Булак: Acunetix
Red Teaming – бул системалардын киберкоопсуздугун баалоо үчүн реалдуу чабуулдардын татаал симуляциясы. Кызыл команда бир топ болуп саналат (системанын кирүү тестин жүргүзгөн адистер). Алар тышкы жалдоочулар же уюмуңуздун кызматкерлери болушу мүмкүн, бирок бардык учурларда алардын ролу бирдей - чабуулчулардын иш-аракеттерин туурап, тутумуңузга кирүүгө аракет кылуу.
Киберкоопсуздук боюнча "кызыл командалар" менен бирге, башка бир катар бар. Мисалы, Blue Team кызыл команда менен бирге иштейт, бирок анын ишмердүүлүгү системалык инфраструктуранын коопсуздугун ичинен жакшыртууга багытталган. Кызгылт көк команда башка эки командага чабуул стратегияларын жана коргонуу чараларын иштеп чыгууга жардам берип, байланыштыруучу ролду ойнойт. Бирок, redteaming киберкоопсуздукту башкаруунун эң аз түшүнүктүү ыкмаларынын бири болуп саналат жана көптөгөн уюмдар бул практиканы кабыл алууну каалабайт.
Бул макалада биз Red Teaming эмнени билдирерин жана чабуулду симуляциялоонун өркүндөтүлгөн практикасын ишке ашыруу сиздин уюмуңуздун коопсуздугун жакшыртууга кандайча жардам берерин кеңири түшүндүрүп беребиз. Бул макаланын максаты - бул ыкма сиздин маалыматтык системаларыңыздын коопсуздугун кантип олуттуу түрдө жакшыртууга болорун көрсөтүү.
Red Teaming: сереп
Бүгүнкү кызыл жана көк командалар, биринчи кезекте, маалыматтык технологиялар жана киберкоопсуздук менен байланышкан болсо да, бул түшүнүктөр аскер тарабынан иштелип чыккан. Негизинен мен бул түшүнүктөрдү армияда биринчи жолу уктум. 1980-жылдары киберкоопсуздук боюнча аналитик болуп иштөө азыркыдан көп жагынан айырмаланган: шифрленген компьютердик системаларга кирүү азыркыга караганда алда канча чектелген.
Башка жагынан алганда, менин согуш оюндары менен болгон биринчи тажрыйбам – моделдөө, симуляция жана өз ара аракеттенүү – киберкоопсуздукта кеңири таралган бүгүнкү татаал чабуулдарды симуляциялоо процесстерине абдан окшош болду. Учурдагыдай эле, кызматкерлерди “душманга” аскердик системаларга уруксатсыз кирүүгө ынандыруу үчүн социалдык инженерия ыкмаларын колдонууга чоң көңүл бурулган. Ошентип, 80-жылдардан бери техникалык чабуулду симуляциялоо ыкмалары кыйла өнүккөнүнө карабастан, атаандаштыктын негизги куралдарынын көбү, айрыкча социалдык инженердик техникалар негизинен платформадан көз карандысыз экендигин белгилей кетүү керек.
Чыныгы кол салууларды комплекстүү окшоштуруунун негизги мааниси 80-жылдардан бери өзгөргөн жок. Системаларыңызга чабуулду симуляциялоо менен, сиз кемчиликтерди оңой таап, аларды кантип колдонууга болорун түшүнө аласыз. Redteaming мурда негизинен ак калпак хакерлери жана киберкоопсуздук боюнча адистер тарабынан кирүүгө тестирлөө аркылуу аялуу жерлерди издөөдө колдонулса, азыр бул техника киберкоопсуздукта жана бизнесте кеңири колдонулат.
Redteaming ачкычы, сиз чындап эле системаларыңызга кол салууга чейин канчалык коопсуз экенин түшүнө албасыңызды түшүнүү. Чыныгы чабуулчулардын чабуулуна кабылгандын ордуна, кызыл команданы колдонуп, мындай чабуулду симуляциялоо алда канча коопсуз.
