Fonte: Acunetix
Red Teaming é unha simulación complexa de ataques reais co fin de avaliar a ciberseguridade dos sistemas. "Red Team" é un grupo (especialistas realizando unha proba de penetración no sistema). Poden ser contratados desde fóra ou empregados da súa organización, pero en todos os casos o seu papel é o mesmo: imitar as accións dos intrusos e tentar penetrar no seu sistema.
Xunto aos "equipos vermellos" en ciberseguridade, hai outros. Así, por exemplo, o "equipo azul" (Blue Team) traballa conxuntamente co vermello, pero as súas actividades están dirixidas a mellorar a seguridade da infraestrutura do sistema desde o interior. O Purple Team é o vínculo, axudando aos outros dous equipos a desenvolver estratexias de ataque e defensas. Non obstante, o redtiming é un dos métodos menos entendidos para xestionar a ciberseguridade, e moitas organizacións seguen sendo renuentes a adoptar esta práctica.
Neste artigo, explicaremos en detalle o que se esconde detrás do concepto de Red Teaming e como a implementación de prácticas complexas de simulación de ataques reais pode axudar a mellorar a seguridade da súa organización. O obxectivo deste artigo é mostrar como este método pode aumentar significativamente a seguridade dos seus sistemas de información.
Visión xeral do Red Teaming
Aínda que na nosa época, os equipos "vermello" e "azul" están asociados principalmente ao campo da tecnoloxía da información e da ciberseguridade, estes conceptos foron acuñados polos militares. En xeral, foi no exército onde oín falar destes conceptos por primeira vez. Traballar como analista de ciberseguridade na década de 1980 era moi diferente ao actual: o acceso aos sistemas informáticos cifrados era moito máis restrinxido que hoxe.
En caso contrario, a miña primeira experiencia con xogos de guerra (simulación, simulación e interacción) foi moi similar ao complexo proceso de simulación de ataque actual, que atopou o seu camiño cara á ciberseguridade. Como agora, prestouse moita atención ao uso de métodos de enxeñería social para convencer aos empregados de que lle dean ao "inimigo" un acceso inadecuado aos sistemas militares. Polo tanto, aínda que os métodos técnicos de simulación de ataque avanzaron significativamente desde os anos 80, cómpre sinalar que moitas das principais ferramentas do enfoque adversario, e especialmente as técnicas de enxeñería social, son en gran parte independentes da plataforma.
O valor fundamental da imitación complexa de ataques reais tampouco cambiou desde os anos 80. Ao simular un ataque aos teus sistemas, é máis fácil descubrir vulnerabilidades e comprender como se poden explotar. E aínda que o redteaming adoitaba ser usado principalmente por hackers de sombreiro branco e profesionais da ciberseguridade que buscaban vulnerabilidades mediante probas de penetración, agora utilízase máis en ciberseguridade e empresas.
A clave para a temporización vermella é entender que realmente non podes ter unha idea da seguridade dos teus sistemas ata que sexan atacados. E en lugar de poñerse en risco de ser atacado por atacantes reais, é moito máis seguro simular un ataque deste tipo cun comando vermello.
Red Teaming: casos de uso
Un xeito doado de entender os conceptos básicos do redtiming é mirar algúns exemplos. Aquí tes dous deles:
- Escenario 1. Imaxina que un sitio de atención ao cliente foi probado e probado con éxito. Parece que isto suxire que todo está en orde. Non obstante, máis tarde, nun complexo ataque simulado, o equipo vermello descobre que, aínda que a propia aplicación de atención ao cliente está ben, a función de chat de terceiros non pode identificar con precisión ás persoas, e isto fai posible enganar aos representantes do servizo ao cliente para que cambien o seu enderezo de correo electrónico. . na conta (como resultado do cal unha nova persoa, un atacante, pode acceder).
- Escenario 2. Como resultado do pentesting, descubriuse que todos os controis de acceso remoto e VPN eran seguros. Non obstante, entón o representante do "equipo vermello" pasa libremente pola mesa de rexistro e saca o portátil dun dos empregados.
