Kilde: Acunetix
Red Teaming er en kompleks simulering av virkelige angrep for å vurdere cybersikkerheten til systemene. "Red Team" er en gruppe (spesialister som utfører en penetrasjonstest inn i systemet). De kan enten ansettes utenfra eller ansatte i organisasjonen din, men i alle tilfeller er deres rolle den samme - å etterligne handlingene til inntrengere og prøve å trenge inn i systemet ditt.
Sammen med de «røde lagene» innen cybersikkerhet er det en rekke andre. For eksempel jobber Blue Team sammen med Red Team, men dets aktiviteter er rettet mot å forbedre sikkerheten til systemets infrastruktur fra innsiden. The Purple Team er koblingen, og hjelper de to andre lagene med å utvikle angrepsstrategier og forsvar. Redtiming er imidlertid en av de minst kjente metodene for å administrere cybersikkerhet, og mange organisasjoner er fortsatt motvillige til å ta i bruk denne praksisen.
I denne artikkelen vil vi forklare i detalj hva som ligger bak konseptet Red Teaming, og hvordan implementering av komplekse simuleringspraksis for ekte angrep kan bidra til å forbedre sikkerheten til organisasjonen din. Hensikten med denne artikkelen er å vise hvordan denne metoden kan øke sikkerheten til informasjonssystemene dine betydelig.
Red Teaming Oversikt
Selv om de "røde" og "blå" lagene i vår tid først og fremst er knyttet til feltet informasjonsteknologi og cybersikkerhet, ble disse konseptene laget av militæret. Generelt var det i hæren jeg først hørte om disse konseptene. Å jobbe som cybersikkerhetsanalytiker på 1980-tallet var veldig annerledes enn i dag: tilgang til krypterte datasystemer var mye mer begrenset enn i dag.
Ellers var min første erfaring med krigsspill – simulering, simulering og interaksjon – veldig lik dagens komplekse angrepssimuleringsprosess, som har funnet veien til cybersikkerhet. Som nå ble det viet stor oppmerksomhet til bruken av sosiale ingeniørmetoder for å overbevise ansatte om å gi «fienden» upassende tilgang til militære systemer. Derfor, selv om de tekniske metodene for angrepssimulering har utviklet seg betydelig siden 80-tallet, er det verdt å merke seg at mange av de viktigste verktøyene i den kontradiktoriske tilnærmingen, og spesielt sosiale ingeniørteknikker, i stor grad er plattformuavhengige.
Kjerneverdien av kompleks imitasjon av ekte angrep har heller ikke endret seg siden 80-tallet. Ved å simulere et angrep på systemene dine er det lettere for deg å oppdage sårbarheter og forstå hvordan de kan utnyttes. Og mens redteaming pleide å bli brukt primært av white hat-hackere og cybersikkerhetseksperter på jakt etter sårbarheter gjennom penetrasjonstesting, har det nå blitt mer utbredt innen cybersikkerhet og virksomhet.
Nøkkelen til redtiming er å forstå at du egentlig ikke kan få en følelse av sikkerheten til systemene dine før de blir angrepet. Og i stedet for å sette deg selv i fare for å bli angrepet av ekte angripere, er det mye tryggere å simulere et slikt angrep med en rød kommando.
Red Teaming: brukssaker
En enkel måte å forstå det grunnleggende om redtiming er å se på noen få eksempler. Her er to av dem:
- Scenario 1. Tenk deg at en kundeserviceside har blitt testet og vellykket testet. Det ser ut til at dette tyder på at alt er i orden. Men senere, i et komplekst falskt angrep, oppdager det røde teamet at mens selve kundeserviceappen er fin, kan ikke tredjeparts chat-funksjonen identifisere personer nøyaktig, og dette gjør det mulig å lure kundeservicerepresentanter til å endre e-postadressen deres . i kontoen (som et resultat av at en ny person, en angriper, kan få tilgang).
- Scenario 2. Som et resultat av pentesting ble alle VPN- og fjerntilgangskontroller funnet å være sikre. Men da går representanten for «det røde laget» fritt forbi registreringsskranken og tar frem den bærbare datamaskinen til en av de ansatte.
