Fonte: Acunetix
Red Teaming è una complessa simulazione di attacchi reali per valutare la sicurezza informatica dei sistemi. "Red Team" è un gruppo (specialisti che eseguono un test di penetrazione nel sistema). Possono essere assunti dall'esterno o dipendenti della tua organizzazione, ma in tutti i casi il loro ruolo è lo stesso: imitare le azioni degli intrusi e cercare di penetrare nel tuo sistema.
Insieme alle "squadre rosse" nella sicurezza informatica, ce ne sono molte altre. Ad esempio, il Blue Team collabora con il Red Team, ma le sue attività sono volte a migliorare la sicurezza dell'infrastruttura del sistema dall'interno. Il Purple Team è l'anello di congiunzione, assistendo le altre due squadre nello sviluppo di strategie di attacco e difesa. Tuttavia, il redtiming è uno dei metodi meno compresi per gestire la sicurezza informatica e molte organizzazioni rimangono riluttanti ad adottare questa pratica.
In questo articolo spiegheremo nel dettaglio cosa si cela dietro il concetto di Red Teaming e come l'implementazione di complesse pratiche di simulazione di attacchi reali può aiutare a migliorare la sicurezza della tua organizzazione. Lo scopo di questo articolo è mostrare come questo metodo può aumentare in modo significativo la sicurezza dei tuoi sistemi informativi.
Panoramica della squadra rossa
Sebbene ai nostri tempi le squadre "rosse" e "blu" siano principalmente associate al campo dell'informatica e della sicurezza informatica, questi concetti sono stati coniati dai militari. In generale, è stato nell'esercito che ho sentito parlare per la prima volta di questi concetti. Lavorare come analista della sicurezza informatica negli anni '1980 era molto diverso da oggi: l'accesso ai sistemi informatici crittografati era molto più limitato di quanto non lo sia oggi.
Altrimenti, la mia prima esperienza di giochi di guerra - simulazione, simulazione e interazione - è stata molto simile al complesso processo di simulazione di attacco di oggi, che ha trovato la sua strada nella sicurezza informatica. Come ora, grande attenzione è stata prestata all'uso di metodi di ingegneria sociale per convincere i dipendenti a concedere al "nemico" un accesso improprio ai sistemi militari. Pertanto, sebbene i metodi tecnici di simulazione degli attacchi siano notevolmente avanzati dagli anni '80, vale la pena notare che molti dei principali strumenti dell'approccio accusatorio, e in particolare le tecniche di ingegneria sociale, sono in gran parte indipendenti dalla piattaforma.
Anche il valore fondamentale dell'imitazione complessa di attacchi reali non è cambiato dagli anni '80. Simulando un attacco ai tuoi sistemi, è più facile scoprire le vulnerabilità e capire come possono essere sfruttate. E mentre il redteaming era utilizzato principalmente da hacker white hat e professionisti della sicurezza informatica alla ricerca di vulnerabilità attraverso i test di penetrazione, ora è diventato più ampiamente utilizzato nella sicurezza informatica e negli affari.
La chiave per il redtiming è capire che non puoi davvero avere un'idea della sicurezza dei tuoi sistemi fino a quando non vengono attaccati. E invece di metterti a rischio di essere attaccato da veri aggressori, è molto più sicuro simulare un simile attacco con un comando rosso.
Red Teaming: casi d'uso
Un modo semplice per comprendere le basi del redtiming è guardare alcuni esempi. Qui ce ne sono due:
- Scenario 1. Immagina che un sito del servizio clienti sia stato pentestato e testato con successo. Sembrerebbe che questo suggerisca che tutto è in ordine. Tuttavia, in seguito, in un complesso finto attacco, il team rosso scopre che mentre l'app del servizio clienti in sé va bene, la funzione di chat di terze parti non è in grado di identificare con precisione le persone e questo rende possibile indurre i rappresentanti del servizio clienti a cambiare il loro indirizzo e-mail . nell'account (a seguito del quale una nuova persona, un utente malintenzionato, può ottenere l'accesso).
- Scenario 2. Come risultato del pentesting, tutti i controlli VPN e di accesso remoto sono risultati sicuri. Poi, però, il rappresentante della "squadra rossa" passa liberamente davanti al banco di registrazione e tira fuori il portatile di uno dei dipendenti.
