ProHoster > blog > administratie > Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen
Bron: Acunetix

Red Teaming (red team attack) is een complexe simulatie van echte aanvallen om de cyberveiligheid van systemen te beoordelen. Het rode team is een groep pentesters (specialisten die een penetratietest in het systeem uitvoeren). Ze kunnen van buitenaf worden ingehuurd of van werknemers van uw organisatie, maar in alle gevallen is hun rol hetzelfde: de acties van indringers nabootsen en proberen uw systeem binnen te dringen.

Naast de "rode teams" in cybersecurity zijn er nog een aantal andere. Het Blue Team werkt bijvoorbeeld samen met het Red Team, maar zijn activiteiten zijn gericht op het verbeteren van de beveiliging van de systeeminfrastructuur van binnenuit. Het Purple Team is de schakel en helpt de andere twee teams bij het ontwikkelen van aanvalsstrategieën en verdedigingen. Redtiming is echter een van de minst begrepen methoden om cyberbeveiliging te beheren, en veel organisaties blijven terughoudend om deze praktijk toe te passen.
In dit artikel leggen we in detail uit wat er achter het concept van Red Teaming schuilgaat en hoe de implementatie van complexe simulatiepraktijken van echte aanvallen kan helpen de beveiliging van uw organisatie te verbeteren. Het doel van dit artikel is om te laten zien hoe deze methode de beveiliging van uw informatiesystemen aanzienlijk kan verhogen.

Red Teaming-overzicht

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Hoewel in onze tijd de "rode" en "blauwe" teams voornamelijk worden geassocieerd met informatietechnologie en cyberbeveiliging, zijn deze concepten bedacht door het leger. Over het algemeen was het in het leger dat ik voor het eerst over deze concepten hoorde. Werken als cybersecurity-analist in de jaren tachtig was heel anders dan nu: de toegang tot versleutelde computersystemen was veel beperkter dan nu.

Verder leek mijn eerste ervaring met oorlogsspellen - simulatie, simulatie en interactie - erg op het huidige complexe aanvalssimulatieproces, dat zijn weg heeft gevonden naar cyberbeveiliging. Net als nu werd er veel aandacht besteed aan het gebruik van social engineering-methoden om werknemers te overtuigen de 'vijand' ongeoorloofde toegang tot militaire systemen te geven. Hoewel de technische methoden van aanvalssimulatie sinds de jaren 80 aanzienlijk zijn verbeterd, is het daarom vermeldenswaard dat veel van de belangrijkste tools van de vijandige benadering, en met name social engineering-technieken, grotendeels platformonafhankelijk zijn.

Ook de kernwaarde van complexe imitatie van echte aanvallen is sinds de jaren 80 niet veranderd. Door een aanval op uw systemen te simuleren, kunt u gemakkelijker kwetsbaarheden ontdekken en begrijpen hoe deze kunnen worden misbruikt. En terwijl redteaming vroeger voornamelijk werd gebruikt door white hat-hackers en cyberbeveiligingsprofessionals die op zoek waren naar kwetsbaarheden door middel van penetratietesten, wordt het nu op grotere schaal gebruikt in cyberbeveiliging en het bedrijfsleven.

De sleutel tot redtiming is te begrijpen dat u pas echt een idee kunt krijgen van de veiligheid van uw systemen als ze worden aangevallen. En in plaats van jezelf het risico te geven aangevallen te worden door echte aanvallers, is het veel veiliger om zo'n aanval te simuleren met een rood commando.

