Lähde: Acunetix
Red Teaming on monimutkainen simulaatio todellisista hyökkäyksistä järjestelmien kyberturvallisuuden arvioimiseksi. "Red Team" on ryhmä (asiantuntijat suorittavat tunkeutumistestin järjestelmään). Heidät voidaan palkata joko organisaatiosi ulkopuolelta tai työntekijöiltä, mutta kaikissa tapauksissa heidän roolinsa on sama - jäljitellä tunkeilijoiden toimintaa ja yrittää tunkeutua järjestelmääsi.
Kyberturvallisuuden "punaisten joukkueiden" ohella on joukko muita. Esimerkiksi Blue Team toimii yhdessä Red Teamin kanssa, mutta sen toiminta tähtää järjestelmän infrastruktuurin turvallisuuden parantamiseen sisältä käsin. Purple Team on linkki, joka auttaa kahta muuta joukkuetta kehittämään hyökkäysstrategioita ja puolustusta. Redtiming on kuitenkin yksi vähiten ymmärrettyjä menetelmiä kyberturvallisuuden hallintaan, ja monet organisaatiot ovat edelleen haluttomia omaksumaan tämän käytännön.
Tässä artikkelissa selitämme yksityiskohtaisesti, mikä on Red Teaming -konseptin takana ja kuinka monimutkaisten todellisten hyökkäysten simulointikäytäntöjen toteuttaminen voi auttaa parantamaan organisaatiosi turvallisuutta. Tämän artikkelin tarkoituksena on näyttää, kuinka tämä menetelmä voi merkittävästi parantaa tietojärjestelmienne turvallisuutta.
Red Teamingin yleiskatsaus
Vaikka meidän aikanamme "punainen" ja "sininen" joukkueet yhdistetään ensisijaisesti tietotekniikan ja kyberturvallisuuden alaan, nämä käsitteet loivat armeija. Yleensä armeijassa kuulin ensimmäistä kertaa näistä käsitteistä. Työskentely kyberturvallisuusanalyytikona 1980-luvulla oli hyvin erilaista kuin nykyään: pääsy salattuihin tietokonejärjestelmiin oli paljon rajoitetumpaa kuin nykyään.
Muuten ensimmäinen kokemukseni sotapeleistä – simuloinnista, simuloinnista ja vuorovaikutuksesta – oli hyvin samanlainen kuin nykypäivän monimutkainen hyökkäyssimulaatioprosessi, joka on löytänyt tiensä kyberturvallisuuteen. Kuten nytkin, suurta huomiota kiinnitettiin sosiaalisen suunnittelun menetelmien käyttöön työntekijöiden vakuuttamiseksi antamaan "viholliselle" väärä pääsy sotilasjärjestelmiin. Tästä syystä, vaikka hyökkäyssimuloinnin tekniset menetelmät ovat kehittyneet merkittävästi 80-luvulta lähtien, on syytä huomata, että monet kilpailevan lähestymistavan tärkeimmistä työkaluista ja erityisesti sosiaalisen suunnittelun tekniikat ovat suurelta osin alustariippumattomia.
Myöskään todellisten hyökkäysten monimutkaisen jäljitelmän ydinarvo ei ole muuttunut 80-luvun jälkeen. Simuloimalla hyökkäystä järjestelmiin, sinun on helpompi löytää haavoittuvuuksia ja ymmärtää, kuinka niitä voidaan hyödyntää. Ja vaikka aiemmin redteamingia käyttivät pääasiassa valkohattuhakkerit ja kyberturvallisuuden ammattilaiset, jotka etsivät haavoittuvuuksia tunkeutumistestauksen avulla, sitä on nyt käytetty laajemmin kyberturvallisuudessa ja liiketoiminnassa.
Redtimingin avain on ymmärtää, että et voi todella saada käsitystä järjestelmien turvallisuudesta ennen kuin niitä vastaan hyökätään. Ja sen sijaan, että joutuisit todellisten hyökkääjien hyökkäyksen kohteeksi, on paljon turvallisempaa simuloida tällainen hyökkäys punaisella komennolla.
