Red Teaming ir sarežģīta uzbrukumu simulÄcija. Metodika un instrumenti
Avots: Acunetix
Red Teaming ir sarežģīta reÄlu uzbrukumu simulÄcija, lai novÄrtÄtu sistÄmu kiberdroŔību. "SarkanÄ komanda" ir grupa pentesters (speciÄlisti, kas veic iespieÅ”anÄs pÄrbaudi sistÄmÄ). ViÅus var nolÄ«gt vai nu no Ärpuses, vai arÄ« jÅ«su organizÄcijas darbinieki, taÄu visos gadÄ«jumos viÅu loma ir viena - atdarinÄt iebrucÄju darbÄ«bas un mÄÄ£inÄt iekļūt jÅ«su sistÄmÄ.
LÄ«dzÄs "sarkanajÄm komandÄm" kiberdroŔībÄ ir arÄ« vairÄkas citas. PiemÄram, ZilÄ komanda strÄdÄ kopÄ ar Sarkano komandu, taÄu tÄs darbÄ«ba ir vÄrsta uz sistÄmas infrastruktÅ«ras droŔības uzlaboÅ”anu no iekÅ”puses. Purple Team ir saikne, kas palÄ«dz pÄrÄjÄm divÄm komandÄm izstrÄdÄt uzbrukuma stratÄÄ£ijas un aizsardzÄ«bu. TomÄr redtiming ir viena no vismazÄk saprotamajÄm kiberdroŔības pÄrvaldÄ«bas metodÄm, un daudzas organizÄcijas joprojÄm nevÄlas pieÅemt Å”o praksi.
Å ajÄ rakstÄ mÄs detalizÄti paskaidrosim, kas slÄpjas aiz Red Teaming koncepcijas un kÄ sarežģītas reÄlu uzbrukumu simulÄcijas prakses ievieÅ”ana var palÄ«dzÄt uzlabot jÅ«su organizÄcijas droŔību. Å Ä« raksta mÄrÄ·is ir parÄdÄ«t, kÄ Å”Ä« metode var ievÄrojami palielinÄt jÅ«su informÄcijas sistÄmu droŔību.
Red Teaming pÄrskats
Lai gan mÅ«su laikos "sarkanÄs" un "zilÄs" komandas galvenokÄrt asociÄjas ar informÄcijas tehnoloÄ£iju un kiberdroŔības jomu, Å”os jÄdzienus radÄ«ja militÄrpersonas. KopumÄ par Å”iem jÄdzieniem pirmo reizi dzirdÄju armijÄ. KiberdroŔības analÄ«tiÄ·a darbs 1980. gados ļoti atŔķīrÄs no Å”odienas: piekļuve Å”ifrÄtÄm datorsistÄmÄm bija daudz ierobežotÄka nekÄ mÅ«sdienÄs.
CitÄdi mana pirmÄ kara spÄļu pieredze ā simulÄcija, simulÄcija un mijiedarbÄ«ba ā bija ļoti lÄ«dzÄ«ga mÅ«sdienu sarežģītajam uzbrukuma simulÄcijas procesam, kas ir atradis ceļu kiberdroŔībÄ. TÄpat kÄ tagad liela uzmanÄ«ba tika pievÄrsta sociÄlÄs inženierijas metožu izmantoÅ”anai, lai pÄrliecinÄtu darbiniekus dot "ienaidniekam" nepareizu piekļuvi militÄrajÄm sistÄmÄm. TÄpÄc, lai gan uzbrukuma simulÄcijas tehniskÄs metodes kopÅ” 80. gadiem ir ievÄrojami attÄ«stÄ«juÅ”Äs, ir vÄrts atzÄ«mÄt, ka daudzi galvenie pretrunÄ«gÄs pieejas rÄ«ki un jo Ä«paÅ”i sociÄlÄs inženierijas paÅÄmieni lielÄ mÄrÄ ir neatkarÄ«gi no platformas.
ArÄ« reÄlu uzbrukumu sarežģītas imitÄcijas pamatvÄrtÄ«ba nav mainÄ«jusies kopÅ” 80. gadiem. ImitÄjot uzbrukumu jÅ«su sistÄmÄm, jums ir vieglÄk atklÄt ievainojamÄ«bas un saprast, kÄ tÄs var izmantot. Un, lai gan agrÄk redteamingu galvenokÄrt izmantoja hakeri un kiberdroŔības profesionÄļi, kas meklÄ ievainojamÄ«bas, izmantojot iespieÅ”anÄs testÄÅ”anu, tagad tÄ ir kļuvusi plaÅ”Äk izmantota kiberdroŔībÄ un uzÅÄmÄjdarbÄ«bÄ.
Redtiming galvenais mÄrÄ·is ir saprast, ka jÅ«s nevarat Ä«sti izjust savu sistÄmu droŔību, kamÄr tÄm netiek uzbrukts. Un tÄ vietÄ, lai pakļautu sevi riskam, ka jums uzbruks Ä«sti uzbrucÄji, daudz droÅ”Äk ir simulÄt Å”Ädu uzbrukumu ar sarkanu komandu.