Red Teaming: колдонуу учурлары
Redteaming негиздерин түшүнүүнүн оңой жолу - бир нече мисалдарды карап көрүү. Бул жерде алардын экөө:
- Сценарий 1. Элестеткиле, пентест кардарларды тейлөө веб-сайтында жүргүзүлүп, тест ийгиликтүү өттү. Бул баары жакшы экенин көрсөтүп турат окшойт. Бирок, кийинчерээк чабуулдун комплекстүү моделдөөсүнөн кийин, кызыл команда кардарларды тейлөө колдонмосунун өзү жакшы болсо да, үчүнчү тараптын чат функциясы адамдарды так аныктай албасын аныктап, кардарларды тейлөө өкүлдөрүн электрондук почта дарегин өзгөртүүгө алдап коюуга мүмкүндүк берет. каттоо эсеби (жаңы адамга, чабуулчуга кирүү мүмкүнчүлүгүнө ээ болушу мүмкүн).
- Сценарий 2. Пентесттин жыйынтыгында бардык VPN жана алыстан кирүү башкаруулары коопсуз экени аныкталган. Бирок, анда «кызыл команданын» өкүлү тоскоолдуксуз кабылдаманын жанынан өтүп, кызматкерлердин биринин ноутбукун алып чыгат.
Жогоруда айтылган эки учурда тең “кызыл команда” ар бир системанын ишенимдүүлүгүн гана эмес, бүтүндөй системанын алсыз жактарын да текшерет.
Комплекстүү чабуул симуляциясы кимге керек?
Кыскача айтканда, дээрлик бардык компания Redteaming пайда алат. Көрсөтүлгөндөй , коркунучтуу көп сандагы уюмдар өздөрүнүн маалыматтарын толугу менен көзөмөлдөйбүз деген жалган ишенимде. Биз, мисалы, орто эсеп менен компаниянын папкаларынын 22% ар бир кызматкерге жеткиликтүү экенин, ал эми компаниялардын 87% системаларында 1000ден ашык эскирген купуя файлдар бар экенин таптык.
Эгерде сиздин компанияңыз технология тармагында болбосо, анда бул Redteaming сизге жакшылык алып келбей тургандай сезилиши мүмкүн. Бирок бул андай эмес. Киберкоопсуздук - бул жашыруун маалыматты коргоо гана эмес.
Чабуулчулар компаниянын ишмердүүлүгүнө карабастан технологияны басып алууга аракет кылышат. Мисалы, алар дүйнөнүн башка жеринде башка системаны же тармакты басып алуу аракеттерин жаап-жашыруу үчүн сиздин тармагыңызга кирүүгө аракет кылышы мүмкүн. Кол салуунун бул түрү менен чабуулчуларга сиздин маалыматтарыңыз керек эмес. Алар сиздин системаңызды ботнеттердин тобуна айлантуу үчүн колдонушу үчүн компьютериңизди зыяндуу программалар менен жугузгусу келет.
Кичинекей компаниялар үчүн, кайра түзүү үчүн ресурстарды табуу кыйын болушу мүмкүн. Бул учурда, бул тышкы подрядчы үчүн жараянын аутсорсинг үчүн мааниси бар.
Red Teaming: сунуштар
Redteaming жүргүзүү үчүн оптималдуу убакыт жана анын жыштыгы сиз иштеп жаткан секторго жана киберкоопсуздук мүмкүнчүлүктөрүңүздүн жетилгендигине жараша болот.
Атап айтканда, сизде активдерди изилдөө жана аялуулугун талдоо сыяктуу автоматташтырылган иш-чаралар болушу керек. Сиздин уюмуңуз ошондой эле автоматташтырылган технологияны адам көзөмөлү менен айкалыштырууга тийиш жана үзгүлтүксүз кирүү тестин өткөрөт.