Red Teaming: käyttötapaukset
Helppo tapa ymmärtää redtimingin perusteet on tarkastella muutamia esimerkkejä. Tässä on niistä kaksi:
- Skenaario 1. Kuvittele, että asiakaspalvelusivusto on testattu ja onnistuneesti testattu. Näyttää siltä, että tämä viittaa siihen, että kaikki on kunnossa. Myöhemmin monimutkaisessa valehyökkäyksessä punainen tiimi kuitenkin huomaa, että vaikka asiakaspalvelusovellus itsessään on kunnossa, kolmannen osapuolen chat-ominaisuus ei pysty tunnistamaan ihmisiä tarkasti, ja tämä mahdollistaa asiakaspalvelun edustajien huijaamisen vaihtamaan sähköpostiosoitteensa. .-tilillä (jonka seurauksena uusi henkilö, hyökkääjä, voi päästä käsiksi).
- Skenaario 2. Pentestauksen tuloksena kaikki VPN- ja etäkäytön ohjaimet havaittiin turvallisiksi. Sitten "punaisen tiimin" edustaja kuitenkin kulkee vapaasti rekisteröintipöydän ohi ja ottaa yhden työntekijän kannettavan tietokoneen.
Molemmissa yllä mainituissa tapauksissa "punainen tiimi" tarkastaa paitsi kunkin yksittäisen järjestelmän luotettavuuden myös koko järjestelmän heikkouksien varalta.
Kuka tarvitsee monimutkaisen hyökkäyssimuloinnin?
Lyhyesti sanottuna melkein mikä tahansa yritys voi hyötyä redtimingista. Kuten on esitetty , pelottavan suuri määrä organisaatioita on väärässä uskossa, että heillä on täydellinen hallinta tietoihinsa. Havaitsimme esimerkiksi, että keskimäärin 22 % yrityksen kansioista on jokaisen työntekijän käytettävissä ja että 87 %:lla yrityksistä järjestelmissä on yli 1000 XNUMX vanhentunutta arkaluonteista tiedostoa.
Jos yrityksesi ei ole teknologia-alalla, ei ehkä vaikuta siltä, että redtiming tekee sinulle paljon hyvää. Mutta se ei ole. Kyberturvallisuus ei ole vain luottamuksellisten tietojen suojaamista.
Pahantekijät yrittävät yhtä lailla saada käsiinsä teknologioita yrityksen toiminta-alasta riippumatta. He voivat esimerkiksi yrittää päästä verkkoosi piilottaakseen toimintansa ottaakseen haltuunsa toisen järjestelmän tai verkon muualla maailmassa. Tämän tyyppisessä hyökkäyksessä hyökkääjät eivät tarvitse tietojasi. He haluavat saastuttaa tietokoneesi haittaohjelmilla muuttaakseen järjestelmäsi botnet-ryhmäksi heidän avullaan.
Pienemmille yrityksille voi olla vaikea löytää resursseja lunastettaviksi. Tässä tapauksessa on järkevää uskoa tämä prosessi ulkopuoliselle urakoitsijalle.
Red Teaming: Suositukset
Redtimingin optimaalinen aika ja taajuus riippuu toimialasta ja kyberturvatyökalujesi kypsyydestä.
Erityisesti sinulla pitäisi olla automatisoituja toimintoja, kuten omaisuuden etsintä ja haavoittuvuusanalyysi. Organisaatiosi tulisi myös yhdistää automatisoitu tekniikka ihmisen valvontaan suorittamalla säännöllisesti täydellisiä läpäisytestejä.
Kun olet suorittanut useiden tunkeutumistestien liiketoimintasyklit ja löytänyt haavoittuvuuksia, voit siirtyä todellisen hyökkäyksen monimutkaiseen simulaatioon. Tässä vaiheessa redtiming tuo sinulle konkreettisia etuja. Kuitenkin, jos yrität tehdä sen ennen kuin sinulla on kyberturvallisuuden perusteet kunnossa, ei saavuteta konkreettisia tuloksia.
Valkohattu-tiimi pystyy todennäköisesti vaarantamaan valmistautumattoman järjestelmän niin nopeasti ja helposti, että saat liian vähän tietoa jatkotoimiin. Todellisen vaikutuksen saavuttamiseksi "punaisen tiimin" saamia tietoja on verrattava aikaisempiin läpäisytesteihin ja haavoittuvuusarviointiin.
Mitä penetraatiotestaus on?
Todellisen hyökkäyksen monimutkainen jäljitelmä (Red Teaming) sekoitetaan usein , mutta nämä kaksi menetelmää ovat hieman erilaisia. Tarkemmin sanottuna läpäisytestaus on vain yksi rediming-menetelmistä.