Red Teaming: lietoŔanas gadījumi
VienkÄrÅ”s veids, kÄ izprast redtiming pamatus, ir aplÅ«kot dažus piemÄrus. Å eit ir divi no tiem:
1. scenÄrijs. IedomÄjieties, ka klientu apkalpoÅ”anas vietne ir pÄrbaudÄ«ta un veiksmÄ«gi pÄrbaudÄ«ta. Å Ä·iet, ka tas liek domÄt, ka viss ir kÄrtÄ«bÄ. TomÄr vÄlÄk sarežģītÄ viltus uzbrukumÄ sarkanÄ komanda atklÄj, ka, lai gan pati klientu apkalpoÅ”anas lietotne ir kÄrtÄ«bÄ, treÅ”Äs puses tÄrzÄÅ”anas funkcija nevar precÄ«zi identificÄt cilvÄkus, un tas ļauj pievilt klientu apkalpoÅ”anas pÄrstÄvjus mainÄ«t savu e-pasta adresi. . kontÄ (kÄ rezultÄtÄ var piekļūt jauna persona, uzbrucÄjs).
2. scenÄrijs. PentestÄÅ”anas rezultÄtÄ tika konstatÄts, ka visas VPN un attÄlÄs piekļuves vadÄ«klas ir droÅ”as. TaÄu tad "sarkanÄs komandas" pÄrstÄvis brÄ«vi paiet garÄm reÄ£istrÄcijas galdiÅam un izÅem kÄda darbinieka portatÄ«vo datoru.
Abos iepriekÅ”minÄtajos gadÄ«jumos "sarkanÄ komanda" pÄrbauda ne tikai katras atseviŔķas sistÄmas uzticamÄ«bu, bet arÄ« visas sistÄmas trÅ«kumus kopumÄ.
Kam nepiecieÅ”ama sarežģīta uzbrukuma simulÄcija?
ÄŖsumÄ, gandrÄ«z jebkurÅ” uzÅÄmums var gÅ«t labumu no redtiming. KÄ parÄdÄ«ts mÅ«su 2019. gada globÄlajÄ datu riska ziÅojumÄ., biedÄjoÅ”i liels skaits organizÄciju maldÄ«gi uzskata, ka tÄm ir pilnÄ«ga kontrole pÄr saviem datiem. MÄs, piemÄram, noskaidrojÄm, ka vidÄji 22% uzÅÄmuma mapju ir pieejami katram darbiniekam un ka 87% uzÅÄmumu sistÄmÄs ir vairÄk nekÄ 1000 novecojuÅ”u sensitÄ«vu failu.
Ja jÅ«su uzÅÄmums nenodarbojas ar tehnoloÄ£iju nozari, var Ŕķist, ka redtiming jums neko nedos. Bet tÄ nav. KiberdroŔība ir ne tikai konfidenciÄlas informÄcijas aizsardzÄ«ba.
Ä»aunprÄtÄ«gie vienlÄ«dz cenÅ”as iegÅ«t tehnoloÄ£ijas neatkarÄ«gi no uzÅÄmuma darbÄ«bas sfÄras. PiemÄram, viÅi var mÄÄ£inÄt iegÅ«t piekļuvi jÅ«su tÄ«klam, lai slÄptu savas darbÄ«bas un pÄrÅemtu citu sistÄmu vai tÄ«klu citur pasaulÄ. Izmantojot Å”Äda veida uzbrukumu, uzbrucÄjiem jÅ«su dati nav vajadzÄ«gi. ViÅi vÄlas inficÄt jÅ«su datorus ar ļaunprÄtÄ«gu programmatÅ«ru, lai ar viÅu palÄ«dzÄ«bu pÄrvÄrstu jÅ«su sistÄmu par robottÄ«klu grupu.
MazÄkiem uzÅÄmumiem var bÅ«t grÅ«ti atrast resursus, ko izpirkt. Å ajÄ gadÄ«jumÄ ir lietderÄ«gi uzticÄt Å”o procesu ÄrÄjam darbuzÅÄmÄjam.
Red Teaming: ieteikumi
OptimÄlais redtiming laiks un biežums ir atkarÄ«gs no nozares, kurÄ strÄdÄjat, un jÅ«su kiberdroŔības rÄ«ku brieduma.
Jo Ä«paÅ”i jums vajadzÄtu bÅ«t automatizÄtÄm darbÄ«bÄm, piemÄram, lÄ«dzekļu izpÄtei un ievainojamÄ«bas analÄ«zei. JÅ«su organizÄcijai ir arÄ« jÄapvieno automatizÄtÄ tehnoloÄ£ija ar cilvÄka uzraudzÄ«bu, regulÄri veicot pilnu iespieÅ”anÄs testÄÅ”anu.