En ambos os casos anteriores, o "equipo vermello" verifica non só a fiabilidade de cada sistema individual, senón tamén todo o sistema no seu conxunto para detectar debilidades.
Quen precisa unha simulación de ataque complexo?
En poucas palabras, case calquera empresa pode beneficiarse do redtiming. Como se mostra , un número terriblemente grande de organizacións está baixo a falsa crenza de que teñen un control total sobre os seus datos. Descubrimos, por exemplo, que, de media, o 22 % dos cartafoles dunha empresa están dispoñibles para todos os empregados e que o 87 % das empresas ten máis de 1000 ficheiros sensibles obsoletos nos seus sistemas.
Se a túa empresa non está na industria tecnolóxica, pode parecer que o redtiming non che fará moito ben. Pero non o é. A ciberseguridade non consiste só en protexer a información confidencial.
Os malhechores tentan igualmente facerse coas tecnoloxías independentemente dunha esfera de actividade da empresa. Por exemplo, poden buscar acceso á túa rede para ocultar as súas accións para facerse con outro sistema ou rede noutro lugar do mundo. Con este tipo de ataque, os atacantes non necesitan os teus datos. Queren infectar os teus ordenadores con malware para converter o teu sistema nun grupo de botnets coa súa axuda.
Para as empresas máis pequenas, pode ser difícil atopar recursos para rescatar. Neste caso, ten sentido confiar este proceso a un contratista externo.
Red Teaming: Recomendacións
O momento e a frecuencia óptimos para o redtiming dependen do sector no que traballes e da madurez das túas ferramentas de ciberseguridade.
En particular, debes ter actividades automatizadas como a exploración de activos e a análise de vulnerabilidades. A súa organización tamén debería combinar tecnoloxía automatizada coa supervisión humana realizando regularmente probas de penetración completas.
Despois de completar varios ciclos comerciais de probas de penetración e atopar vulnerabilidades, pode proceder a unha simulación complexa dun ataque real. Nesta fase, o redtiming traerá beneficios tanxibles. Non obstante, tentar facelo antes de ter os conceptos básicos da ciberseguridade no lugar non traerá resultados tanxibles.
É probable que un equipo de sombreiro branco poida comprometer un sistema non preparado con tanta rapidez e facilidade que obteña moi pouca información para tomar medidas. Para ter un efecto real, a información obtida polo "equipo vermello" debe compararse con probas de penetración e avaliacións de vulnerabilidade anteriores.
Que é a proba de penetración?
A miúdo confúndese coa imitación complexa dun ataque real (Red Teaming). , pero os dous métodos son lixeiramente diferentes. Máis precisamente, as probas de penetración son só un dos métodos de temporización vermella.
O papel dun pentester . O traballo dos pentesters divídese en catro etapas principais: planificación, descubrimento de información, ataque e denuncia. Como podes ver, os pentesters fan máis que buscar vulnerabilidades de software. Intentan poñerse na pel dos hackers e, unha vez que entran no teu sistema, comeza o seu traballo real.
Descobren vulnerabilidades e despois realizan novos ataques en función da información recibida, movéndose pola xerarquía de cartafoles. Isto é o que distingue aos probadores de penetración dos que só son contratados para atopar vulnerabilidades, utilizando software de exploración de portos ou detección de virus. Un pentester experimentado pode determinar:
- onde os hackers poden dirixir o seu ataque;
- a forma en que atacarán os hackers;
- Como se comportará a túa defensa?
- posible extensión do incumprimento.
As probas de penetración teñen como obxectivo identificar as debilidades a nivel de aplicación e rede, así como oportunidades para superar as barreiras de seguridade física. Aínda que as probas automatizadas poden revelar algúns problemas de ciberseguridade, as probas de penetración manuais tamén teñen en conta a vulnerabilidade dunha empresa aos ataques.
