Πηγή: Acunetix
Το Red Teaming είναι μια πολύπλοκη προσομοίωση πραγματικών επιθέσεων με σκοπό την αξιολόγηση της κυβερνοασφάλειας των συστημάτων. Η «Red Team» είναι μια ομάδα (ειδικοί που εκτελούν δοκιμή διείσδυσης στο σύστημα). Μπορούν να προσληφθούν είτε από έξω είτε από υπαλλήλους του οργανισμού σας, αλλά σε όλες τις περιπτώσεις ο ρόλος τους είναι ο ίδιος - να μιμούνται τις ενέργειες των εισβολέων και να προσπαθούν να διεισδύσουν στο σύστημά σας.
Μαζί με τις «κόκκινες ομάδες» στην κυβερνοασφάλεια, υπάρχουν και μια σειρά από άλλες. Έτσι, για παράδειγμα, η «μπλε ομάδα» (Blue Team) συνεργάζεται με την κόκκινη, αλλά οι δραστηριότητές της στοχεύουν στη βελτίωση της ασφάλειας της υποδομής του συστήματος εκ των έσω. Η Purple Team είναι ο σύνδεσμος, που βοηθά τις άλλες δύο ομάδες στην ανάπτυξη στρατηγικών επίθεσης και άμυνας. Ωστόσο, το redtiming είναι μία από τις λιγότερο κατανοητές μεθόδους διαχείρισης της ασφάλειας στον κυβερνοχώρο και πολλοί οργανισμοί παραμένουν απρόθυμοι να υιοθετήσουν αυτήν την πρακτική.
Σε αυτό το άρθρο, θα εξηγήσουμε λεπτομερώς τι κρύβεται πίσω από την έννοια του Red Teaming και πώς η εφαρμογή πολύπλοκων πρακτικών προσομοίωσης πραγματικών επιθέσεων μπορεί να συμβάλει στη βελτίωση της ασφάλειας του οργανισμού σας. Ο σκοπός αυτού του άρθρου είναι να δείξει πώς αυτή η μέθοδος μπορεί να αυξήσει σημαντικά την ασφάλεια των συστημάτων πληροφοριών σας.
Επισκόπηση Red Teaming
Αν και στην εποχή μας, οι «κόκκινες» και οι «μπλε» ομάδες συνδέονται κυρίως με τον τομέα της τεχνολογίας πληροφοριών και της κυβερνοασφάλειας, αυτές οι έννοιες επινοήθηκαν από τον στρατό. Γενικά, ήταν στο στρατό που άκουσα για πρώτη φορά για αυτές τις έννοιες. Η εργασία ως αναλυτής κυβερνοασφάλειας στη δεκαετία του 1980 ήταν πολύ διαφορετική από τη σημερινή: η πρόσβαση σε κρυπτογραφημένα συστήματα υπολογιστών ήταν πολύ πιο περιορισμένη από ό,τι σήμερα.
Διαφορετικά, η πρώτη μου εμπειρία πολεμικών παιχνιδιών - προσομοίωσης, προσομοίωσης και αλληλεπίδρασης - ήταν πολύ παρόμοια με τη σημερινή πολύπλοκη διαδικασία προσομοίωσης επίθεσης, η οποία έχει βρει τον δρόμο της στην ασφάλεια του κυβερνοχώρου. Όπως και τώρα, δόθηκε μεγάλη προσοχή στη χρήση μεθόδων κοινωνικής μηχανικής για να πειστούν οι εργαζόμενοι να δώσουν στον «εχθρό» ακατάλληλη πρόσβαση σε στρατιωτικά συστήματα. Ως εκ τούτου, αν και οι τεχνικές μέθοδοι προσομοίωσης επίθεσης έχουν προχωρήσει σημαντικά από τη δεκαετία του '80, αξίζει να σημειωθεί ότι πολλά από τα κύρια εργαλεία της αντίπαλης προσέγγισης, και ιδιαίτερα οι τεχνικές κοινωνικής μηχανικής, είναι σε μεγάλο βαθμό ανεξάρτητα από πλατφόρμα.
Η βασική αξία της σύνθετης μίμησης πραγματικών επιθέσεων επίσης δεν έχει αλλάξει από τη δεκαετία του '80. Με την προσομοίωση μιας επίθεσης στα συστήματά σας, είναι πιο εύκολο για εσάς να ανακαλύψετε τρωτά σημεία και να κατανοήσετε πώς μπορούν να τα εκμεταλλευτείτε. Και ενώ το redteaming χρησιμοποιούνταν κυρίως από χάκερ λευκών καπέλων και επαγγελματίες στον τομέα της κυβερνοασφάλειας που αναζητούσαν τρωτά σημεία μέσω δοκιμών διείσδυσης, τώρα έχει γίνει ευρύτερα χρησιμοποιείται στην ασφάλεια στον κυβερνοχώρο και στις επιχειρήσεις.
Το κλειδί για το redtiming είναι να κατανοήσετε ότι δεν μπορείτε πραγματικά να έχετε μια αίσθηση της ασφάλειας των συστημάτων σας μέχρι να τους επιτεθούν. Και αντί να θέσετε τον εαυτό σας σε κίνδυνο επίθεσης από πραγματικούς επιτιθέμενους, είναι πολύ πιο ασφαλές να προσομοιώσετε μια τέτοια επίθεση με μια κόκκινη εντολή.