Pabeidzot vairÄkus iespieÅ”anÄs pÄrbaudes biznesa ciklus un atklÄjot ievainojamÄ«bas, varat pÄriet uz reÄla uzbrukuma sarežģītu simulÄciju. Å ajÄ posmÄ redtiming sniegs jums taustÄmus ieguvumus. TomÄr, mÄÄ£inot to izdarÄ«t, pirms esat ieviesis kiberdroŔības pamatus, taustÄmus rezultÄtus nedos.
BaltÄs cepures komanda, visticamÄk, spÄs tik Ätri un viegli apdraudÄt nesagatavotu sistÄmu, ka jÅ«s saÅemat pÄrÄk maz informÄcijas, lai veiktu turpmÄkas darbÄ«bas. Lai panÄktu reÄlu efektu, "sarkanÄs komandas" iegÅ«tÄ informÄcija ir jÄsalÄ«dzina ar iepriekÅ”Äjiem iespieÅ”anÄs testiem un ievainojamÄ«bas novÄrtÄjumiem.
Kas ir iespieÅ”anÄs pÄrbaude?
Bieži tiek sajaukta sarežģīta reÄla uzbrukuma imitÄcija (Red Teaming). iespieÅ”anÄs pÄrbaude (pentests), taÄu abas metodes nedaudz atŔķiras. PrecÄ«zÄk, iespieÅ”anÄs pÄrbaude ir tikai viena no redtiming metodÄm.
Pentestera loma labi definÄts. Pentesteru darbs ir sadalÄ«ts Äetros galvenajos posmos: plÄnoÅ”ana, informÄcijas atklÄÅ”ana, uzbrukums un ziÅoÅ”ana. KÄ redzat, pieteicÄji dara vairÄk, nekÄ tikai meklÄ programmatÅ«ras ievainojamÄ«bas. ViÅi cenÅ”as iejusties hakeru vietÄ, un, tiklÄ«dz viÅi nonÄk jÅ«su sistÄmÄ, sÄkas viÅu Ä«stais darbs.
ViÅi atklÄj ievainojamÄ«bas un pÄc tam veic jaunus uzbrukumus, pamatojoties uz saÅemto informÄciju, pÄrvietojoties pa mapju hierarhiju. Tas atŔķir iespieÅ”anÄs pÄrbaudÄ«tÄjus no tiem, kas tiek nolÄ«gti tikai ievainojamÄ«bu atraÅ”anai, izmantojot portu skenÄÅ”anas programmatÅ«ru vai vÄ«rusu noteikÅ”anu. PieredzÄjis pentesters var noteikt:
kur hakeri var virzīt savu uzbrukumu;
veids, kÄdÄ hakeri uzbruks;
KÄ uzvedÄ«sies tava aizsardzÄ«ba?
iespÄjamo pÄrkÄpuma apjomu.
IespieÅ”anÄs testÄÅ”ana ir vÄrsta uz vÄjo vietu identificÄÅ”anu lietojumprogrammas un tÄ«kla lÄ«menÄ«, kÄ arÄ« iespÄjas pÄrvarÄt fiziskÄs droŔības barjeras. Lai gan automatizÄtÄ testÄÅ”ana var atklÄt dažas kiberdroŔības problÄmas, manuÄlÄ iespieÅ”anÄs pÄrbaude Åem vÄrÄ arÄ« uzÅÄmuma neaizsargÄtÄ«bu pret uzbrukumiem.
Red Teaming vs. iespieÅ”anÄs pÄrbaude
NeapÅ”aubÄmi, iespieÅ”anÄs pÄrbaude ir svarÄ«ga, taÄu tÄ ir tikai viena daļa no visas redtiming darbÄ«bu sÄrijas. "SarkanÄs komandas" aktivitÄtÄm ir daudz plaÅ”Äki mÄrÄ·i nekÄ pentesteriem, kuri bieži vien cenÅ”as vienkÄrÅ”i piekļūt tÄ«klam. Redteaming bieži vien ir saistÄ«ts ar vairÄk cilvÄku, resursu un laika, jo sarkanÄ komanda veic dziļu darbu, lai pilnÄ«bÄ izprastu patieso riska un neaizsargÄtÄ«bas lÄ«meni tehnoloÄ£ijÄs un organizÄcijas cilvÄkresursos un fiziskajos resursos.
TurklÄt ir arÄ« citas atŔķirÄ«bas. Redtiming parasti izmanto organizÄcijas ar nobrieduÅ”Äkiem un uzlabotiem kiberdroŔības pasÄkumiem (lai gan praksÄ tas ne vienmÄr notiek).
Parasti tie ir uzÅÄmumi, kas jau ir veikuÅ”i iespieÅ”anÄs pÄrbaudi un novÄrsuÅ”i lielÄko daļu atrasto ievainojamÄ«bu, un tagad meklÄ kÄdu, kas varÄtu mÄÄ£inÄt vÄlreiz piekļūt sensitÄ«vai informÄcijai vai jebkÄdÄ veidÄ pÄrkÄpt aizsardzÄ«bu.
