ProHoster > Blogs > Administrācija > Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti
Avots: Acunetix

Red Teaming ir sarežģīta reālu uzbrukumu simulācija, lai novērtētu sistēmu kiberdroŔību. "Sarkanā komanda" ir grupa pentesters (speciālisti, kas veic iespieÅ”anās pārbaudi sistēmā). Viņus var nolÄ«gt vai nu no ārpuses, vai arÄ« jÅ«su organizācijas darbinieki, taču visos gadÄ«jumos viņu loma ir viena - atdarināt iebrucēju darbÄ«bas un mēģināt iekļūt jÅ«su sistēmā.

LÄ«dzās "sarkanajām komandām" kiberdroŔībā ir arÄ« vairākas citas. Piemēram, Zilā komanda strādā kopā ar Sarkano komandu, taču tās darbÄ«ba ir vērsta uz sistēmas infrastruktÅ«ras droŔības uzlaboÅ”anu no iekÅ”puses. Purple Team ir saikne, kas palÄ«dz pārējām divām komandām izstrādāt uzbrukuma stratēģijas un aizsardzÄ«bu. Tomēr redtiming ir viena no vismazāk saprotamajām kiberdroŔības pārvaldÄ«bas metodēm, un daudzas organizācijas joprojām nevēlas pieņemt Å”o praksi.
Å ajā rakstā mēs detalizēti paskaidrosim, kas slēpjas aiz Red Teaming koncepcijas un kā sarežģītas reālu uzbrukumu simulācijas prakses ievieÅ”ana var palÄ«dzēt uzlabot jÅ«su organizācijas droŔību. Å Ä« raksta mērÄ·is ir parādÄ«t, kā Ŕī metode var ievērojami palielināt jÅ«su informācijas sistēmu droŔību.

Red Teaming pārskats

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

Lai gan mÅ«su laikos "sarkanās" un "zilās" komandas galvenokārt asociējas ar informācijas tehnoloÄ£iju un kiberdroŔības jomu, Å”os jēdzienus radÄ«ja militārpersonas. Kopumā par Å”iem jēdzieniem pirmo reizi dzirdēju armijā. KiberdroŔības analÄ«tiÄ·a darbs 1980. gados ļoti atŔķīrās no Å”odienas: piekļuve Å”ifrētām datorsistēmām bija daudz ierobežotāka nekā mÅ«sdienās.

Citādi mana pirmā kara spēļu pieredze ā€” simulācija, simulācija un mijiedarbÄ«ba ā€” bija ļoti lÄ«dzÄ«ga mÅ«sdienu sarežģītajam uzbrukuma simulācijas procesam, kas ir atradis ceļu kiberdroŔībā. Tāpat kā tagad liela uzmanÄ«ba tika pievērsta sociālās inženierijas metožu izmantoÅ”anai, lai pārliecinātu darbiniekus dot "ienaidniekam" nepareizu piekļuvi militārajām sistēmām. Tāpēc, lai gan uzbrukuma simulācijas tehniskās metodes kopÅ” 80. gadiem ir ievērojami attÄ«stÄ«juŔās, ir vērts atzÄ«mēt, ka daudzi galvenie pretrunÄ«gās pieejas rÄ«ki un jo Ä«paÅ”i sociālās inženierijas paņēmieni lielā mērā ir neatkarÄ«gi no platformas.

ArÄ« reālu uzbrukumu sarežģītas imitācijas pamatvērtÄ«ba nav mainÄ«jusies kopÅ” 80. gadiem. Imitējot uzbrukumu jÅ«su sistēmām, jums ir vieglāk atklāt ievainojamÄ«bas un saprast, kā tās var izmantot. Un, lai gan agrāk redteamingu galvenokārt izmantoja hakeri un kiberdroŔības profesionāļi, kas meklē ievainojamÄ«bas, izmantojot iespieÅ”anās testÄ“Å”anu, tagad tā ir kļuvusi plaŔāk izmantota kiberdroŔībā un uzņēmējdarbÄ«bā.

Redtiming galvenais mērÄ·is ir saprast, ka jÅ«s nevarat Ä«sti izjust savu sistēmu droŔību, kamēr tām netiek uzbrukts. Un tā vietā, lai pakļautu sevi riskam, ka jums uzbruks Ä«sti uzbrucēji, daudz droŔāk ir simulēt Ŕādu uzbrukumu ar sarkanu komandu.