Кирүү тестирлөөнүн бир нече бизнес циклдерин аяктагандан жана аялуу жерлерди издегенден кийин, сиз чыныгы чабуулду комплекстүү имитациялай баштасаңыз болот. Бул этапта, redtiming сизге олуттуу пайда алып келет. Бирок, киберкоопсуздуктун негиздерин түзө электе аны жасоого аракет кылуу олуттуу натыйжаларды алып келбейт.
Ак калпак хакерлеринин тобу даяр эмес системаны ушунчалык тез жана оңой бузуп алышы мүмкүн, андыктан мындан аркы аракеттерди көрүү үчүн маалыматыңыз өтө аз болот. Чыныгы таасирге жетүү үчүн, кызыл команда тарабынан алынган маалымат мурунку өтүү сыноолору жана аялуулугун баалоо менен салыштырылышы керек.
Кирүү тести деген эмне?
Чыныгы чабуулдун татаал симуляциясы (Red Teaming) менен көбүнчө чаташтырылып калат , бирок эки ыкма бир аз айырмаланат. Тагыраак айтканда, кирүү тестирлөө redtiming ыкмаларынын бири гана болуп саналат.
Пентестердин ролу . Пентестердин иши төрт негизги этапка бөлүнөт: пландоо, ачуу, чабуул жана отчеттуулук. Көрүнүп тургандай, пентестерлер программалык камсыздоонун кемчиликтерин издөө менен гана чектелбейт. Алар хакерлердин ордуна өздөрүн коюуга аракет кылышат жана алар сиздин системаңызга киргенден кийин, алардын чыныгы иши башталат.
Алар аялуу жерлерин таап, андан кийин папка иерархиясы аркылуу өтүп, алган маалыматтын негизинде жаңы чабуулдарды жасашат. Бул порт сканерлөө же вирустарды аныктоо программаларын колдонуу менен, аялуу жерлерди табуу үчүн жалдангандардан кирүү тестерлерин айырмалап турат. Тажрыйбалуу пентестер аныктай алат:
- хакерлер алардын чабуулун бутага ала турган жерде;
- хакерлердин кол салуу жолу;
- сиздин коргонууңуз кандай болот;
- бузуунун мүмкүн болгон масштабы.
Кирүү тестирлөө колдонмонун жана тармактын деңгээлиндеги алсыз жактарды, ошондой эле физикалык коопсуздук тоскоолдуктарын жеңүү мүмкүнчүлүктөрүн аныктоого багытталган. Автоматташтырылган тестирлөө киберкоопсуздуктун айрым маселелерин аныктаса да, кол менен кирүүнү текшерүү бизнестин чабуулга болгон аялуулугун да эске алат.
Red Teaming vs. кирүү тести
Албетте, кирүү тести маанилүү, бирок ал убакытты өзгөртүү учурунда аткарылган бир катар иш-чаралардын бир гана бөлүгү. Кызыл топтун иш-аракеттери көбүнчө тармакка кирүүгө умтулган пентестерлерге караганда алда канча кеңири максаттарга ээ. Redteaming көбүнчө адамдарды, ресурстарды жана убакытты талап кылат, анткени кызыл командалар уюмдун технологиясындагы жана адамдык жана физикалык активдериндеги тобокелдиктин жана аялуулуктун чыныгы деңгээлин толук түшүнүү үчүн терең казышат.
Мындан тышкары, башка айырмачылыктар бар. Redteaming, адатта, жетилген жана өнүккөн киберкоопсуздук чаралары бар уюмдар тарабынан колдонулат (бирок иш жүзүндө бул дайыма эле андай боло бербейт).
Эреже катары, бул компаниялар мурунтан эле кирүүгө тестирлөөнү жүргүзүп, табылган кемчиликтердин көбүн оңдогон жана азыр купуя маалыматка жетүү же коопсуздукту кандайдыр бир жол менен бузууга аракет кыла турган адамды издеп жатышат.
