Källa: Acunetix
Red Teaming är en komplex simulering av verkliga attacker för att bedöma cybersäkerheten i systemen. "Red Team" är en grupp (specialister som utför ett penetrationstest i systemet). De kan antingen anställas utifrån eller anställda i din organisation, men i alla fall är deras roll densamma - att imitera inkräktares handlingar och försöka penetrera ditt system.
Tillsammans med de "röda teamen" inom cybersäkerhet finns en rad andra. Till exempel arbetar Blue Team tillsammans med Red Team, men dess verksamhet syftar till att förbättra säkerheten för systemets infrastruktur från insidan. The Purple Team är länken som hjälper de andra två lagen att utveckla attackstrategier och försvar. Redtiming är dock en av de minst förstådda metoderna för att hantera cybersäkerhet, och många organisationer är fortfarande ovilliga att använda denna praxis.
I den här artikeln kommer vi att förklara i detalj vad som ligger bakom konceptet Red Teaming, och hur implementeringen av komplexa simuleringsmetoder av riktiga attacker kan bidra till att förbättra säkerheten för din organisation. Syftet med den här artikeln är att visa hur denna metod avsevärt kan öka säkerheten för dina informationssystem.
Red Teaming Översikt
Även om de "röda" och "blå" lagen i vår tid främst är förknippade med området informationsteknologi och cybersäkerhet, myntades dessa begrepp av militären. Generellt sett var det i armén jag först hörde talas om dessa begrepp. Att arbeta som cybersäkerhetsanalytiker på 1980-talet var väldigt annorlunda än idag: tillgången till krypterade datorsystem var mycket mer begränsad än den är idag.
Annars var min första erfarenhet av krigsspel – simulering, simulering och interaktion – väldigt lik dagens komplexa attacksimuleringsprocess, som har hittat sin väg in i cybersäkerhet. Liksom nu ägnades stor uppmärksamhet åt användningen av sociala ingenjörsmetoder för att övertyga anställda att ge "fienden" otillbörlig tillgång till militära system. Därför, även om de tekniska metoderna för attacksimulering har avancerat avsevärt sedan 80-talet, är det värt att notera att många av de viktigaste verktygen för det kontradiktoriska tillvägagångssättet, och särskilt social ingenjörsteknik, är till stor del plattformsoberoende.
Kärnvärdet av komplex imitation av verkliga attacker har inte heller förändrats sedan 80-talet. Genom att simulera en attack mot dina system är det lättare för dig att upptäcka sårbarheter och förstå hur de kan utnyttjas. Och medan redteaming tidigare främst användes av hackare och cybersäkerhetsproffs som letade efter sårbarheter genom penetrationstester, har det nu blivit mer allmänt använt inom cybersäkerhet och affärer.
Nyckeln till redtiming är att förstå att du inte riktigt kan få en känsla av säkerheten i dina system förrän de attackeras. Och istället för att utsätta dig själv för att bli attackerad av riktiga angripare, är det mycket säkrare att simulera en sådan attack med ett rött kommando.
Red Teaming: användningsfall
Ett enkelt sätt att förstå grunderna i redtiming är att titta på några exempel. Här är två av dem:
- Scenario 1. Föreställ dig att en kundtjänstsajt har testats och testats framgångsrikt. Det verkar som att detta tyder på att allt är i sin ordning. Men senare, i en komplex skenattack, upptäcker det röda teamet att även om själva kundtjänstappen är bra, kan tredjeparts chattfunktionen inte exakt identifiera personer, och detta gör det möjligt att lura kundtjänstrepresentanter att ändra sin e-postadress . i kontot (som ett resultat av vilket en ny person, en angripare, kan få åtkomst).
- Scenario 2. Som ett resultat av pentesting visade sig alla VPN- och fjärråtkomstkontroller vara säkra. Men då går representanten för det "röda laget" fritt förbi registreringsdisken och tar fram en av de anställdas bärbara dator.