Red Teaming: lietoŔanas gadījumi

VienkārÅ”s veids, kā izprast redtiming pamatus, ir aplÅ«kot dažus piemērus. Å eit ir divi no tiem:

  • 1. scenārijs. Iedomājieties, ka klientu apkalpoÅ”anas vietne ir pārbaudÄ«ta un veiksmÄ«gi pārbaudÄ«ta. Å Ä·iet, ka tas liek domāt, ka viss ir kārtÄ«bā. Tomēr vēlāk sarežģītā viltus uzbrukumā sarkanā komanda atklāj, ka, lai gan pati klientu apkalpoÅ”anas lietotne ir kārtÄ«bā, treŔās puses tērzÄ“Å”anas funkcija nevar precÄ«zi identificēt cilvēkus, un tas ļauj pievilt klientu apkalpoÅ”anas pārstāvjus mainÄ«t savu e-pasta adresi. . kontā (kā rezultātā var piekļūt jauna persona, uzbrucējs).
  • 2. scenārijs. PentestÄ“Å”anas rezultātā tika konstatēts, ka visas VPN un attālās piekļuves vadÄ«klas ir droÅ”as. Taču tad "sarkanās komandas" pārstāvis brÄ«vi paiet garām reÄ£istrācijas galdiņam un izņem kāda darbinieka portatÄ«vo datoru.

Abos iepriekÅ”minētajos gadÄ«jumos "sarkanā komanda" pārbauda ne tikai katras atseviŔķas sistēmas uzticamÄ«bu, bet arÄ« visas sistēmas trÅ«kumus kopumā.

Kam nepiecieŔama sarežģīta uzbrukuma simulācija?

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

ÄŖsumā, gandrÄ«z jebkurÅ” uzņēmums var gÅ«t labumu no redtiming. Kā parādÄ«ts mÅ«su 2019. gada globālajā datu riska ziņojumā., biedējoÅ”i liels skaits organizāciju maldÄ«gi uzskata, ka tām ir pilnÄ«ga kontrole pār saviem datiem. Mēs, piemēram, noskaidrojām, ka vidēji 22% uzņēmuma mapju ir pieejami katram darbiniekam un ka 87% uzņēmumu sistēmās ir vairāk nekā 1000 novecojuÅ”u sensitÄ«vu failu.

Ja jÅ«su uzņēmums nenodarbojas ar tehnoloÄ£iju nozari, var Ŕķist, ka redtiming jums neko nedos. Bet tā nav. KiberdroŔība ir ne tikai konfidenciālas informācijas aizsardzÄ«ba.

Ä»aunprātÄ«gie vienlÄ«dz cenÅ”as iegÅ«t tehnoloÄ£ijas neatkarÄ«gi no uzņēmuma darbÄ«bas sfēras. Piemēram, viņi var mēģināt iegÅ«t piekļuvi jÅ«su tÄ«klam, lai slēptu savas darbÄ«bas un pārņemtu citu sistēmu vai tÄ«klu citur pasaulē. Izmantojot Ŕāda veida uzbrukumu, uzbrucējiem jÅ«su dati nav vajadzÄ«gi. Viņi vēlas inficēt jÅ«su datorus ar ļaunprātÄ«gu programmatÅ«ru, lai ar viņu palÄ«dzÄ«bu pārvērstu jÅ«su sistēmu par robottÄ«klu grupu.

Mazākiem uzņēmumiem var bÅ«t grÅ«ti atrast resursus, ko izpirkt. Å ajā gadÄ«jumā ir lietderÄ«gi uzticēt Å”o procesu ārējam darbuzņēmējam.

Red Teaming: ieteikumi

Optimālais redtiming laiks un biežums ir atkarīgs no nozares, kurā strādājat, un jūsu kiberdroŔības rīku brieduma.

Jo Ä«paÅ”i jums vajadzētu bÅ«t automatizētām darbÄ«bām, piemēram, lÄ«dzekļu izpētei un ievainojamÄ«bas analÄ«zei. JÅ«su organizācijai ir arÄ« jāapvieno automatizētā tehnoloÄ£ija ar cilvēka uzraudzÄ«bu, regulāri veicot pilnu iespieÅ”anās testÄ“Å”anu.
Pabeidzot vairākus iespieÅ”anās pārbaudes biznesa ciklus un atklājot ievainojamÄ«bas, varat pāriet uz reāla uzbrukuma sarežģītu simulāciju. Å ajā posmā redtiming sniegs jums taustāmus ieguvumus. Tomēr, mēģinot to izdarÄ«t, pirms esat ieviesis kiberdroŔības pamatus, taustāmus rezultātus nedos.