TÄpÄc redtiming paļaujas uz droŔības ekspertu komandu, kas koncentrÄjas uz konkrÄtu mÄrÄ·i. Tie ir vÄrsti uz iekÅ”ÄjÄm ievainojamÄ«bÄm un organizÄcijas darbiniekiem izmanto gan elektroniskas, gan fiziskas sociÄlÄs inženierijas metodes. AtŔķirÄ«bÄ no pentesteriem, sarkanÄs komandas savu uzbrukumu laikÄ velta laiku, vÄloties izvairÄ«ties no atklÄÅ”anas, kÄ to darÄ«tu Ä«sts kibernoziedznieks.
Red Teaming priekŔrocības
Sarežģītai reÄlu uzbrukumu simulÄcijai ir daudz priekÅ”rocÄ«bu, taÄu vissvarÄ«gÄkais ir tas, ka Ŕī pieeja ļauj iegÅ«t visaptveroÅ”u priekÅ”statu par organizÄcijas kiberdroŔības lÄ«meni. Tipisks simulÄts uzbrukuma process no gala lÄ«dz galam ietver iespieÅ”anÄs testÄÅ”anu (tÄ«kls, lietojumprogramma, mobilais tÄlrunis un cita ierÄ«ce), sociÄlo inženieriju (tieÅ”raide uz vietas, tÄlruÅa zvani, e-pasts vai Ä«sziÅas un tÄrzÄÅ”ana) un fizisku ielauÅ”anos. ( slÄdzeÅu lauÅ”ana, droŔības kameru miruÅ”o zonu noteikÅ”ana, brÄ«dinÄÅ”anas sistÄmu apieÅ”ana). Ja kÄdÄ no Å”iem jÅ«su sistÄmas aspektiem ir ievainojamÄ«bas, tÄs tiks atrastas.
Kad ievainojamÄ«bas ir atrastas, tÄs var novÄrst. EfektÄ«va uzbrukuma simulÄcijas procedÅ«ra nebeidzas ar ievainojamÄ«bu atklÄÅ”anu. Kad droŔības trÅ«kumi ir skaidri identificÄti, jÅ«s vÄlÄsities strÄdÄt pie to novÄrÅ”anas un atkÄrtotas pÄrbaudes. Faktiski reÄlais darbs parasti sÄkas pÄc sarkanÄs komandas ielauÅ”anÄs, kad veicat kriminÄlistikas analÄ«zi uzbrukumÄ un mÄÄ£inot mazinÄt atrastÄs ievainojamÄ«bas.
Papildus Ŕīm divÄm galvenajÄm priekÅ”rocÄ«bÄm redtiming piedÄvÄ arÄ« vairÄkas citas priekÅ”rocÄ«bas. TÄtad "sarkanÄ komanda" var:
identificÄt riskus un ievainojamÄ«bas pret uzbrukumiem galvenajos biznesa informÄcijas aktÄ«vos;
simulÄt reÄlu uzbrucÄju metodes, taktiku un procedÅ«ras vidÄ ar ierobežotu un kontrolÄtu risku;
NovÄrtÄjiet savas organizÄcijas spÄju atklÄt, reaÄ£Ät un novÄrst sarežģītus, mÄrÄ·tiecÄ«gus draudus;
Veiciniet cieÅ”u sadarbÄ«bu ar droŔības departamentiem un zilajÄm komandÄm, lai nodroÅ”inÄtu bÅ«tisku seku mazinÄÅ”anu un rÄ«kotu visaptveroÅ”us praktiskus seminÄrus pÄc atklÄtajÄm ievainojamÄ«bÄm.
KÄ darbojas Red Teaming?
Lielisks veids, kÄ saprast, kÄ darbojas redtiming, ir aplÅ«kot, kÄ tas parasti darbojas. Parastais kompleksÄ uzbrukuma simulÄcijas process sastÄv no vairÄkiem posmiem:
OrganizÄcija vienojas ar "sarkano komandu" (iekÅ”Äjo vai ÄrÄjo) par uzbrukuma mÄrÄ·i. PiemÄram, Å”Äds mÄrÄ·is varÄtu bÅ«t sensitÄ«vas informÄcijas izgÅ«Å”ana no konkrÄta servera.
PÄc tam "sarkanÄ komanda" veic mÄrÄ·a izlÅ«koÅ”anu. RezultÄts ir mÄrÄ·a sistÄmu diagramma, tostarp tÄ«kla pakalpojumi, tÄ«mekļa lietojumprogrammas un iekÅ”Äjie darbinieku portÄli. .
PÄc tam mÄrÄ·a sistÄmÄ tiek meklÄtas ievainojamÄ«bas, kuras parasti tiek ieviestas, izmantojot pikŔķerÄÅ”anas vai XSS uzbrukumus. .