Red Teaming vs. proba de penetración
Sen dúbida, as probas de penetración son importantes, pero son só unha parte de toda unha serie de actividades de temporización. As actividades do “equipo vermello” teñen obxectivos moito máis amplos que os dos pentesters, que moitas veces simplemente buscan acceder á rede. Redteaming adoita implicar máis persoas, recursos e tempo mentres o equipo vermello profundiza para comprender plenamente o verdadeiro nivel de risco e vulnerabilidade da tecnoloxía e dos activos físicos e humanos da organización.
Ademais, hai outras diferenzas. Redtiming adoita ser usado por organizacións con medidas de ciberseguridade máis maduras e avanzadas (aínda que non sempre é o caso na práctica).
Normalmente son empresas que xa realizaron probas de penetración e solucionaron a maioría das vulnerabilidades atopadas e agora buscan alguén que poida tentar de novo acceder a información confidencial ou romper a protección de calquera xeito.
É por iso que o redtiming depende dun equipo de expertos en seguridade centrados nun obxectivo específico. Diríxense a vulnerabilidades internas e usan técnicas de enxeñería social tanto electrónicas como físicas nos empregados da organización. A diferenza dos pentesters, os equipos vermellos tómanse o seu tempo durante os seus ataques, querendo evitar ser detectados como faría un ciberdelincuente real.
Beneficios de Red Teaming
A simulación complexa de ataques reais presenta moitas vantaxes, pero o máis importante é que este enfoque permítelle obter unha imaxe completa do nivel de ciberseguridade dunha organización. Un proceso de ataque simulado de extremo a extremo típico incluiría probas de penetración (rede, aplicación, teléfono móbil e outro dispositivo), enxeñería social (en directo no lugar, chamadas telefónicas, correo electrónico ou mensaxes de texto e chat) e intrusión física. (rotura de pechaduras, detección de zonas mortas de cámaras de seguridade, omisión de sistemas de aviso). Se hai vulnerabilidades nalgún destes aspectos do teu sistema, atoparanse.
Unha vez atopadas as vulnerabilidades, pódense corrixir. Un procedemento eficaz de simulación de ataques non remata co descubrimento de vulnerabilidades. Unha vez que os fallos de seguridade estean claramente identificados, quererás traballar en solucionalos e probalos de novo. De feito, o traballo real adoita comezar despois dunha intrusión do equipo vermello, cando un forense analiza o ataque e trata de mitigar as vulnerabilidades atopadas.
Ademais destes dous principais beneficios, o redtiming tamén ofrece outros. Así, o "equipo vermello" pode:
- identificar riscos e vulnerabilidades ante ataques en activos clave de información empresarial;
- simular os métodos, tácticas e procedementos de atacantes reais nun entorno con risco limitado e controlado;
- Avalía a capacidade da túa organización para detectar, responder e previr ameazas complexas e dirixidas;
- Fomentar unha estreita colaboración cos departamentos de seguridade e os equipos azuis para proporcionar unha mitigación significativa e realizar obradoiros prácticos completos tras detectar vulnerabilidades.
Como funciona Red Teaming?
Unha boa forma de entender como funciona o redtiming é mirar como funciona normalmente. O proceso habitual de simulación de ataque complexo consta de varias etapas:
- A organización acorda co "equipo vermello" (interno ou externo) o propósito do ataque. Por exemplo, tal obxectivo podería ser recuperar información confidencial dun servidor en particular.
- A continuación, o "equipo vermello" realiza o recoñecemento do obxectivo. O resultado é un diagrama de sistemas de destino, incluíndo servizos de rede, aplicacións web e portais internos dos empregados. .
- Despois diso, búscanse vulnerabilidades no sistema de destino, que normalmente se implementan mediante ataques de phishing ou XSS. .
- Unha vez que se obteñen as fichas de acceso, o equipo vermello utilízaas para investigar máis vulnerabilidades. .