Red Teaming: θήκες χρήσης
Ένας εύκολος τρόπος για να κατανοήσετε τα βασικά του redtiming είναι να δείτε μερικά παραδείγματα. Εδώ είναι δύο από αυτά:
- Σενάριο 1. Φανταστείτε ότι ένας ιστότοπος εξυπηρέτησης πελατών έχει δοκιμαστεί και δοκιμαστεί με επιτυχία. Φαίνεται ότι αυτό υποδηλώνει ότι όλα είναι εντάξει. Ωστόσο, αργότερα, σε μια περίπλοκη εικονική επίθεση, η κόκκινη ομάδα ανακαλύπτει ότι ενώ η ίδια η εφαρμογή εξυπηρέτησης πελατών είναι εντάξει, η δυνατότητα συνομιλίας τρίτου μέρους δεν μπορεί να αναγνωρίσει με ακρίβεια άτομα και αυτό καθιστά δυνατό να εξαπατήσουν τους εκπροσώπους εξυπηρέτησης πελατών για να αλλάξουν τη διεύθυνση email τους στον λογαριασμό (με αποτέλεσμα ένα νέο άτομο, ένας εισβολέας, να αποκτήσει πρόσβαση).
- Σενάριο 2. Ως αποτέλεσμα της διενέργειας δοκιμών, όλα τα στοιχεία ελέγχου VPN και απομακρυσμένης πρόσβασης βρέθηκαν ασφαλή. Ωστόσο, τότε ο εκπρόσωπος της «κόκκινης ομάδας» περνά ελεύθερα από το γραφείο εγγραφής και βγάζει το λάπτοπ ενός εκ των εργαζομένων.
Και στις δύο παραπάνω περιπτώσεις, η «κόκκινη ομάδα» ελέγχει όχι μόνο την αξιοπιστία κάθε επιμέρους συστήματος, αλλά και ολόκληρο το σύστημα συνολικά για αδυναμίες.
Ποιος χρειάζεται προσομοίωση σύνθετης επίθεσης;
Με λίγα λόγια, σχεδόν κάθε εταιρεία μπορεί να επωφεληθεί από το redtiming. Οπως φαίνεται , ένας τρομακτικά μεγάλος αριθμός οργανισμών έχουν την ψευδή πεποίθηση ότι έχουν τον απόλυτο έλεγχο των δεδομένων τους. Διαπιστώσαμε, για παράδειγμα, ότι κατά μέσο όρο το 22% των φακέλων μιας εταιρείας είναι διαθέσιμος σε κάθε εργαζόμενο και ότι το 87% των εταιρειών έχουν περισσότερα από 1000 ξεπερασμένα ευαίσθητα αρχεία στα συστήματά τους.
Εάν η εταιρεία σας δεν δραστηριοποιείται στον κλάδο της τεχνολογίας, μπορεί να μην φαίνεται ότι το redtiming θα σας κάνει πολύ καλό. Αλλά δεν είναι. Η κυβερνοασφάλεια δεν αφορά μόνο την προστασία εμπιστευτικών πληροφοριών.
Οι κακοποιοί προσπαθούν εξίσου να αποκτήσουν τεχνολογίες ανεξάρτητα από τη σφαίρα δραστηριότητας της εταιρείας. Για παράδειγμα, μπορεί να επιδιώξουν να αποκτήσουν πρόσβαση στο δίκτυό σας για να αποκρύψουν τις ενέργειές τους για την ανάληψη άλλου συστήματος ή δικτύου αλλού στον κόσμο. Με αυτόν τον τύπο επίθεσης, οι εισβολείς δεν χρειάζονται τα δεδομένα σας. Θέλουν να μολύνουν τους υπολογιστές σας με κακόβουλο λογισμικό για να μετατρέψουν το σύστημά σας σε μια ομάδα botnets με τη βοήθειά τους.
Για μικρότερες εταιρείες, μπορεί να είναι δύσκολο να βρουν πόρους για εξαργύρωση. Σε αυτή την περίπτωση, είναι λογικό να ανατεθεί αυτή η διαδικασία σε εξωτερικό ανάδοχο.
Red Teaming: Συστάσεις
Ο βέλτιστος χρόνος και η συχνότητα για redtiming εξαρτάται από τον τομέα στον οποίο εργάζεστε και την ωριμότητα των εργαλείων κυβερνοασφάλειας που διαθέτετε.
Συγκεκριμένα, θα πρέπει να έχετε αυτοματοποιημένες δραστηριότητες όπως η εξερεύνηση περιουσιακών στοιχείων και η ανάλυση ευπάθειας. Ο οργανισμός σας θα πρέπει επίσης να συνδυάζει την αυτοματοποιημένη τεχνολογία με την ανθρώπινη εποπτεία πραγματοποιώντας τακτικά δοκιμές πλήρους διείσδυσης.