I begge de ovennevnte tilfellene sjekker det "røde teamet" ikke bare påliteligheten til hvert enkelt system, men også hele systemet som helhet for svakheter.
Hvem trenger kompleks angrepssimulering?
I et nøtteskall kan nesten alle selskaper dra nytte av redtiming. Som vist , er et skremmende stort antall organisasjoner under den falske troen på at de har full kontroll over dataene sine. Vi fant for eksempel at i gjennomsnitt 22 % av en bedrifts mapper er tilgjengelige for hver ansatt, og at 87 % av bedriftene har mer enn 1000 utdaterte sensitive filer på systemene sine.
Hvis bedriften din ikke er i teknologibransjen, virker det kanskje ikke som om redtiming vil gjøre deg mye godt. Men det er det ikke. Cybersikkerhet handler ikke bare om å beskytte konfidensiell informasjon.
Misbrukere prøver likeledes å få tak i teknologier uavhengig av virksomhetsområdet til selskapet. For eksempel kan de søke å få tilgang til nettverket ditt for å skjule handlingene sine for å overta et annet system eller nettverk andre steder i verden. Med denne typen angrep trenger ikke angriperne dataene dine. De ønsker å infisere datamaskinene dine med skadelig programvare for å gjøre systemet om til en gruppe botnett med deres hjelp.
For mindre selskaper kan det være vanskelig å finne ressurser å innløse. I dette tilfellet er det fornuftig å overlate denne prosessen til en ekstern entreprenør.
Red Teaming: Anbefalinger
Den optimale tiden og frekvensen for redtiming avhenger av sektoren du jobber i og modenheten til cybersikkerhetsverktøyene dine.
Spesielt bør du ha automatiserte aktiviteter som aktivautforskning og sårbarhetsanalyse. Organisasjonen din bør også kombinere automatisert teknologi med menneskelig tilsyn ved regelmessig å gjennomføre full penetrasjonstesting.
Etter å ha fullført flere forretningssykluser med penetrasjonstesting og funnet sårbarheter, kan du fortsette til en kompleks simulering av et ekte angrep. På dette stadiet vil redtiming gi deg konkrete fordeler. Men å prøve å gjøre det før du har det grunnleggende om cybersikkerhet på plass, vil ikke gi konkrete resultater.
Et team med hvite hatter vil sannsynligvis kunne kompromittere et uforberedt system så raskt og enkelt at du får for lite informasjon til å iverksette tiltak. For å få reell effekt må informasjonen som «rødt lag» har innhentet, sammenlignes med tidligere penetrasjonstester og sårbarhetsvurderinger.
Hva er penetrasjonstesting?
Kompleks imitasjon av et ekte angrep (Red Teaming) forveksles ofte med , men de to metodene er litt forskjellige. Mer presist er penetrasjonstesting bare en av redtiming-metodene.
Rollen til en pentester . Pentesternes arbeid er delt inn i fire hovedstadier: planlegging, informasjonsoppdagelse, angrep og rapportering. Som du kan se, gjør pentestere mer enn bare å lete etter programvaresårbarheter. De prøver å sette seg inn i hackernes sko, og når de kommer inn i systemet ditt, begynner deres virkelige arbeid.
De oppdager sårbarheter og utfører deretter nye angrep basert på informasjonen som mottas, og beveger seg gjennom mappehierarkiet. Det er dette som skiller penetrasjonstestere fra de som er ansatt kun for å finne sårbarheter, ved å bruke programvare for portskanning eller virusdeteksjon. En erfaren pentester kan bestemme:
- hvor hackere kan rette sitt angrep;
- måten hackerne vil angripe;
- Hvordan vil forsvaret ditt oppføre seg?
- mulig omfang av bruddet.
Penetrasjonstesting er rettet mot å identifisere svakheter på applikasjons- og nettverksnivå, samt muligheter for å overvinne fysiske sikkerhetsbarrierer. Selv om automatisert testing kan avsløre noen cybersikkerhetsproblemer, tar manuell penetrasjonstesting også hensyn til sårbarheten til en virksomhet for angrep.