- Cando se descubran outras vulnerabilidades, o "equipo vermello" buscará aumentar o seu nivel de acceso ao nivel necesario para acadar o obxectivo. .
- Ao acceder aos datos ou ao activo de destino, a tarefa de ataque considérase rematada.
De feito, un especialista experimentado do equipo vermello utilizará unha gran cantidade de métodos diferentes para superar cada un destes pasos. Non obstante, a conclusión clave do exemplo anterior é que as pequenas vulnerabilidades dos sistemas individuais poden converterse en fallos catastróficos se están encadeadas.
Que se debe ter en conta cando se refire ao “equipo vermello”?
Para sacar o máximo proveito do redtiming, cómpre preparar coidadosamente. Os sistemas e procesos utilizados por cada organización son diferentes, e o nivel de calidade do redtiming conséguese cando está dirixido a atopar vulnerabilidades nos seus sistemas. Por este motivo, é importante ter en conta unha serie de factores:
Saber o que estás buscando
En primeiro lugar, é importante comprender que sistemas e procesos quere comprobar. Quizais saibas que queres probar unha aplicación web, pero non entendes moi ben o que significa realmente e que outros sistemas están integrados coas túas aplicacións web. Polo tanto, é importante que teña unha boa comprensión dos seus propios sistemas e corrixa calquera vulnerabilidade obvia antes de iniciar unha simulación complexa dun ataque real.
Coñece a túa rede
Isto está relacionado coa recomendación anterior, pero trata máis sobre as características técnicas da túa rede. Canto mellor poidas cuantificar o teu ambiente de proba, máis preciso e específico será o teu equipo vermello.
Coñece o teu orzamento
Redtiming pódese realizar a diferentes niveis, pero simular toda a gama de ataques na túa rede, incluíndo a enxeñaría social e a intrusión física, pode ser custoso. Por este motivo, é importante comprender canto pode gastar en tal cheque e, en consecuencia, esbozar o seu alcance.
Coñece o teu nivel de risco
Algunhas organizacións poden tolerar un nivel de risco bastante alto como parte dos seus procedementos comerciais estándar. Outros terán que limitar o seu nivel de risco nunha medida moito maior, especialmente se a empresa opera nunha industria moi regulada. Polo tanto, ao realizar o redtiming, é importante centrarse nos riscos que realmente supoñen un perigo para a súa empresa.
Red Teaming: ferramentas e tácticas
Se se implementa correctamente, o "equipo vermello" realizará un ataque a gran escala nas túas redes utilizando todas as ferramentas e métodos empregados polos piratas informáticos. Entre outras cousas, isto inclúe:
- Probas de penetración da aplicación - pretende identificar debilidades a nivel de aplicación, como a falsificación de solicitudes entre sitios, fallos de entrada de datos, xestión de sesións débil e moitos outros.
- Probas de penetración na rede - ten como obxectivo identificar as debilidades a nivel de rede e sistema, incluíndo configuracións incorrectas, vulnerabilidades de redes sen fíos, servizos non autorizados e moito máis.
- Probas de penetración física — comprobar a eficacia, así como os puntos fortes e débiles dos controis de seguridade física na vida real.
- enxeñaría social - pretende explotar as debilidades das persoas e da natureza humana, probando a susceptibilidade das persoas ao engano, á persuasión e á manipulación a través de correos electrónicos de phishing, chamadas telefónicas e mensaxes de texto, así como o contacto físico no lugar.
Todo o anterior son compoñentes de redtiming. É unha simulación de ataque en capas en toda regla deseñada para determinar o ben que as túas persoas, redes, aplicacións e controis de seguridade física poden soportar un ataque dun atacante real.
Desenvolvemento continuo dos métodos Red Teaming
A natureza da complexa simulación de ataques reais, na que os equipos vermellos intentan atopar novas vulnerabilidades de seguridade e os equipos azuis tratan de solucionalas, leva ao desenvolvemento constante de métodos para tales comprobacións. Por este motivo, é difícil compilar unha lista actualizada de técnicas de temporización vermella modernas, xa que axiña quedan obsoletas.