Red Teaming: use-cases

Een gemakkelijke manier om de basisprincipes van redtiming te begrijpen, is door naar een paar voorbeelden te kijken. Hier zijn er twee:

  • Scenario 1. Stel je voor dat een klantenservicesite is gepentest en met succes is getest. Het lijkt erop dat dit suggereert dat alles in orde is. Later, tijdens een complexe schijnaanval, ontdekt het rode team echter dat hoewel de klantenservice-app zelf in orde is, de chatfunctie van derden mensen niet nauwkeurig kan identificeren, en dit maakt het mogelijk om vertegenwoordigers van de klantenservice te misleiden om hun e-mailadres te wijzigen in het account (waardoor een nieuwe persoon, een aanvaller, toegang kan krijgen).
  • Scenario 2. Als resultaat van pentesting bleken alle VPN- en externe toegangscontroles veilig te zijn. Maar dan loopt de vertegenwoordiger van het "rode team" vrijelijk langs de registratiebalie en pakt de laptop van een van de medewerkers.

In beide bovengenoemde gevallen controleert het "rode team" niet alleen de betrouwbaarheid van elk afzonderlijk systeem, maar ook het gehele systeem als geheel op zwakke punten.

Wie heeft complexe aanvalssimulatie nodig?

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Kortom, bijna elk bedrijf kan profiteren van redtiming. Zoals getoond in ons Global Data Risk Report 2019., heeft een angstaanjagend groot aantal organisaties de valse overtuiging volledige controle te hebben over hun gegevens. We ontdekten bijvoorbeeld dat gemiddeld 22% van de mappen van een bedrijf beschikbaar is voor elke werknemer en dat 87% van de bedrijven meer dan 1000 verouderde gevoelige bestanden op hun systemen heeft staan.

Als uw bedrijf niet in de tech-industrie zit, lijkt het misschien niet dat redtiming u veel goed zal doen. Maar dat is het niet. Cybersecurity gaat niet alleen over het beschermen van vertrouwelijke informatie.

Kwaadwillenden proberen evenzeer technologieën te bemachtigen, ongeacht de activiteitssfeer van het bedrijf. Ze kunnen bijvoorbeeld proberen toegang te krijgen tot uw netwerk om hun acties om een ​​ander systeem of netwerk elders in de wereld over te nemen, te verbergen. Bij dit type aanval hebben de aanvallers uw gegevens niet nodig. Ze willen uw computers infecteren met malware om met hun hulp uw systeem in een groep botnets te veranderen.

Voor kleinere bedrijven kan het moeilijk zijn om middelen te vinden om in te wisselen. In dit geval is het zinvol om dit proces toe te vertrouwen aan een externe aannemer.

Red Teaming: aanbevelingen

De optimale tijd en frequentie voor redtiming hangt af van de sector waarin u werkt en de volwassenheid van uw cyberbeveiligingstools.

U moet met name geautomatiseerde activiteiten hebben, zoals het verkennen van bedrijfsmiddelen en het analyseren van kwetsbaarheden. Uw organisatie moet ook geautomatiseerde technologie combineren met menselijk toezicht door regelmatig volledige penetratietesten uit te voeren.
Na het voltooien van verschillende bedrijfscycli van penetratietesten en het vinden van kwetsbaarheden, kunt u overgaan tot een complexe simulatie van een echte aanval. In dit stadium levert redtiming u tastbare voordelen op. Als u dit echter probeert te doen voordat u de basisprincipes van cyberbeveiliging op orde heeft, levert dit geen tastbare resultaten op.

Een white hat-team kan een onvoorbereid systeem zo snel en gemakkelijk in gevaar brengen dat u te weinig informatie krijgt om verdere actie te ondernemen. Om echt effect te hebben, moet de informatie verkregen door het "rode team" worden vergeleken met eerdere penetratietesten en kwetsbaarheidsbeoordelingen.

Wat is penetratietesten?

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Complexe imitatie van een echte aanval (Red Teaming) wordt vaak verward met penetratietesten (pentest), maar de twee methoden zijn iets anders. Preciezer gezegd, penetratietesten zijn slechts één van de redtiming-methoden.

De rol van een pentester goed gedefinieerd. Het werk van pentesters is verdeeld in vier hoofdfasen: planning, informatieontdekking, aanval en rapportage. Zoals u kunt zien, doen pentesters meer dan alleen zoeken naar softwarekwetsbaarheden. Ze proberen zichzelf in de schoenen van hackers te plaatsen en zodra ze uw systeem binnendringen, begint hun echte werk.