I båda ovanstående fall kontrollerar det "röda teamet" inte bara tillförlitligheten hos varje enskilt system, utan även hela systemet som helhet för svagheter.
Vem behöver komplex attacksimulering?
I ett nötskal, nästan alla företag kan dra nytta av redtiming. Som visat , är ett skrämmande stort antal organisationer under den falska tron att de har fullständig kontroll över sin data. Vi fann till exempel att i genomsnitt 22 % av ett företags mappar är tillgängliga för varje anställd, och att 87 % av företagen har mer än 1000 XNUMX föråldrade känsliga filer på sina system.
Om ditt företag inte är i teknikbranschen kanske det inte verkar som att redtiming kommer att göra dig mycket bra. Men det är inte. Cybersäkerhet handlar inte bara om att skydda konfidentiell information.
Brottslingar försöker också få tag i teknologier oavsett vilken verksamhetssfär som företaget har. Till exempel kan de försöka få tillgång till ditt nätverk för att dölja sina handlingar för att ta över ett annat system eller nätverk någon annanstans i världen. Med denna typ av attack behöver angriparna inte dina data. De vill infektera dina datorer med skadlig programvara för att med deras hjälp förvandla ditt system till en grupp botnät.
För mindre företag kan det vara svårt att hitta resurser att lösa in. I det här fallet är det vettigt att anförtro denna process till en extern entreprenör.
Red Teaming: Rekommendationer
Den optimala tiden och frekvensen för redtiming beror på den sektor du arbetar i och mognadsgraden hos dina cybersäkerhetsverktyg.
I synnerhet bör du ha automatiserade aktiviteter som tillgångsutforskning och sårbarhetsanalys. Din organisation bör också kombinera automatiserad teknik med mänsklig tillsyn genom att regelbundet genomföra fullständiga penetrationstester.
Efter att ha genomfört flera affärscykler med penetrationstestning och hittat sårbarheter kan du fortsätta till en komplex simulering av en riktig attack. I detta skede kommer redtiming att ge dig påtagliga fördelar. Men att försöka göra det innan du har grunderna för cybersäkerhet på plats kommer inte att ge påtagliga resultat.
Ett team med vit hatt kommer sannolikt att kunna kompromissa med ett oförberedt system så snabbt och enkelt att du får för lite information för att vidta ytterligare åtgärder. För att få verklig effekt måste den information som "det röda laget" har fått jämföras med tidigare penetrationstester och sårbarhetsbedömningar.
Vad är penetrationstestning?
Komplex imitation av en riktig attack (Red Teaming) förväxlas ofta med , men de två metoderna är något olika. Mer exakt är penetrationstestning bara en av metoderna för redtiming.
En pentesters roll . Pentesters arbete är uppdelat i fyra huvudstadier: planering, informationsupptäckt, attack och rapportering. Som du kan se gör pentestare mer än att bara leta efter sårbarheter i programvara. De försöker sätta sig i hackarnas skor, och när de väl kommer in i ditt system börjar deras verkliga arbete.
De upptäcker sårbarheter och utför sedan nya attacker baserat på den mottagna informationen och rör sig genom mapphierarkin. Detta är vad som skiljer penetrationstestare från de som bara anställs för att hitta sårbarheter, med hjälp av portskanningsprogram eller virusupptäckt. En erfaren pentester kan bestämma:
- där hackare kan rikta sin attack;
- hur hackarna kommer att attackera;
- Hur kommer ditt försvar att bete sig?
- överträdelsens möjliga omfattning.
Penetrationstestning fokuserar på att identifiera svagheter på applikations- och nätverksnivå, samt möjligheter att övervinna fysiska säkerhetsbarriärer. Medan automatiserade tester kan avslöja vissa cybersäkerhetsproblem, tar manuell penetrationstestning även hänsyn till ett företags sårbarhet för attacker.