Polo tanto, a maioría dos Redteamers pasarán polo menos parte do seu tempo aprendendo novas vulnerabilidades e explotándoas, utilizando os moitos recursos proporcionados pola comunidade do Red Team. Estas son as máis populares destas comunidades:
- é un servizo de subscrición que ofrece cursos de vídeo en liña enfocados principalmente a probas de penetración, así como cursos sobre sistemas operativos forenses, tarefas de enxeñería social e linguaxe ensamblador de seguridade da información.
- é un "operador de ciberseguridade ofensivo" que bloguea regularmente sobre métodos de simulación complexa de ataques reais e é unha boa fonte de novos enfoques.
- Twitter tamén é unha boa fonte se estás a buscar información actualizada de temporización vermella. Podes atopalo con hashtags и .
- é outro especialista en redtiming experimentado que produce un boletín e , conduce e escribe moito sobre as tendencias actuais do equipo vermello. Entre os seus artigos recentes: и .
- é un boletín de seguridade web patrocinado por PortSwigger Web Security. Este é un bo recurso para coñecer os últimos desenvolvementos e novas no campo do redtiming: pirateos, fugas de datos, exploits, vulnerabilidades das aplicacións web e novas tecnoloxías de seguridade.
- é un hacker de sombreiro branco e probador de penetración que abarca regularmente as novas tácticas do equipo vermello .
- MWR labs é unha boa fonte, aínda que extremadamente técnica, de noticias de retiming. Publican útiles para os equipos vermellos e os seus contén consellos para resolver os problemas aos que se enfrontan os probadores de seguridade.
- - Avogado e "hacker branco". O seu feed de Twitter ten técnicas útiles para "equipos vermellos", como escribir inxeccións SQL e forxar tokens OAuth.
- (ATT & CK) é unha base de coñecemento sobre o comportamento dos atacantes. Fai un seguimento das fases do ciclo de vida dos atacantes e das plataformas ás que se dirixe.
- é unha guía para hackers que, aínda que é bastante antiga, abrangue moitas das técnicas fundamentais que aínda están no centro da complexa imitación de ataques reais. O autor Peter Kim tamén ten , no que ofrece consellos para piratear e outra información.
- SANS Institute é outro importante provedor de materiais de formación en ciberseguridade. Os seus Centrado na forense dixital e na resposta a incidentes, contén as últimas noticias sobre cursos SANS e consellos de profesionais expertos.
- Algunhas das noticias máis interesantes sobre redtiming publícanse en . Hai artigos centrados na tecnoloxía, como comparar Red Teaming coas probas de penetración, así como artigos analíticos como The Red Team Specialist Manifesto.
- Finalmente, Awesome Red Teaming é unha comunidade de GitHub que ofrece recursos dedicados a Red Teaming. Abarca practicamente todos os aspectos técnicos das actividades dun equipo vermello, desde o acceso inicial, a realización de actividades maliciosas ata a recollida e extracción de datos.
"Equipo azul" - que é?
Con tantos equipos multicolores, pode ser difícil descubrir que tipo necesita a túa organización.
Unha alternativa ao equipo vermello, e máis concretamente outro tipo de equipo que se pode utilizar en conxunto co equipo vermello, é o equipo azul. O Equipo Azul tamén avalía a seguridade da rede e identifica calquera posible vulnerabilidade da infraestrutura. Non obstante, ela ten un obxectivo diferente. Necesítanse equipos deste tipo para atopar formas de protexer, cambiar e reagrupar os mecanismos de defensa para facer que a resposta aos incidentes sexa moito máis eficaz.
Do mesmo xeito que o equipo vermello, o equipo azul debe ter o mesmo coñecemento das tácticas, técnicas e procedementos dos atacantes para poder crear estratexias de resposta baseadas neles. Porén, os deberes do equipo azul non se limitan só a defenderse dos ataques. Tamén participa no fortalecemento de toda a infraestrutura de seguridade, empregando, por exemplo, un sistema de detección de intrusos (IDS) que proporciona unha análise continua de actividade inusual e sospeitosa.