Ze ontdekken kwetsbaarheden en voeren vervolgens nieuwe aanvallen uit op basis van de ontvangen informatie, waarbij ze zich door de mappenhiërarchie bewegen. Dit is wat penetratietesters onderscheidt van degenen die alleen worden ingehuurd om kwetsbaarheden te vinden, met behulp van poortscansoftware of virusdetectie. Een ervaren pentester kan bepalen:

  • waar hackers hun aanval kunnen richten;
  • de manier waarop de hackers zullen aanvallen;
  • Hoe zal je verdediging zich gedragen?
  • mogelijke omvang van de inbreuk.

Penetratietesten richten zich op het identificeren van zwakheden op applicatie- en netwerkniveau, evenals op mogelijkheden om fysieke beveiligingsbarrières te overwinnen. Hoewel geautomatiseerd testen enkele cyberbeveiligingsproblemen aan het licht kan brengen, houden handmatige penetratietesten ook rekening met de kwetsbaarheid van een bedrijf voor aanvallen.

Red Teaming vs. penetratie testen

Penetratietesten zijn ongetwijfeld belangrijk, maar het is slechts een onderdeel van een hele reeks redtiming-activiteiten. De activiteiten van het "rode team" hebben veel bredere doelen dan die van pentesters, die vaak eenvoudig toegang tot het netwerk proberen te krijgen. Bij redteaming zijn vaak meer mensen, middelen en tijd nodig, terwijl het rode team diep graaft om het werkelijke niveau van risico's en kwetsbaarheden in technologie en de menselijke en fysieke middelen van de organisatie volledig te begrijpen.

Daarnaast zijn er nog andere verschillen. Redtiming wordt doorgaans gebruikt door organisaties met meer volwassen en geavanceerde cyberbeveiligingsmaatregelen (hoewel dit in de praktijk niet altijd het geval is).

Dit zijn meestal bedrijven die al penetratietesten hebben uitgevoerd en de meeste gevonden kwetsbaarheden hebben verholpen en nu op zoek zijn naar iemand die opnieuw kan proberen toegang te krijgen tot gevoelige informatie of de beveiliging op enigerlei wijze kan doorbreken.
Daarom vertrouwt redtiming op een team van beveiligingsexperts dat zich op een specifiek doel richt. Ze richten zich op interne kwetsbaarheden en gebruiken zowel elektronische als fysieke technieken voor social engineering op de werknemers van de organisatie. In tegenstelling tot pentesters nemen rode teams de tijd tijdens hun aanvallen en willen ze detectie vermijden zoals een echte cybercrimineel dat zou doen.

Voordelen van Red Teaming

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Complexe simulatie van echte aanvallen heeft veel voordelen, maar het belangrijkste is dat u met deze aanpak een volledig beeld krijgt van het niveau van cyberbeveiliging van een organisatie. Een typisch end-to-end gesimuleerd aanvalsproces omvat penetratietesten (netwerk, applicatie, mobiele telefoon en ander apparaat), social engineering (live op locatie, telefoongesprekken, e-mail of sms-berichten en chat) en fysieke inbraak (sloten openbreken, dode zones van beveiligingscamera's detecteren, waarschuwingssystemen omzeilen). Als er kwetsbaarheden zijn in een van deze aspecten van uw systeem, zullen deze worden gevonden.

Zodra er kwetsbaarheden zijn gevonden, kunnen deze worden verholpen. Een effectieve aanvalssimulatieprocedure houdt niet op bij het ontdekken van kwetsbaarheden. Zodra de beveiligingsfouten duidelijk zijn geïdentificeerd, wilt u eraan werken om ze op te lossen en opnieuw te testen. In feite begint het echte werk meestal na een inbraak door een rood team, wanneer u de aanval forensisch analyseert en probeert de gevonden kwetsbaarheden te verminderen.