Red Teaming vs. Penetrasjonstesting
Utvilsomt er penetrasjonstesting viktig, men det er bare en del av en hel serie redtimingaktiviteter. Aktivitetene til det "røde laget" har mye bredere mål enn de til pentesters, som ofte bare søker å få tilgang til nettverket. Redteaming involverer ofte flere mennesker, ressurser og tid ettersom det røde teamet graver dypt for fullt ut å forstå det sanne nivået av risiko og sårbarhet i teknologi og organisasjonens menneskelige og fysiske eiendeler.
I tillegg er det andre forskjeller. Redtiming brukes vanligvis av organisasjoner med mer modne og avanserte cybersikkerhetstiltak (selv om dette ikke alltid er tilfelle i praksis).
Dette er vanligvis selskaper som allerede har utført penetrasjonstesting og fikset de fleste sårbarhetene som er funnet, og som nå leter etter noen som kan prøve igjen for å få tilgang til sensitiv informasjon eller bryte beskyttelsen på noen måte.
Dette er grunnen til at redtiming er avhengig av et team med sikkerhetseksperter som er fokusert på et spesifikt mål. De retter seg mot interne sårbarheter og bruker både elektroniske og fysiske sosiale ingeniørteknikker på organisasjonens ansatte. I motsetning til pentesters, tar røde lag seg god tid under angrepene sine, og ønsker å unngå oppdagelse som en ekte nettkriminell ville gjort.
Fordeler med Red Teaming
Det er mange fordeler med kompleks simulering av ekte angrep, men viktigst av alt, denne tilnærmingen lar deg få et helhetlig bilde av cybersikkerhetsnivået til en organisasjon. En typisk ende-til-ende-simulert angrepsprosess vil inkludere penetrasjonstesting (nettverk, applikasjon, mobiltelefon og annen enhet), sosial utvikling (live på stedet, telefonsamtaler, e-post eller tekstmeldinger og chat) og fysisk inntrenging (bryte låser, oppdage døde soner av sikkerhetskameraer, omgå varslingssystemer). Hvis det er sårbarheter i noen av disse aspektene av systemet ditt, vil de bli funnet.
Når sårbarheter er funnet, kan de fikses. En effektiv angrepssimuleringsprosedyre slutter ikke med oppdagelsen av sårbarheter. Når sikkerhetsfeilene er tydelig identifisert, bør du jobbe med å fikse dem og teste dem på nytt. Faktisk begynner det virkelige arbeidet vanligvis etter et rødt laginntrenging, når du kriminalteknisk analyserer angrepet og prøver å redusere sårbarhetene som er funnet.
I tillegg til disse to hovedfordelene, tilbyr redtiming også en rekke andre. Så det "røde laget" kan:
- identifisere risikoer og sårbarheter for angrep i viktige forretningsinformasjonsressurser;
- simulere metodene, taktikkene og prosedyrene til ekte angripere i et miljø med begrenset og kontrollert risiko;
- Vurder organisasjonens evne til å oppdage, reagere og forhindre komplekse, målrettede trusler;
- Oppmuntre til tett samarbeid med sikkerhetsavdelinger og blå team for å gi betydelig avbøtende tiltak og gjennomføre omfattende praktiske workshops etter oppdagede sårbarheter.
Hvordan fungerer Red Teaming?
En fin måte å forstå hvordan redtiming fungerer, er å se på hvordan det vanligvis fungerer. Den vanlige prosessen med kompleks angrepssimulering består av flere stadier:
- Organisasjonen er enig med det "røde teamet" (internt eller eksternt) om formålet med angrepet. Et slikt mål kan for eksempel være å hente sensitiv informasjon fra en bestemt server.
- Deretter foretar «det røde laget» rekognosering av målet. Resultatet er et diagram over målsystemer, inkludert nettverkstjenester, webapplikasjoner og interne medarbeiderportaler. .
- Deretter søkes det etter sårbarheter i målsystemet, som vanligvis implementeres ved bruk av phishing eller XSS-angrep. .