Estes son algúns dos pasos que dá o "equipo azul":
- auditoría de seguridade, en particular auditoría de DNS;
- análise de rexistro e memoria;
- análise de paquetes de datos de rede;
- análise de datos de risco;
- análise da pegada dixital;
- enxeñaría inversa;
- probas DDoS;
- desenvolvemento de escenarios de implantación de riscos.
Diferenzas entre equipos vermellos e azuis
Unha pregunta común para moitas organizacións é que equipo deben usar, vermello ou azul. Esta cuestión tamén adoita ir acompañada de animadversión amigable entre persoas que traballan "en lados opostos das barricadas". En realidade, ningún comando ten sentido sen o outro. Así que a resposta correcta a esta pregunta é que os dous equipos son importantes.
O Equipo Vermello está atacando e úsase para probar a preparación do Equipo Azul para defender. Ás veces, o equipo vermello pode atopar vulnerabilidades que o equipo azul pasou por alto por completo, nese caso o equipo vermello debe mostrar como se poden solucionar esas vulnerabilidades.
É vital que ambos os equipos traballen xuntos contra os ciberdelincuentes para reforzar a seguridade da información.
Por este motivo, non ten sentido elixir só un bando ou investir só nun tipo de equipo. É importante lembrar que o obxectivo de ambas as partes é previr a ciberdelincuencia.
Noutras palabras, as empresas necesitan establecer unha cooperación mutua de ambos os equipos para proporcionar unha auditoría completa, con rexistros de todos os ataques e comprobacións realizadas, rexistros das características detectadas.
O "equipo vermello" ofrece información sobre as operacións que realizaron durante o ataque simulado, mentres que o equipo azul ofrece información sobre as accións que realizaron para cubrir as lagoas e corrixir as vulnerabilidades atopadas.
Non se pode subestimar a importancia de ambos os equipos. Sen as súas continuas auditorías de seguridade, probas de penetración e melloras na infraestrutura, as empresas non serían conscientes do estado da súa propia seguridade. Polo menos ata que se filtran os datos e queda dolorosamente claro que as medidas de seguridade non foron suficientes.
Que é un equipo morado?
O "Equipo Roxo" naceu dos intentos de unir aos Equipos Vermello e Azul. O Purple Team é máis un concepto que un tipo de equipo separado. É mellor visto como unha combinación de equipos vermellos e azuis. Ela implica a ambos os equipos, axudándoos a traballar xuntos.
O Purple Team pode axudar aos equipos de seguridade a mellorar a detección de vulnerabilidades, o descubrimento de ameazas e o seguimento da rede modelando con precisión escenarios de ameaza comúns e axudando a crear novos métodos de detección e prevención de ameazas.
Algunhas organizacións empregan un equipo roxo para actividades puntuais que definen claramente os obxectivos de seguridade, os prazos e os resultados clave. Isto inclúe recoñecer as debilidades en ataque e defensa, así como identificar futuros requisitos de formación e tecnoloxía.
Un enfoque alternativo que está gañando impulso é ver ao Purple Team como un modelo visionario que funciona en toda a organización para axudar a crear e mellorar continuamente unha cultura de ciberseguridade.
Conclusión
Red Teaming, ou simulación de ataque complexo, é unha técnica poderosa para probar as vulnerabilidades de seguridade dunha organización, pero debe usarse con coidado. En particular, para usalo, cómpre ter o suficiente En caso contrario, pode non xustificar as esperanzas postas nel.
Redtiming pode revelar vulnerabilidades do teu sistema que nin sequera sabías que existían e axudar a solucionalas. Ao adoptar un enfoque adversario entre os equipos azuis e vermellos, podes simular o que faría un verdadeiro hacker se quixese roubar os teus datos ou danar os teus activos.
Fonte: www.habr.com