In entrambi i casi di cui sopra, la "squadra rossa" controlla non solo l'affidabilità di ogni singolo sistema, ma anche l'intero sistema nel suo insieme per i punti deboli.
Chi ha bisogno di una simulazione di attacco complesso?
In poche parole, quasi tutte le aziende possono trarre vantaggio dal redtiming. Come mostrato , un numero spaventosamente elevato di organizzazioni crede erroneamente di avere il controllo completo sui propri dati. Abbiamo scoperto, ad esempio, che in media il 22% delle cartelle di un'azienda è disponibile per ogni dipendente e che l'87% delle aziende ha più di 1000 file sensibili obsoleti sui propri sistemi.
Se la tua azienda non è nel settore tecnologico, potrebbe non sembrare che il redtiming ti faccia molto bene. Ma non lo è. La sicurezza informatica non riguarda solo la protezione delle informazioni riservate.
I malfattori cercano ugualmente di impossessarsi delle tecnologie indipendentemente da una sfera di attività dell'azienda. Ad esempio, potrebbero cercare di ottenere l'accesso alla tua rete per nascondere le loro azioni per assumere il controllo di un altro sistema o rete in altre parti del mondo. Con questo tipo di attacco, gli aggressori non hanno bisogno dei tuoi dati. Vogliono infettare i tuoi computer con malware per trasformare il tuo sistema in un gruppo di botnet con il loro aiuto.
Per le aziende più piccole, può essere difficile trovare risorse da riscattare. In questo caso, ha senso affidare questo processo a un appaltatore esterno.
Red Teaming: Raccomandazioni
Il tempo e la frequenza ottimali per il redtiming dipendono dal settore in cui lavori e dalla maturità dei tuoi strumenti di sicurezza informatica.
In particolare, dovresti disporre di attività automatizzate come l'esplorazione delle risorse e l'analisi delle vulnerabilità. La tua organizzazione dovrebbe anche combinare la tecnologia automatizzata con la supervisione umana conducendo regolarmente test di penetrazione completi.
Dopo aver completato diversi cicli aziendali di test di penetrazione e aver individuato le vulnerabilità, è possibile procedere a una complessa simulazione di un attacco reale. In questa fase, il redtiming ti porterà benefici tangibili. Tuttavia, provare a farlo prima di avere le basi della sicurezza informatica non porterà risultati tangibili.
È probabile che un team white hat sia in grado di compromettere un sistema impreparato così rapidamente e facilmente da ottenere troppe poche informazioni per intraprendere ulteriori azioni. Per avere un effetto reale, le informazioni ottenute dalla "squadra rossa" devono essere confrontate con precedenti penetration test e valutazioni di vulnerabilità.
Cos'è il test di penetrazione?
L'imitazione complessa di un vero attacco (Red Teaming) viene spesso confusa con , ma i due metodi sono leggermente diversi. Più precisamente, il penetration test è solo uno dei metodi di redtiming.
Il ruolo di un pentester . Il lavoro dei pentester è diviso in quattro fasi principali: pianificazione, scoperta di informazioni, attacco e segnalazione. Come puoi vedere, i pentester fanno molto di più che cercare le vulnerabilità del software. Cercano di mettersi nei panni degli hacker e, una volta entrati nel tuo sistema, inizia il loro vero lavoro.
Scoprono le vulnerabilità e quindi eseguono nuovi attacchi in base alle informazioni ricevute, spostandosi attraverso la gerarchia delle cartelle. Questo è ciò che distingue i penetration tester da coloro che vengono assunti solo per trovare vulnerabilità, utilizzando software di scansione delle porte o rilevamento di virus. Un pentester esperto può determinare:
- dove gli hacker possono dirigere il loro attacco;
- il modo in cui gli hacker attaccheranno;
- Come si comporterà la tua difesa?
- possibile entità della violazione.
I test di penetrazione hanno lo scopo di identificare i punti deboli a livello di applicazione e di rete, nonché le opportunità per superare le barriere di sicurezza fisica. Mentre i test automatici possono rivelare alcuni problemi di sicurezza informatica, i penetration test manuali tengono conto anche della vulnerabilità di un'azienda agli attacchi.
