarbejde med sikkerhedsafdelinger og blå teams for at yde væsentlig afbødning og gennemføre omfattende praktiske workshops efter opdagede sårbarheder.

Hvordan fungerer Red Teaming?

En god måde at forstå, hvordan redtiming fungerer, er at se på, hvordan det normalt sker. Den sædvanlige proces med kompleks angrebssimulering består af flere faser:

  • Organisationen er enig med det "røde hold" (internt eller eksternt) om formålet med angrebet. Et sådant mål kunne for eksempel være at hente følsom information fra en bestemt server.
  • Derefter foretager det "røde hold" rekognoscering af målet. Resultatet er et diagram over målsystemer, herunder netværkstjenester, webapplikationer og interne medarbejderportaler. .
  • Derefter søges der efter sårbarheder i målsystemet, som normalt implementeres ved hjælp af phishing- eller XSS-angreb. .
  • Når først adgangstokens er opnået, bruger det røde hold dem til at undersøge yderligere sårbarheder. .
  • Når andre sårbarheder opdages, vil det "røde hold" søge at øge deres adgangsniveau til det nødvendige niveau for at nå målet. .
  • Når du får adgang til måldataene eller -aktivet, anses angrebsopgaven for at være afsluttet.

Faktisk vil en erfaren rød team-specialist bruge et stort antal forskellige metoder til at komme igennem hvert af disse trin. Det vigtigste ved ovenstående eksempel er dog, at små sårbarheder i individuelle systemer kan blive til katastrofale fejl, hvis de kædes sammen.

Hvad skal man overveje, når man omtaler det "røde hold"?

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

For at få mest muligt ud af redtiming skal du forberede dig omhyggeligt. De systemer og processer, som den enkelte organisation bruger, er forskellige, og kvalitetsniveauet for redtiming opnås, når det er rettet mod at finde sårbarheder i jeres systemer. Af denne grund er det vigtigt at overveje en række faktorer:

Ved hvad du leder efter

Først og fremmest er det vigtigt at forstå, hvilke systemer og processer du vil tjekke. Måske ved du, at du gerne vil teste en webapplikation, men du forstår ikke så godt, hvad det egentlig betyder, og hvilke andre systemer der er integreret med dine webapplikationer. Derfor er det vigtigt, at du har en god forståelse for dine egne systemer og retter eventuelle åbenlyse sårbarheder, inden du starter en kompleks simulering af et rigtigt angreb.

Kend dit netværk

Dette er relateret til den tidligere anbefaling, men handler mere om dit netværks tekniske karakteristika. Jo bedre du kan kvantificere dit testmiljø, jo mere præcist og specifikt vil dit røde team være.

Kend dit budget

Redtiming kan udføres på forskellige niveauer, men at simulere hele spektret af angreb på dit netværk, inklusive social engineering og fysisk indtrængen, kan være dyrt. Af denne grund er det vigtigt at forstå, hvor meget du kan bruge på en sådan check og følgelig skitsere dens omfang.

Kend dit risikoniveau

Nogle organisationer kan tolerere et ret højt risikoniveau som en del af deres standard forretningsprocedurer. Andre bliver nødt til at begrænse deres risikoniveau i langt højere grad, især hvis virksomheden opererer i en stærkt reguleret branche. Når du laver redtiming, er det derfor vigtigt at fokusere på de risici, der virkelig udgør en fare for din virksomhed.

Red Teaming: Værktøjer og taktik

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

Hvis det implementeres korrekt, vil det "røde hold" udføre et fuldskalaangreb på dine netværk ved hjælp af alle de værktøjer og metoder, der bruges af hackere. Dette omfatter blandt andet:

  • Application Penetration Testing - har til formål at identificere svagheder på applikationsniveau, såsom forfalskning af anmodninger på tværs af websteder, fejl i dataindtastning, svag sessionsstyring og mange andre.
  • Netværkspenetrationstest - har til formål at identificere svagheder på netværks- og systemniveau, herunder fejlkonfigurationer, trådløse netværkssårbarheder, uautoriserede tjenester og mere.
  • Fysisk penetrationstest — kontrol af effektiviteten samt styrkerne og svaghederne ved fysisk sikkerhedskontrol i det virkelige liv.
  • social ingeniørkunst - har til formål at udnytte svaghederne ved mennesker og den menneskelige natur, teste folks modtagelighed for bedrag, overtalelse og manipulation gennem phishing-e-mails, telefonopkald og sms-beskeder samt fysisk kontakt på stedet.