Ошондуктан redteaming белгилүү бир максатка багытталган коопсуздук боюнча эксперттердин тобуна таянат. Алар ички алсыздыктарга багытталган жана уюмдун кызматкерлерине каршы социалдык инженериянын электрондук жана физикалык ыкмаларын колдонушат. Пентестерлерден айырмаланып, кызыл командалар чабуул учурунда, чыныгы киберкылмышкер сыяктуу эле, аныктоодон качууну каалашат.
Кызыл команданын артыкчылыктары
Чыныгы жашоодогу чабуулдарды комплекстүү имитациялоонун көптөгөн артыкчылыктары бар, бирок эң негизгиси, бул ыкма уюмдун киберкоопсуздук абалынын толук сүрөттөлүшүн камсыз кылат. Кадимки учу-кыйырына чабуулду симуляциялоо процесси кирүү тестин (тармак, тиркеме, уюлдук телефон жана башка түзмөк), социалдык инженерияны (жердеги түз байланыш, телефон чалуулар, электрондук почта же текст жана чат) жана физикалык интрузияны камтыйт. (кулпуларды терүү, коопсуздук камераларынын сокур жерлерин аныктоо, эскертүү системаларын айланып өтүү). Эгер тутумуңуздун бул аспектилеринин биринде алсыздыктар болсо, алар ачылат.
Кемчиликтер табылгандан кийин, аларды оңдоого болот. Натыйжалуу чабуул моделдөө процедурасы аялуу жерлер табылгандан кийин бүтпөйт. Коопсуздук кемчиликтери так аныкталгандан кийин, сиз аларды оңдоп, кайра сынагыңыз келет. Чындыгында, чыныгы иш, адатта, кызыл команданын киришинен кийин башталат, сиз кол салууга соттук-медициналык анализ жүргүзүп, табылган аялуу жерлерди азайтууга аракет кылсаңыз.
Бул эки негизги артыкчылыктардан тышкары, redtiming дагы бир катар башкаларды сунуш кылат. Ошентип, "кызыл команда":
- негизги бизнес-маалымат активдерине кол салуу коркунучун жана аялуу жактарын аныктоо;
- чектелген жана контролдонуучу тобокелдик чөйрөсүндө чыныгы чабуулчулардын ыкмаларын, тактикасын жана процедураларын имитациялоо;
- Сиздин уюмуңуздун татаал максаттуу коркунучтарды аныктоо, аларга жооп берүү жана алдын алуу жөндөмүн баалаңыз;
- олуттуу жумшартууну камсыз кылуу жана аныкталган кемчиликтен кийин комплекстүү практикалык семинарларды өткөрүү үчүн маалымат коопсуздугу бөлүмдөрү жана көк командалар менен тыгыз кызматташууга түрткү берүү.
Red Teaming кантип иштейт?
Redteaming кантип иштээрин түшүнүүнүн эң сонун жолу - бул адатта кандайча болорун карап көрүү. Татаал чабуулду симуляциялоонун типтүү процесси бир нече этаптан турат:
- Уюм "кызыл команда" (ички же тышкы) менен кол салуу максатын макулдашат. Мисалы, мындай максат белгилүү бир серверден купуя маалыматты алуу болушу мүмкүн.
- Андан кийин кызыл топ бутага чалгындоо жүргүзөт. Натыйжада максаттуу системалардын картасы, анын ичинде тармак кызматтары, веб-тиркемелер жана ички кызматкер порталдары. .
- Андан кийин максаттуу тутумда аялуу жерлер изделет, алар көбүнчө фишинг же XSS чабуулдарын колдонуу менен ишке ашырылат. .
- Кирүү токендери алынгандан кийин, кызыл команда аларды андан ары алсыздыктарды иликтөө үчүн колдонот. .
- Эгерде башка алсыздыктар табылса, кызыл команда өзүнүн жеткиликтүүлүгүн максатка жетүү үчүн зарыл болгон деңгээлге көтөрүүгө аракет кылат. .