Red Team vs. test di penetrazione
Indubbiamente, il penetration testing è importante, ma è solo una parte di tutta una serie di attività di redtiming. Le attività della "squadra rossa" hanno obiettivi molto più ampi di quelli dei pentester, che spesso cercano semplicemente di accedere alla rete. Il Redteaming spesso coinvolge più persone, risorse e tempo mentre il Red Team scava in profondità per comprendere appieno il vero livello di rischio e vulnerabilità nella tecnologia e nelle risorse umane e fisiche dell'organizzazione.
Inoltre, ci sono altre differenze. Il redtiming viene in genere utilizzato da organizzazioni con misure di sicurezza informatica più mature e avanzate (sebbene ciò non sia sempre il caso nella pratica).
Di solito si tratta di aziende che hanno già effettuato test di penetrazione e risolto la maggior parte delle vulnerabilità rilevate e ora sono alla ricerca di qualcuno che possa riprovare ad accedere a informazioni sensibili o violare la protezione in qualsiasi modo.
Per questo redtiming si affida a un team di esperti di sicurezza focalizzati su un target specifico. Prendono di mira le vulnerabilità interne e utilizzano tecniche di ingegneria sociale sia elettronica che fisica sui dipendenti dell'organizzazione. A differenza dei pentester, i red team si prendono il loro tempo durante i loro attacchi, cercando di evitare il rilevamento come farebbe un vero criminale informatico.
Vantaggi del team rosso
Ci sono molti vantaggi nella complessa simulazione di attacchi reali, ma soprattutto, questo approccio consente di ottenere un quadro completo del livello di sicurezza informatica di un'organizzazione. Un tipico processo di attacco simulato end-to-end includerebbe test di penetrazione (rete, applicazione, telefono cellulare e altro dispositivo), ingegneria sociale (in diretta sul posto, telefonate, e-mail o messaggi di testo e chat) e intrusione fisica (rompere serrature, rilevare zone morte delle telecamere di sicurezza, aggirare i sistemi di allarme). Se sono presenti vulnerabilità in uno qualsiasi di questi aspetti del sistema, verranno rilevate.
Una volta trovate le vulnerabilità, possono essere risolte. Un'efficace procedura di simulazione di attacco non si esaurisce con la scoperta delle vulnerabilità. Una volta identificate chiaramente le falle di sicurezza, ti consigliamo di lavorare per correggerle e testarle nuovamente. In effetti, il vero lavoro di solito inizia dopo un'intrusione del team rosso, quando si analizza l'attacco forense e si tenta di mitigare le vulnerabilità rilevate.
Oltre a questi due vantaggi principali, il redtiming ne offre anche molti altri. Quindi, la "squadra rossa" può:
- identificare i rischi e le vulnerabilità agli attacchi nelle principali risorse informative aziendali;
- simulare metodi, tattiche e procedure di aggressori reali in un ambiente a rischio limitato e controllato;
- Valuta la capacità della tua organizzazione di rilevare, rispondere e prevenire minacce complesse e mirate;
- Incoraggiare una stretta collaborazione con i dipartimenti di sicurezza e i team blu per fornire una mitigazione significativa e condurre workshop pratici completi in seguito alle vulnerabilità scoperte.
Come funziona il team rosso?
Un ottimo modo per capire come funziona il redtiming è osservare come funziona di solito. Il normale processo di simulazione di un attacco complesso consiste in diverse fasi:
- L'organizzazione concorda con la "squadra rossa" (interna o esterna) sullo scopo dell'attacco. Ad esempio, un tale obiettivo potrebbe essere quello di recuperare informazioni sensibili da un particolare server.
- Quindi la "squadra rossa" conduce la ricognizione del bersaglio. Il risultato è un diagramma dei sistemi di destinazione, inclusi servizi di rete, applicazioni Web e portali interni dei dipendenti. .
- Successivamente, le vulnerabilità vengono ricercate nel sistema di destinazione, che di solito vengono implementate utilizzando attacchi di phishing o XSS. .
- Una volta ottenuti i token di accesso, il Red Team li utilizza per indagare su ulteriori vulnerabilità. .