Alt ovenstående er redtiming komponenter. Det er en komplet, lagdelt angrebssimulering designet til at bestemme, hvor godt dine medarbejdere, netværk, applikationer og fysiske sikkerhedskontroller kan modstå et angreb fra en rigtig angriber.

Løbende udvikling af Red Teaming metoder

Arten af ​​den komplekse simulering af rigtige angreb, hvor røde teams forsøger at finde nye sikkerhedssårbarheder og blå teams forsøger at rette dem, fører til den konstante udvikling af metoder til sådanne kontroller. Af denne grund er det svært at udarbejde en opdateret liste over moderne redtiming-teknikker, da de hurtigt bliver forældede.

Derfor vil de fleste redteamere bruge mindst en del af deres tid på at lære om nye sårbarheder og udnytte dem ved at bruge de mange ressourcer, som det røde team-fællesskab leverer. Her er de mest populære af disse fællesskaber:

  • Pentester Academy er en abonnementstjeneste, der tilbyder online videokurser, der primært er fokuseret på penetrationstest, samt kurser om efterforskning af operativsystemer, sociale ingeniøropgaver og samlingssprog for informationssikkerhed.
  • Vincent Yiu er en "offensiv cybersikkerhedsoperatør", der jævnligt blogger om metoder til kompleks simulering af rigtige angreb og er en god kilde til nye tilgange.
  • Twitter er også en god kilde, hvis du leder efter opdateret redtiming-information. Du kan finde det med hashtags #redteam и #redteaming.
  • Daniel Miessler er en anden erfaren redtiming specialist, der producerer et nyhedsbrev og podcast, fører websted og skriver meget om aktuelle røde holdstendenser. Blandt hans seneste artikler: "Purple Team Pentest betyder, at dine røde og blå hold har fejlet" и "Sårbarhedsbelønninger og hvornår man skal bruge sårbarhedsvurdering, penetrationstest og omfattende angrebssimulering".
  • Daglig Swig er et nyhedsbrev om websikkerhed sponsoreret af PortSwigger Web Security. Dette er en god ressource til at lære om den seneste udvikling og nyheder inden for redtiming - hacks, datalæk, exploits, webapplikationssårbarheder og nye sikkerhedsteknologier.
  • Florian Hansemann er en hvid hat hacker og penetration tester, der jævnligt dækker nye røde hold taktik i sin blogindlæg.
  • MWR-laboratorier er en god, omend ekstremt teknisk, kilde til redtiming-nyheder. De poster nyttige for røde hold Værktøj, og deres Twitter feed indeholder tips til at løse problemer, som sikkerhedstestere står over for.
  • Emad Shanab - Advokat og "hvid hacker". Hans Twitter-feed har teknikker, der er nyttige for "røde teams", såsom at skrive SQL-injektioner og smedning af OAuth-tokens.
  • Mitres modstridende taktik, teknikker og almindelig viden (ATT & CK) er en kurateret videnbase om angriberadfærd. Den sporer faserne af angribernes livscyklus og de platforme, de målretter mod.
  • The Hacker Playbook er en guide til hackere, som, selvom den er ret gammel, dækker mange af de grundlæggende teknikker, der stadig er kernen i komplekse efterligninger af rigtige angreb. Det har forfatter Peter Kim også Twitter feed, hvor han tilbyder hacking tips og anden information.
  • SANS Institute er en anden stor leverandør af cybersikkerhedstræningsmaterialer. Deres Twitter feedFokuseret på digital efterforskning og hændelsesreaktion, den indeholder de seneste nyheder om SANS-kurser og råd fra eksperter.
  • Nogle af de mest interessante nyheder om redtiming er offentliggjort i Red Team Journal. Der er teknologi-fokuserede artikler som at sammenligne Red Teaming med penetrationstest, samt analytiske artikler som The Red Team Specialist Manifesto.
  • Endelig er Awesome Red Teaming et GitHub-fællesskab, der tilbyder meget detaljeret liste ressourcer dedikeret til Red Teaming. Den dækker stort set alle tekniske aspekter af et rødt teams aktiviteter, lige fra at få indledende adgang, udførelse af ondsindede aktiviteter til indsamling og udtrækning af data.

"Blå hold" - hvad er det?

Red Teaming er en kompleks simulering af angreb. Metode og værktøjer

Med så mange flerfarvede teams kan det være svært at finde ud af, hvilken type din organisation har brug for.

Et alternativ til det røde hold, og mere specifikt en anden type hold, der kan bruges sammen med det røde hold, er det blå hold. Blue Team vurderer også netværkssikkerhed og identificerer eventuelle potentielle infrastruktursårbarheder. Hun har dog et andet mål. Hold af denne type er nødvendige for at finde måder at beskytte, ændre og omgruppere forsvarsmekanismer for at gøre hændelsesrespons meget mere effektiv.