Pentesterin rooli . Pentestereiden työ on jaettu neljään päävaiheeseen: suunnittelu, tiedonhaku, hyökkäys ja raportointi. Kuten näet, pentesters tekevät muutakin kuin vain etsivät ohjelmiston haavoittuvuuksia. He yrittävät asettua hakkereiden kenkiin, ja kun he pääsevät järjestelmääsi, heidän todellinen työnsä alkaa.
He löytävät haavoittuvuuksia ja suorittavat sitten uusia hyökkäyksiä saatujen tietojen perusteella liikkuen kansiohierarkiassa. Tämä erottaa tunkeutuvuustestaajat niistä, jotka palkataan vain haavoittuvuuksien etsimiseen käyttämällä porttitarkistusohjelmistoa tai virusten havaitsemista. Kokenut pentesteri voi määrittää:
- missä hakkerit voivat ohjata hyökkäyksensä;
- tapa, jolla hakkerit hyökkäävät;
- Miten puolustuksesi käyttäytyy?
- loukkauksen mahdollinen laajuus.
Läpäisytestauksen tarkoituksena on tunnistaa sovellus- ja verkkotason heikkouksia sekä mahdollisuuksia fyysisten turvaesteiden ylittämiseen. Vaikka automaattinen testaus voi paljastaa joitakin kyberturvallisuusongelmia, manuaalinen läpäisytestaus ottaa huomioon myös yrityksen haavoittuvuuden hyökkäyksille.
Red Teaming vs. läpäisytestaus
Epäilemättä läpäisytestaus on tärkeä, mutta se on vain osa kokonaista redtiming-toimintojen sarjaa. "Punaisen tiimin" toiminnalla on paljon laajemmat tavoitteet kuin pentestaajilla, jotka usein vain pyrkivät pääsemään verkkoon. Redteaming vaatii usein enemmän ihmisiä, resursseja ja aikaa, kun punainen tiimi kaivautuu syvälle ymmärtääkseen täysin teknologian ja organisaation inhimillisen ja fyysisen omaisuuden todellisen riskin ja haavoittuvuuden.
Lisäksi on muita eroja. Redtimingiä käyttävät tyypillisesti organisaatiot, joiden kyberturvallisuustoimenpiteet ovat kypsemmät ja edistyneemmät (vaikka näin ei aina ole käytännössä).
Nämä ovat yleensä yrityksiä, jotka ovat jo tehneet läpäisytestauksen ja korjanneet suurimman osan löydetyistä haavoittuvuuksista ja etsivät nyt henkilöä, joka voi yrittää uudelleen päästä käsiksi arkaluontoisiin tietoihin tai rikkoa suojauksen millä tahansa tavalla.
Tästä syystä redtiming luottaa tiettyyn päämäärään keskittyneeseen tietoturvaasiantuntijoiden tiimiin. Ne kohdistuvat sisäisiin haavoittuvuuksiin ja käyttävät sekä elektronisia että fyysisiä sosiaalisen manipuloinnin tekniikoita organisaation työntekijöihin. Toisin kuin pentesters, punaiset tiimit ottavat aikaansa hyökkäysten aikana, koska he haluavat välttää havaitsemisen, kuten todellinen kyberrikollinen tekisi.
Red Teamingin edut
Todellisten hyökkäysten monimutkaisella simuloinnilla on monia etuja, mutta mikä tärkeintä, tämän lähestymistavan avulla voit saada kattavan kuvan organisaation kyberturvallisuuden tasosta. Tyypillinen päästä päähän -simuloitu hyökkäysprosessi sisältää penetraatiotestauksen (verkko, sovellus, matkapuhelin ja muu laite), sosiaalisen manipuloinnin (suorana paikan päällä, puhelut, sähköpostit tai tekstiviestit ja chat) ja fyysisen tunkeutumisen (lukkojen rikkominen, turvakameroiden kuolleiden alueiden havaitseminen, varoitusjärjestelmien ohittaminen). Jos järjestelmässäsi on haavoittuvuuksia, ne löydetään.
Kun haavoittuvuudet on löydetty, ne voidaan korjata. Tehokas hyökkäyksen simulointimenettely ei pääty haavoittuvuuksien löytämiseen. Kun tietoturvavirheet on tunnistettu selvästi, sinun kannattaa yrittää korjata ne ja testata ne uudelleen. Itse asiassa varsinainen työ alkaa yleensä punaisen joukkueen tunkeutumisen jälkeen, kun rikostekninen analysoidaan hyökkäystä ja yrität lieventää löydettyjä haavoittuvuuksia.