Μετά την ολοκλήρωση αρκετών επιχειρηματικών κύκλων δοκιμών διείσδυσης και εύρεσης τρωτών σημείων, μπορείτε να προχωρήσετε σε μια πολύπλοκη προσομοίωση μιας πραγματικής επίθεσης. Σε αυτό το στάδιο, το redtiming θα σας αποφέρει απτά οφέλη. Ωστόσο, το να προσπαθήσετε να το κάνετε πριν να έχετε τα βασικά στοιχεία της κυβερνοασφάλειας δεν θα φέρει απτά αποτελέσματα.
Μια ομάδα λευκού καπέλου είναι πιθανό να είναι σε θέση να θέσει σε κίνδυνο ένα απροετοίμαστο σύστημα τόσο γρήγορα και εύκολα, ώστε να λαμβάνετε πολύ λίγες πληροφορίες για να προβείτε σε περαιτέρω ενέργειες. Για να έχει πραγματικό αποτέλεσμα, οι πληροφορίες που έλαβε η «κόκκινη ομάδα» πρέπει να συγκριθούν με προηγούμενα τεστ διείσδυσης και εκτιμήσεις ευπάθειας.
Τι είναι ο έλεγχος διείσδυσης;
Η περίπλοκη μίμηση μιας πραγματικής επίθεσης (Red Teaming) συχνά συγχέεται με , αλλά οι δύο μέθοδοι είναι ελαφρώς διαφορετικές. Πιο συγκεκριμένα, η δοκιμή διείσδυσης είναι μόνο μία από τις μεθόδους redtiming.
Ο Ρόλος ενός Πεντεστέρα . Η εργασία των διεισδυτών χωρίζεται σε τέσσερα κύρια στάδια: σχεδιασμός, ανακάλυψη πληροφοριών, επίθεση και αναφορά. Όπως μπορείτε να δείτε, οι διεισδυτές κάνουν περισσότερα από το να αναζητούν απλώς τρωτά σημεία λογισμικού. Προσπαθούν να μπουν στη θέση των χάκερ και μόλις μπουν στο σύστημά σας, αρχίζει η πραγματική τους δουλειά.
Ανακαλύπτουν τρωτά σημεία και στη συνέχεια πραγματοποιούν νέες επιθέσεις με βάση τις πληροφορίες που λαμβάνουν, μετακινούμενοι στην ιεραρχία των φακέλων. Αυτό είναι που διακρίνει τους ελεγκτές διείσδυσης από εκείνους που προσλαμβάνονται μόνο για να βρουν τρωτά σημεία, χρησιμοποιώντας λογισμικό σάρωσης θυρών ή ανίχνευση ιών. Ένας έμπειρος pentester μπορεί να καθορίσει:
- όπου οι χάκερ μπορούν να κατευθύνουν την επίθεσή τους.
- ο τρόπος με τον οποίο θα επιτεθούν οι χάκερ.
- Πώς θα συμπεριφερθεί η υπεράσπισή σας;
- πιθανή έκταση της παραβίασης.
Οι δοκιμές διείσδυσης επικεντρώνονται στον εντοπισμό αδυναμιών σε επίπεδο εφαρμογής και δικτύου, καθώς και σε ευκαιρίες υπέρβασης φυσικών εμποδίων ασφαλείας. Ενώ οι αυτοματοποιημένες δοκιμές μπορούν να αποκαλύψουν ορισμένα ζητήματα ασφάλειας στον κυβερνοχώρο, η μη αυτόματη δοκιμή διείσδυσης λαμβάνει επίσης υπόψη την ευπάθεια μιας επιχείρησης σε επιθέσεις.
Red Teaming vs. δοκιμή διείσδυσης
Αναμφίβολα, η δοκιμή διείσδυσης είναι σημαντική, αλλά είναι μόνο ένα μέρος μιας ολόκληρης σειράς δραστηριοτήτων redtiming. Οι δραστηριότητες της «κόκκινης ομάδας» έχουν πολύ ευρύτερους στόχους από εκείνους των διεισδυτών, οι οποίοι συχνά επιδιώκουν απλώς να αποκτήσουν πρόσβαση στο δίκτυο. Το Redteaming συχνά περιλαμβάνει περισσότερους ανθρώπους, πόρους και χρόνο καθώς η κόκκινη ομάδα σκάβει βαθιά για να κατανοήσει πλήρως το πραγματικό επίπεδο κινδύνου και ευπάθειας στην τεχνολογία και τα ανθρώπινα και φυσικά πλεονεκτήματα του οργανισμού.
Επιπλέον, υπάρχουν και άλλες διαφορές. Το Redtiming χρησιμοποιείται συνήθως από οργανισμούς με πιο ώριμα και προηγμένα μέτρα κυβερνοασφάλειας (αν και αυτό δεν συμβαίνει πάντα στην πράξη).
Συνήθως πρόκειται για εταιρείες που έχουν ήδη κάνει δοκιμές διείσδυσης και έχουν διορθώσει τα περισσότερα από τα τρωτά σημεία που βρέθηκαν και τώρα αναζητούν κάποιον που μπορεί να προσπαθήσει ξανά να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες ή να σπάσει την προστασία με οποιονδήποτε τρόπο.