Red Teaming vs. penetrationsprovning
Utan tvekan är penetrationstestning viktigt, men det är bara en del av en hel serie av redtiming-aktiviteter. Det "röda lagets" verksamhet har mycket bredare mål än pentestarnas, som ofta helt enkelt försöker få tillgång till nätverket. Redteaming involverar ofta fler människor, resurser och tid när det röda teamet gräver djupt för att till fullo förstå den verkliga risknivån och sårbarheten i teknik och organisationens mänskliga och fysiska tillgångar.
Dessutom finns det andra skillnader. Redtiming används vanligtvis av organisationer med mer mogna och avancerade cybersäkerhetsåtgärder (även om detta inte alltid är fallet i praktiken).
Dessa är vanligtvis företag som redan har gjort penetrationstester och åtgärdat de flesta av de upptäckta sårbarheterna och som nu letar efter någon som kan försöka igen för att komma åt känslig information eller bryta skyddet på något sätt.
Det är därför redtiming förlitar sig på ett team av säkerhetsexperter fokuserade på ett specifikt mål. De riktar in sig på interna sårbarheter och använder både elektroniska och fysiska sociala ingenjörstekniker på organisationens anställda. Till skillnad från pentesters tar röda lag sin tid under sina attacker och vill undvika upptäckt som en riktig cyberkriminell skulle göra.
Fördelar med Red Teaming
Det finns många fördelar med komplex simulering av riktiga attacker, men viktigast av allt, detta tillvägagångssätt låter dig få en heltäckande bild av nivån på cybersäkerhet i en organisation. En typisk heltäckande simulerad attackprocess skulle inkludera penetrationstestning (nätverk, applikation, mobiltelefon och annan enhet), social ingenjörskonst (live på plats, telefonsamtal, e-post eller textmeddelanden och chatt) och fysiskt intrång (bryta lås, upptäcka döda zoner i säkerhetskameror, förbi varningssystem). Om det finns sårbarheter i någon av dessa aspekter av ditt system, kommer de att hittas.
När sårbarheter har hittats kan de åtgärdas. En effektiv attacksimuleringsprocedur slutar inte med upptäckten av sårbarheter. När säkerhetsbristerna är tydligt identifierade, vill du arbeta med att åtgärda dem och testa dem igen. Faktum är att det verkliga arbetet vanligtvis börjar efter ett rött teamintrång, när du kriminalteknisk analyserar attacken och försöker mildra de upptäckta sårbarheterna.
Utöver dessa två huvudsakliga fördelar erbjuder redtiming också ett antal andra. Så det "röda laget" kan:
- identifiera risker och sårbarheter för attacker i viktiga affärsinformationstillgångar;
- simulera verkliga angripares metoder, taktik och procedurer i en miljö med begränsad och kontrollerad risk;
- Bedöm din organisations förmåga att upptäcka, reagera och förhindra komplexa, riktade hot;
- Uppmuntra nära samarbete med säkerhetsavdelningar och blå team för att ge betydande begränsningar och genomföra omfattande praktiska workshops efter upptäckta sårbarheter.
Hur fungerar Red Teaming?
Ett bra sätt att förstå hur redtiming fungerar är att titta på hur det vanligtvis fungerar. Den vanliga processen med komplex attacksimulering består av flera steg:
- Organisationen kommer överens med det "röda laget" (internt eller externt) om syftet med attacken. Ett sådant mål kan till exempel vara att hämta känslig information från en viss server.
- Sedan genomför det "röda laget" spaning av målet. Resultatet är ett diagram över målsystem, inklusive nätverkstjänster, webbapplikationer och interna medarbetarportaler. .
- Därefter söker man efter sårbarheter i målsystemet, som vanligtvis implementeras med hjälp av nätfiske eller XSS-attacker. .
- När åtkomsttokens har erhållits använder det röda teamet dem för att undersöka ytterligare sårbarheter. .