Naast deze twee hoofdvoordelen biedt redtiming nog een aantal andere. Het "rode team" kan dus:

  • identificeren van risico's en kwetsbaarheden voor aanvallen in belangrijke bedrijfsmiddelen;
  • de methoden, tactieken en procedures van echte aanvallers simuleren in een omgeving met beperkt en gecontroleerd risico;
  • Beoordeel het vermogen van uw organisatie om complexe, gerichte bedreigingen te detecteren, erop te reageren en te voorkomen;
  • Moedig nauwe samenwerking aan met beveiligingsafdelingen en blauwe teams om aanzienlijke risicobeperking te bieden en uitgebreide hands-on workshops te geven na ontdekte kwetsbaarheden.

Hoe werkt Red Teaming?

Een goede manier om te begrijpen hoe redtiming werkt, is door te kijken hoe het gewoonlijk werkt. Het gebruikelijke proces van complexe aanvalssimulatie bestaat uit verschillende fasen:

  • De organisatie is het met het "rode team" (intern of extern) eens over het doel van de aanval. Een dergelijk doel kan bijvoorbeeld zijn om gevoelige informatie van een bepaalde server op te halen.
  • Vervolgens voert het "rode team" een verkenning van het doelwit uit. Het resultaat is een diagram van doelsystemen, inclusief netwerkdiensten, webapplicaties en interne werknemersportals. .
  • Daarna wordt gezocht naar kwetsbaarheden in het doelsysteem, die meestal worden geïmplementeerd met behulp van phishing- of XSS-aanvallen. .
  • Zodra toegangstokens zijn verkregen, gebruikt het rode team deze om verdere kwetsbaarheden te onderzoeken. .
  • Wanneer andere kwetsbaarheden worden ontdekt, zal het "rode team" proberen hun toegangsniveau te verhogen tot het niveau dat nodig is om het doel te bereiken. .
  • Bij het verkrijgen van toegang tot de doelgegevens of activa, wordt de aanvalstaak als voltooid beschouwd.

In feite zal een ervaren red team-specialist een groot aantal verschillende methoden gebruiken om elk van deze stappen te doorlopen. De belangrijkste conclusie uit het bovenstaande voorbeeld is echter dat kleine kwetsbaarheden in individuele systemen catastrofale storingen kunnen worden als ze aan elkaar worden geketend.

Waar moet rekening mee worden gehouden bij het verwijzen naar het "rode team"?

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Om het meeste uit redtiming te halen, moet je je goed voorbereiden. De systemen en processen die door elke organisatie worden gebruikt, zijn verschillend en het kwaliteitsniveau van redtiming wordt bereikt wanneer het gericht is op het vinden van kwetsbaarheden in uw systemen. Om deze reden is het belangrijk om met een aantal factoren rekening te houden:

Weet wat je zoekt

Allereerst is het belangrijk om te begrijpen welke systemen en processen u wilt controleren. Misschien weet u wel dat u een webapplicatie wilt testen, maar begrijpt u nog niet zo goed wat het precies inhoudt en welke andere systemen er geïntegreerd zijn met uw webapplicaties. Daarom is het belangrijk dat u uw eigen systemen goed begrijpt en duidelijke kwetsbaarheden oplost voordat u een complexe simulatie van een echte aanval start.

Ken je netwerk

Dit is gerelateerd aan de vorige aanbeveling, maar gaat meer over de technische kenmerken van uw netwerk. Hoe beter u uw testomgeving kunt kwantificeren, hoe nauwkeuriger en specifieker uw rode team zal zijn.

Ken uw budget

Redtiming kan op verschillende niveaus worden uitgevoerd, maar het simuleren van het volledige scala aan aanvallen op uw netwerk, inclusief social engineering en fysieke inbraak, kan kostbaar zijn. Om deze reden is het belangrijk om te begrijpen hoeveel u aan een dergelijke controle kunt uitgeven en dienovereenkomstig de reikwijdte ervan te schetsen.