Αυτός είναι ο λόγος για τον οποίο το redtiming βασίζεται σε μια ομάδα ειδικών ασφαλείας που επικεντρώνονται σε έναν συγκεκριμένο στόχο. Στοχεύουν σε εσωτερικές ευπάθειες και χρησιμοποιούν τόσο ηλεκτρονικές όσο και φυσικές τεχνικές κοινωνικής μηχανικής στους υπαλλήλους του οργανισμού. Σε αντίθεση με τους διεισδυτές, οι κόκκινες ομάδες παίρνουν το χρόνο τους κατά τη διάρκεια των επιθέσεών τους, θέλοντας να αποφύγουν τον εντοπισμό όπως θα έκανε ένας πραγματικός εγκληματίας στον κυβερνοχώρο.
Πλεονεκτήματα της Red Teaming
Υπάρχουν πολλά πλεονεκτήματα στην περίπλοκη προσομοίωση πραγματικών επιθέσεων, αλλά το πιο σημαντικό, αυτή η προσέγγιση σάς επιτρέπει να έχετε μια ολοκληρωμένη εικόνα του επιπέδου ασφάλειας στον κυβερνοχώρο ενός οργανισμού. Μια τυπική διαδικασία προσομοίωσης επίθεσης από άκρο σε άκρο θα περιλαμβάνει δοκιμές διείσδυσης (δίκτυο, εφαρμογή, κινητό τηλέφωνο και άλλη συσκευή), κοινωνική μηχανική (ζωντανά επιτόπου, τηλεφωνικές κλήσεις, email ή μηνύματα κειμένου και συνομιλία) και φυσική εισβολή ( σπάσιμο κλειδαριών, ανίχνευση νεκρών ζωνών καμερών ασφαλείας, παράκαμψη συστημάτων προειδοποίησης). Εάν υπάρχουν ευπάθειες σε οποιαδήποτε από αυτές τις πτυχές του συστήματός σας, θα εντοπιστούν.
Μόλις εντοπιστούν ευπάθειες, μπορούν να διορθωθούν. Μια αποτελεσματική διαδικασία προσομοίωσης επίθεσης δεν τελειώνει με την ανακάλυψη τρωτών σημείων. Μόλις εντοπιστούν με σαφήνεια τα ελαττώματα ασφαλείας, θα πρέπει να εργαστείτε για να τα διορθώσετε και να τα δοκιμάσετε ξανά. Στην πραγματικότητα, η πραγματική δουλειά ξεκινά συνήθως μετά από μια εισβολή κόκκινης ομάδας, όταν αναλύετε ιατροδικαστικά την επίθεση και προσπαθείτε να μετριώσετε τα τρωτά σημεία που εντοπίστηκαν.
Εκτός από αυτά τα δύο κύρια πλεονεκτήματα, το redtiming προσφέρει επίσης μια σειρά από άλλα. Έτσι, η «κόκκινη ομάδα» μπορεί:
- να εντοπίζουν κινδύνους και ευπάθειες σε επιθέσεις σε βασικά στοιχεία επιχειρηματικών πληροφοριών·
- προσομοίωση μεθόδων, τακτικών και διαδικασιών πραγματικών επιτιθέμενων σε περιβάλλον με περιορισμένο και ελεγχόμενο κίνδυνο·
- Αξιολογήστε την ικανότητα του οργανισμού σας να ανιχνεύει, να ανταποκρίνεται και να αποτρέπει περίπλοκες, στοχευμένες απειλές.
- Ενθαρρύνετε τη στενή συνεργασία με τα τμήματα ασφαλείας και τις μπλε ομάδες για την παροχή σημαντικού μετριασμού και τη διεξαγωγή ολοκληρωμένων πρακτικών εργαστηρίων μετά από ευπάθειες που ανακαλύφθηκαν.
Πώς λειτουργεί το Red Teaming;
Ένας πολύ καλός τρόπος για να κατανοήσετε πώς λειτουργεί το redtiming είναι να δείτε πώς λειτουργεί συνήθως. Η συνήθης διαδικασία προσομοίωσης πολύπλοκης επίθεσης αποτελείται από διάφορα στάδια:
- Η οργάνωση συμφωνεί με την «κόκκινη ομάδα» (εσωτερική ή εξωτερική) για τον σκοπό της επίθεσης. Για παράδειγμα, ένας τέτοιος στόχος θα μπορούσε να είναι η ανάκτηση ευαίσθητων πληροφοριών από έναν συγκεκριμένο διακομιστή.
- Στη συνέχεια η «κόκκινη ομάδα» πραγματοποιεί αναγνώριση του στόχου. Το αποτέλεσμα είναι ένα διάγραμμα συστημάτων-στόχων, συμπεριλαμβανομένων των υπηρεσιών δικτύου, των εφαρμογών Ιστού και των εσωτερικών πυλών εργαζομένων. .
- Μετά από αυτό, αναζητούνται τρωτά σημεία στο σύστημα προορισμού, τα οποία συνήθως υλοποιούνται χρησιμοποιώντας επιθέσεις phishing ή XSS. .