Näiden kahden pääedun lisäksi redtiming tarjoaa myös monia muita etuja. Joten "punainen joukkue" voi:
- tunnistaa riskit ja haavoittuvuudet hyökkäyksille keskeisissä liiketoimintatietoresursseissa;
- simuloida todellisten hyökkääjien menetelmiä, taktiikoita ja menettelytapoja ympäristössä, jossa on rajoitettu ja hallittu riski;
- Arvioi organisaatiosi kykyä havaita, reagoida ja estää monimutkaisia kohdistettuja uhkia;
- Kannustaa tiiviiseen yhteistyöhön tietoturvaosastojen ja sinisten tiimien kanssa tarjotaksesi merkittäviä lievennyksiä ja järjestää kattavia käytännön työpajoja havaittujen haavoittuvuuksien jälkeen.
Miten Red Teaming toimii?
Loistava tapa ymmärtää, miten redtiming toimii, on tarkastella, miten se yleensä toimii. Tavallinen monimutkaisen hyökkäyksen simulointiprosessi koostuu useista vaiheista:
- Organisaatio sopii "punaisen joukkueen" (sisäisen tai ulkoisen) kanssa hyökkäyksen tarkoituksesta. Tällainen tavoite voisi olla esimerkiksi arkaluonteisten tietojen hakeminen tietystä palvelimesta.
- Sitten "punainen joukkue" suorittaa kohteen tiedustelua. Tuloksena on kaavio kohdejärjestelmistä, mukaan lukien verkkopalvelut, verkkosovellukset ja sisäiset työntekijäportaalit. .
- Tämän jälkeen kohdejärjestelmästä etsitään haavoittuvuuksia, jotka yleensä toteutetaan tietojenkalastelu- tai XSS-hyökkäyksillä. .
- Kun pääsytunnukset on saatu, punainen tiimi käyttää niitä lisähaavoittuvuuksien tutkimiseen. .
- Kun muita haavoittuvuuksia löydetään, "punainen tiimi" pyrkii lisäämään pääsynsä tasolle, joka on tarpeen tavoitteen saavuttamiseksi. .
- Hyökkäystehtävä katsotaan suoritetuksi, kun kohdetietoihin tai -resursseihin pääsee käsiksi.
Itse asiassa kokenut punaisen tiimin asiantuntija käyttää valtavaa määrää erilaisia menetelmiä päästäkseen läpi näistä vaiheista. Ylläolevan esimerkin tärkein poiminta on kuitenkin se, että yksittäisten järjestelmien pienet haavoittuvuudet voivat muuttua katastrofaalisiksi epäonnistumisiksi, jos ne ketjutetaan yhteen.
Mitä tulee ottaa huomioon, kun viitataan "punaiseen joukkueeseen"?
Jotta saat kaiken irti redtimingista, sinun on valmistauduttava huolellisesti. Kunkin organisaation käyttämät järjestelmät ja prosessit ovat erilaisia, ja redtimingin laatutaso saavutetaan, kun sillä pyritään löytämään haavoittuvuuksia järjestelmistäsi. Tästä syystä on tärkeää ottaa huomioon useita tekijöitä:
Tiedä mitä etsit
Ensinnäkin on tärkeää ymmärtää, mitkä järjestelmät ja prosessit haluat tarkistaa. Ehkä tiedät, että haluat testata verkkosovellusta, mutta et ymmärrä kovin hyvin, mitä se todella tarkoittaa ja mitä muita järjestelmiä on integroitu verkkosovelluksiin. Siksi on tärkeää, että ymmärrät hyvin omat järjestelmäsi ja korjaat kaikki ilmeiset haavoittuvuudet ennen kuin aloitat todellisen hyökkäyksen monimutkaisen simuloinnin.
Tunne verkostosi
Tämä liittyy edelliseen suositukseen, mutta koskee enemmän verkkosi teknisiä ominaisuuksia. Mitä paremmin voit kvantifioida testausympäristösi, sitä tarkempi ja tarkempi punainen tiimisi on.