Baltās cepures komanda, visticamāk, spēs tik ātri un viegli apdraudēt nesagatavotu sistēmu, ka jÅ«s saņemat pārāk maz informācijas, lai veiktu turpmākas darbÄ«bas. Lai panāktu reālu efektu, "sarkanās komandas" iegÅ«tā informācija ir jāsalÄ«dzina ar iepriekŔējiem iespieÅ”anās testiem un ievainojamÄ«bas novērtējumiem.

Kas ir iespieŔanās pārbaude?

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

Bieži tiek sajaukta sarežģīta reāla uzbrukuma imitācija (Red Teaming). iespieÅ”anās pārbaude (pentests), taču abas metodes nedaudz atŔķiras. PrecÄ«zāk, iespieÅ”anās pārbaude ir tikai viena no redtiming metodēm.

Pentestera loma labi definēts. Pentesteru darbs ir sadalÄ«ts četros galvenajos posmos: plānoÅ”ana, informācijas atklāŔana, uzbrukums un ziņoÅ”ana. Kā redzat, pieteicēji dara vairāk, nekā tikai meklē programmatÅ«ras ievainojamÄ«bas. Viņi cenÅ”as iejusties hakeru vietā, un, tiklÄ«dz viņi nonāk jÅ«su sistēmā, sākas viņu Ä«stais darbs.

Viņi atklāj ievainojamÄ«bas un pēc tam veic jaunus uzbrukumus, pamatojoties uz saņemto informāciju, pārvietojoties pa mapju hierarhiju. Tas atŔķir iespieÅ”anās pārbaudÄ«tājus no tiem, kas tiek nolÄ«gti tikai ievainojamÄ«bu atraÅ”anai, izmantojot portu skenÄ“Å”anas programmatÅ«ru vai vÄ«rusu noteikÅ”anu. Pieredzējis pentesters var noteikt:

  • kur hakeri var virzÄ«t savu uzbrukumu;
  • veids, kādā hakeri uzbruks;
  • Kā uzvedÄ«sies tava aizsardzÄ«ba?
  • iespējamo pārkāpuma apjomu.

IespieÅ”anās testÄ“Å”ana ir vērsta uz vājo vietu identificÄ“Å”anu lietojumprogrammas un tÄ«kla lÄ«menÄ«, kā arÄ« iespējas pārvarēt fiziskās droŔības barjeras. Lai gan automatizētā testÄ“Å”ana var atklāt dažas kiberdroŔības problēmas, manuālā iespieÅ”anās pārbaude ņem vērā arÄ« uzņēmuma neaizsargātÄ«bu pret uzbrukumiem.

Red Teaming vs. iespieŔanās pārbaude

NeapÅ”aubāmi, iespieÅ”anās pārbaude ir svarÄ«ga, taču tā ir tikai viena daļa no visas redtiming darbÄ«bu sērijas. "Sarkanās komandas" aktivitātēm ir daudz plaŔāki mērÄ·i nekā pentesteriem, kuri bieži vien cenÅ”as vienkārÅ”i piekļūt tÄ«klam. Redteaming bieži vien ir saistÄ«ts ar vairāk cilvēku, resursu un laika, jo sarkanā komanda veic dziļu darbu, lai pilnÄ«bā izprastu patieso riska un neaizsargātÄ«bas lÄ«meni tehnoloÄ£ijās un organizācijas cilvēkresursos un fiziskajos resursos.

Turklāt ir arÄ« citas atŔķirÄ«bas. Redtiming parasti izmanto organizācijas ar nobrieduŔākiem un uzlabotiem kiberdroŔības pasākumiem (lai gan praksē tas ne vienmēr notiek).

Parasti tie ir uzņēmumi, kas jau ir veikuÅ”i iespieÅ”anās pārbaudi un novērsuÅ”i lielāko daļu atrasto ievainojamÄ«bu, un tagad meklē kādu, kas varētu mēģināt vēlreiz piekļūt sensitÄ«vai informācijai vai jebkādā veidā pārkāpt aizsardzÄ«bu.
Tāpēc redtiming paļaujas uz droŔības ekspertu komandu, kas koncentrējas uz konkrētu mērÄ·i. Tie ir vērsti uz iekŔējām ievainojamÄ«bām un organizācijas darbiniekiem izmanto gan elektroniskas, gan fiziskas sociālās inženierijas metodes. AtŔķirÄ«bā no pentesteriem, sarkanās komandas savu uzbrukumu laikā velta laiku, vēloties izvairÄ«ties no atklāŔanas, kā to darÄ«tu Ä«sts kibernoziedznieks.