Ken uw risiconiveau

Sommige organisaties tolereren een redelijk hoog risiconiveau als onderdeel van hun standaardbedrijfsprocedures. Anderen zullen hun risiconiveau in veel grotere mate moeten beperken, vooral als het bedrijf actief is in een sterk gereguleerde sector. Daarom is het belangrijk om bij het uitvoeren van redtiming te focussen op de risico's die echt een gevaar vormen voor uw bedrijf.

Red Teaming: hulpmiddelen en tactieken

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Indien correct geïmplementeerd, zal het "rode team" een grootschalige aanval op uw netwerken uitvoeren met behulp van alle tools en methoden die door hackers worden gebruikt. Dit houdt onder meer in:

  • Penetratietesten van applicaties - is bedoeld om zwakheden op applicatieniveau te identificeren, zoals cross-site verzoekvervalsing, fouten bij het invoeren van gegevens, zwak sessiebeheer en vele andere.
  • Netwerkpenetratietesten - is bedoeld om zwakheden op netwerk- en systeemniveau te identificeren, waaronder verkeerde configuraties, kwetsbaarheden in draadloze netwerken, ongeautoriseerde services en meer.
  • Fysieke penetratietesten — het controleren van de effectiviteit en de sterke en zwakke punten van fysieke beveiligingscontroles in het echte leven.
  • Social engineering - heeft tot doel de zwakheden van mensen en de menselijke natuur uit te buiten, door de gevoeligheid van mensen voor bedrog, overreding en manipulatie te testen door middel van phishing-e-mails, telefoontjes en sms-berichten, evenals fysiek contact ter plaatse.

Al het bovenstaande zijn redtiming-componenten. Het is een volwaardige, gelaagde aanvalssimulatie die is ontworpen om te bepalen hoe goed uw mensen, netwerken, applicaties en fysieke beveiligingscontroles een aanval van een echte aanvaller kunnen weerstaan.

Continue ontwikkeling van Red Teaming methodes

De aard van de complexe simulatie van echte aanvallen, waarbij rode teams nieuwe beveiligingsproblemen proberen te vinden en blauwe teams deze proberen te verhelpen, leidt tot de voortdurende ontwikkeling van methoden voor dergelijke controles. Om deze reden is het moeilijk om een ​​up-to-date lijst van moderne redtiming-technieken samen te stellen, aangezien deze snel verouderd raken.

Daarom zullen de meeste redteamers in ieder geval een deel van hun tijd besteden aan het leren over nieuwe kwetsbaarheden en het uitbuiten ervan, gebruikmakend van de vele bronnen die door de red team-gemeenschap worden aangeboden. Dit zijn de meest populaire van deze communities:

  • Pentester Academie is een abonnementsservice die online videocursussen aanbiedt die voornamelijk gericht zijn op penetratietesten, evenals cursussen over forensisch onderzoek van het besturingssysteem, social engineering-taken en assembleertaal voor informatiebeveiliging.
  • Vincent Yiu is een "offensieve cyberbeveiligingsoperator" die regelmatig blogt over methoden voor complexe simulatie van echte aanvallen en is een goede bron van nieuwe benaderingen.
  • Twitter is ook een goede bron als je op zoek bent naar up-to-date redtiming-informatie. Je kunt het vinden met hashtags #rode team и #redteaming.
  • Daniël Miessler is een andere ervaren redtiming-specialist die een nieuwsbrief produceert en одкаст, Leidt веб-сайт en schrijft veel over de huidige rode teamtrends. Onder zijn recente artikelen: "Purple Team Pentest betekent dat uw rode en blauwe teams hebben gefaald" и "Kwetsbaarheidsbeloningen en wanneer kwetsbaarheidsbeoordeling, penetratietesten en uitgebreide aanvalssimulatie moeten worden gebruikt".
  • Dagelijkse slok is een webbeveiligingsnieuwsbrief gesponsord door PortSwigger Web Security. Dit is een goede bron om meer te weten te komen over de laatste ontwikkelingen en nieuws op het gebied van redtiming - hacks, datalekken, exploits, kwetsbaarheden in webapplicaties en nieuwe beveiligingstechnologieën.
  • Florian Hanseman is een white hat hacker en penetratietester die regelmatig nieuwe tactieken van het rode team behandelt blog.
  • MWR labs is een goede, zij het uiterst technische, bron voor redtiming-nieuws. Ze posten handig voor rode teams Gereedschapen hun Twitter-feed bevat tips voor het oplossen van problemen waarmee beveiligingstesters worden geconfronteerd.
  • Emad Shanab - Advocaat en "blanke hacker". Zijn Twitter-feed bevat technieken die nuttig zijn voor "rode teams", zoals het schrijven van SQL-injecties en het vervalsen van OAuth-tokens.
  • Mitre's vijandige tactieken, technieken en algemene kennis (ATT & CK) is een samengestelde kennisbank van het gedrag van aanvallers. Het volgt de fasen van de levenscyclus van aanvallers en de platforms waarop ze zich richten.
  • Het hacker-playbook is een gids voor hackers, die, hoewel vrij oud, veel van de fundamentele technieken behandelt die nog steeds de kern vormen van complexe imitatie van echte aanvallen. Auteur Peter Kim heeft dat ook Twitter-feed, waarin hij hacktips en andere informatie geeft.
  • SANS Institute is een andere belangrijke leverancier van trainingsmateriaal voor cyberbeveiliging. Hun Twitter-feedHet is gericht op digitaal forensisch onderzoek en incidentrespons en bevat het laatste nieuws over SANS-cursussen en advies van deskundige praktijkmensen.
  • Enkele van de meest interessante nieuwtjes over redtiming worden gepubliceerd in Dagboek van het rode team. Er zijn technologiegerichte artikelen zoals het vergelijken van Red Teaming met penetratietesten, maar ook analytische artikelen zoals The Red Team Specialist Manifesto.
  • Ten slotte is Awesome Red Teaming een GitHub-community die biedt zeer gedetailleerde lijst middelen gewijd aan Red Teaming. Het behandelt vrijwel elk technisch aspect van de activiteiten van een rood team, van het verkrijgen van eerste toegang, het uitvoeren van kwaadaardige activiteiten tot het verzamelen en extraheren van gegevens.

"Blauw team" - wat is het?

Red Teaming is een complexe simulatie van aanvallen. Methodologie en hulpmiddelen

Met zoveel veelkleurige teams kan het moeilijk zijn om erachter te komen welk type uw organisatie nodig heeft.

Een alternatief voor het rode team, en meer specifiek een ander type team dat kan worden gebruikt in combinatie met het rode team, is het blauwe team. Het Blue Team beoordeelt ook de netwerkbeveiliging en identificeert eventuele kwetsbaarheden in de infrastructuur. Ze heeft echter een ander doel. Dergelijke teams zijn nodig om manieren te vinden om verdedigingsmechanismen te beschermen, te veranderen en te hergroeperen om de reactie op incidenten veel effectiever te maken.

Net als het rode team moet het blauwe team dezelfde kennis hebben van de tactieken, technieken en procedures van aanvallers om daarop gebaseerde reactiestrategieën te creëren. De taken van het blauwe team zijn echter niet beperkt tot alleen verdedigen tegen aanvallen. Het is ook betrokken bij het versterken van de gehele beveiligingsinfrastructuur, bijvoorbeeld met behulp van een indringingsdetectiesysteem (IDS) dat ongewone en verdachte activiteiten continu analyseert.

Hier zijn enkele van de stappen die het "blauwe team" neemt:

  • beveiligingsaudit, in het bijzonder DNS-audit;
  • log- en geheugenanalyse;
  • analyse van netwerkdatapakketten;
  • analyse van risicogegevens;
  • digitale voetafdrukanalyse;
  • reverse engineering;
  • DDoS-testen;
  • ontwikkeling van scenario's voor risico-implementatie.