- Når tilgangstokener er oppnådd, bruker det røde teamet dem til å undersøke ytterligere sårbarheter. .
- Når andre sårbarheter blir oppdaget, vil det "røde teamet" forsøke å øke tilgangsnivået til det nivået som er nødvendig for å nå målet. .
- Når du får tilgang til måldataene eller ressursen, anses angrepsoppgaven som fullført.
Faktisk vil en erfaren spesialist på det røde teamet bruke et stort antall forskjellige metoder for å komme gjennom hvert av disse trinnene. Imidlertid er nøkkelen fra eksemplet ovenfor at små sårbarheter i individuelle systemer kan bli til katastrofale feil hvis de lenkes sammen.
Hva bør tas i betraktning når man omtaler «det røde laget»?
For å få mest mulig ut av redtiming, må du forberede deg nøye. Systemene og prosessene som brukes av hver organisasjon er forskjellige, og kvalitetsnivået på redtiming oppnås når den er rettet mot å finne sårbarheter i systemene dine. Av denne grunn er det viktig å vurdere en rekke faktorer:
Vet hva du leter etter
Først og fremst er det viktig å forstå hvilke systemer og prosesser du ønsker å sjekke. Kanskje du vet at du vil teste en webapplikasjon, men du forstår ikke så godt hva det egentlig betyr og hvilke andre systemer som er integrert med webapplikasjonene dine. Derfor er det viktig at du har en god forståelse av dine egne systemer og fikser eventuelle åpenbare sårbarheter før du starter en kompleks simulering av et reelt angrep.
Kjenn nettverket ditt
Dette er relatert til den forrige anbefalingen, men handler mer om de tekniske egenskapene til nettverket ditt. Jo bedre du kan kvantifisere testmiljøet ditt, jo mer nøyaktig og spesifikk vil ditt røde team være.
Kjenn budsjettet ditt
Redtiming kan utføres på forskjellige nivåer, men å simulere hele spekteret av angrep på nettverket ditt, inkludert sosial teknikk og fysisk inntrenging, kan være kostbart. Av denne grunn er det viktig å forstå hvor mye du kan bruke på en slik sjekk og følgelig skissere omfanget.
Kjenn risikonivået ditt
Noen organisasjoner kan tolerere et ganske høyt risikonivå som en del av deres standard forretningsprosedyrer. Andre vil måtte begrense risikonivået i mye større grad, spesielt hvis selskapet opererer i en sterkt regulert bransje. Derfor, når du utfører redtiming, er det viktig å fokusere på risikoene som virkelig utgjør en fare for virksomheten din.
Red Teaming: Verktøy og taktikk
Hvis det implementeres riktig, vil det "røde teamet" utføre et fullskalaangrep på nettverkene dine ved å bruke alle verktøyene og metodene som brukes av hackere. Dette inkluderer blant annet:
- Applikasjonspenetrasjonstesting - har som mål å identifisere svakheter på applikasjonsnivå, for eksempel forfalskning av forespørsler på tvers av nettsteder, feil ved dataregistrering, svak øktadministrasjon og mange andre.
- Nettverkspenetrasjonstesting - har som mål å identifisere svakheter på nettverks- og systemnivå, inkludert feilkonfigureringer, sårbarheter i trådløst nettverk, uautoriserte tjenester og mer.
- Fysisk penetrasjonstesting — sjekke effektiviteten, samt styrker og svakheter ved fysiske sikkerhetskontroller i det virkelige liv.
- sosial ingeniørkunst - har som mål å utnytte svakhetene til mennesker og menneskelig natur, teste folks mottakelighet for bedrag, overtalelse og manipulasjon gjennom phishing-e-poster, telefonsamtaler og tekstmeldinger, samt fysisk kontakt på stedet.
Alt ovenfor er redtiming-komponenter. Det er en fullverdig, lagdelt angrepssimulering designet for å bestemme hvor godt folk, nettverk, applikasjoner og fysiske sikkerhetskontroller kan motstå et angrep fra en ekte angriper.