- Μόλις αποκτηθούν τα διακριτικά πρόσβασης, η κόκκινη ομάδα τα χρησιμοποιεί για να διερευνήσει περαιτέρω τρωτά σημεία. .
- Όταν ανακαλυφθούν άλλα τρωτά σημεία, η «κόκκινη ομάδα» θα επιδιώξει να αυξήσει το επίπεδο πρόσβασής της στο επίπεδο που είναι απαραίτητο για την επίτευξη του στόχου. .
- Με την απόκτηση πρόσβασης στα δεδομένα ή στο περιουσιακό στοιχείο στόχο, η εργασία επίθεσης θεωρείται ολοκληρωμένη.
Στην πραγματικότητα, ένας έμπειρος ειδικός της κόκκινης ομάδας θα χρησιμοποιήσει έναν τεράστιο αριθμό διαφορετικών μεθόδων για να περάσει καθένα από αυτά τα βήματα. Ωστόσο, το βασικό στοιχείο από το παραπάνω παράδειγμα είναι ότι μικρές ευπάθειες σε μεμονωμένα συστήματα μπορούν να μετατραπούν σε καταστροφικές αποτυχίες εάν συνδεθούν μεταξύ τους.
Τι πρέπει να προσέξεις όταν αναφερόμαστε στην «κόκκινη ομάδα»;
Για να αξιοποιήσετε στο έπακρο το redtiming, πρέπει να προετοιμαστείτε προσεκτικά. Τα συστήματα και οι διαδικασίες που χρησιμοποιούνται από κάθε οργανισμό είναι διαφορετικά και το επίπεδο ποιότητας του redtiming επιτυγχάνεται όταν στοχεύει στην εύρεση τρωτών σημείων στα συστήματά σας. Για το λόγο αυτό, είναι σημαντικό να ληφθούν υπόψη ορισμένοι παράγοντες:
Ξέρετε τι ψάχνετε
Πρώτα απ 'όλα, είναι σημαντικό να κατανοήσετε ποια συστήματα και διαδικασίες θέλετε να ελέγξετε. Ίσως γνωρίζετε ότι θέλετε να δοκιμάσετε μια εφαρμογή Ιστού, αλλά δεν καταλαβαίνετε πολύ καλά τι σημαίνει πραγματικά και ποια άλλα συστήματα είναι ενσωματωμένα με τις εφαρμογές Ιστού σας. Επομένως, είναι σημαντικό να έχετε καλή κατανόηση των δικών σας συστημάτων και να διορθώσετε τυχόν εμφανείς ευπάθειες πριν ξεκινήσετε μια περίπλοκη προσομοίωση μιας πραγματικής επίθεσης.
Γνωρίστε το δίκτυό σας
Αυτό σχετίζεται με την προηγούμενη σύσταση, αλλά αφορά περισσότερο τα τεχνικά χαρακτηριστικά του δικτύου σας. Όσο καλύτερα μπορείτε να ποσοτικοποιήσετε το περιβάλλον δοκιμών σας, τόσο πιο ακριβής και συγκεκριμένη θα είναι η κόκκινη ομάδα σας.
Γνωρίστε τον προϋπολογισμό σας
Το Redtiming μπορεί να πραγματοποιηθεί σε διαφορετικά επίπεδα, αλλά η προσομοίωση ολόκληρου του φάσματος επιθέσεων στο δίκτυό σας, συμπεριλαμβανομένης της κοινωνικής μηχανικής και της φυσικής εισβολής, μπορεί να είναι δαπανηρή. Για το λόγο αυτό, είναι σημαντικό να κατανοήσετε πόσα μπορείτε να ξοδέψετε σε μια τέτοια επιταγή και, κατά συνέπεια, να περιγράψετε το εύρος της.
Γνωρίστε το επίπεδο κινδύνου σας
Ορισμένοι οργανισμοί μπορεί να ανέχονται ένα αρκετά υψηλό επίπεδο κινδύνου ως μέρος των τυπικών επιχειρηματικών διαδικασιών τους. Άλλοι θα χρειαστεί να περιορίσουν το επίπεδο κινδύνου τους σε πολύ μεγαλύτερο βαθμό, ειδικά εάν η εταιρεία δραστηριοποιείται σε έναν κλάδο με υψηλή ρύθμιση. Επομένως, κατά τη διεξαγωγή του redtiming, είναι σημαντικό να εστιάσετε στους κινδύνους που αποτελούν πραγματικά κίνδυνο για την επιχείρησή σας.
Red Teaming: Εργαλεία και τακτικές
Εάν εφαρμοστεί σωστά, η «κόκκινη ομάδα» θα πραγματοποιήσει μια επίθεση πλήρους κλίμακας στα δίκτυά σας χρησιμοποιώντας όλα τα εργαλεία και τις μεθόδους που χρησιμοποιούν οι χάκερ. Μεταξύ άλλων, αυτό περιλαμβάνει:
- Δοκιμή διείσδυσης εφαρμογής - στοχεύει στον εντοπισμό αδυναμιών σε επίπεδο εφαρμογής, όπως πλαστογραφία αιτημάτων μεταξύ τοποθεσιών, ελαττώματα εισαγωγής δεδομένων, αδύναμη διαχείριση περιόδων σύνδεσης και πολλά άλλα.