Kad piekļuves marÄ·ieri ir iegÅ«ti, sarkanÄ komanda tos izmanto, lai izmeklÄtu turpmÄkÄs ievainojamÄ«bas. .
Kad tiks atklÄtas citas ievainojamÄ«bas, "sarkanÄ komanda" centÄ«sies palielinÄt savu piekļuves lÄ«meni lÄ«dz mÄrÄ·a sasniegÅ”anai nepiecieÅ”amajam lÄ«menim. .
Piekļūstot mÄrÄ·a datiem vai Ä«paÅ”umam, uzbrukuma uzdevums tiek uzskatÄ«ts par pabeigtu.
Faktiski pieredzÄjis sarkanÄs komandas speciÄlists izmantos ļoti daudz dažÄdu metožu, lai veiktu katru no Ŕīm darbÄ«bÄm. TomÄr galvenÄ atziÅa no iepriekÅ” minÄtÄ piemÄra ir tÄda, ka nelielas atseviŔķu sistÄmu ievainojamÄ«bas var pÄrvÄrsties par katastrofÄlÄm kļūmÄm, ja tÄs tiek savienotas kopÄ.
Kas jÄÅem vÄrÄ, runÄjot par "sarkano komandu"?
Lai maksimÄli izmantotu redtiming, jums rÅ«pÄ«gi jÄsagatavojas. Katras organizÄcijas izmantotÄs sistÄmas un procesi ir atŔķirÄ«gi, un redtiming kvalitÄtes lÄ«menis tiek sasniegts, ja tÄ mÄrÄ·is ir atrast jÅ«su sistÄmÄs ievainojamÄ«bas. Å Ä« iemesla dÄļ ir svarÄ«gi Åemt vÄrÄ vairÄkus faktorus:
Ziniet, ko meklÄjat
PirmkÄrt, ir svarÄ«gi saprast, kuras sistÄmas un procesus vÄlaties pÄrbaudÄ«t. IespÄjams, jÅ«s zinÄt, ka vÄlaties pÄrbaudÄ«t tÄ«mekļa lietojumprogrammu, bet Ä«sti labi nesaprotat, ko tÄ Ä«sti nozÄ«mÄ un kÄdas citas sistÄmas ir integrÄtas jÅ«su tÄ«mekļa lietojumprogrammÄs. TÄpÄc ir svarÄ«gi, lai jÅ«s labi izprastu savas sistÄmas un novÄrstu visas acÄ«mredzamÄs ievainojamÄ«bas, pirms sÄkat sarežģītu reÄla uzbrukuma simulÄciju.
ZinÄt savu tÄ«klu
Tas ir saistÄ«ts ar iepriekÅ”Äjo ieteikumu, bet vairÄk attiecas uz jÅ«su tÄ«kla tehniskajiem parametriem. Jo labÄk varÄsit kvantificÄt savu testÄÅ”anas vidi, jo precÄ«zÄka un konkrÄtÄka bÅ«s jÅ«su sarkanÄ komanda.
ZinÄt savu budžetu
Redtiming var tikt veikts dažÄdos lÄ«meÅos, taÄu visa veida uzbrukumu simulÄÅ”ana jÅ«su tÄ«klam, tostarp sociÄlÄs inženierijas un fiziskas ielauÅ”anÄs, var bÅ«t dÄrga. Å Ä« iemesla dÄļ ir svarÄ«gi saprast, cik daudz jÅ«s varat tÄrÄt Å”Ädai pÄrbaudei, un attiecÄ«gi izklÄstÄ«t tÄ apjomu.
Ziniet savu riska līmeni
Dažas organizÄcijas var paciest diezgan augstu riska lÄ«meni kÄ daļu no to standarta uzÅÄmÄjdarbÄ«bas procedÅ«rÄm. Citiem bÅ«s jÄierobežo savs riska lÄ«menis daudz lielÄkÄ mÄrÄ, Ä«paÅ”i, ja uzÅÄmums darbojas stingri regulÄtÄ nozarÄ. TÄpÄc, veicot redtiming, ir svarÄ«gi koncentrÄties uz riskiem, kas patieÅ”Äm apdraud jÅ«su biznesu.
SarkanÄ komanda: rÄ«ki un taktika
Ja tas tiks pareizi ieviests, "sarkanÄ komanda" veiks pilna mÄroga uzbrukumu jÅ«su tÄ«kliem, izmantojot visus hakeru izmantotos rÄ«kus un metodes. Cita starpÄ tas ietver:
Lietojumprogrammu iespieÅ”anÄs pÄrbaude - mÄrÄ·is ir identificÄt vÄjÄs vietas lietojumprogrammu lÄ«menÄ«, piemÄram, starpvietÅu pieprasÄ«jumu viltoÅ”anu, datu ievades trÅ«kumus, vÄju sesiju pÄrvaldÄ«bu un daudzas citas.