Red Teaming priekŔrocības

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

Sarežģītai reālu uzbrukumu simulācijai ir daudz priekÅ”rocÄ«bu, taču vissvarÄ«gākais ir tas, ka Ŕī pieeja ļauj iegÅ«t visaptveroÅ”u priekÅ”statu par organizācijas kiberdroŔības lÄ«meni. Tipisks simulēts uzbrukuma process no gala lÄ«dz galam ietver iespieÅ”anās testÄ“Å”anu (tÄ«kls, lietojumprogramma, mobilais tālrunis un cita ierÄ«ce), sociālo inženieriju (tieÅ”raide uz vietas, tālruņa zvani, e-pasts vai Ä«sziņas un tērzÄ“Å”ana) un fizisku ielauÅ”anos. ( slēdzeņu lauÅ”ana, droŔības kameru miruÅ”o zonu noteikÅ”ana, brÄ«dināŔanas sistēmu apieÅ”ana). Ja kādā no Å”iem jÅ«su sistēmas aspektiem ir ievainojamÄ«bas, tās tiks atrastas.

Kad ievainojamÄ«bas ir atrastas, tās var novērst. EfektÄ«va uzbrukuma simulācijas procedÅ«ra nebeidzas ar ievainojamÄ«bu atklāŔanu. Kad droŔības trÅ«kumi ir skaidri identificēti, jÅ«s vēlēsities strādāt pie to novērÅ”anas un atkārtotas pārbaudes. Faktiski reālais darbs parasti sākas pēc sarkanās komandas ielauÅ”anās, kad veicat kriminālistikas analÄ«zi uzbrukumā un mēģinot mazināt atrastās ievainojamÄ«bas.

Papildus Ŕīm divām galvenajām priekŔrocībām redtiming piedāvā arī vairākas citas priekŔrocības. Tātad "sarkanā komanda" var:

  • identificēt riskus un ievainojamÄ«bas pret uzbrukumiem galvenajos biznesa informācijas aktÄ«vos;
  • simulēt reālu uzbrucēju metodes, taktiku un procedÅ«ras vidē ar ierobežotu un kontrolētu risku;
  • Novērtējiet savas organizācijas spēju atklāt, reaģēt un novērst sarežģītus, mērÄ·tiecÄ«gus draudus;
  • Veiciniet cieÅ”u sadarbÄ«bu ar droŔības departamentiem un zilajām komandām, lai nodroÅ”inātu bÅ«tisku seku mazināŔanu un rÄ«kotu visaptveroÅ”us praktiskus seminārus pēc atklātajām ievainojamÄ«bām.

Kā darbojas Red Teaming?

Lielisks veids, kā saprast, kā darbojas redtiming, ir aplūkot, kā tas parasti darbojas. Parastais kompleksā uzbrukuma simulācijas process sastāv no vairākiem posmiem:

  • Organizācija vienojas ar "sarkano komandu" (iekŔējo vai ārējo) par uzbrukuma mērÄ·i. Piemēram, Ŕāds mērÄ·is varētu bÅ«t sensitÄ«vas informācijas izgÅ«Å”ana no konkrēta servera.
  • Pēc tam "sarkanā komanda" veic mērÄ·a izlÅ«koÅ”anu. Rezultāts ir mērÄ·a sistēmu diagramma, tostarp tÄ«kla pakalpojumi, tÄ«mekļa lietojumprogrammas un iekŔējie darbinieku portāli. .
  • Pēc tam mērÄ·a sistēmā tiek meklētas ievainojamÄ«bas, kuras parasti tiek ieviestas, izmantojot pikŔķerÄ“Å”anas vai XSS uzbrukumus. .
  • Kad piekļuves marÄ·ieri ir iegÅ«ti, sarkanā komanda tos izmanto, lai izmeklētu turpmākās ievainojamÄ«bas. .
  • Kad tiks atklātas citas ievainojamÄ«bas, "sarkanā komanda" centÄ«sies palielināt savu piekļuves lÄ«meni lÄ«dz mērÄ·a sasniegÅ”anai nepiecieÅ”amajam lÄ«menim. .
  • Piekļūstot mērÄ·a datiem vai Ä«paÅ”umam, uzbrukuma uzdevums tiek uzskatÄ«ts par pabeigtu.