- Δοκιμή διείσδυσης δικτύου - στοχεύει στον εντοπισμό αδυναμιών σε επίπεδο δικτύου και συστήματος, συμπεριλαμβανομένων εσφαλμένων διαμορφώσεων, ευπάθειας ασύρματου δικτύου, μη εξουσιοδοτημένων υπηρεσιών και πολλά άλλα.
- Δοκιμή φυσικής διείσδυσης — έλεγχος της αποτελεσματικότητας, καθώς και των δυνατών και αδυναμιών των ελέγχων φυσικής ασφάλειας στην πραγματική ζωή.
- κοινωνική μηχανική - στοχεύει στην εκμετάλλευση των αδυναμιών των ανθρώπων και της ανθρώπινης φύσης, δοκιμάζοντας την ευαισθησία των ανθρώπων στην εξαπάτηση, την πειθώ και τη χειραγώγηση μέσω ηλεκτρονικού ψαρέματος, τηλεφωνικών κλήσεων και μηνυμάτων κειμένου, καθώς και σωματικής επαφής επί τόπου.
Όλα τα παραπάνω είναι στοιχεία redtiming. Είναι μια πλήρης, πολυεπίπεδη προσομοίωση επίθεσης που έχει σχεδιαστεί για να προσδιορίζει πόσο καλά τα άτομα, τα δίκτυά σας, οι εφαρμογές και τα στοιχεία ελέγχου φυσικής ασφάλειας μπορούν να αντέξουν μια επίθεση από έναν πραγματικό εισβολέα.
Συνεχής ανάπτυξη μεθόδων Red Teaming
Η φύση της πολύπλοκης προσομοίωσης πραγματικών επιθέσεων, στην οποία οι κόκκινες ομάδες προσπαθούν να βρουν νέα τρωτά σημεία ασφαλείας και οι μπλε ομάδες προσπαθούν να τις διορθώσουν, οδηγεί στη συνεχή ανάπτυξη μεθόδων για τέτοιους ελέγχους. Για το λόγο αυτό, είναι δύσκολο να συντάξετε μια ενημερωμένη λίστα με τις σύγχρονες τεχνικές redtiming, καθώς γίνονται γρήγορα παρωχημένες.
Ως εκ τούτου, οι περισσότεροι redteamers θα αφιερώσουν τουλάχιστον μέρος του χρόνου τους μαθαίνοντας για νέα τρωτά σημεία και εκμεταλλευόμενοι τους, χρησιμοποιώντας τους πολλούς πόρους που παρέχονται από την κοινότητα της red team. Εδώ είναι οι πιο δημοφιλείς από αυτές τις κοινότητες:
- είναι μια συνδρομητική υπηρεσία που προσφέρει διαδικτυακά μαθήματα βίντεο που επικεντρώνονται κυρίως σε δοκιμές διείσδυσης, καθώς και μαθήματα για εγκληματολογία λειτουργικών συστημάτων, εργασίες κοινωνικής μηχανικής και γλώσσα συναρμολόγησης ασφάλειας πληροφοριών.
- είναι ένας "επιθετικός χειριστής κυβερνοασφάλειας" που δημοσιεύει τακτικά blog σχετικά με μεθόδους περίπλοκης προσομοίωσης πραγματικών επιθέσεων και αποτελεί καλή πηγή νέων προσεγγίσεων.
- Το Twitter είναι επίσης μια καλή πηγή αν ψάχνετε για ενημερωμένες πληροφορίες redtiming. Μπορείτε να το βρείτε με hashtags и .
- είναι ένας άλλος έμπειρος ειδικός στο redtiming που παράγει ένα ενημερωτικό δελτίο και , οδηγεί και γράφει πολλά για τις τρέχουσες τάσεις της κόκκινης ομάδας. Ανάμεσα στα πρόσφατα άρθρα του: и .
- είναι ένα ενημερωτικό δελτίο ασφάλειας ιστού που χορηγείται από την PortSwigger Web Security. Αυτή είναι μια καλή πηγή για να μάθετε για τις τελευταίες εξελίξεις και νέα στον τομέα του redtiming - hacks, διαρροές δεδομένων, εκμεταλλεύσεις, ευπάθειες εφαρμογών ιστού και νέες τεχνολογίες ασφάλειας.
- είναι ένας χάκερ λευκού καπέλου και ελεγκτής διείσδυσης που καλύπτει τακτικά τις νέες τακτικές της κόκκινης ομάδας στο δικό του .
- Το MWR labs είναι μια καλή, αν και εξαιρετικά τεχνική, πηγή για ειδήσεις redtiming. Δημοσιεύουν χρήσιμα για κόκκινες ομάδες και τα δικά τους περιέχει συμβουλές για την επίλυση προβλημάτων που αντιμετωπίζουν οι ελεγκτές ασφαλείας.
- - Δικηγόρος και «λευκός χάκερ». Η ροή του στο Twitter έχει τεχνικές χρήσιμες για «κόκκινες ομάδες», όπως η σύνταξη ενέσεων SQL και η σφυρηλάτηση κουπονιών OAuth.