- När andra sårbarheter upptäcks kommer det "röda laget" att försöka öka sin tillgångsnivå till den nivå som krävs för att uppnå målet. .
- När man får tillgång till måldata eller tillgång anses attackuppgiften vara avslutad.
Faktum är att en erfaren specialist på det röda laget kommer att använda ett stort antal olika metoder för att ta sig igenom vart och ett av dessa steg. Det viktigaste med exemplet ovan är dock att små sårbarheter i enskilda system kan förvandlas till katastrofala misslyckanden om de kedjas ihop.
Vad ska man tänka på när man hänvisar till det "röda laget"?
För att få ut så mycket som möjligt av redtiming måste du förbereda dig noggrant. De system och processer som används av varje organisation är olika, och kvalitetsnivån på redtiming uppnås när den syftar till att hitta sårbarheter i dina system. Av denna anledning är det viktigt att överväga ett antal faktorer:
Vet vad du letar efter
Först och främst är det viktigt att förstå vilka system och processer man vill kontrollera. Du kanske vet att du vill testa en webbapplikation, men du förstår inte så väl vad det egentligen innebär och vilka andra system som är integrerade med dina webbapplikationer. Därför är det viktigt att du har en god förståelse för dina egna system och åtgärdar eventuella uppenbara sårbarheter innan du påbörjar en komplex simulering av en riktig attack.
Känn ditt nätverk
Detta är relaterat till den tidigare rekommendationen, men handlar mer om de tekniska egenskaperna hos ditt nätverk. Ju bättre du kan kvantifiera din testmiljö, desto mer exakt och specifik blir ditt röda team.
Känn din budget
Redtiming kan utföras på olika nivåer, men att simulera hela utbudet av attacker på ditt nätverk, inklusive social ingenjörskonst och fysiskt intrång, kan vara kostsamt. Av denna anledning är det viktigt att förstå hur mycket du kan spendera på en sådan check och följaktligen beskriva dess omfattning.
Känn din risknivå
Vissa organisationer kan tolerera en ganska hög risknivå som en del av deras vanliga affärsrutiner. Andra kommer att behöva begränsa sin risknivå i mycket större utsträckning, särskilt om företaget verkar i en starkt reglerad bransch. När du gör redtiming är det därför viktigt att fokusera på de risker som verkligen utgör en fara för din verksamhet.
Red Teaming: Verktyg och taktik
Om det implementeras korrekt kommer det "röda laget" att utföra en fullskalig attack på dina nätverk med alla verktyg och metoder som används av hackare. Detta inkluderar bland annat:
- Applikationspenetrationstestning - syftar till att identifiera svagheter på applikationsnivå, såsom förfalskning av begäranden på flera ställen, datainmatningsbrister, svag sessionshantering och många andra.
- Nätverkspenetrationstestning - syftar till att identifiera svagheter på nätverks- och systemnivå, inklusive felkonfigurationer, trådlösa nätverkssårbarheter, obehöriga tjänster och mer.
- Fysisk penetrationstestning — Kontroll av effektiviteten samt styrkorna och svagheterna hos fysiska säkerhetskontroller i verkligheten.
- Socialteknik - syftar till att utnyttja människors och den mänskliga naturens svagheter, testa människors mottaglighet för bedrägeri, övertalning och manipulation genom nätfiskemail, telefonsamtal och textmeddelanden, samt fysisk kontakt på plats.
Alla ovanstående är komponenter för redtiming. Det är en komplett, skiktad attacksimulering utformad för att avgöra hur väl dina personer, nätverk, applikationer och fysiska säkerhetskontroller kan motstå en attack från en riktig angripare.
Kontinuerlig utveckling av Red Teaming-metoder
Naturen hos den komplexa simuleringen av riktiga attacker, där röda team försöker hitta nya säkerhetsbrister och blå team försöker fixa dem, leder till den ständiga utvecklingen av metoder för sådana kontroller. Av denna anledning är det svårt att sammanställa en uppdaterad lista över moderna redtimingtekniker, eftersom de snabbt blir föråldrade.