Faktiski pieredzējis sarkanās komandas speciālists izmantos ļoti daudz dažādu metožu, lai veiktu katru no Ŕīm darbÄ«bām. Tomēr galvenā atziņa no iepriekÅ” minētā piemēra ir tāda, ka nelielas atseviŔķu sistēmu ievainojamÄ«bas var pārvērsties par katastrofālām kļūmēm, ja tās tiek savienotas kopā.

Kas jāņem vērā, runājot par "sarkano komandu"?

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

Lai maksimāli izmantotu redtiming, jums rÅ«pÄ«gi jāsagatavojas. Katras organizācijas izmantotās sistēmas un procesi ir atŔķirÄ«gi, un redtiming kvalitātes lÄ«menis tiek sasniegts, ja tā mērÄ·is ir atrast jÅ«su sistēmās ievainojamÄ«bas. Å Ä« iemesla dēļ ir svarÄ«gi ņemt vērā vairākus faktorus:

Ziniet, ko meklējat

Pirmkārt, ir svarīgi saprast, kuras sistēmas un procesus vēlaties pārbaudīt. Iespējams, jūs zināt, ka vēlaties pārbaudīt tīmekļa lietojumprogrammu, bet īsti labi nesaprotat, ko tā īsti nozīmē un kādas citas sistēmas ir integrētas jūsu tīmekļa lietojumprogrammās. Tāpēc ir svarīgi, lai jūs labi izprastu savas sistēmas un novērstu visas acīmredzamās ievainojamības, pirms sākat sarežģītu reāla uzbrukuma simulāciju.

Zināt savu tīklu

Tas ir saistÄ«ts ar iepriekŔējo ieteikumu, bet vairāk attiecas uz jÅ«su tÄ«kla tehniskajiem parametriem. Jo labāk varēsit kvantificēt savu testÄ“Å”anas vidi, jo precÄ«zāka un konkrētāka bÅ«s jÅ«su sarkanā komanda.

Zināt savu budžetu

Redtiming var tikt veikts dažādos lÄ«meņos, taču visa veida uzbrukumu simulÄ“Å”ana jÅ«su tÄ«klam, tostarp sociālās inženierijas un fiziskas ielauÅ”anās, var bÅ«t dārga. Å Ä« iemesla dēļ ir svarÄ«gi saprast, cik daudz jÅ«s varat tērēt Ŕādai pārbaudei, un attiecÄ«gi izklāstÄ«t tā apjomu.

Ziniet savu riska līmeni

Dažas organizācijas var paciest diezgan augstu riska lÄ«meni kā daļu no to standarta uzņēmējdarbÄ«bas procedÅ«rām. Citiem bÅ«s jāierobežo savs riska lÄ«menis daudz lielākā mērā, Ä«paÅ”i, ja uzņēmums darbojas stingri regulētā nozarē. Tāpēc, veicot redtiming, ir svarÄ«gi koncentrēties uz riskiem, kas patieŔām apdraud jÅ«su biznesu.

Sarkanā komanda: rīki un taktika

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

Ja tas tiks pareizi ieviests, "sarkanā komanda" veiks pilna mēroga uzbrukumu jūsu tīkliem, izmantojot visus hakeru izmantotos rīkus un metodes. Cita starpā tas ietver:

  • Lietojumprogrammu iespieÅ”anās pārbaude - mērÄ·is ir identificēt vājās vietas lietojumprogrammu lÄ«menÄ«, piemēram, starpvietņu pieprasÄ«jumu viltoÅ”anu, datu ievades trÅ«kumus, vāju sesiju pārvaldÄ«bu un daudzas citas.
  • TÄ«kla caurlaidÄ«bas pārbaude - mērÄ·is ir identificēt vājās vietas tÄ«kla un sistēmas lÄ«menÄ«, tostarp nepareizas konfigurācijas, bezvadu tÄ«kla ievainojamÄ«bas, nesankcionētus pakalpojumus un daudz ko citu.
  • Fiziskā iespieÅ”anās pārbaude ā€” pārbaudÄ«t fiziskās droŔības kontroles efektivitāti, kā arÄ« stiprās un vājās puses reālajā dzÄ«vē.
  • sociālā inženierija - mērÄ·is ir izmantot cilvēku un cilvēka dabas vājās vietas, pārbaudot cilvēku uzņēmÄ«bu pret maldināŔanu, pārliecināŔanu un manipulācijām, izmantojot pikŔķerÄ“Å”anas e-pastus, tālruņa zvanus un Ä«sziņas, kā arÄ« fizisku kontaktu uz vietas.