Kontinuerlig utvikling av Red Teaming-metoder
Naturen til den komplekse simuleringen av ekte angrep, der røde team prøver å finne nye sikkerhetssårbarheter og blå team prøver å fikse dem, fører til stadig utvikling av metoder for slike kontroller. Av denne grunn er det vanskelig å lage en oppdatert liste over moderne redtiming-teknikker, da de raskt blir foreldet.
Derfor vil de fleste redteamere bruke minst en del av tiden sin på å lære om nye sårbarheter og utnytte dem, ved å bruke de mange ressursene som tilbys av det røde teamfellesskapet. Her er de mest populære av disse fellesskapene:
- er en abonnementstjeneste som tilbyr online videokurs fokusert primært på penetrasjonstesting, samt kurs i operativsystemetterforskning, sosiale ingeniøroppgaver og monteringsspråk for informasjonssikkerhet.
- er en "offensiv cybersikkerhetsoperatør" som regelmessig blogger om metoder for kompleks simulering av ekte angrep og er en god kilde til nye tilnærminger.
- Twitter er også en god kilde hvis du leter etter oppdatert redtiminginformasjon. Du finner den med hashtags и .
- er en annen erfaren redtiming-spesialist som produserer et nyhetsbrev og , fører og skriver mye om dagens rødlagstrender. Blant hans siste artikler: и .
- er et nyhetsbrev for nettsikkerhet sponset av PortSwigger Web Security. Dette er en god ressurs for å lære om den siste utviklingen og nyhetene innen redtiming – hacks, datalekkasjer, utnyttelser, sårbarheter i nettapplikasjoner og nye sikkerhetsteknologier.
- er en white hat hacker og penetrasjonstester som regelmessig dekker nye røde lags taktikker i sin .
- MWR-labs er en god, om enn ekstremt teknisk, kilde for redtiming-nyheter. De legger ut nyttig for røde lag og deres inneholder tips for å løse problemer som sikkerhetstestere står overfor.
- – Advokat og «hvit hacker». Twitter-feeden hans har teknikker som er nyttige for "røde lag" som å skrive SQL-injeksjoner og smi OAuth-tokens.
- (ATT & CK) er en kuratert kunnskapsbase om angripers atferd. Den sporer fasene i livssyklusen til angripere og plattformene de retter seg mot.
- er en guide for hackere, som, selv om den er ganske gammel, dekker mange av de grunnleggende teknikkene som fortsatt er kjernen i komplekse imitasjoner av ekte angrep. Forfatter Peter Kim har også , der han tilbyr hackingtips og annen informasjon.
- SANS Institute er en annen stor leverandør av opplæringsmateriell for nettsikkerhet. Deres Fokusert på digital etterforskning og hendelsesrespons, inneholder den siste nyhetene om SANS-kurs og råd fra ekspertutøvere.
- Noen av de mest interessante nyhetene om redtiming er publisert i . Det er teknologifokuserte artikler som å sammenligne Red Teaming med penetrasjonstesting, samt analytiske artikler som The Red Team Specialist Manifesto.
- Til slutt, Awesome Red Teaming er et GitHub-fellesskap som tilbyr ressurser dedikert til Red Teaming. Den dekker praktisk talt alle tekniske aspekter ved et rødt teams aktiviteter, fra å få første tilgang, utføre ondsinnede aktiviteter, til å samle inn og trekke ut data.
"Blue team" - hva er det?
Med så mange flerfargede team kan det være vanskelig å finne ut hvilken type organisasjonen din trenger.
Et alternativ til det røde laget, og nærmere bestemt en annen type lag som kan brukes sammen med det røde laget, er det blå laget. Blue Team vurderer også nettverkssikkerhet og identifiserer potensielle infrastruktursårbarheter. Hun har imidlertid et annet mål. Lag av denne typen er nødvendig for å finne måter å beskytte, endre og omgruppere forsvarsmekanismer for å gjøre hendelsesrespons mye mer effektiv.
I likhet med det røde laget, må det blå laget ha samme kunnskap om angripers taktikk, teknikker og prosedyrer for å lage responsstrategier basert på dem. Det blå lagets plikter er imidlertid ikke begrenset til bare å forsvare seg mot angrep. Den er også med på å styrke hele sikkerhetsinfrastrukturen, ved å bruke for eksempel et inntrengningsdeteksjonssystem (IDS) som gir kontinuerlig analyse av uvanlig og mistenkelig aktivitet.