- Quando vengono scoperte altre vulnerabilità, la "squadra rossa" cercherà di aumentare il proprio livello di accesso al livello necessario per raggiungere l'obiettivo. .
- Dopo aver ottenuto l'accesso ai dati o alle risorse di destinazione, l'attività di attacco è considerata completata.
In effetti, uno specialista esperto della squadra rossa utilizzerà un numero enorme di metodi diversi per superare ciascuno di questi passaggi. Tuttavia, l'aspetto chiave dell'esempio precedente è che le piccole vulnerabilità nei singoli sistemi possono trasformarsi in guasti catastrofici se concatenate insieme.
Cosa bisogna considerare quando si fa riferimento alla "squadra rossa"?
Per ottenere il massimo dal redtiming, devi prepararti con cura. I sistemi e i processi utilizzati da ciascuna organizzazione sono diversi e il livello di qualità del redtiming viene raggiunto quando è finalizzato alla ricerca di vulnerabilità nei sistemi. Per questo motivo, è importante considerare una serie di fattori:
Sapere che cosa stai cercando
Prima di tutto, è importante capire quali sistemi e processi vuoi controllare. Forse sai che vuoi testare un'applicazione web, ma non capisci molto bene cosa significa realmente e quali altri sistemi sono integrati con le tue applicazioni web. Pertanto, è importante avere una buona conoscenza dei propri sistemi e correggere eventuali vulnerabilità evidenti prima di iniziare una complessa simulazione di un attacco reale.
Conosci la tua rete
Questo è correlato alla raccomandazione precedente, ma riguarda più le caratteristiche tecniche della tua rete. Quanto meglio puoi quantificare il tuo ambiente di test, tanto più preciso e specifico sarà il tuo team rosso.
Conosci il tuo budget
Il redtiming può essere eseguito a diversi livelli, ma la simulazione dell'intera gamma di attacchi alla tua rete, inclusi l'ingegneria sociale e l'intrusione fisica, può essere costosa. Per questo motivo è importante capire quanto si può spendere per tale assegno e, di conseguenza, delinearne la portata.
Conosci il tuo livello di rischio
Alcune organizzazioni possono tollerare un livello di rischio abbastanza elevato come parte delle loro procedure aziendali standard. Altri dovranno limitare il loro livello di rischio in misura molto maggiore, soprattutto se l'azienda opera in un settore altamente regolamentato. Pertanto, quando si esegue il redtiming, è importante concentrarsi sui rischi che rappresentano realmente un pericolo per la propria attività.
Red Teaming: strumenti e tattiche
Se implementato correttamente, la "squadra rossa" effettuerà un attacco su vasta scala alle tue reti utilizzando tutti gli strumenti e i metodi utilizzati dagli hacker. Tra le altre cose, questo include:
- Test di penetrazione delle applicazioni - mira a identificare i punti deboli a livello di applicazione, come la contraffazione delle richieste tra siti, i difetti di immissione dei dati, la gestione delle sessioni deboli e molti altri.
- Test di penetrazione della rete - mira a identificare i punti deboli a livello di rete e di sistema, comprese configurazioni errate, vulnerabilità della rete wireless, servizi non autorizzati e altro ancora.
- Test di penetrazione fisica — verificare l'efficacia, nonché i punti di forza e di debolezza dei controlli di sicurezza fisica nella vita reale.
- Ingegneria sociale - mira a sfruttare le debolezze delle persone e della natura umana, testando la suscettibilità delle persone all'inganno, alla persuasione e alla manipolazione attraverso e-mail di phishing, telefonate e messaggi di testo, nonché il contatto fisico sul posto.
Tutti i precedenti sono componenti redtiming. Si tratta di una simulazione di attacco completa e stratificata progettata per determinare in che misura le persone, le reti, le applicazioni e i controlli di sicurezza fisica possono resistere a un attacco da parte di un vero aggressore.
Sviluppo continuo dei metodi Red Teaming
La natura della complessa simulazione di attacchi reali, in cui i team rossi cercano di trovare nuove vulnerabilità di sicurezza e i team blu cercano di risolverli, porta allo sviluppo costante di metodi per tali controlli. Per questo motivo, è difficile compilare un elenco aggiornato delle moderne tecniche di redtiming, poiché diventano rapidamente obsolete.