- Максаттуу маалыматтарга же активге кирүү мүмкүнчүлүгүнө ээ болгондон кийин, чабуул тапшырмасы аяктады деп эсептелет.
Чынында, тажрыйбалуу кызыл команда бул кадамдардын ар бирин аяктоо үчүн көптөгөн ар кандай ыкмаларды колдонот. Бирок, жогоруда келтирилген мисалдан алынган негизги нерсе, жеке системалардагы кичинекей алсыздыктар бири-бирине чынжырланганда катастрофалык бузулууларга айланып кетиши мүмкүн.
Кызыл команда менен байланышууда эмнени эске алуу керек?
Redteaming максималдуу пайда алуу үчүн, кылдат даярдануу керек. Ар бир уюм колдонгон системалар жана процесстер ар түрдүү жана сапаттуу redteaming сиздин системаларыңыздагы аялуу жерлерди табууга өзгөчө көңүл бурганда жетишилет. Ушул себептен улам, бир катар факторлорду эске алуу маанилүү:
Эмне издеп жатканыңызды билиңиз
Биринчиден, сиз сынагыңыз келген системаларды жана процесстерди түшүнүү маанилүү. Балким, сиз веб тиркемени сынагыңыз келгенин билесиз, бирок бул эмнени билдирерин же веб тиркемелериңиз менен башка системалар кандай интеграцияланганын жакшы түшүнбөйсүз. Ошондуктан, чыныгы чабуулду комплекстүү симуляциялоону баштоодон мурун, өзүңүздүн системаларыңызды жакшы түшүнүп, ар кандай ачык-айкын кемчиликтерди оңдоо маанилүү.
Тармагыңызды билиңиз
Бул мурунку сунушка байланыштуу, бирок тармактын техникалык мүнөздөмөлөрү жөнүндө көбүрөөк. Сыноо чөйрөңүздүн санын канчалык жакшыраак аныктасаңыз, кызыл командаңыз ошончолук так жана конкреттүү болот.
Сиздин бюджетти таанып-билүү
Redteaming ар кандай деңгээлде аткарылышы мүмкүн, бирок сиздин тармагыңыздагы чабуулдардын толук спектрин, анын ичинде социалдык инженерияны жана физикалык интрузияны симуляциялоо кымбатка турган аракет болушу мүмкүн. Ушул себептен улам, сиз мындай текшерүүгө канча акча коротсоңуз болорун түшүнүү жана, демек, анын көлөмүн көрсөтүү маанилүү.
Тобокелдик деңгээлиңизди билиңиз
Кээ бир уюмдар, алардын стандарттык бизнес жол-жоболордун бир бөлүгү катары тобокелдиктин бир топ жогорку даражасына чыдай алат. Башкалар, өзгөчө, эгерде компания катуу жөнгө салынган тармакта иштесе, тобокелдиктин деңгээлин бир кыйла көбүрөөк чектеши керек болот. Ошондуктан, redteaming жүргүзүүдө, чындап эле бизнесиңизге коркунуч туудурган тобокелдиктерге көңүл буруу маанилүү.
Red Teaming: Куралдар жана тактика
Туура ишке ашырылганда, кызыл команда хакерлер колдонгон бардык куралдарды жана ыкмаларды колдонуу менен тармактарыңызга толук масштабдуу чабуулду жүргүзөт. Башка нерселердин арасында бул төмөнкүлөрдү камтыйт:
- Колдонмонун кирүү тести - Колдонмонун деңгээлиндеги кемчиликтерди аныктоого багытталган, мисалы сайттар аралык өтүнүчтөрдү жасалмалоо, маалыматтарды киргизүү кемчиликтери, сессияны начар башкаруу жана башкалар.
- Тармактын кирүү тести - Тармактын жана системанын деңгээлиндеги кемчиликтерди, анын ичинде туура эмес конфигурацияларды, зымсыз тармактын алсыздыктарын, уруксатсыз кызматтарды жана башкаларды аныктоого багытталган.