Tunne budjettisi
Redtiming voidaan suorittaa eri tasoilla, mutta kaikenlaisten verkkoon kohdistuvien hyökkäysten simulointi, mukaan lukien sosiaalinen suunnittelu ja fyysinen tunkeutuminen, voi olla kallista. Tästä syystä on tärkeää ymmärtää, kuinka paljon voit kuluttaa tällaiseen sekkiin, ja vastaavasti hahmotella sen laajuus.
Tiedä riskitasosi
Jotkut organisaatiot voivat sietää melko korkeaa riskitasoa osana tavanomaisia liiketoimintamenetelmiään. Toisten on rajoitettava riskitasoaan paljon enemmän, varsinkin jos yritys toimii erittäin säännellyllä toimialalla. Siksi redimingiä suoritettaessa on tärkeää keskittyä riskeihin, jotka todella muodostavat vaaran yrityksellesi.
Red Teaming: Työkalut ja taktiikka
Jos se toteutetaan oikein, "punainen tiimi" suorittaa täysimittaisen hyökkäyksen verkkoihisi käyttämällä kaikkia hakkereiden käyttämiä työkaluja ja menetelmiä. Tämä sisältää muun muassa:
- Sovelluksen tunkeutumistestaus - pyrkii tunnistamaan heikkouksia sovellustasolla, kuten sivustojen välinen pyyntöväärennös, tiedonsyöttövirheet, heikko istunnonhallinta ja monet muut.
- Verkkoläpäisytestaus - pyrkii tunnistamaan heikkouksia verkko- ja järjestelmätasolla, mukaan lukien virheelliset määritykset, langattoman verkon haavoittuvuudet, luvattomat palvelut ja paljon muuta.
- Fyysinen läpäisytestaus — fyysisen turvavalvonnan tehokkuuden sekä vahvuuksien ja heikkouksien tarkistaminen tosielämässä.
- sosiaalinen suunnittelu - pyrkii hyödyntämään ihmisten ja ihmisluonnon heikkouksia testaamalla ihmisten alttiutta petokselle, suostuttelulle ja manipuloinnille phishing-sähköpostien, puheluiden ja tekstiviestien sekä fyysisen kontaktin kautta paikan päällä.
Kaikki edellä mainitut ovat rediming-komponentteja. Se on täysimittainen, kerroksittainen hyökkäyssimulaatio, joka on suunniteltu määrittämään, kuinka hyvin ihmiset, verkkosi, sovelluksesi ja fyysiset suojaustoiminnot kestävät todellisen hyökkääjän hyökkäyksen.
Red Teaming -menetelmien jatkuva kehittäminen
Todellisten hyökkäysten monimutkaisen simuloinnin luonne, jossa punaiset tiimit yrittävät löytää uusia tietoturva-aukkoja ja siniset tiimit yrittävät korjata niitä, johtaa tällaisten tarkastusten menetelmien jatkuvaan kehittämiseen. Tästä syystä on vaikeaa koota ajantasaista luetteloa nykyaikaisista rediming-tekniikoista, koska ne vanhenevat nopeasti.
Siksi useimmat redtiamerit viettävät ainakin osan ajastaan uusien haavoittuvuuksien oppimiseen ja niiden hyödyntämiseen käyttämällä punaisen tiimin yhteisön tarjoamia monia resursseja. Tässä ovat suosituimmat näistä yhteisöistä:
- on tilauspalvelu, joka tarjoaa verkkovideokursseja, jotka keskittyvät ensisijaisesti penetraatiotestaukseen, sekä kursseja käyttöjärjestelmän rikosteknisestä, sosiaalisen suunnittelun tehtävistä ja tietoturvan asennuskielestä.
- on "hyökkäävä kyberturvallisuusoperaattori", joka kirjoittaa säännöllisesti blogeja menetelmistä todellisten hyökkäysten monimutkaiseen simulointiin ja on hyvä uusien lähestymistapojen lähde.
- Twitter on myös hyvä lähde, jos etsit ajantasaista rediming-tietoa. Löydät sen hashtageilla и .
- on toinen kokenut redtiming-asiantuntija, joka tuottaa uutiskirjeitä ja , johtaa ja kirjoittaa paljon tämänhetkisistä punaisen joukkueen trendeistä. Hänen viimeaikaisista artikkeleistaan: и .