- (ATT & CK) είναι μια επιμελημένη βάση γνώσεων για τη συμπεριφορά του επιτιθέμενου. Παρακολουθεί τις φάσεις του κύκλου ζωής των εισβολέων και τις πλατφόρμες που στοχεύουν.
- είναι ένας οδηγός για χάκερ, ο οποίος, αν και αρκετά παλιός, καλύπτει πολλές από τις θεμελιώδεις τεχνικές που βρίσκονται ακόμα στο επίκεντρο της περίπλοκης μίμησης πραγματικών επιθέσεων. Ο συγγραφέας Peter Kim έχει επίσης , στο οποίο προσφέρει συμβουλές hacking και άλλες πληροφορίες.
- Το SANS Institute είναι ένας άλλος σημαντικός πάροχος εκπαιδευτικού υλικού για την ασφάλεια στον κυβερνοχώρο. Δικα τους Εστιασμένο στην ψηφιακή εγκληματολογία και την απόκριση συμβάντων, περιέχει τα τελευταία νέα για τα μαθήματα SANS και συμβουλές από ειδικούς γιατρούς.
- Μερικές από τις πιο ενδιαφέρουσες ειδήσεις σχετικά με το redtiming δημοσιεύονται στο . Υπάρχουν άρθρα που επικεντρώνονται στην τεχνολογία, όπως η σύγκριση του Red Teaming με τη δοκιμή διείσδυσης, καθώς και αναλυτικά άρθρα όπως το The Red Team Specialist Manifesto.
- Τέλος, το Awesome Red Teaming είναι μια κοινότητα GitHub που προσφέρει πόρους αφιερωμένους στο Red Teaming. Καλύπτει σχεδόν κάθε τεχνική πτυχή των δραστηριοτήτων μιας κόκκινης ομάδας, από την απόκτηση αρχικής πρόσβασης, την εκτέλεση κακόβουλων δραστηριοτήτων έως τη συλλογή και εξαγωγή δεδομένων.
"Μπλε ομάδα" - τι είναι;
Με τόσες πολλές πολύχρωμες ομάδες, μπορεί να είναι δύσκολο να καταλάβετε ποιον τύπο χρειάζεται ο οργανισμός σας.
Μια εναλλακτική στην κόκκινη ομάδα, και πιο συγκεκριμένα ένας άλλος τύπος ομάδας που μπορεί να χρησιμοποιηθεί σε συνδυασμό με την κόκκινη ομάδα, είναι η μπλε ομάδα. Η Blue Team αξιολογεί επίσης την ασφάλεια του δικτύου και εντοπίζει τυχόν ευπάθειες υποδομής. Ωστόσο, έχει διαφορετικό στόχο. Ομάδες αυτού του τύπου χρειάζονται για να βρουν τρόπους προστασίας, αλλαγής και ανασυγκρότησης αμυντικών μηχανισμών για να κάνουν την απόκριση σε περιστατικά πολύ πιο αποτελεσματική.
Όπως η κόκκινη ομάδα, η μπλε ομάδα πρέπει να έχει την ίδια γνώση των τακτικών, των τεχνικών και των διαδικασιών του επιτιθέμενου προκειμένου να δημιουργήσει στρατηγικές απόκρισης με βάση αυτές. Ωστόσο, τα καθήκοντα των μπλε δεν περιορίζονται μόνο στην άμυνα απέναντι στις επιθέσεις. Συμμετέχει επίσης στην ενίσχυση ολόκληρης της υποδομής ασφαλείας, χρησιμοποιώντας, για παράδειγμα, ένα σύστημα ανίχνευσης εισβολής (IDS) που παρέχει συνεχή ανάλυση ασυνήθιστης και ύποπτης δραστηριότητας.
Δείτε μερικά από τα βήματα που κάνει η «μπλε ομάδα»:
- έλεγχος ασφάλειας, ιδίως έλεγχος DNS·
- ανάλυση καταγραφής και μνήμης.
- ανάλυση πακέτων δεδομένων δικτύου·
- ανάλυση δεδομένων κινδύνου·
- Ψηφιακή ανάλυση αποτυπώματος.
- αντίστροφη μηχανική;
- Δοκιμές DDoS.
- ανάπτυξη σεναρίων υλοποίησης κινδύνου.
Διαφορές μεταξύ κόκκινων και μπλε ομάδων
Μια κοινή ερώτηση για πολλούς οργανισμούς είναι ποια ομάδα πρέπει να χρησιμοποιήσουν, κόκκινο ή μπλε. Αυτό το θέμα συνοδεύεται επίσης συχνά από φιλική έχθρα μεταξύ ανθρώπων που εργάζονται «στις αντίθετες πλευρές των οδοφραγμάτων». Στην πραγματικότητα, καμία εντολή δεν έχει νόημα χωρίς την άλλη. Η σωστή απάντηση λοιπόν σε αυτή την ερώτηση είναι ότι και οι δύο ομάδες είναι σημαντικές.