Därför kommer de flesta redteamers att spendera åtminstone en del av sin tid på att lära sig om nya sårbarheter och utnyttja dem, med hjälp av de många resurserna som tillhandahålls av det röda teamet. Här är de mest populära av dessa gemenskaper:
- är en prenumerationstjänst som erbjuder onlinevideokurser inriktade främst på penetrationstestning, såväl som kurser i operativsystemets forensik, sociala ingenjörsuppgifter och informationssäkerhetssammansättningsspråk.
- är en "offensiv cybersäkerhetsoperatör" som regelbundet bloggar om metoder för komplex simulering av riktiga attacker och är en bra källa till nya angreppssätt.
- Twitter är också en bra källa om du letar efter uppdaterad redtiming-information. Du kan hitta den med hashtags и .
- är en annan erfaren redtimingspecialist som producerar ett nyhetsbrev och , leder och skriver mycket om aktuella trender för röda lag. Bland hans senaste artiklar: и .
- är ett nyhetsbrev för webbsäkerhet sponsrat av PortSwigger Web Security. Det här är en bra resurs för att lära dig om den senaste utvecklingen och nyheterna inom området redtiming - hacks, dataläckor, exploateringar, sårbarheter i webbapplikationer och ny säkerhetsteknik.
- är en white hat hacker och penetration testare som regelbundet täcker nya röda lag taktik i sin .
- MWR labs är en bra, om än extremt teknisk, källa för redtiming nyheter. De inlägg användbara för röda lag , och deras innehåller tips för att lösa problem som säkerhetstestare möter.
- – Advokat och "vit hacker". Hans Twitter-flöde har tekniker som är användbara för "röda team", som att skriva SQL-injektioner och smida OAuth-tokens.
- (ATT & CK) är en kurerad kunskapsbas om angripares beteende. Den spårar faserna i angriparnas livscykel och de plattformar de riktar sig till.
- är en guide för hackare, som, även om den är ganska gammal, täcker många av de grundläggande teknikerna som fortfarande är kärnan i komplexa imitationer av riktiga attacker. Författaren Peter Kim har också , där han erbjuder hackingtips och annan information.
- SANS Institute är en annan stor leverantör av utbildningsmaterial för cybersäkerhet. Deras Fokuserad på digital kriminalteknik och incidentrespons, innehåller de senaste nyheterna om SANS-kurser och råd från experter.
- Några av de mest intressanta nyheterna om redtiming publiceras i . Det finns teknikfokuserade artiklar som att jämföra Red Teaming med penetrationstestning, samt analytiska artiklar som The Red Team Specialist Manifesto.
- Slutligen, Awesome Red Teaming är en GitHub-community som erbjuder resurser dedikerade till Red Teaming. Den täcker praktiskt taget alla tekniska aspekter av ett rödt teams aktiviteter, från att få första åtkomst, att utföra skadliga aktiviteter till att samla in och extrahera data.
"Blue team" - vad är det?
Med så många flerfärgade team kan det vara svårt att ta reda på vilken typ din organisation behöver.
Ett alternativ till det röda laget, och mer specifikt en annan typ av lag som kan användas i samband med det röda laget, är det blå laget. Blue Team utvärderar också nätverkssäkerhet och identifierar eventuella infrastruktursårbarheter. Däremot har hon ett annat mål. Lag av den här typen behövs för att hitta sätt att skydda, ändra och omgruppera försvarsmekanismer för att göra incidentresponsen mycket effektivare.
Liksom det röda laget måste det blåa laget ha samma kunskap om anfallarnas taktik, tekniker och procedurer för att kunna skapa svarsstrategier baserade på dem. Det blå lagets uppgifter är dock inte begränsade till att bara försvara sig mot attacker. Man är också med och stärker hela säkerhetsinfrastrukturen, med hjälp av till exempel ett intrångsdetekteringssystem (IDS) som ger kontinuerlig analys av ovanlig och misstänkt aktivitet.