- on PortSwigger Web Securityn sponsoroima verkkoturvallisuusuutiskirje. Tämä on hyvä resurssi oppia uusimmasta kehityksestä ja uutisista redtimingin alalla - hakkeroista, tietovuodoista, hyväksikäytöistä, verkkosovellusten haavoittuvuuksista ja uusista tietoturvatekniikoista.
- on valkoinen hattu hakkeri ja penetraatiotestaaja, joka kattaa säännöllisesti uusia punaisen joukkueen taktiikoita .
- MWR labs on hyvä, vaikkakin erittäin tekninen lähde redtiming-uutisille. Ne ovat hyödyllisiä punaisille joukkueille ja heidän sisältää vinkkejä tietoturvatestaajien kohtaamien ongelmien ratkaisemiseen.
- - Lakimies ja "valkoinen hakkeri". Hänen Twitter-syötteensä sisältää "punaisille ryhmille" hyödyllisiä tekniikoita, kuten SQL-injektioiden kirjoittamista ja OAuth-tunnusten väärentämistä.
- (ATT & CK) on kuratoitu tietopohja hyökkääjien käyttäytymisestä. Se seuraa hyökkääjien elinkaaren vaiheita ja niiden kohteena olevia alustoja.
- on hakkereille tarkoitettu opas, joka, vaikka se onkin melko vanha, kattaa monet perustekniikat, jotka ovat edelleen todellisten hyökkäysten monimutkaisen jäljitelmän ytimessä. Myös kirjailija Peter Kimillä on , jossa hän tarjoaa hakkerointivinkkejä ja muuta tietoa.
- SANS Institute on toinen merkittävä kyberturvallisuuskoulutusmateriaalien toimittaja. Heidän Se keskittyy digitaaliseen rikostekniseen tutkimukseen ja onnettomuuksien reagoimiseen, ja se sisältää viimeisimmät uutiset SANS-kursseista ja neuvoja asiantuntijoilta.
- Jotkut mielenkiintoisimmista redtiming-uutisista julkaistaan vuonna . On teknologiaan keskittyviä artikkeleita, kuten Red Teamingin vertaaminen penetraatiotestaukseen, sekä analyyttisiä artikkeleita, kuten The Red Team Specialist Manifesto.
- Lopuksi, Awesome Red Teaming on GitHub-yhteisö, joka tarjoaa Red Teamingille omistettuja resursseja. Se kattaa käytännöllisesti katsoen kaikki punaisen tiimin toiminnan tekniset osa-alueet alkupääsyn saamisesta, haitallisten toimien suorittamisesta tietojen keräämiseen ja poimimiseen.
"Sininen joukkue" - mikä se on?
Kun on niin monia monivärisiä tiimejä, voi olla vaikeaa selvittää, minkä tyyppistä organisaatiosi tarvitsee.
Yksi vaihtoehto punaiselle joukkueelle ja tarkemmin sanottuna toisentyyppinen joukkue, jota voidaan käyttää yhdessä punaisen joukkueen kanssa, on sininen joukkue. Blue Team arvioi myös verkon turvallisuutta ja tunnistaa mahdolliset infrastruktuurin haavoittuvuudet. Hänellä on kuitenkin eri tavoite. Tämän tyyppisiä ryhmiä tarvitaan etsimään tapoja suojata, muuttaa ja ryhmitellä uudelleen puolustusmekanismeja, jotta tapauksiin reagoiminen olisi paljon tehokkaampaa.
Kuten punaisella joukkueella, sinisellä joukkueella on oltava samat tiedot hyökkääjätaktiikoista, tekniikoista ja menettelyistä voidakseen luoda niihin perustuvia vastausstrategioita. Sinisen joukkueen tehtävät eivät kuitenkaan rajoitu vain hyökkäyksiä vastaan puolustamiseen. Se on mukana myös koko turvainfrastruktuurin vahvistamisessa käyttämällä esimerkiksi tunkeutumisen havainnointijärjestelmää (IDS), joka analysoi jatkuvasti epätavallista ja epäilyttävää toimintaa.
Tässä on joitain "sinisen joukkueen" vaiheita:
- turvallisuustarkastus, erityisesti DNS-tarkastus;
- loki- ja muistianalyysi;
- verkkodatapakettien analysointi;
- riskitietojen analysointi;
- digitaalinen jalanjälkianalyysi;
- käänteinen suunnittelu;
- DDoS-testaus;
- riskien toteutusskenaarioiden kehittäminen.
