Red Teaming-ը գրոհների բարդ մոդելավորում է: Մեթոդաբանություն և գործիքներ

Աղբյուր՝ Acunetix

Red Teaming-ը իրական հարձակումների համալիր մոդելավորում է՝ համակարգերի կիբերանվտանգությունը գնահատելու համար: «Կարմիր թիմը» խումբ է խցիկներ (համակարգի մեջ ներթափանցման թեստ կատարող մասնագետներ): Նրանց կարող են վարձել կամ դրսից, կամ ձեր կազմակերպության աշխատակիցներին, բայց բոլոր դեպքերում նրանց դերը նույնն է՝ ընդօրինակել ներխուժողների գործողությունները և փորձել ներթափանցել ձեր համակարգ:

Կիբերանվտանգության «կարմիր թիմերի» հետ մեկտեղ կան մի շարք ուրիշներ։ Օրինակ, Կապույտ թիմը աշխատում է Կարմիր թիմի հետ միասին, սակայն նրա գործունեությունն ուղղված է համակարգի ենթակառուցվածքների անվտանգության ներսից բարձրացմանը։ Մանուշակագույն թիմը կապող օղակ է, որն օգնում է մյուս երկու թիմերին հարձակման ռազմավարություն և պաշտպանություն մշակելիս: Այնուամենայնիվ, redtiming-ը կիբերանվտանգության կառավարման ամենաքիչ հասկացված մեթոդներից մեկն է, և շատ կազմակերպություններ դեռ չեն ցանկանում ընդունել այս պրակտիկան:
Այս հոդվածում մենք մանրամասն կբացատրենք, թե ինչ է թաքնված Red Teaming հայեցակարգի հետևում, և ինչպես իրական հարձակումների բարդ մոդելավորման պրակտիկաների իրականացումը կարող է օգնել բարելավել ձեր կազմակերպության անվտանգությունը: Այս հոդվածի նպատակն է ցույց տալ, թե ինչպես այս մեթոդը կարող է զգալիորեն բարձրացնել ձեր տեղեկատվական համակարգերի անվտանգությունը:

Կարմիր թիմային ակնարկ

Թեև մեր ժամանակներում «կարմիր» և «կապույտ» թիմերը հիմնականում կապված են տեղեկատվական տեխնոլոգիաների և կիբերանվտանգության ոլորտի հետ, այդ հասկացությունները ստեղծվել են զինվորականների կողմից: Ընդհանրապես, բանակում էր, որ առաջին անգամ լսեցի այս հասկացությունների մասին։ 1980-ականներին որպես կիբերանվտանգության վերլուծաբան աշխատելը շատ տարբեր էր այսօրվաից. գաղտնագրված համակարգչային համակարգերի հասանելիությունը շատ ավելի սահմանափակ էր, քան այսօր:

Հակառակ դեպքում, պատերազմական խաղերի իմ առաջին փորձը՝ սիմուլյացիա, սիմուլյացիա և փոխազդեցություն, շատ նման էր այսօրվա բարդ հարձակումների սիմուլյացիայի գործընթացին, որն իր ճանապարհն է գտել դեպի կիբերանվտանգություն: Ինչպես և հիմա, մեծ ուշադրություն է դարձվել սոցիալական ինժեներական մեթոդների կիրառմանը, որպեսզի համոզեն աշխատակիցներին «թշնամուն» ոչ պատշաճ մուտք գործել ռազմական համակարգեր։ Հետևաբար, թեև հարձակման մոդելավորման տեխնիկական մեթոդները զգալիորեն առաջադիմել են 80-ականներից ի վեր, հարկ է նշել, որ հակառակորդի մոտեցման հիմնական գործիքներից շատերը և հատկապես սոցիալական ինժեներական տեխնիկան հիմնականում հարթակներից անկախ են:

Իրական հարձակումների բարդ իմիտացիայի հիմնական արժեքը նույնպես չի փոխվել 80-ականներից: Ձեր համակարգերի վրա հարձակումը մոդելավորելով՝ ձեզ համար ավելի հեշտ է հայտնաբերել խոցելի տեղերը և հասկանալ, թե ինչպես կարող են դրանք շահագործվել: Եվ չնայած redteaming-ը հիմնականում օգտագործվում էր սպիտակ գլխարկների հաքերների և կիբերանվտանգության մասնագետների կողմից, որոնք խոցելիություններ էին փնտրում ներթափանցման թեստավորման միջոցով, այն այժմ ավելի լայնորեն օգտագործվում է կիբերանվտանգության և բիզնեսի ոլորտում:

Redtiming-ի բանալին հասկանալն է, որ դուք իրականում չեք կարող հասկանալ ձեր համակարգերի անվտանգության զգացումը, քանի դեռ դրանք չեն հարձակվել: Իսկ իրական հարձակվողների կողմից հարձակման վտանգի ենթարկվելու փոխարեն, շատ ավելի անվտանգ է նման հարձակումը կարմիր հրամանով նմանակել:

Red Teaming. օգտագործման դեպքեր

Կարմիր ժամանակի հիմունքները հասկանալու հեշտ միջոց է դիտել մի քանի օրինակ: Ահա դրանցից երկուսը.