TÄ«kla caurlaidÄ«bas pÄrbaude - mÄrÄ·is ir identificÄt vÄjÄs vietas tÄ«kla un sistÄmas lÄ«menÄ«, tostarp nepareizas konfigurÄcijas, bezvadu tÄ«kla ievainojamÄ«bas, nesankcionÄtus pakalpojumus un daudz ko citu.
FiziskÄ iespieÅ”anÄs pÄrbaude ā pÄrbaudÄ«t fiziskÄs droŔības kontroles efektivitÄti, kÄ arÄ« stiprÄs un vÄjÄs puses reÄlajÄ dzÄ«vÄ.
sociÄlÄ inženierija - mÄrÄ·is ir izmantot cilvÄku un cilvÄka dabas vÄjÄs vietas, pÄrbaudot cilvÄku uzÅÄmÄ«bu pret maldinÄÅ”anu, pÄrliecinÄÅ”anu un manipulÄcijÄm, izmantojot pikŔķerÄÅ”anas e-pastus, tÄlruÅa zvanus un Ä«sziÅas, kÄ arÄ« fizisku kontaktu uz vietas.
Visi iepriekÅ” minÄtie ir redtiming komponenti. TÄ ir pilnÄ«ga, daudzslÄÅu uzbrukuma simulÄcija, kas izstrÄdÄta, lai noteiktu, cik labi jÅ«su cilvÄki, tÄ«kli, lietojumprogrammas un fiziskÄs droŔības kontroles spÄj izturÄt reÄla uzbrucÄja uzbrukumu.
Red Teaming metožu nepÄrtraukta attÄ«stÄ«ba
ReÄlu uzbrukumu sarežģītÄs simulÄcijas bÅ«tÄ«ba, kurÄ sarkanÄs komandas cenÅ”as atrast jaunas droŔības ievainojamÄ«bas un zilÄs komandas mÄÄ£ina tÄs novÄrst, noved pie pastÄvÄ«gas Å”Ädu pÄrbaužu metožu izstrÄdes. Å Ä« iemesla dÄļ ir grÅ«ti sastÄdÄ«t jaunÄko moderno redtiming metožu sarakstu, jo tÄs Ätri noveco.
TÄpÄc lielÄkÄ daļa redteamers vismaz daļu sava laika pavadÄ«s, lai uzzinÄtu par jaunÄm ievainojamÄ«bÄm un tÄs izmantotu, izmantojot daudzos resursus, ko nodroÅ”ina sarkanÄs komandas kopiena. Å eit ir populÄrÄkÄs no Ŕīm kopienÄm:
Pentestera akadÄmija ir abonÄÅ”anas pakalpojums, kas piedÄvÄ tieÅ”saistes video kursus, kas galvenokÄrt ir vÄrsti uz iespieÅ”anÄs testÄÅ”anu, kÄ arÄ« kursus par operÄtÄjsistÄmu kriminÄlistikas, sociÄlÄs inženierijas uzdevumiem un informÄcijas droŔības montÄžas valodu.
Vincents Juju ir "aizvainojoÅ”s kiberdroŔības operators", kas regulÄri raksta emuÄrus par metodÄm reÄlu uzbrukumu sarežģītai simulÄcijai un ir labs jaunu pieeju avots.
Twitter ir arÄ« labs avots, ja meklÄjat jaunÄko redtiming informÄciju. To var atrast ar hashtagiem #redkomanda Šø #redteaming.
Ikdienas malks ir tÄ«mekļa droŔības biļetens, ko sponsorÄ PortSwigger Web Security. Å is ir labs resurss, lai uzzinÄtu par jaunÄkajiem sasniegumiem un jaunumiem redtiming jomÄ ā uzlauÅ”anu, datu noplÅ«di, ļaunprÄtÄ«gu izmantoÅ”anu, tÄ«mekļa lietojumprogrammu ievainojamÄ«bu un jaunÄm droŔības tehnoloÄ£ijÄm.
Florians Hansemans ir balto cepuru hakeris un iespieÅ”anÄs pÄrbaudÄ«tÄjs, kurÅ” regulÄri pievÄrÅ”as jaunÄm sarkanÄs komandas taktikai emuÄra ziÅa.
MWR labs ir labs, kaut arÄ« ÄrkÄrtÄ«gi tehnisks, redtiming ziÅu avots. Tie ir noderÄ«gi sarkanajÄm komandÄm DarbarÄ«kiun viÅu Twitter plÅ«sma satur padomus, kÄ atrisinÄt problÄmas, ar kurÄm saskaras droŔības pÄrbaudÄ«tÄji.
Emads Å anabs - AdvokÄts un "baltais hakeris". ViÅa Twitter plÅ«smÄ ir āsarkanajÄm komandÄmā noderÄ«gas metodes, piemÄram, SQL injekciju rakstÄ«Å”ana un OAuth marÄ·ieru viltoÅ”ana.