Pertanto, la maggior parte dei redteamer trascorrerà almeno parte del proprio tempo a conoscere nuove vulnerabilità e a sfruttarle, utilizzando le numerose risorse fornite dalla community del red team. Ecco le più popolari di queste comunità:
- è un servizio in abbonamento che offre corsi video online incentrati principalmente sui test di penetrazione, oltre a corsi di medicina legale del sistema operativo, attività di ingegneria sociale e linguaggio assembly per la sicurezza delle informazioni.
- è un "operatore offensivo di sicurezza informatica" che pubblica regolarmente blog sui metodi per la simulazione complessa di attacchi reali ed è una buona fonte di nuovi approcci.
- Twitter è anche una buona fonte se stai cercando informazioni aggiornate sul redtiming. Puoi trovarlo con gli hashtag и .
- è un altro specialista esperto di redtiming che produce una newsletter e , conduce e scrive molto sulle attuali tendenze della squadra rossa. Tra i suoi ultimi articoli: и .
- è una newsletter sulla sicurezza web sponsorizzata da PortSwigger Web Security. Questa è una buona risorsa per conoscere gli ultimi sviluppi e le novità nel campo del redtiming: hack, fughe di dati, exploit, vulnerabilità delle applicazioni web e nuove tecnologie di sicurezza.
- è un hacker dal cappello bianco e tester di penetrazione che copre regolarmente le nuove tattiche della squadra rossa nelle sue .
- I laboratori MWR sono una buona fonte, anche se estremamente tecnica, per le notizie sul redtiming. Postano utili per le squadre rosse e loro contiene suggerimenti per risolvere i problemi che devono affrontare i tester di sicurezza.
- - Avvocato e "hacker bianco". Il suo feed Twitter contiene tecniche utili per i "red team" come la scrittura di iniezioni SQL e la creazione di token OAuth.
- (ATT & CK) è una base di conoscenza curata del comportamento degli aggressori. Tiene traccia delle fasi del ciclo di vita degli aggressori e delle piattaforme che prendono di mira.
- è una guida per hacker che, sebbene piuttosto vecchia, copre molte delle tecniche fondamentali che sono ancora al centro della complessa imitazione di attacchi reali. Anche l'autore Peter Kim ha , in cui offre consigli di hacking e altre informazioni.
- Il SANS Institute è un altro importante fornitore di materiali di formazione sulla sicurezza informatica. Loro Incentrato sulla digital forensics e sulla risposta agli incidenti, contiene le ultime notizie sui corsi SANS e i consigli di professionisti esperti.
- Alcune delle notizie più interessanti sul redtiming sono pubblicate in . Ci sono articoli incentrati sulla tecnologia come il confronto tra Red Teaming e test di penetrazione, nonché articoli analitici come The Red Team Specialist Manifesto.
- Infine, Awesome Red Teaming è una community GitHub che offre risorse dedicate al Red Teaming. Copre praticamente ogni aspetto tecnico delle attività di un Red Team, dall'ottenimento dell'accesso iniziale, all'esecuzione di attività dannose, alla raccolta e all'estrazione di dati.
"Squadra blu" - che cos'è?
Con così tanti team multicolori, può essere difficile capire di quale tipo ha bisogno la tua organizzazione.
Un'alternativa alla squadra rossa, e più specificamente un altro tipo di squadra che può essere utilizzata insieme alla squadra rossa, è la squadra blu. Il Blue Team valuta anche la sicurezza della rete e identifica eventuali vulnerabilità dell'infrastruttura. Tuttavia, ha un obiettivo diverso. I team di questo tipo sono necessari per trovare modi per proteggere, modificare e riorganizzare i meccanismi di difesa per rendere la risposta agli incidenti molto più efficace.
Come la squadra rossa, la squadra blu deve avere la stessa conoscenza delle tattiche, delle tecniche e delle procedure dell'attaccante per creare strategie di risposta basate su di esse. Tuttavia, i compiti della squadra azzurra non si limitano alla sola difesa dagli attacchi. È inoltre coinvolto nel rafforzamento dell'intera infrastruttura di sicurezza, utilizzando, ad esempio, un sistema di rilevamento delle intrusioni (IDS) che fornisce un'analisi continua di attività insolite e sospette.