• Սցենար 1. Պատկերացրեք, որ հաճախորդների սպասարկման կայքը փորձարկվել և հաջողությամբ փորձարկվել է: Թվում է, թե սա հուշում է, որ ամեն ինչ կարգին է։ Այնուամենայնիվ, ավելի ուշ, բարդ ծաղրական հարձակման ժամանակ կարմիր թիմը հայտնաբերում է, որ չնայած հաճախորդների սպասարկման հավելվածն ինքնին լավ է, երրորդ կողմի զրույցի գործառույթը չի կարող ճշգրիտ նույնականացնել մարդկանց, և դա թույլ է տալիս խաբել հաճախորդների սպասարկման ներկայացուցիչներին՝ փոխելու իրենց էլ. հաշվում (որի արդյունքում նոր անձը՝ հարձակվողը, կարող է մուտք գործել):
• Սցենար 2. Փորձարկման արդյունքում պարզվել է, որ VPN-ի և հեռակառավարման բոլոր սարքերն ապահով են: Սակայն հետո «կարմիր թիմի» ներկայացուցիչն ազատորեն անցնում է գրանցման սեղանի մոտով ու հանում աշխատակիցներից մեկի նոթբուքը։

Վերոնշյալ երկու դեպքերում էլ «կարմիր թիմը» ստուգում է ոչ միայն յուրաքանչյուր առանձին համակարգի հուսալիությունը, այլև ամբողջ համակարգը՝ որպես ամբողջություն՝ թերությունների համար:

Ո՞ւմ է պետք բարդ հարձակման սիմուլյացիա:

Մի խոսքով, գրեթե ցանկացած ընկերություն կարող է օգուտ քաղել redtiming-ից: Ինչպես ցույց է տրված մեր 2019 թվականի տվյալների համաշխարհային ռիսկի զեկույցում:, սարսափելիորեն մեծ թվով կազմակերպություններ կեղծ համոզմունքի տակ են, որ լիովին վերահսկում են իրենց տվյալները: Օրինակ, մենք պարզեցինք, որ ընկերության թղթապանակների միջինը 22%-ը հասանելի է յուրաքանչյուր աշխատակցին, և որ ընկերությունների 87%-ն իր համակարգերում ունի ավելի քան 1000 հնացած զգայուն ֆայլ:

Եթե ​​ձեր ընկերությունը տեխնոլոգիական ոլորտում չէ, կարող է թվալ, թե redtiming-ը ձեզ շատ լավ բան չի տա: Բայց դա այդպես չէ։ Կիբերանվտանգությունը միայն գաղտնի տեղեկատվության պաշտպանությունը չէ:

Չարագործները հավասարապես փորձում են ձեռք բերել տեխնոլոգիաներ՝ անկախ ընկերության գործունեության ոլորտից։ Օրինակ, նրանք կարող են ձգտել մուտք գործել դեպի ձեր ցանց՝ թաքցնելու իրենց գործողությունները՝ տիրելու մեկ այլ համակարգ կամ ցանց աշխարհի մեկ այլ վայրում: Այս տեսակի հարձակման դեպքում հարձակվողներին ձեր տվյալները պետք չեն: Նրանք ցանկանում են ձեր համակարգիչները վարակել չարամիտ ծրագրերով, որպեսզի իրենց օգնությամբ ձեր համակարգը վերածեն բոտնետների խմբի:

Փոքր ընկերությունների համար կարող է դժվար լինել մարման համար ռեսուրսներ գտնելը: Այս դեպքում իմաստ ունի այս գործընթացը վստահել արտաքին կապալառուին:

Red Teaming. Առաջարկություններ

Redtime-ի օպտիմալ ժամանակը և հաճախականությունը կախված է այն ոլորտից, որտեղ դուք աշխատում եք և ձեր կիբերանվտանգության գործիքների հասունությունից:

Մասնավորապես, դուք պետք է ունենաք ավտոմատացված գործողություններ, ինչպիսիք են ակտիվների հետախուզումը և խոցելիության վերլուծությունը: Ձեր կազմակերպությունը պետք է նաև համատեղի ավտոմատացված տեխնոլոգիան մարդկային վերահսկողության հետ՝ կանոնավոր կերպով իրականացնելով ամբողջական ներթափանցման թեստավորում:
Ներթափանցման փորձարկման մի քանի բիզնես ցիկլեր ավարտելուց և խոցելիություններ հայտնաբերելուց հետո կարող եք անցնել իրական հարձակման բարդ մոդելավորման: Այս փուլում redtime-ը ձեզ շոշափելի օգուտներ կբերի: Այնուամենայնիվ, փորձելով դա անել նախքան կիբերանվտանգության հիմունքները ձեռք բերելը, շոշափելի արդյունքների չի բերի:

Սպիտակ գլխարկների թիմը, ամենայն հավանականությամբ, կկարողանա զիջել անպատրաստ համակարգին այնքան արագ և հեշտությամբ, որ դուք շատ քիչ տեղեկատվություն կստանաք հետագա գործողությունների համար: Իրական ազդեցություն ունենալու համար «կարմիր թիմի» ստացած տեղեկատվությունը պետք է համեմատվի նախորդ ներթափանցման թեստերի և խոցելիության գնահատումների հետ։

Ի՞նչ է ներթափանցման փորձարկումը:

Իրական հարձակման բարդ իմիտացիան (Red Teaming) հաճախ շփոթում են ներթափանցման փորձարկում (pentest), բայց երկու մեթոդները մի փոքր տարբեր են: Ավելի ճիշտ, ներթափանցման փորձարկումը միայն կարմիր ժամանակի մեթոդներից մեկն է:

Պենտեստորի դերը լավ սահմանված. Ներգրավողների աշխատանքը բաժանված է չորս հիմնական փուլերի՝ պլանավորում, տեղեկատվության հայտնաբերում, հարձակում և հաշվետվություն: Ինչպես տեսնում եք, գրողներն ավելին են անում, քան պարզապես ծրագրային ապահովման խոցելիություն փնտրելը: Նրանք փորձում են իրենց դնել հաքերների տեղը, և երբ նրանք մտնում են ձեր համակարգ, սկսվում է նրանց իրական աշխատանքը:

Նրանք հայտնաբերում են խոցելի տեղեր, իսկ հետո նոր հարձակումներ են իրականացնում ստացված տեղեկատվության հիման վրա՝ շարժվելով թղթապանակների հիերարխիայում։ Սա այն է, ինչը տարբերում է ներթափանցման փորձարկողներին նրանցից, ովքեր աշխատանքի են ընդունվել միայն խոցելի տեղեր գտնելու համար՝ օգտագործելով նավահանգիստների սկանավորման ծրագրակազմը կամ վիրուսների հայտնաբերումը: Փորձառու pentester-ը կարող է որոշել.

• որտեղ հաքերները կարող են ուղղորդել իրենց հարձակումը.
• ինչպես հաքերները կհարձակվեն.
• Ինչպե՞ս կվարվի ձեր պաշտպանությունը:
• խախտման հնարավոր չափը.

Ներթափանցման թեստավորումն ուղղված է հավելվածի և ցանցի մակարդակում թույլ կողմերի բացահայտմանը, ինչպես նաև ֆիզիկական անվտանգության խոչընդոտները հաղթահարելու հնարավորություններին: Թեև ավտոմատացված թեստավորումը կարող է բացահայտել կիբերանվտանգության որոշ խնդիրներ, ձեռքով ներթափանցման փորձարկումը նաև հաշվի է առնում բիզնեսի խոցելիությունը հարձակումների նկատմամբ:

Red Teaming vs. ներթափանցման փորձարկում

Անկասկած, ներթափանցման փորձարկումը կարևոր է, բայց դա կարմիր ժամանակի գործողությունների ամբողջ շարքի միայն մի մասն է: «Կարմիր թիմի» գործունեությունը շատ ավելի լայն նպատակներ ունի, քան գրպանների, որոնք հաճախ պարզապես ձգտում են մուտք գործել ցանց։ Redteaming-ը հաճախ ներառում է ավելի շատ մարդկանց, ռեսուրսներ և ժամանակ, քանի որ կարմիր թիմը խորը փորում է, որպեսզի լիովին հասկանա տեխնոլոգիայի և կազմակերպության մարդկային և ֆիզիկական ակտիվների իրական ռիսկի և խոցելիության մակարդակը:

Բացի այդ, կան նաև այլ տարբերություններ. Redtiming-ը սովորաբար օգտագործվում է կիբերանվտանգության ավելի հասուն և առաջադեմ միջոցներ ունեցող կազմակերպությունների կողմից (չնայած գործնականում դա միշտ չէ, որ այդպես է):

Սովորաբար դրանք ընկերություններ են, որոնք արդեն կատարել են ներթափանցման թեստավորում և շտկել հայտնաբերված խոցելիության մեծ մասը և այժմ փնտրում են մեկին, ով կարող է կրկին փորձել մուտք գործել զգայուն տեղեկատվություն կամ որևէ կերպ կոտրել պաշտպանությունը:
Ահա թե ինչու redtiming-ը հիմնվում է անվտանգության փորձագետների թիմի վրա, որը կենտրոնացած է կոնկրետ թիրախի վրա: Նրանք թիրախավորում են ներքին խոցելիությունը և օգտագործում են ինչպես էլեկտրոնային, այնպես էլ ֆիզիկական սոցիալական ինժեներական տեխնիկան կազմակերպության աշխատակիցների համար: Ի տարբերություն գրոհայինների, կարմիր թիմերը ժամանակ են հատկացնում իրենց հարձակումների ժամանակ՝ ցանկանալով խուսափել հայտնաբերումից, ինչպես դա անում էր իրական կիբերհանցագործը:

Red Teaming-ի առավելությունները

Իրական հարձակումների բարդ մոդելավորումը շատ առավելություններ ունի, բայց ամենակարևորը, այս մոտեցումը թույլ է տալիս համապարփակ պատկերացում կազմել կազմակերպության կիբերանվտանգության մակարդակի մասին: Տիպիկ ծայրից ծայր նմանակված հարձակման գործընթացը կներառի ներթափանցման փորձարկում (ցանց, հավելված, բջջային հեռախոս և այլ սարք), սոցիալական ճարտարագիտություն (տեղում ուղիղ հեռարձակում, հեռախոսազանգեր, էլ. փոստ կամ տեքստային հաղորդագրություններ և զրույց) և ֆիզիկական ներխուժում։ ( կողպեքների կոտրում, անվտանգության տեսախցիկների մեռած գոտիների հայտնաբերում, նախազգուշացման համակարգերի շրջանցում): Եթե ​​ձեր համակարգի այս ասպեկտներից որևէ մեկում կան խոցելիություններ, դրանք կհայտնաբերվեն:

Երբ հայտնաբերվեն խոցելի կետեր, դրանք կարող են շտկվել: Հարձակման սիմուլյացիայի արդյունավետ ընթացակարգը չի ավարտվում խոցելիության հայտնաբերմամբ: Անվտանգության թերությունները հստակ հայտնաբերելուց հետո դուք պետք է աշխատեք դրանք շտկելու և նորից փորձարկելու վրա: Իրականում, իրական աշխատանքը սովորաբար սկսվում է կարմիր թիմի ներխուժումից հետո, երբ դատաբժշկական վերլուծում եք հարձակումը և փորձում եք մեղմել հայտնաբերված խոցելիությունը:

Ի լրումն այս երկու հիմնական առավելությունների, redtimeing-ն առաջարկում է նաև մի շարք այլ առավելություններ: Այսպիսով, «կարմիր թիմը» կարող է.

• բացահայտել հիմնական բիզնես տեղեկատվական ակտիվներում հարձակումների ռիսկերն ու խոցելիությունները.
• մոդելավորել իրական հարձակվողների մեթոդները, մարտավարությունը և ընթացակարգերը սահմանափակ և վերահսկվող ռիսկով միջավայրում.
• Գնահատեք ձեր կազմակերպության կարողությունը՝ հայտնաբերելու, արձագանքելու և կանխելու բարդ, նպատակային սպառնալիքները.
• Խրախուսեք սերտ համագործակցությունը անվտանգության ստորաբաժանումների և կապույտ թիմերի հետ՝ զգալի մեղմացումներ ապահովելու և հայտնաբերված խոցելիություններից հետո համապարփակ գործնական սեմինարներ անցկացնելու համար:

Ինչպե՞ս է աշխատում Red Teaming-ը:

Կարմիր ժամանակի աշխատանքը հասկանալու հիանալի միջոց է դիտել, թե ինչպես է այն սովորաբար աշխատում: Բարդ հարձակման մոդելավորման սովորական գործընթացը բաղկացած է մի քանի փուլից.

• Կազմակերպությունը համաձայնեցնում է «կարմիր թիմի» (ներքին կամ արտաքին) հետ հարձակման նպատակը։ Օրինակ, նման նպատակ կարող է լինել որոշակի սերվերից զգայուն տեղեկատվության առբերումը:
• Այնուհետեւ «կարմիր թիմը» թիրախի հետախուզություն է իրականացնում։ Արդյունքը թիրախային համակարգերի դիագրամ է՝ ներառյալ ցանցային ծառայությունները, վեբ հավելվածները և աշխատակիցների ներքին պորտալները: .
• Դրանից հետո թիրախային համակարգում որոնվում են խոցելի կետեր, որոնք սովորաբար իրականացվում են ֆիշինգի կամ XSS գրոհների միջոցով։ .
• Մուտքի նշանները ձեռք բերելուց հետո կարմիր թիմը դրանք օգտագործում է հետագա խոցելիությունները հետաքննելու համար: .
• Երբ հայտնաբերվեն այլ խոցելիություններ, «կարմիր թիմը» կձգտի բարձրացնել իրենց հասանելիության մակարդակը նպատակին հասնելու համար անհրաժեշտ մակարդակին: .
• Թիրախային տվյալներին կամ ակտիվին հասանելիություն ստանալուց հետո հարձակման առաջադրանքը համարվում է ավարտված:

Փաստորեն, կարմիր թիմի փորձառու մասնագետը կօգտագործի հսկայական թվով տարբեր մեթոդներ այս քայլերից յուրաքանչյուրը հաղթահարելու համար: Այնուամենայնիվ, վերոհիշյալ օրինակից հիմնական առավելությունն այն է, որ առանձին համակարգերի փոքր խոցելիությունները կարող են վերածվել աղետալի ձախողումների, եթե դրանք շղթայված լինեն:

Ի՞նչ պետք է հաշվի առնել «կարմիր թիմին» անդրադառնալիս.