Visi iepriekÅ” minētie ir redtiming komponenti. Tā ir pilnÄ«ga, daudzslāņu uzbrukuma simulācija, kas izstrādāta, lai noteiktu, cik labi jÅ«su cilvēki, tÄ«kli, lietojumprogrammas un fiziskās droŔības kontroles spēj izturēt reāla uzbrucēja uzbrukumu.

Red Teaming metožu nepārtraukta attīstība

Reālu uzbrukumu sarežģītās simulācijas bÅ«tÄ«ba, kurā sarkanās komandas cenÅ”as atrast jaunas droŔības ievainojamÄ«bas un zilās komandas mēģina tās novērst, noved pie pastāvÄ«gas Ŕādu pārbaužu metožu izstrādes. Å Ä« iemesla dēļ ir grÅ«ti sastādÄ«t jaunāko moderno redtiming metožu sarakstu, jo tās ātri noveco.

Tāpēc lielākā daļa redteamers vismaz daļu sava laika pavadÄ«s, lai uzzinātu par jaunām ievainojamÄ«bām un tās izmantotu, izmantojot daudzos resursus, ko nodroÅ”ina sarkanās komandas kopiena. Å eit ir populārākās no Ŕīm kopienām:

  • Pentestera akadēmija ir abonÄ“Å”anas pakalpojums, kas piedāvā tieÅ”saistes video kursus, kas galvenokārt ir vērsti uz iespieÅ”anās testÄ“Å”anu, kā arÄ« kursus par operētājsistēmu kriminālistikas, sociālās inženierijas uzdevumiem un informācijas droŔības montāžas valodu.
  • Vincents Juju ir "aizvainojoÅ”s kiberdroŔības operators", kas regulāri raksta emuārus par metodēm reālu uzbrukumu sarežģītai simulācijai un ir labs jaunu pieeju avots.
  • Twitter ir arÄ« labs avots, ja meklējat jaunāko redtiming informāciju. To var atrast ar hashtagiem #redkomanda Šø #redteaming.
  • Daniels MÄ«slers ir vēl viens pieredzējis redtiming speciālists, kas veido biļetenu un apraide, ved vietne un daudz raksta par paÅ”reizējām sarkanās komandas tendencēm. Starp viņa nesenajiem rakstiem: "Purple Team Pentest nozÄ«mē, ka jÅ«su sarkanā un zilā komanda ir cietusi neveiksmi" Šø "AtlÄ«dzÄ«ba par ievainojamÄ«bu un kad izmantot ievainojamÄ«bas novērtējumu, iespieÅ”anās testÄ“Å”anu un visaptveroÅ”u uzbrukuma simulāciju".
  • Ikdienas malks ir tÄ«mekļa droŔības biļetens, ko sponsorē PortSwigger Web Security. Å is ir labs resurss, lai uzzinātu par jaunākajiem sasniegumiem un jaunumiem redtiming jomā ā€“ uzlauÅ”anu, datu noplÅ«di, ļaunprātÄ«gu izmantoÅ”anu, tÄ«mekļa lietojumprogrammu ievainojamÄ«bu un jaunām droŔības tehnoloÄ£ijām.
  • Florians Hansemans ir balto cepuru hakeris un iespieÅ”anās pārbaudÄ«tājs, kurÅ” regulāri pievērÅ”as jaunām sarkanās komandas taktikai emuāra ziņa.
  • MWR labs ir labs, kaut arÄ« ārkārtÄ«gi tehnisks, redtiming ziņu avots. Tie ir noderÄ«gi sarkanajām komandām DarbarÄ«kiun viņu Twitter plÅ«sma satur padomus, kā atrisināt problēmas, ar kurām saskaras droŔības pārbaudÄ«tāji.
  • Emads Å anabs - Advokāts un "baltais hakeris". Viņa Twitter plÅ«smā ir ā€œsarkanajām komandāmā€ noderÄ«gas metodes, piemēram, SQL injekciju rakstÄ«Å”ana un OAuth marÄ·ieru viltoÅ”ana.
  • Mitres pretinieku taktika, paņēmieni un kopējās zināŔanas (ATT un CK) ir izveidota zināŔanu bāze par uzbrucēju uzvedÄ«bu. Tas izseko uzbrucēju dzÄ«ves cikla fāzes un viņu mērÄ·auditorijas platformas.
  • Hakeru rokasgrāmata ir ceļvedis hakeriem, kas, lai arÄ« diezgan vecs, aptver daudzas pamata metodes, kas joprojām ir Ä«stu uzbrukumu sarežģītas imitācijas pamatā. Ir arÄ« autoram PÄ«teram Kimam Twitter plÅ«sma, kurā viņŔ piedāvā uzlauÅ”anas padomus un citu informāciju.
  • SANS institÅ«ts ir vēl viens nozÄ«mÄ«gs kiberdroŔības mācÄ«bu materiālu nodroÅ”inātājs. Viņu Twitter plÅ«smaTas ir vērsts uz digitālo kriminālistiku un reaģēŔanu uz incidentiem, un tajā ir ietvertas jaunākās ziņas par SANS kursiem un ekspertu praktiÄ·u padomi.
  • Dažas no interesantākajām ziņām par redtiming ir publicētas Sarkanās komandas žurnāls. Ir uz tehnoloÄ£ijām vērsti raksti, piemēram, Red Teaming salÄ«dzināŔana ar iespieÅ”anās testÄ“Å”anu, kā arÄ« analÄ«tiski raksti, piemēram, Sarkanās komandas speciālista manifests.
  • Visbeidzot, Awesome Red Teaming ir GitHub kopiena, kas piedāvā ļoti detalizēts saraksts resursi, kas veltÄ«ti Red Teaming. Tas aptver gandrÄ«z visus sarkanās komandas darbÄ«bu tehniskos aspektus, sākot no sākotnējās piekļuves iegÅ«Å”anas, ļaunprātÄ«gu darbÄ«bu veikÅ”anas un beidzot ar datu apkopoÅ”anu un izvilkÅ”anu.