Här är några av stegen som det "blå laget" tar:
- säkerhetsrevision, särskilt DNS-revision;
- logg- och minnesanalys;
- analys av nätverksdatapaket;
- riskdataanalys;
- digital fotavtrycksanalys;
- reverse engineering;
- DDoS-testning;
- utveckling av scenarier för implementering av risker.
Skillnader mellan röda och blåa lag
En vanlig fråga för många organisationer är vilket lag de ska använda, rött eller blått. Denna fråga åtföljs också ofta av vänlig fiendskap mellan människor som arbetar "på motsatta sidor om barrikaderna". I verkligheten är inget av kommandona vettigt utan det andra. Så det korrekta svaret på denna fråga är att båda lagen är viktiga.
Det röda laget anfaller och används för att testa det blå lagets beredskap att försvara. Ibland kan det röda laget hitta sårbarheter som det blå laget helt har förbisett, i vilket fall det röda laget måste visa hur dessa sårbarheter kan åtgärdas.
Det är viktigt för båda teamen att arbeta tillsammans mot cyberkriminella för att stärka informationssäkerheten.
Av denna anledning är det ingen mening att välja bara en sida eller investera i bara en typ av lag. Det är viktigt att komma ihåg att båda parters mål är att förebygga cyberbrottslighet.
Med andra ord måste företag etablera ett ömsesidigt samarbete mellan de båda teamen för att kunna tillhandahålla en heltäckande granskning - med loggar över alla attacker och utförda kontroller, register över upptäckta funktioner.
Det "röda laget" ger information om de operationer de utförde under den simulerade attacken, medan det blå laget ger information om de åtgärder de vidtog för att fylla i luckorna och åtgärda de upptäckta sårbarheterna.
Vikten av båda lagen kan inte underskattas. Utan deras pågående säkerhetsrevisioner, penetrationstester och förbättringar av infrastrukturen skulle företag inte vara medvetna om tillståndet för sin egen säkerhet. Åtminstone tills data läcker ut och det blir plågsamt tydligt att säkerhetsåtgärderna inte räckte till.
Vad är ett lila lag?
"Purple Team" föddes ur försök att förena de röda och blå lagen. The Purple Team är mer ett koncept än en separat typ av team. Det är bättre att tänka på det som en kombination av röda och blå lag. Hon engagerar båda teamen och hjälper dem att arbeta tillsammans.
Purple Team kan hjälpa säkerhetsteam att förbättra sårbarhetsdetektering, hotupptäckt och nätverksövervakning genom att noggrant modellera vanliga hotscenarier och hjälpa till att skapa nya hotdetektering och förebyggande metoder.
Vissa organisationer använder ett Purple Team för engångsfokuserade aktiviteter som tydligt definierar säkerhetsmål, tidslinjer och nyckelresultat. Detta inkluderar att känna igen svagheter i attack och försvar, samt att identifiera framtida utbildnings- och teknikkrav.
Ett alternativt tillvägagångssätt som nu tar fart är att se Purple Team som en visionär modell som arbetar i hela organisationen för att hjälpa till att skapa och ständigt förbättra en cybersäkerhetskultur.
Slutsats
Red Teaming, eller komplex attacksimulering, är en kraftfull teknik för att testa en organisations säkerhetsbrister, men bör användas med försiktighet. I synnerhet för att använda det måste du ha tillräckligt Annars kanske han inte motiverar de förhoppningar som ställs på honom.
Redtiming kan avslöja sårbarheter i ditt system som du inte ens visste fanns och hjälpa till att åtgärda dem. Genom att ta ett motstånd mellan blå och röda lag kan du simulera vad en riktig hacker skulle göra om han ville stjäla din data eller skada dina tillgångar.
Källa: will.com