Her er noen av trinnene som det "blå laget" tar:
- sikkerhetsrevisjon, spesielt DNS-revisjon;
- logg- og minneanalyse;
- analyse av nettverksdatapakker;
- risikodataanalyse;
- digital fotavtrykk analyse;
- omvendt engineering;
- DDoS-testing;
- utvikling av risikoimplementeringsscenarier.
Forskjeller mellom røde og blå lag
Et vanlig spørsmål for mange organisasjoner er hvilket team de skal bruke, rødt eller blått. Denne problemstillingen er også ofte ledsaget av vennlig fiendskap mellom mennesker som jobber «på hver sin side av barrikadene». I virkeligheten gir ingen av kommandoene mening uten den andre. Så det riktige svaret på dette spørsmålet er at begge lag er viktige.
Det røde laget angriper og brukes til å teste det blå lagets beredskap til å forsvare. Noen ganger kan det røde teamet finne sårbarheter som det blå teamet har oversett fullstendig, i så fall må det røde teamet vise hvordan disse sårbarhetene kan fikses.
Det er viktig for begge team å jobbe sammen mot nettkriminelle for å styrke informasjonssikkerheten.
Av denne grunn gir det ingen mening å velge bare én side eller investere i bare én type lag. Det er viktig å huske at begge parters mål er å forebygge nettkriminalitet.
Med andre ord, bedrifter må etablere gjensidig samarbeid mellom begge lag for å gi en omfattende revisjon - med logger over alle angrep og kontroller utført, registreringer av oppdagede funksjoner.
Det "røde teamet" gir informasjon om operasjonene de utførte under det simulerte angrepet, mens det blå teamet gir informasjon om handlingene de tok for å fylle ut hullene og fikse sårbarhetene som ble funnet.
Betydningen av begge lag kan ikke undervurderes. Uten deres pågående sikkerhetsrevisjoner, penetrasjonstesting og infrastrukturforbedringer, ville ikke selskaper vært klar over tilstanden til deres egen sikkerhet. I hvert fall inntil dataene er lekket og det blir smertelig klart at sikkerhetstiltakene ikke var nok.
Hva er et lilla lag?
"Purple Team" ble født ut av forsøk på å forene de røde og blå lagene. The Purple Team er mer et konsept enn en egen type team. Det er best sett på som en kombinasjon av røde og blå lag. Hun engasjerer begge lagene og hjelper dem å jobbe sammen.
Purple Team kan hjelpe sikkerhetsteam med å forbedre sårbarhetsdeteksjon, trusseloppdagelse og nettverksovervåking ved å nøyaktig modellere vanlige trusselscenarier og bidra til å lage nye trusseldeteksjons- og forebyggingsmetoder.
Noen organisasjoner bruker et Purple Team for engangsfokuserte aktiviteter som tydelig definerer sikkerhetsmål, tidslinjer og nøkkelresultater. Dette inkluderer å gjenkjenne svakheter i angrep og forsvar, samt identifisere fremtidige trenings- og teknologikrav.
En alternativ tilnærming som nå får fart, er å se på Purple Team som en visjonær modell som fungerer i hele organisasjonen for å bidra til å skape og kontinuerlig forbedre en cybersikkerhetskultur.
Konklusjon
Red Teaming, eller kompleks angrepssimulering, er en kraftig teknikk for å teste en organisasjons sikkerhetssårbarheter, men bør brukes med forsiktighet. Spesielt for å bruke det, må du ha nok Ellers kan det hende han ikke rettferdiggjør forhåpningene til ham.
Redtiming kan avsløre sårbarheter i systemet ditt som du ikke engang visste eksisterte, og bidra til å fikse dem. Ved å ta en motstridende tilnærming mellom blå og røde lag, kan du simulere hva en ekte hacker ville gjort hvis han ville stjele dataene dine eller skade eiendelene dine.
Kilde: www.habr.com