- Physical Penetration Testing — реалдуу жашоодо физикалык коопсуздукту башкаруунун натыйжалуулугун, күчтүү жана алсыз жактарын текшерүү.
- Коомдук инженерия - адамдардын алсыз жактарын жана адамдык табиятын пайдаланууга, фишинг электрондук почталары, телефон чалуулар жана тексттик билдирүүлөр, ошондой эле жеринде физикалык байланыш аркылуу адамдардын алдамчылыкка, ынандырууга жана манипуляцияга жакындыгын текшерүүгө багытталган.
Жогоруда айтылгандардын баары redtiming компоненттери болуп саналат. Бул сиздин адамдарыңыз, тармактарыңыз, тиркемелериңиз жана физикалык коопсуздукту башкаруу элементтериңиз чыныгы чабуулчунун чабуулуна канчалык туруштук бере аларын аныктоо үчүн иштелип чыккан, толук масштабдуу, көп катмарлуу чабуул симуляциясы.
Red Teaming методдорун тынымсыз өнүктүрүү
"Кызыл командалар" коопсуздуктун жаңы кемчиликтерин табууга аракет кылган, ал эми "көк командалар" аларды оңдоого аракет кылган реалдуу жашоодогу чабуулдардын татаал симуляцияларынын табияты мындай сыноолордун ыкмаларын тынымсыз иштеп чыгууга алып келет. Ушул себептен улам, заманбап redtiming ыкмаларынын заманбап тизмесин түзүү кыйын, анткени алар тез эле эскирип калат.
Ошондуктан, көпчүлүк кызыл командачылар өз убактысынын жок дегенде бир бөлүгүн кызыл команда коомчулугу тарабынан берилген көптөгөн ресурстарды колдонуп, жаңы алсыздыктар жана аларды кантип пайдаланууну үйрөнүүгө жумшашат. Мына ушул жамааттардын эң популярдуулары:
- биринчи кезекте кириш тестине багытталган онлайн видео курстарды, ошондой эле операциялык системанын криминалистика, социалдык инженерия көйгөйлөрү жана маалымат коопсуздугу үчүн ассемблер тили боюнча курстарды сунуштаган жазылуу кызматы.
- чабуулдарды симуляциялоонун өркүндөтүлгөн ыкмалары жөнүндө дайыма блог жазып турган жана жаңы ыкмалардын жакшы булагы болуп саналган "чабуулчу киберкоопсуздук оператору".
- Твиттер дагы жакшы булак, эгер сиз redtimeing жөнүндө акыркы маалыматты издеп жатсаңыз. Сиз аны хэштегдер аркылуу таба аласыз и .
- маалымат бюллетенин чыгарган дагы бир тажрыйбалуу redtiming адиси жана , алып барат жана азыркы кызыл команданын тенденциялары жөнүндө көп жазат. Анын акыркы макалаларынын арасында: и .
- -- бул PortSwigger Web Security тарабынан каржыланган веб-коопсуздук бюллетени. Бул redtiming чөйрөсүндөгү окуялар жана жаңылыктар - хакерлик, маалыматтардын агып кетиши, эксплуатациялар, веб-тиркемелердин алсыздыктары жана жаңы коопсуздук технологиялары жөнүндө билүү үчүн жакшы булак.
- ак шляпа хакер жана анын жаңы кызыл команда тактикасын үзгүлтүксүз камтыйт кирип сыноочу болуп саналат .
- MWR лабораториялары жакшы, эгерде убакытты өзгөртүү жөнүндө жаңылыктар үчүн өтө техникалык булак. Кызыл командалар үчүн пайдалууларды чыгарышат жана алардын коопсуздук сыноочулары туш болгон көйгөйлөрдү чечүү үчүн кеңештерди берет.