Verschillen tussen rode en blauwe teams

Een veel voorkomende vraag voor veel organisaties is welk team ze moeten gebruiken, rood of blauw. Deze kwestie gaat ook vaak gepaard met vriendschappelijke vijandigheid tussen mensen die "aan weerszijden van de barricades" werken. In werkelijkheid heeft geen van beide commando's zin zonder het andere. Het juiste antwoord op deze vraag is dus dat beide teams belangrijk zijn.

Het rode team valt aan en wordt gebruikt om de bereidheid van het blauwe team om te verdedigen te testen. Soms vindt het rode team kwetsbaarheden die het blauwe team volledig over het hoofd heeft gezien, in welk geval het rode team moet laten zien hoe die kwetsbaarheden kunnen worden verholpen.

Het is van vitaal belang voor beide teams om samen te werken tegen cybercriminelen om de informatiebeveiliging te versterken.

Om deze reden heeft het geen zin om slechts één kant te kiezen of in slechts één type team te investeren. Het is belangrijk om te onthouden dat het doel van beide partijen is om cybercriminaliteit te voorkomen.
Met andere woorden, bedrijven moeten wederzijdse samenwerking van beide teams tot stand brengen om een ​​uitgebreide audit te kunnen bieden - met logboeken van alle aanvallen en uitgevoerde controles, verslagen van gedetecteerde kenmerken.

Het "rode team" geeft informatie over de operaties die ze hebben uitgevoerd tijdens de gesimuleerde aanval, terwijl het blauwe team informatie geeft over de acties die ze hebben ondernomen om de hiaten op te vullen en de gevonden kwetsbaarheden te verhelpen.

Het belang van beide teams kan niet worden onderschat. Zonder hun voortdurende beveiligingsaudits, penetratietesten en infrastructuurverbeteringen zouden bedrijven zich niet bewust zijn van de staat van hun eigen beveiliging. Tenminste, totdat de gegevens zijn gelekt en pijnlijk duidelijk wordt dat de beveiligingsmaatregelen niet voldoende waren.

Wat is een paars team?

Het "Paarse team" is ontstaan ​​uit pogingen om de rode en blauwe teams te verenigen. Het Purple Team is meer een concept dan een apart type team. Het kan het beste worden gezien als een combinatie van rode en blauwe teams. Ze betrekt beide teams erbij en helpt ze samen te werken.

Het Purple Team kan beveiligingsteams helpen bij het verbeteren van de detectie van kwetsbaarheden, het ontdekken van bedreigingen en het monitoren van netwerken door gemeenschappelijke bedreigingsscenario's nauwkeurig te modelleren en nieuwe methoden voor het detecteren en voorkomen van bedreigingen te ontwikkelen.

Sommige organisaties gebruiken een Purple Team voor eenmalige gerichte activiteiten die veiligheidsdoelen, tijdlijnen en belangrijkste resultaten duidelijk omschrijven. Dit omvat het herkennen van zwakke punten in aanval en verdediging, evenals het identificeren van toekomstige trainings- en technologievereisten.

Een alternatieve benadering die nu aan kracht wint, is om het Purple Team te zien als een visionair model dat door de hele organisatie werkt om een ​​cyberbeveiligingscultuur te helpen creëren en voortdurend te verbeteren.

Conclusie

Red Teaming, of complexe aanvalssimulatie, is een krachtige techniek om de beveiligingsproblemen van een organisatie te testen, maar moet met zorg worden gebruikt. Vooral om het te gebruiken, moet je er genoeg van hebben geavanceerde middelen om informatiebeveiliging te beschermenAnders kan hij de op hem gestelde hoop niet rechtvaardigen.
Redtiming kan kwetsbaarheden in uw systeem aan het licht brengen waarvan u niet eens wist dat ze bestonden en helpen deze op te lossen. Door een vijandige benadering te kiezen tussen blauwe en rode teams, kunt u simuleren wat een echte hacker zou doen als hij uw gegevens zou willen stelen of uw bezittingen zou willen beschadigen.

Bron: www.habr.com

Voeg een reactie