Ligesom det røde hold skal det blå hold have det samme kendskab til angriberens taktik, teknikker og procedurer for at skabe responsstrategier baseret på dem. Det blå holds pligter er dog ikke begrænset til blot at forsvare sig mod angreb. Det er også involveret i at styrke hele sikkerhedsinfrastrukturen ved at bruge for eksempel et indtrængen detektionssystem (IDS), der giver løbende analyse af usædvanlig og mistænkelig aktivitet.

Her er nogle af de trin, det "blå hold" tager:

  • sikkerhedsrevision, især DNS-revision;
  • log- og hukommelsesanalyse;
  • analyse af netværksdatapakker;
  • risikodataanalyse;
  • digital fodaftryksanalyse;
  • reverse engineering;
  • DDoS test;
  • udvikling af risikoimplementeringsscenarier.

Forskelle mellem røde og blå hold

Et almindeligt spørgsmål for mange organisationer er, hvilket hold de skal bruge, rødt eller blåt. Dette problem er også ofte ledsaget af venlig fjendskab mellem mennesker, der arbejder "på hver sin side af barrikaderne." I virkeligheden giver ingen af ​​kommandoerne mening uden den anden. Så det rigtige svar på dette spørgsmål er, at begge hold er vigtige.

Det røde hold angriber og bruges til at teste det blå holds parathed til at forsvare. Nogle gange kan det røde hold finde sårbarheder, som det blå hold fuldstændig har overset, og i så fald skal det røde hold vise, hvordan disse sårbarheder kan rettes.

Det er afgørende for begge teams at arbejde sammen mod cyberkriminelle for at styrke informationssikkerheden.

Af denne grund giver det ingen mening kun at vælge én side eller kun investere i én type hold. Det er vigtigt at huske, at begge parters mål er at forebygge cyberkriminalitet.
Med andre ord skal virksomheder etablere et gensidigt samarbejde mellem begge teams for at kunne levere en omfattende revision - med logs over alle angreb og udførte kontroller, registreringer af opdagede funktioner.

Det "røde hold" giver information om de operationer, de udførte under det simulerede angreb, mens det blå hold giver information om de handlinger, de tog for at udfylde hullerne og rette de fundne sårbarheder.

Betydningen af ​​begge hold kan ikke undervurderes. Uden deres løbende sikkerhedsaudits, penetrationstest og infrastrukturforbedringer ville virksomheder ikke være opmærksomme på tilstanden af ​​deres egen sikkerhed. I hvert fald indtil dataene er lækket, og det bliver smerteligt klart, at sikkerhedsforanstaltningerne ikke var nok.

Hvad er et lilla hold?

"Det lilla hold" blev født ud af forsøg på at forene det røde og blå hold. The Purple Team er mere et koncept end en separat type team. Det ses bedst som en kombination af røde og blå hold. Hun engagerer begge teams og hjælper dem med at arbejde sammen.

Purple Team kan hjælpe sikkerhedsteams med at forbedre sårbarhedsdetektion, trusselsopdagelse og netværksovervågning ved nøjagtigt at modellere almindelige trusselsscenarier og hjælpe med at skabe nye trusselsdetektion og -forebyggelsesmetoder.

Nogle organisationer anvender et Purple Team til engangsfokuserede aktiviteter, der klart definerer sikkerhedsmål, tidslinjer og nøgleresultater. Dette inkluderer erkendelse af svagheder i angreb og forsvar, samt identifikation af fremtidige trænings- og teknologikrav.

En alternativ tilgang, der nu tager fart, er at se Purple Team som en visionær model, der arbejder i hele organisationen for at hjælpe med at skabe og løbende forbedre en cybersikkerhedskultur.

Konklusion

Red Teaming, eller kompleks angrebssimulering, er en kraftfuld teknik til at teste en organisations sikkerhedssårbarheder, men bør bruges med omtanke. Især for at bruge det, skal du have nok avancerede midler til beskyttelse af informationssikkerhedEllers retfærdiggør han måske ikke de forhåbninger, der stilles til ham.
Redtiming kan afsløre sårbarheder i dit system, som du ikke engang vidste eksisterede, og hjælpe med at rette dem. Ved at tage en modstridende tilgang mellem blå og røde hold kan du simulere, hvad en rigtig hacker ville gøre, hvis han ville stjæle dine data eller beskadige dine aktiver.

Kilde: www.habr.com

Tilføj en kommentar