Կարմիր ժամանակից առավելագույն օգուտ քաղելու համար հարկավոր է ուշադիր նախապատրաստվել: Յուրաքանչյուր կազմակերպության կողմից օգտագործվող համակարգերն ու գործընթացները տարբեր են, և կարմիր ժամանակի որակի մակարդակը ձեռք է բերվում, երբ այն ուղղված է ձեր համակարգերում խոցելիության հայտնաբերմանը: Այդ իսկ պատճառով կարևոր է հաշվի առնել մի շարք գործոններ.

Իմացեք, թե ինչ եք փնտրում

Նախևառաջ կարևոր է հասկանալ, թե որ համակարգերն ու գործընթացներն եք ուզում ստուգել: Հավանաբար դուք գիտեք, որ ցանկանում եք փորձարկել վեբ հավելվածը, բայց այնքան էլ լավ չեք հասկանում, թե դա իրականում ինչ է նշանակում և ինչ այլ համակարգեր են ինտեգրված ձեր վեբ հավելվածների հետ: Հետևաբար, կարևոր է, որ դուք լավ պատկերացնեք ձեր սեփական համակարգերը և շտկեք ակնհայտ խոցելիությունը՝ նախքան իրական հարձակման բարդ մոդելավորում սկսելը:

Իմացեք ձեր ցանցը

Սա կապված է նախորդ առաջարկության հետ, բայց ավելի շատ վերաբերում է ձեր ցանցի տեխնիկական բնութագրերին: Որքան լավ կարողանաք քանակականացնել ձեր թեստավորման միջավայրը, այնքան ավելի ճշգրիտ և կոնկրետ կլինի ձեր կարմիր թիմը:

Իմացեք ձեր բյուջեն

Redtiming-ը կարող է իրականացվել տարբեր մակարդակներում, սակայն ձեր ցանցի վրա հարձակումների ամբողջ շրջանակի մոդելավորումը, ներառյալ սոցիալական ինժեներական և ֆիզիկական ներխուժումը, կարող է թանկ արժենալ: Այդ իսկ պատճառով կարևոր է հասկանալ, թե որքան կարող եք ծախսել նման չեկի վրա և, համապատասխանաբար, նախանշել դրա շրջանակը:

Իմացեք ձեր ռիսկի մակարդակը

Որոշ կազմակերպություններ կարող են հանդուրժել ռիսկի բավականին բարձր մակարդակ՝ որպես իրենց ստանդարտ բիզնես ընթացակարգերի մաս: Մյուսները պետք է սահմանափակեն իրենց ռիսկի մակարդակը շատ ավելի մեծ չափով, հատկապես, եթե ընկերությունը գործում է խիստ կարգավորվող ոլորտում: Հետևաբար, redtimeing-ն իրականացնելիս կարևոր է կենտրոնանալ ռիսկերի վրա, որոնք իսկապես վտանգ են ներկայացնում ձեր բիզնեսի համար:

Red Teaming. Գործիքներ և մարտավարություն

Եթե ​​ճիշտ իրականացվի, «կարմիր թիմը» լայնածավալ հարձակում կիրականացնի ձեր ցանցերի վրա՝ օգտագործելով հաքերների կողմից կիրառվող բոլոր գործիքներն ու մեթոդները։ Ի թիվս այլ բաների, սա ներառում է.

• Հավելվածի ներթափանցման փորձարկում - նպատակ ունի բացահայտելու թույլ կողմերը հավելվածի մակարդակում, ինչպիսիք են միջկայքային հարցումների կեղծումը, տվյալների մուտքագրման թերությունները, թույլ նիստերի կառավարումը և շատ ուրիշներ:
• Ցանցի ներթափանցման փորձարկում - նպատակ ունի բացահայտելու թույլ կողմերը ցանցի և համակարգի մակարդակում, ներառյալ սխալ կազմաձևումները, անլար ցանցի խոցելիությունը, չարտոնված ծառայությունները և այլն:
• Ֆիզիկական ներթափանցման փորձարկում — իրական կյանքում ֆիզիկական անվտանգության հսկողության արդյունավետության, ինչպես նաև ուժեղ և թույլ կողմերի ստուգում:
• սոցիալական ճարտարագիտություն - նպատակ ունի օգտագործել մարդկանց և մարդկային էության թուլությունները՝ ստուգելով մարդկանց խաբեության, համոզելու և մանիպուլյացիայի ենթարկվելու հակվածությունը ֆիշինգի, հեռախոսազանգերի և տեքստային հաղորդագրությունների, ինչպես նաև տեղում ֆիզիկական շփման միջոցով:

Վերոնշյալ բոլորը կարմիր ժամանակի բաղադրիչներ են: Սա լիարժեք, շերտավորված հարձակման սիմուլյացիա է, որը նախատեսված է որոշելու, թե ձեր մարդիկ, ցանցերը, հավելվածները և ֆիզիկական անվտանգության հսկիչները որքանով կարող են դիմակայել իրական հարձակվողի հարձակմանը:

Red Teaming մեթոդների շարունակական զարգացում

Իրական հարձակումների բարդ սիմուլյացիայի բնույթը, որում կարմիր թիմերը փորձում են գտնել անվտանգության նոր խոցելիություններ, իսկ կապույտ թիմերը՝ շտկել դրանք, հանգեցնում է նման ստուգումների մեթոդների մշտական ​​մշակմանը: Այդ իսկ պատճառով դժվար է կազմել արդիական ռեթիմինգի տեխնիկայի արդի ցուցակը, քանի որ դրանք արագորեն հնանում են:

Հետևաբար, redteamers-ի մեծամասնությունը կծախսի իր ժամանակի առնվազն մի մասը՝ սովորելով նոր խոցելի կետերի մասին և շահագործելով դրանք՝ օգտագործելով կարմիր թիմի համայնքի տրամադրած բազմաթիվ ռեսուրսները: Ահա այս համայնքներից ամենահայտնիները.

• Պենտեստերի ակադեմիա բաժանորդային ծառայություն է, որն առաջարկում է առցանց վիդեո դասընթացներ, որոնք հիմնականում կենտրոնացած են ներթափանցման թեստավորման վրա, ինչպես նաև դասընթացներ օպերացիոն համակարգերի դատաբժշկական փորձաքննության, սոցիալական ինժեներական առաջադրանքների և տեղեկատվական անվտանգության հավաքման լեզվի վերաբերյալ:
• Վինսենթ Յիու հանդիսանում է «վիրավորական կիբերանվտանգության օպերատոր», որը պարբերաբար բլոգեր է գրում իրական հարձակումների բարդ մոդելավորման մեթոդների մասին և հանդիսանում է նոր մոտեցումների լավ աղբյուր:
• Twitter-ը նաև լավ աղբյուր է, եթե փնտրում եք արդի թարմացված տեղեկատվություն: Դուք կարող եք գտնել այն հեշթեգներով #կարմիրթիմ и #redteaming.
• Դանիել Միսլեր մեկ այլ փորձառու ռեթիմինգ մասնագետ է, ով թողարկում է տեղեկագիր և podcast, տանում է կայքը և շատ բան է գրում կարմիր թիմի ներկայիս միտումների մասին: Նրա վերջին հոդվածներից. «Purple Team Pentest նշանակում է, որ ձեր կարմիր և կապույտ թիմերը ձախողվել են» и «Խոցելիության պարգևներ և երբ օգտագործել խոցելիության գնահատումը, ներթափանցման փորձարկումը և հարձակման համապարփակ մոդելավորումը».
• Daily Swig վեբ անվտանգության տեղեկագիր է, որը հովանավորվում է PortSwigger Web Security-ի կողմից: Սա լավ ռեսուրս է՝ ծանոթանալու redtiming ոլորտում վերջին զարգացումներին և նորություններին` հաքեր, տվյալների արտահոսք, շահագործում, վեբ հավելվածների խոցելիություններ և անվտանգության նոր տեխնոլոգիաներ:
• Ֆլորիան Հանսեման սպիտակ գլխարկի հաքեր է և ներթափանցման փորձարկող, ով պարբերաբար լուսաբանում է կարմիր թիմի նոր մարտավարությունը բլոգի գրառումը.
• MWR labs-ը լավ, թեև չափազանց տեխնիկական աղբյուր է կարմիր ժամանակի նորությունների համար: Կարմիր թիմերի համար օգտակար գրառումներ են անում գործիքներըև նրանց Twitter feed պարունակում է խորհուրդներ անվտանգության փորձարկողների հետ կապված խնդիրների լուծման համար:
• Էմադ Շանաբ - Փաստաբան և «սպիտակ հաքեր». Նրա Twitter-ի լրահոսն ունի «կարմիր թիմերի» համար օգտակար տեխնիկա, ինչպիսիք են SQL ներարկումներ գրելը և OAuth նշանների կեղծումը:
• Միտրեի հակառակորդ մարտավարությունը, տեխնիկան և ընդհանուր գիտելիքները (ATT & CK) հարձակվողի վարքագծի վերաբերյալ գիտելիքների համադրված բազա է: Այն հետևում է հարձակվողների կյանքի ցիկլի փուլերին և նրանց թիրախավորված հարթակներին:
• Հաքերների գրքույկ ուղեցույց է հաքերների համար, որը, թեև բավականին հին է, ընդգրկում է հիմնարար տեխնիկաներից շատերը, որոնք դեռևս գտնվում են իրական հարձակումների բարդ իմիտացիայի հիմքում: Հեղինակ Փիթեր Քիմը նույնպես ունի Twitter feed, որում նա առաջարկում է հաքերային խորհուրդներ և այլ տեղեկություններ։
• SANS ինստիտուտը կիբերանվտանգության ուսուցման նյութերի ևս մեկ խոշոր մատակարար է: իրենց Twitter feedԿենտրոնացած թվային դատաբժշկական փորձաքննության և միջադեպերի արձագանքման վրա՝ այն պարունակում է SANS դասընթացների վերջին նորությունները և փորձագետների խորհուրդները:
• Կարմիր ժամանակի մասին ամենահետաքրքիր նորություններից մի քանիսը հրապարակված են Կարմիր թիմի ամսագիր. Կան տեխնոլոգիայի վրա հիմնված հոդվածներ, ինչպիսիք են Red Teaming-ը համեմատելը ներթափանցման փորձարկման հետ, ինչպես նաև վերլուծական հոդվածներ, ինչպիսիք են The Red Team Specialist Manifesto-ն:
• Վերջապես, Awesome Red Teaming-ը GitHub համայնք է, որն առաջարկում է շատ մանրամասն ցուցակ Red Teaming-ին նվիրված ռեսուրսներ: Այն ընդգրկում է կարմիր թիմի գործունեության գրեթե բոլոր տեխնիկական ասպեկտները՝ սկզբնական մուտք ստանալուց, վնասակար գործողություններ կատարելուց մինչև տվյալների հավաքագրում և արդյունահանում:

«Կապույտ թիմ» - ինչ է դա:

Այսքան բազմագույն թիմերի դեպքում կարող է դժվար լինել պարզել, թե որ տեսակին է պետք ձեր կազմակերպությանը:

Կարմիր թիմի այլընտրանքներից մեկը, իսկ ավելի կոնկրետ՝ թիմի մեկ այլ տեսակ, որը կարող է օգտագործվել կարմիր թիմի հետ համատեղ, կապույտ թիմն է: Կապույտ թիմը նաև գնահատում է ցանցի անվտանգությունը և բացահայտում ենթակառուցվածքի հնարավոր խոցելիությունը: Այնուամենայնիվ, նա այլ նպատակ ունի. Այս տիպի թիմերը անհրաժեշտ են պաշտպանելու, փոխելու և պաշտպանական մեխանիզմները վերախմբավորելու ուղիներ գտնելու համար, որպեսզի միջադեպերին արձագանքելը շատ ավելի արդյունավետ լինի:

Ինչպես կարմիր թիմը, այնպես էլ կապույտ թիմը պետք է ունենա հարձակվողի մարտավարության, տեխնիկայի և ընթացակարգերի նույն գիտելիքները, որպեսզի դրանց հիման վրա ստեղծեն պատասխան ռազմավարություններ: Այնուամենայնիվ, կապույտ թիմի պարտականությունները չեն սահմանափակվում միայն գրոհներից պաշտպանվելով։ Այն նաև ներգրավված է անվտանգության ողջ ենթակառուցվածքի ամրապնդման մեջ՝ օգտագործելով, օրինակ, ներխուժման հայտնաբերման համակարգը (IDS), որն ապահովում է անսովոր և կասկածելի գործունեության շարունակական վերլուծություն:

Ահա մի քանի քայլեր, որոնք կատարում է «կապույտ թիմը».

• անվտանգության աուդիտ, մասնավորապես DNS աուդիտ;
• գրանցամատյանի և հիշողության վերլուծություն;
• ցանցային տվյալների փաթեթների վերլուծություն;
• ռիսկերի տվյալների վերլուծություն;
• թվային հետքի վերլուծություն;
• հակադարձ ճարտարագիտություն;
• DDoS թեստավորում;
• ռիսկերի իրականացման սցենարների մշակում:

Տարբերությունները կարմիր և կապույտ թիմերի միջև

Շատ կազմակերպությունների համար սովորական հարց է, թե որ թիմը պետք է օգտագործեն՝ կարմիր թե կապույտ: Այս հարցը հաճախ ուղեկցվում է նաև «բարիկադների հակառակ կողմերում» աշխատող մարդկանց միջև բարեկամական թշնամությամբ։ Իրականում ոչ մի հրաման իմաստ չունի առանց մյուսի: Այսպիսով, այս հարցի ճիշտ պատասխանն այն է, որ երկու թիմերն էլ կարևոր են:

Կարմիր թիմը հարձակվում է և օգտագործվում է ստուգելու կապույտ թիմի պատրաստությունը պաշտպանվելու համար: Երբեմն կարմիր թիմը կարող է հայտնաբերել խոցելի տեղեր, որոնք կապույտ թիմը լիովին անտեսել է, այդ դեպքում կարմիր թիմը պետք է ցույց տա, թե ինչպես կարելի է այդ խոցելիությունները շտկել:

Երկու թիմերի համար կենսական նշանակություն ունի կիբերհանցագործների դեմ համատեղ աշխատանքը՝ տեղեկատվական անվտանգության ամրապնդման համար:

Այդ իսկ պատճառով անիմաստ է ընտրել միայն մեկ կողմը կամ ներդրումներ կատարել միայն մեկ տեսակի թիմում։ Կարևոր է հիշել, որ երկու կողմերի նպատակը կիբերհանցագործությունների կանխումն է։
Այլ կերպ ասած, ընկերությունները պետք է երկու թիմերի փոխադարձ համագործակցություն հաստատեն, որպեսզի ապահովեն համապարփակ աուդիտ՝ կատարված բոլոր հարձակումների և ստուգումների գրանցամատյաններով, հայտնաբերված հատկանիշների գրառումներով:

«Կարմիր թիմը» տեղեկատվություն է տրամադրում նմանակված հարձակման ժամանակ կատարած գործողությունների մասին, իսկ կապույտ թիմը՝ բացերը լրացնելու և հայտնաբերված խոցելիությունը շտկելու գործողությունների մասին։

Երկու թիմերի նշանակությունը չի կարելի թերագնահատել։ Առանց իրենց շարունակական անվտանգության աուդիտների, ներթափանցման փորձարկման և ենթակառուցվածքի բարելավման, ընկերությունները տեղյակ չէին իրենց իսկ անվտանգության վիճակի մասին: Առնվազն այնքան ժամանակ, քանի դեռ տվյալների արտահոսքը չի հայտնվել, և ցավալիորեն պարզ դառնա, որ անվտանգության միջոցները բավարար չեն եղել։

Ի՞նչ է մանուշակագույն թիմը:

«Մանուշակագույն թիմը» ծնվել է կարմիր և կապույտ թիմերին միավորելու փորձերից։ Մանուշակագույն թիմն ավելի շատ հայեցակարգ է, քան թիմային առանձին տեսակ: Այն լավագույնս դիտվում է որպես կարմիր և կապույտ թիմերի համադրություն: Նա ներգրավում է երկու թիմերին՝ օգնելով նրանց աշխատել միասին:

Purple Team-ը կարող է օգնել անվտանգության թիմերին բարելավել խոցելիության հայտնաբերումը, սպառնալիքների հայտնաբերումը և ցանցի մոնիտորինգը՝ ճշգրիտ մոդելավորելով ընդհանուր սպառնալիքների սցենարները և օգնելով ստեղծել սպառնալիքների հայտնաբերման և կանխարգելման նոր մեթոդներ:

Որոշ կազմակերպություններ օգտագործում են Մանուշակագույն թիմը մեկանգամյա կենտրոնացված գործունեության համար, որը հստակ սահմանում է անվտանգության նպատակները, ժամանակացույցերը և հիմնական արդյունքները: Սա ներառում է հարձակման և պաշտպանության ոլորտում թույլ կողմերի ճանաչումը, ինչպես նաև ապագա վերապատրաստման և տեխնոլոգիական պահանջների բացահայտումը:

Այլընտրանքային մոտեցումը, որն այժմ թափ է հավաքում, այն է, որ Մանուշակագույն թիմը դիտվի որպես տեսլական մոդել, որն աշխատում է ամբողջ կազմակերպությունում՝ օգնելու ստեղծել և շարունակաբար բարելավել կիբերանվտանգության մշակույթը:

Ամփոփում

Red Teaming-ը կամ բարդ հարձակման սիմուլյացիան հզոր տեխնիկա է կազմակերպության անվտանգության խոցելիությունը ստուգելու համար, բայց պետք է զգուշությամբ օգտագործվի: Մասնավորապես, այն օգտագործելու համար պետք է ունենալ բավականաչափ տեղեկատվական անվտանգության պաշտպանության առաջադեմ միջոցներՀակառակ դեպքում նա կարող է չարդարացնել իր վրա դրված հույսերը։
Redtiming-ը կարող է բացահայտել ձեր համակարգի խոցելիությունը, որոնց գոյության մասին դուք նույնիսկ չգիտեիք, և կօգնի շտկել դրանք: Կապույտ և կարմիր թիմերի միջև հակառակորդ մոտեցում ցուցաբերելով՝ դուք կարող եք նմանակել, թե ինչ կանի իրական հաքերը, եթե նա ցանկանա գողանալ ձեր տվյալները կամ վնասել ձեր ակտիվները:

Source: www.habr.com