Erot punaisten ja sinisten joukkueiden välillä
Monille organisaatioille yleinen kysymys on, mitä tiimiä heidän tulisi käyttää, punaista vai sinistä. Tähän ongelmaan liittyy usein myös ystävällinen vihamielisyys ihmisten välillä, jotka työskentelevät "barrikadien vastakkaisilla puolilla". Todellisuudessa kummallakaan käskyllä ei ole järkeä ilman toista. Joten oikea vastaus tähän kysymykseen on, että molemmat joukkueet ovat tärkeitä.
Punainen joukkue hyökkää ja sitä käytetään testaamaan sinisen joukkueen puolustusvalmiutta. Joskus punainen joukkue voi löytää haavoittuvuuksia, jotka sininen joukkue on jättänyt kokonaan huomioimatta, jolloin punaisen joukkueen on näytettävä, kuinka nämä haavoittuvuudet voidaan korjata.
Molempien ryhmien on tärkeää työskennellä yhdessä kyberrikollisia vastaan tietoturvan vahvistamiseksi.
Tästä syystä ei ole järkevää valita vain yhtä puolta tai sijoittaa vain yhdentyyppiseen joukkueeseen. On tärkeää muistaa, että molempien osapuolten tavoitteena on estää kyberrikollisuutta.
Toisin sanoen yritysten on luotava molempien ryhmien keskinäinen yhteistyö tarjotakseen kattavan auditoinnin - kaikki hyökkäykset ja suoritetut tarkastukset sekä tallenteet havaituista ominaisuuksista.
"Punainen tiimi" antaa tietoja toiminnoista, joita he suorittivat simuloidun hyökkäyksen aikana, kun taas sininen tiimi antaa tietoja toimista, joita he tekivät täyttääkseen aukot ja korjatakseen löydetyt haavoittuvuudet.
Molempien joukkueiden merkitystä ei voi aliarvioida. Ilman jatkuvia tietoturvatarkastuksia, tunkeutumistestauksia ja infrastruktuurin parannuksia yritykset eivät olisi tietoisia oman turvallisuutensa tilasta. Ainakin siihen asti, kunnes tieto vuotaa ja käy tuskallisen selväksi, etteivät turvatoimet riittäneet.
Mikä on violetti joukkue?
"Purple Team" syntyi yrityksistä yhdistää punainen ja sininen joukkue. Purple Team on enemmän käsite kuin erillinen tiimi. Sitä pidetään parhaiten punaisen ja sinisen joukkueen yhdistelmänä. Hän ottaa molemmat tiimit mukaan ja auttaa heitä työskentelemään yhdessä.
Purple Team voi auttaa tietoturvatiimejä parantamaan haavoittuvuuksien havaitsemista, uhkien havaitsemista ja verkon valvontaa mallintamalla tarkasti yleisiä uhkaskenaarioita ja auttamalla luomaan uusia uhkien havaitsemis- ja ehkäisymenetelmiä.
Jotkut organisaatiot palkkaavat Purple Teamin kertaluonteisiin kohdennettuihin toimiin, joissa määritellään selkeästi turvallisuustavoitteet, aikataulut ja keskeiset tulokset. Tämä sisältää hyökkäyksen ja puolustuksen heikkouksien tunnistamisen sekä tulevien koulutus- ja teknologiavaatimusten tunnistamisen.
Vaihtoehtoinen lähestymistapa, joka on nyt saamassa vauhtia, on nähdä Purple Team visionäärisenä mallina, joka toimii koko organisaatiossa ja auttaa luomaan ja jatkuvasti parantamaan kyberturvallisuuskulttuuria.
Johtopäätös
Red Teaming eli monimutkainen hyökkäyssimulaatio on tehokas tekniikka organisaation tietoturva-aukkojen testaamiseen, mutta sitä tulee käyttää varoen. Erityisesti sen käyttämiseen tarvitaan tarpeeksi Muuten hän ei ehkä oikeuta hänelle asetettuja toiveita.
Redtiming voi paljastaa järjestelmässäsi haavoittuvuuksia, joiden olemassaolosta et edes tiennyt, ja auttaa korjaamaan ne. Ottamalla kontradiktorisen lähestymistavan sinisen ja punaisen tiimin välillä voit simuloida, mitä todellinen hakkeri tekisi, jos hän haluaisi varastaa tietosi tai vahingoittaa omaisuuttasi.
Lähde: will.com