- - юрист жана ак калпак хакер. Анын Twitter каналында SQL инъекцияларын жазуу жана OAuth энбелгилерин жасалмалоо сыяктуу кызыл командалар үчүн пайдалуу ыкмалар камтылган.
- (ATT&CK) чабуулчунун жүрүм-туруму боюнча тандалып алынган билим базасы. Ал чабуулчулардын жашоо циклинин фазаларына жана алар бутага алган платформаларга көз салат.
- бир топ эски болсо да, чыныгы жашоодогу чабуулдардын татаал симуляцияларынын негизинде жаткан көптөгөн фундаменталдык техникаларды камтыган хакерлердин колдонмосу. Жазуучу Питер Ким да бар , анда ал хакердик кеңештерди жана башка маалыматтарды сунуштайт.
- SANS институту киберкоопсуздук боюнча окуу материалдарынын дагы бир негизги камсыздоочусу болуп саналат. Алардын , санариптик криминалистикага жана инциденттерге жооп берүүгө арналган, SANS курстары боюнча акыркы жаңылыктарды жана эксперттердин кеңештерин камтыйт.
- Redtiming жөнүндө эң кызыктуу жаңылыктардын айрымдары жарыяланды . Технологияга багытталган макалалар бар, мисалы Red Teaming менен кирүү тесттерин салыштыруу, ошондой эле Red Team Practitioner's Manifesto сыяктуу аналитикалык макалалар.
- Акыр-аягы, Awesome Red Teaming - бул GitHub'тагы коомчулук Red Teaming арналган ресурстар. Ал баштапкы мүмкүндүк алуудан, зыяндуу аракеттерди жасоодон, маалыматтарды чогултууга жана чыгарууга чейин кызыл команданын дээрлик бардык техникалык аспектилерин камтыйт.
"Көк команда" - бул эмне?
Ар кандай түстөгү көптөгөн командалар менен уюмуңузга кайсы түр керек экенин аныктоо кыйынга турат.
Кызыл команданын бир альтернативасы, тагыраак айтканда, кызыл команда менен бирге колдонула турган команданын дагы бир түрү көк команда. Blue Team ошондой эле тармактын коопсуздугун баалайт жана инфраструктуранын мүмкүн болгон кемчиликтерин аныктайт. Бирок анын максаты башка. Бул типтеги командалар инцидентке жооп кайтарууну кыйла натыйжалуу кылуу үчүн коргоо механизмдерин коргоо, өзгөртүү жана кайра топтоо жолдорун табуу үчүн керек.
Кызыл команда сыяктуу эле, Көк команда чабуулчулардын тактикасы, ыкмалары жана жооп берүү стратегияларын маалымдоо процедуралары боюнча бирдей билимге ээ болушу керек. Бирок көк команданын милдеттери чабуулдардан коргонуу менен эле чектелбейт. Ал ошондой эле коопсуздуктун бүткүл инфраструктурасын чыңдоого катышат, мисалы, адаттан тыш жана шектүү иш-аракеттерге үзгүлтүксүз талдоо жүргүзүүнү камсыз кылган интрузияларды аныктоо тутумун (IDS) колдонуу.
Бул жерде көк команда жасай турган кадамдардын айрымдары:
- коопсуздук аудит, атап айтканда DNS аудит;
- журнал жана эс талдоо;
- тармак маалымат пакеттерин талдоо;
- тобокелдиктерди талдоо;
- санариптик изи талдоо;
- тескери инженерия;
- DDoS тестирлөө;
- тобокелдиктерди ишке ашыруу сценарийлерин иштеп чыгуу.
Кызыл жана көк командалардын айырмачылыктары
Көптөгөн уюмдар үчүн жалпы суроо, алар кызыл же көк команданы колдонуу керекпи. Бул маселе көбүнчө “баррикадалардын карама-каршы тарабында” иштеген адамдардын ортосундагы достук кастык менен коштолот. Чындыгында, бир дагы буйрук экинчисисиз мааниге ээ эмес. Демек, бул суроого туура жооп эки команда маанилүү болуп саналат.