"Zilā komanda" - kas tas ir?

Red Teaming ir sarežģīta uzbrukumu simulācija. Metodika un instrumenti

Ar tik daudzām daudzkrāsainām komandām var būt grūti izdomāt, kāds veids ir nepiecieŔams jūsu organizācijai.

Viena alternatÄ«va sarkanajai komandai un, konkrētāk, cita veida komanda, ko var izmantot kopā ar sarkano komandu, ir zilā komanda. Zilā komanda arÄ« novērtē tÄ«kla droŔību un identificē visas iespējamās infrastruktÅ«ras ievainojamÄ«bas. Tomēr viņai ir cits mērÄ·is. Šāda veida komandas ir vajadzÄ«gas, lai atrastu veidus, kā aizsargāt, mainÄ«t un pārgrupēt aizsardzÄ«bas mehānismus, lai reaģēŔana uz incidentiem bÅ«tu daudz efektÄ«vāka.

Tāpat kā sarkanajai komandai, arÄ« zilajai komandai ir jābÅ«t tādām paŔām zināŔanām par uzbrucēju taktiku, paņēmieniem un procedÅ«rām, lai uz tām balstÄ«tos atbildes stratēģijas. Taču zilās komandas pienākumi neaprobežojas tikai ar aizsardzÄ«bu pret uzbrukumiem. Tas ir iesaistÄ«ts arÄ« visas droŔības infrastruktÅ«ras stiprināŔanā, izmantojot, piemēram, ielauÅ”anās atklāŔanas sistēmu (IDS), kas nodroÅ”ina nepārtrauktu neparastu un aizdomÄ«gu darbÄ«bu analÄ«zi.

Tālāk ir norādītas dažas darbības, ko veic "zilā komanda".

  • droŔības audits, jo Ä«paÅ”i DNS audits;
  • žurnālu un atmiņas analÄ«ze;
  • tÄ«kla datu pakeÅ”u analÄ«ze;
  • riska datu analÄ«ze;
  • digitālā pēdas nospieduma analÄ«ze;
  • reversā inženierija;
  • DDoS testÄ“Å”ana;
  • riska Ä«stenoÅ”anas scenāriju izstrāde.

AtŔķirības starp sarkanajām un zilajām komandām

Daudzām organizācijām bieži uzdots jautājums, kuru komandu vajadzētu izmantot, sarkanu vai zilu. Å o jautājumu bieži pavada arÄ« draudzÄ«gs naids starp cilvēkiem, kuri strādā "barikāžu pretējās pusēs". PatiesÄ«bā nevienai komandai nav jēgas bez otras. Tātad pareizā atbilde uz Å”o jautājumu ir tāda, ka abas komandas ir svarÄ«gas.