Ecco alcuni passaggi della "squadra blu":
- audit di sicurezza, in particolare audit DNS;
- log e analisi della memoria;
- analisi di pacchetti dati di rete;
- analisi dei dati di rischio;
- analisi dell'impronta digitale;
- ingegneria inversa;
- test DDoS;
- sviluppo di scenari di implementazione del rischio.
Differenze tra squadre rosse e blu
Una domanda comune per molte organizzazioni è quale squadra dovrebbero usare, rossa o blu. Questo problema è spesso accompagnato anche da un'amichevole animosità tra persone che lavorano "dai lati opposti delle barricate". In realtà, nessuno dei due comandi ha senso senza l'altro. Quindi la risposta corretta a questa domanda è che entrambe le squadre sono importanti.
La squadra rossa attacca e serve per testare la prontezza difensiva della squadra blu. A volte la squadra rossa può trovare vulnerabilità che la squadra blu ha completamente trascurato, nel qual caso la squadra rossa deve mostrare come queste vulnerabilità possono essere risolte.
È fondamentale che entrambi i team lavorino insieme contro i criminali informatici per rafforzare la sicurezza delle informazioni.
Per questo motivo non ha senso scegliere una sola fazione o investire in un solo tipo di squadra. È importante ricordare che l'obiettivo di entrambe le parti è prevenire il crimine informatico.
In altre parole, le aziende devono stabilire una cooperazione reciproca di entrambi i team al fine di fornire un audit completo, con registri di tutti gli attacchi e controlli eseguiti, registrazioni delle funzionalità rilevate.
La "squadra rossa" fornisce informazioni sulle operazioni eseguite durante l'attacco simulato, mentre la squadra blu fornisce informazioni sulle azioni intraprese per colmare le lacune e correggere le vulnerabilità rilevate.
L'importanza di entrambe le squadre non può essere sottovalutata. Senza i continui controlli di sicurezza, i test di penetrazione e i miglioramenti dell'infrastruttura, le aziende non sarebbero a conoscenza dello stato della propria sicurezza. Almeno finché i dati non vengono trapelati e diventa dolorosamente chiaro che le misure di sicurezza non erano sufficienti.
Cos'è una squadra viola?
La "Purple Team" è nata dai tentativi di unire le squadre rossa e blu. Il Purple Team è più un concetto che un tipo separato di squadra. È meglio visto come una combinazione di squadre rosse e blu. Coinvolge entrambe le squadre, aiutandole a lavorare insieme.
Il Purple Team può aiutare i team di sicurezza a migliorare il rilevamento delle vulnerabilità, la scoperta delle minacce e il monitoraggio della rete modellando accuratamente scenari di minacce comuni e aiutando a creare nuovi metodi di rilevamento e prevenzione delle minacce.
Alcune organizzazioni utilizzano un Purple Team per attività mirate una tantum che definiscono chiaramente obiettivi di sicurezza, tempistiche e risultati chiave. Ciò include il riconoscimento dei punti deboli in attacco e difesa, nonché l'identificazione dei futuri requisiti tecnologici e di formazione.
Un approccio alternativo che sta prendendo piede è quello di vedere il Purple Team come un modello visionario che funziona in tutta l'organizzazione per aiutare a creare e migliorare continuamente una cultura della sicurezza informatica.
conclusione
Red Teaming, o simulazione di attacco complesso, è una tecnica potente per testare le vulnerabilità di sicurezza di un'organizzazione, ma dovrebbe essere usata con cautela. In particolare, per usarlo, devi averne abbastanza Altrimenti, potrebbe non giustificare le speranze riposte in lui.
Redtiming può rivelare vulnerabilità nel tuo sistema che non sapevi nemmeno esistessero e aiutarti a risolverle. Adottando un approccio contraddittorio tra i team blu e rosso, puoi simulare ciò che farebbe un vero hacker se volesse rubare i tuoi dati o danneggiare le tue risorse.
Fonte: habr.com