Кызыл команда чабуул жасап, көк команданын коргонууга даярдыгын текшерүү үчүн колдонулат. Кээде кызыл команда көк команда толугу менен өткөрүп жиберген алсыздыктарды табышы мүмкүн, бул учурда кызыл команда ал кемчиликтерди кантип оңдоого болорун көрсөтүшү керек.
Маалымат коопсуздугун чыңдоо үчүн эки команданын киберкылмышкерлерге каршы биргелешип иштеши абдан маанилүү.
Ушул себептен улам, бир гана тарапты тандоо же команданын бир гана түрүнө инвестиция кылуунун мааниси жок. Эки тараптын тең максаты кибер кылмыштуулуктун алдын алуу экенин эстен чыгарбоо керек.
Башкача айтканда, компаниялар ар тараптуу аудитти камсыз кылуу үчүн эки команданын ортосунда өз ара кызматташууну түзүшү керек - бардык чабуулдардын жана аткарылган текшерүүлөрдүн журналдары, табылган өзгөчөлүктөрдүн жазуулары.
Кызыл команда имитацияланган чабуул учурунда аткарган операциялары тууралуу маалымат берет, ал эми Көк команда боштуктарды толтуруу жана табылган кемчиликтерди оңдоо үчүн жасаган аракеттери жөнүндө маалымат берет.
Эки команданын тең маанисин баалабай коюуга болбойт. Алардын коопсуздук аудиттери, кирүү тесттери жана инфраструктураны жакшыртуусуз компаниялар өздөрүнүн коопсуздугунун абалын билишпейт. Жок дегенде, маалымат бузулганга чейин жана коопсуздук чаралары жетишсиз экени айкын болуп калат.
Purple командасы деген эмне?
«Кызыл команда» Кызыл жана көк командаларды бириктирүү аракетинин натыйжасында пайда болгон. Purple Team команданын белгилүү бир түрүнө караганда көбүрөөк түшүнүк. Бул кызыл жана көк командалардын айкалышы катары элестетүү. Ал эки командага тең аралашып, чогуу иштешине жардам берет.
Purple Team жалпы коркунуч сценарийлерин так моделдөө жана жаңы коркунучтарды аныктоо жана алдын алуу ыкмаларын түзүүгө жардам берүү менен коопсуздук топторуна алардын аялуу жерлерин аныктоону, коркунучтарга аңчылык кылууну жана тармактык мониторингди жакшыртууга жардам берет.
Кээ бир уюмдар Purple командасын коопсуздук максаттары, мөөнөттөрү жана негизги натыйжалары так аныкталган бир жолку, багытталган иш-чаралар үчүн колдонушат. Бул чабуул жана коргонуу алсыз жактарын таануу, ошондой эле келечектеги окутуу жана технология талаптарын аныктоону камтыйт.
Азыр кызыктыруучу альтернативалуу ыкма - Purple Teamди киберкоопсуздуктун маданиятын жана үзгүлтүксүз өркүндөтүү үчүн бүткүл уюмда иштеген концептуалдык модель катары кароо.
жыйынтыктоо
Red Teaming же комплекстүү чабуул симуляциясы - бул уюмдун коопсуздук кемчиликтерин текшерүү үчүн күчтүү ыкма, бирок аны этияттык менен колдонуу керек. Атап айтканда, аны колдонуу үчүн жетиштүү болушу керек , антпесе ал өзүнө коюлган үмүттөрдү актабай калышы мүмкүн.
Redtiming тутумуңуздагы сиз билбеген кемчиликтерди ачып, аларды оңдоого жардам берет. Көк жана кызыл командалардын ортосунда атаандаштык ыкмасын колдонуу менен, сиз чыныгы хакер сиздин маалыматыңызды уурдап же активдериңизге зыян келтиргиси келсе, эмне кыларын окшоштура аласыз.
Source: www.habr.com