Η Red Team επιτίθεται και χρησιμοποιείται για να δοκιμάσει την ετοιμότητα της Blue Team για άμυνα. Μερικές φορές η κόκκινη ομάδα μπορεί να βρει τρωτά σημεία που η μπλε ομάδα έχει αγνοήσει εντελώς, οπότε η κόκκινη ομάδα πρέπει να δείξει πώς μπορούν να διορθωθούν αυτές οι ευπάθειες.
Είναι ζωτικής σημασίας για τις δύο ομάδες να συνεργαστούν κατά των εγκληματιών του κυβερνοχώρου για την ενίσχυση της ασφάλειας των πληροφοριών.
Για το λόγο αυτό, δεν έχει νόημα να επιλέγουμε μόνο μία πλευρά ή να επενδύουμε μόνο σε έναν τύπο ομάδας. Είναι σημαντικό να θυμόμαστε ότι στόχος και των δύο μερών είναι η πρόληψη του εγκλήματος στον κυβερνοχώρο.
Με άλλα λόγια, οι εταιρείες πρέπει να καθιερώσουν αμοιβαία συνεργασία και των δύο ομάδων για να παρέχουν έναν ολοκληρωμένο έλεγχο - με αρχεία καταγραφής όλων των επιθέσεων και ελέγχων που έχουν πραγματοποιηθεί, αρχεία των ανιχνευμένων χαρακτηριστικών.
Η «κόκκινη ομάδα» παρέχει πληροφορίες για τις λειτουργίες που πραγματοποίησε κατά τη διάρκεια της προσομοίωσης επίθεσης, ενώ η μπλε ομάδα παρέχει πληροφορίες για τις ενέργειες που έκαναν για να καλύψουν τα κενά και να διορθώσουν τα τρωτά σημεία που βρέθηκαν.
Η σημασία και των δύο ομάδων δεν μπορεί να υποτιμηθεί. Χωρίς τους συνεχείς ελέγχους ασφαλείας, τις δοκιμές διείσδυσης και τις βελτιώσεις υποδομής, οι εταιρείες δεν θα γνώριζαν την κατάσταση της δικής τους ασφάλειας. Τουλάχιστον μέχρι να διαρρεύσουν τα δεδομένα και να γίνει οδυνηρά σαφές ότι τα μέτρα ασφαλείας δεν ήταν αρκετά.
Τι είναι μια μωβ ομάδα;
Η «Μωβ Ομάδα» γεννήθηκε μέσα από τις προσπάθειες να ενώσει τις Κόκκινες και Μπλε Ομάδες. Η Purple Team είναι περισσότερο μια ιδέα παρά ένας ξεχωριστός τύπος ομάδας. Θεωρείται καλύτερα ως ένας συνδυασμός κόκκινων και μπλε ομάδων. Εμπλέκει και τις δύο ομάδες, βοηθώντας τις να συνεργαστούν.
Η Purple Team μπορεί να βοηθήσει τις ομάδες ασφαλείας να βελτιώσουν τον εντοπισμό τρωτών σημείων, την ανακάλυψη απειλών και την παρακολούθηση δικτύου διαμορφώνοντας με ακρίβεια κοινά σενάρια απειλών και βοηθώντας στη δημιουργία νέων μεθόδων ανίχνευσης και πρόληψης απειλών.
Ορισμένοι οργανισμοί χρησιμοποιούν μια Πορφυρή Ομάδα για μια φορά εστιασμένες δραστηριότητες που ορίζουν με σαφήνεια τους στόχους ασφαλείας, τα χρονοδιαγράμματα και τα βασικά αποτελέσματα. Αυτό περιλαμβάνει την αναγνώριση των αδυναμιών στην επίθεση και την άμυνα, καθώς και τον εντοπισμό μελλοντικών απαιτήσεων εκπαίδευσης και τεχνολογίας.
Μια εναλλακτική προσέγγιση που τώρα κερδίζει δυναμική είναι να δούμε την ομάδα Purple ως ένα οραματικό μοντέλο που λειτουργεί σε ολόκληρο τον οργανισμό για να βοηθήσει στη δημιουργία και τη συνεχή βελτίωση μιας κουλτούρας ασφάλειας στον κυβερνοχώρο.
Συμπέρασμα
Το Red Teaming, ή πολύπλοκη προσομοίωση επίθεσης, είναι μια ισχυρή τεχνική για τον έλεγχο των τρωτών σημείων ασφαλείας ενός οργανισμού, αλλά θα πρέπει να χρησιμοποιείται με προσοχή. Συγκεκριμένα, για να το χρησιμοποιήσετε, πρέπει να έχετε αρκετά Διαφορετικά, μπορεί να μην δικαιώσει τις ελπίδες που του έχουν τεθεί.
Το Redtiming μπορεί να αποκαλύψει τρωτά σημεία στο σύστημά σας που δεν γνωρίζατε καν ότι υπήρχαν και να σας βοηθήσει να τα διορθώσετε. Ακολουθώντας μια αντίπαλη προσέγγιση μεταξύ μπλε και κόκκινων ομάδων, μπορείτε να προσομοιώσετε τι θα έκανε ένας πραγματικός χάκερ εάν ήθελε να κλέψει τα δεδομένα σας ή να βλάψει τα περιουσιακά σας στοιχεία.
Πηγή: www.habr.com