Sarkanā komanda uzbrÅ«k un tiek izmantota, lai pārbaudÄ«tu Zilās komandas gatavÄ«bu aizsargāties. Dažreiz sarkanā komanda var atrast ievainojamÄ«bas, kuras zilā komanda ir pilnÄ«bā neievērojusi, un tādā gadÄ«jumā sarkanajai komandai ir jāparāda, kā Ŕīs ievainojamÄ«bas var novērst.

Ir ļoti svarīgi, lai abas komandas sadarbotos pret kibernoziedzniekiem, lai stiprinātu informācijas droŔību.

Å Ä« iemesla dēļ nav jēgas izvēlēties tikai vienu pusi vai ieguldÄ«t tikai viena veida komandā. Ir svarÄ«gi atcerēties, ka abu puÅ”u mērÄ·is ir novērst kibernoziegumus.
Citiem vārdiem sakot, uzņēmumiem ir jāveido savstarpēja abu komandu sadarbÄ«ba, lai nodroÅ”inātu visaptveroÅ”u auditu - ar visu veikto uzbrukumu un pārbaužu žurnāliem, atklāto funkciju ierakstiem.

"Sarkanā komanda" sniedz informāciju par operācijām, ko viņi veica simulētā uzbrukuma laikā, bet zilā komanda sniedz informāciju par darbībām, ko viņi veica, lai aizpildītu nepilnības un novērstu atrastās ievainojamības.

Abu komandu nozÄ«mi nevar nenovērtēt. Bez pastāvÄ«giem droŔības auditiem, iespieÅ”anās testÄ“Å”anas un infrastruktÅ«ras uzlabojumiem uzņēmumi nezinātu savas droŔības stāvokli. Vismaz lÄ«dz brÄ«dim, kad dati tiek nopludināti un kļūst sāpÄ«gi skaidrs, ka droŔības pasākumi nebija pietiekami.

Kas ir violeta komanda?

"Purpurā komanda" radās no mēģinājumiem apvienot sarkano un zilo komandu. Purpura komanda ir vairāk jēdziens nekā atseviŔķs komandas veids. To vislabāk var uzskatÄ«t par sarkano un zilo komandu kombināciju. Viņa iesaista abas komandas, palÄ«dzot tām strādāt kopā.

Purple komanda var palÄ«dzēt droŔības komandām uzlabot ievainojamÄ«bu noteikÅ”anu, draudu atklāŔanu un tÄ«kla uzraudzÄ«bu, precÄ«zi modelējot izplatÄ«tākos draudu scenārijus un palÄ«dzot izveidot jaunas draudu noteikÅ”anas un novērÅ”anas metodes.

Dažas organizācijas izmanto Purple Team vienreizējām mērÄ·tiecÄ«gām aktivitātēm, kas skaidri nosaka droŔības mērÄ·us, termiņus un galvenos rezultātus. Tas ietver vājo vietu atpazÄ«Å”anu uzbrukumā un aizsardzÄ«bā, kā arÄ« turpmāko apmācÄ«bu un tehnoloÄ£iju prasÄ«bu noteikÅ”anu.

AlternatÄ«va pieeja, kas Å”obrÄ«d kļūst arvien populārāka, ir uzlÅ«kot Purple Team kā vizionāru modeli, kas darbojas visā organizācijā, lai palÄ«dzētu izveidot un nepārtraukti uzlabot kiberdroŔības kultÅ«ru.

Secinājums

Red Teaming jeb kompleksā uzbrukuma simulācija ir spēcÄ«gs paņēmiens organizācijas droŔības ievainojamÄ«bu pārbaudei, taču tas jāizmanto uzmanÄ«gi. Jo Ä«paÅ”i, lai to izmantotu, jums ir jābÅ«t pietiekami daudz uzlaboti informācijas droŔības aizsardzÄ«bas lÄ«dzekļiPretējā gadÄ«jumā viņŔ var neattaisnot uz viņu liktās cerÄ«bas.
Redtiming var atklāt jÅ«su sistēmas ievainojamÄ«bas, par kurām jÅ«s pat nezinājāt, ka tās pastāv, un palÄ«dzēt tās novērst. Izmantojot pretrunÄ«gu pieeju starp zilajām un sarkanajām komandām, varat simulēt, ko darÄ«tu Ä«sts hakeris, ja viņŔ vēlētos nozagt jÅ«su datus vai sabojāt jÅ«su Ä«paÅ”umus.

Avots: www.habr.com

Pievieno komentāru