Hakeru rokasgrÄmata ir ceļvedis hakeriem, kas, lai arÄ« diezgan vecs, aptver daudzas pamata metodes, kas joprojÄm ir Ä«stu uzbrukumu sarežģītas imitÄcijas pamatÄ. Ir arÄ« autoram PÄ«teram Kimam Twitter plÅ«sma, kurÄ viÅÅ” piedÄvÄ uzlauÅ”anas padomus un citu informÄciju.
SANS institÅ«ts ir vÄl viens nozÄ«mÄ«gs kiberdroŔības mÄcÄ«bu materiÄlu nodroÅ”inÄtÄjs. ViÅu Twitter plÅ«smaTas ir vÄrsts uz digitÄlo kriminÄlistiku un reaÄ£ÄÅ”anu uz incidentiem, un tajÄ ir ietvertas jaunÄkÄs ziÅas par SANS kursiem un ekspertu praktiÄ·u padomi.
Dažas no interesantÄkajÄm ziÅÄm par redtiming ir publicÄtas SarkanÄs komandas žurnÄls. Ir uz tehnoloÄ£ijÄm vÄrsti raksti, piemÄram, Red Teaming salÄ«dzinÄÅ”ana ar iespieÅ”anÄs testÄÅ”anu, kÄ arÄ« analÄ«tiski raksti, piemÄram, SarkanÄs komandas speciÄlista manifests.
Visbeidzot, Awesome Red Teaming ir GitHub kopiena, kas piedÄvÄ Ä¼oti detalizÄts saraksts resursi, kas veltÄ«ti Red Teaming. Tas aptver gandrÄ«z visus sarkanÄs komandas darbÄ«bu tehniskos aspektus, sÄkot no sÄkotnÄjÄs piekļuves iegÅ«Å”anas, ļaunprÄtÄ«gu darbÄ«bu veikÅ”anas un beidzot ar datu apkopoÅ”anu un izvilkÅ”anu.
"ZilÄ komanda" - kas tas ir?
Ar tik daudzÄm daudzkrÄsainÄm komandÄm var bÅ«t grÅ«ti izdomÄt, kÄds veids ir nepiecieÅ”ams jÅ«su organizÄcijai.
Viena alternatÄ«va sarkanajai komandai un, konkrÄtÄk, cita veida komanda, ko var izmantot kopÄ ar sarkano komandu, ir zilÄ komanda. ZilÄ komanda arÄ« novÄrtÄ tÄ«kla droŔību un identificÄ visas iespÄjamÄs infrastruktÅ«ras ievainojamÄ«bas. TomÄr viÅai ir cits mÄrÄ·is. Å Äda veida komandas ir vajadzÄ«gas, lai atrastu veidus, kÄ aizsargÄt, mainÄ«t un pÄrgrupÄt aizsardzÄ«bas mehÄnismus, lai reaÄ£ÄÅ”ana uz incidentiem bÅ«tu daudz efektÄ«vÄka.
TÄpat kÄ sarkanajai komandai, arÄ« zilajai komandai ir jÄbÅ«t tÄdÄm paÅ”Äm zinÄÅ”anÄm par uzbrucÄju taktiku, paÅÄmieniem un procedÅ«rÄm, lai uz tÄm balstÄ«tos atbildes stratÄÄ£ijas. TaÄu zilÄs komandas pienÄkumi neaprobežojas tikai ar aizsardzÄ«bu pret uzbrukumiem. Tas ir iesaistÄ«ts arÄ« visas droŔības infrastruktÅ«ras stiprinÄÅ”anÄ, izmantojot, piemÄram, ielauÅ”anÄs atklÄÅ”anas sistÄmu (IDS), kas nodroÅ”ina nepÄrtrauktu neparastu un aizdomÄ«gu darbÄ«bu analÄ«zi.
TÄlÄk ir norÄdÄ«tas dažas darbÄ«bas, ko veic "zilÄ komanda".
droŔības audits, jo īpaŔi DNS audits;
žurnÄlu un atmiÅas analÄ«ze;
tīkla datu pakeŔu analīze;
riska datu analīze;
digitÄlÄ pÄdas nospieduma analÄ«ze;
reversÄ inženierija;
DDoS testÄÅ”ana;
riska Ä«stenoÅ”anas scenÄriju izstrÄde.
AtŔķirÄ«bas starp sarkanajÄm un zilajÄm komandÄm
DaudzÄm organizÄcijÄm bieži uzdots jautÄjums, kuru komandu vajadzÄtu izmantot, sarkanu vai zilu. Å o jautÄjumu bieži pavada arÄ« draudzÄ«gs naids starp cilvÄkiem, kuri strÄdÄ "barikÄžu pretÄjÄs pusÄs". PatiesÄ«bÄ nevienai komandai nav jÄgas bez otras. TÄtad pareizÄ atbilde uz Å”o jautÄjumu ir tÄda, ka abas komandas ir svarÄ«gas.
SarkanÄ komanda uzbrÅ«k un tiek izmantota, lai pÄrbaudÄ«tu ZilÄs komandas gatavÄ«bu aizsargÄties. Dažreiz sarkanÄ komanda var atrast ievainojamÄ«bas, kuras zilÄ komanda ir pilnÄ«bÄ neievÄrojusi, un tÄdÄ gadÄ«jumÄ sarkanajai komandai ir jÄparÄda, kÄ Å”Ä«s ievainojamÄ«bas var novÄrst.
Ir ļoti svarÄ«gi, lai abas komandas sadarbotos pret kibernoziedzniekiem, lai stiprinÄtu informÄcijas droŔību.
Å Ä« iemesla dÄļ nav jÄgas izvÄlÄties tikai vienu pusi vai ieguldÄ«t tikai viena veida komandÄ. Ir svarÄ«gi atcerÄties, ka abu puÅ”u mÄrÄ·is ir novÄrst kibernoziegumus.
Citiem vÄrdiem sakot, uzÅÄmumiem ir jÄveido savstarpÄja abu komandu sadarbÄ«ba, lai nodroÅ”inÄtu visaptveroÅ”u auditu - ar visu veikto uzbrukumu un pÄrbaužu žurnÄliem, atklÄto funkciju ierakstiem.
"SarkanÄ komanda" sniedz informÄciju par operÄcijÄm, ko viÅi veica simulÄtÄ uzbrukuma laikÄ, bet zilÄ komanda sniedz informÄciju par darbÄ«bÄm, ko viÅi veica, lai aizpildÄ«tu nepilnÄ«bas un novÄrstu atrastÄs ievainojamÄ«bas.
Abu komandu nozÄ«mi nevar nenovÄrtÄt. Bez pastÄvÄ«giem droŔības auditiem, iespieÅ”anÄs testÄÅ”anas un infrastruktÅ«ras uzlabojumiem uzÅÄmumi nezinÄtu savas droŔības stÄvokli. Vismaz lÄ«dz brÄ«dim, kad dati tiek nopludinÄti un kļūst sÄpÄ«gi skaidrs, ka droŔības pasÄkumi nebija pietiekami.
Kas ir violeta komanda?
"PurpurÄ komanda" radÄs no mÄÄ£inÄjumiem apvienot sarkano un zilo komandu. Purpura komanda ir vairÄk jÄdziens nekÄ atseviŔķs komandas veids. To vislabÄk var uzskatÄ«t par sarkano un zilo komandu kombinÄciju. ViÅa iesaista abas komandas, palÄ«dzot tÄm strÄdÄt kopÄ.
Purple komanda var palÄ«dzÄt droŔības komandÄm uzlabot ievainojamÄ«bu noteikÅ”anu, draudu atklÄÅ”anu un tÄ«kla uzraudzÄ«bu, precÄ«zi modelÄjot izplatÄ«tÄkos draudu scenÄrijus un palÄ«dzot izveidot jaunas draudu noteikÅ”anas un novÄrÅ”anas metodes.
Dažas organizÄcijas izmanto Purple Team vienreizÄjÄm mÄrÄ·tiecÄ«gÄm aktivitÄtÄm, kas skaidri nosaka droŔības mÄrÄ·us, termiÅus un galvenos rezultÄtus. Tas ietver vÄjo vietu atpazÄ«Å”anu uzbrukumÄ un aizsardzÄ«bÄ, kÄ arÄ« turpmÄko apmÄcÄ«bu un tehnoloÄ£iju prasÄ«bu noteikÅ”anu.
AlternatÄ«va pieeja, kas Å”obrÄ«d kļūst arvien populÄrÄka, ir uzlÅ«kot Purple Team kÄ vizionÄru modeli, kas darbojas visÄ organizÄcijÄ, lai palÄ«dzÄtu izveidot un nepÄrtraukti uzlabot kiberdroŔības kultÅ«ru.
SecinÄjums
Red Teaming jeb kompleksÄ uzbrukuma simulÄcija ir spÄcÄ«gs paÅÄmiens organizÄcijas droŔības ievainojamÄ«bu pÄrbaudei, taÄu tas jÄizmanto uzmanÄ«gi. Jo Ä«paÅ”i, lai to izmantotu, jums ir jÄbÅ«t pietiekami daudz uzlaboti informÄcijas droŔības aizsardzÄ«bas lÄ«dzekļiPretÄjÄ gadÄ«jumÄ viÅÅ” var neattaisnot uz viÅu liktÄs cerÄ«bas.
Redtiming var atklÄt jÅ«su sistÄmas ievainojamÄ«bas, par kurÄm jÅ«s pat nezinÄjÄt, ka tÄs pastÄv, un palÄ«dzÄt tÄs novÄrst. Izmantojot pretrunÄ«gu pieeju starp zilajÄm un sarkanajÄm komandÄm, varat simulÄt, ko darÄ«tu Ä«sts hakeris, ja viÅÅ” vÄlÄtos nozagt jÅ«su datus vai sabojÄt jÅ«su Ä«paÅ”umus.