ที่มา: Acunetix
Red Teaming เป็นการจำลองการโจมตีจริงที่ซับซ้อนเพื่อประเมินความปลอดภัยทางไซเบอร์ของระบบ "ทีมสีแดง" เป็นกลุ่ม (ผู้เชี่ยวชาญทำการทดสอบการเจาะระบบ) พวกเขาสามารถจ้างจากภายนอกหรือพนักงานขององค์กรของคุณ แต่ในทุกกรณี บทบาทของพวกเขาจะเหมือนกัน - เพื่อเลียนแบบการกระทำของผู้บุกรุกและพยายามเจาะระบบของคุณ
นอกเหนือจาก "ทีมสีแดง" ในด้านความปลอดภัยทางไซเบอร์แล้ว ยังมีอีกหลายทีม ตัวอย่างเช่น "ทีมสีน้ำเงิน" (ทีมสีน้ำเงิน) ทำงานร่วมกับสีแดง แต่กิจกรรมนั้นมุ่งเป้าไปที่การปรับปรุงความปลอดภัยของโครงสร้างพื้นฐานของระบบจากภายใน ทีมสีม่วงเป็นตัวเชื่อม ช่วยเหลืออีกสองทีมในการพัฒนากลยุทธ์การโจมตีและการป้องกัน อย่างไรก็ตาม เรดไทม์เป็นหนึ่งในวิธีการจัดการความปลอดภัยทางไซเบอร์ที่มีความเข้าใจน้อยที่สุด และหลายองค์กรยังคงลังเลที่จะนำแนวทางปฏิบัตินี้ไปใช้
ในบทความนี้ เราจะอธิบายรายละเอียดเกี่ยวกับสิ่งที่อยู่เบื้องหลังแนวคิดของ Red Teaming และการปรับใช้แนวทางปฏิบัติในการจำลองสถานการณ์ที่ซับซ้อนของการโจมตีจริงสามารถช่วยปรับปรุงความปลอดภัยขององค์กรของคุณได้อย่างไร จุดประสงค์ของบทความนี้คือเพื่อแสดงให้เห็นว่าวิธีการนี้สามารถเพิ่มความปลอดภัยให้กับระบบข้อมูลของคุณได้อย่างไร
ภาพรวมทีมสีแดง
แม้ว่าในยุคของเรา ทีม "สีแดง" และ "สีน้ำเงิน" จะเกี่ยวข้องกับด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์เป็นหลัก แต่แนวคิดเหล่านี้ได้รับการประกาศเกียรติคุณจากกองทัพ โดยทั่วไปแล้วฉันได้ยินเกี่ยวกับแนวคิดเหล่านี้เป็นครั้งแรกในกองทัพ การทำงานเป็นนักวิเคราะห์ความปลอดภัยในโลกไซเบอร์ในทศวรรษที่ 1980 นั้นแตกต่างไปจากปัจจุบันมาก การเข้าถึงระบบคอมพิวเตอร์ที่เข้ารหัสถูกจำกัดมากกว่าที่เป็นอยู่ในปัจจุบัน
มิฉะนั้น ประสบการณ์เกมสงครามครั้งแรกของฉัน—การจำลองสถานการณ์ การจำลองสถานการณ์ และการโต้ตอบ—ก็คล้ายกับกระบวนการจำลองการโจมตีที่ซับซ้อนในปัจจุบันมาก ซึ่งได้หาทางเข้าสู่ความปลอดภัยในโลกไซเบอร์ ณ ตอนนี้ มีการให้ความสนใจอย่างมากกับการใช้วิธีวิศวกรรมสังคมเพื่อโน้มน้าวใจพนักงานให้ "ศัตรู" เข้าถึงระบบทางทหารอย่างไม่เหมาะสม ดังนั้น แม้ว่าวิธีการทางเทคนิคของการจำลองการโจมตีจะก้าวหน้าไปอย่างมากตั้งแต่ช่วงทศวรรษที่ 80 แต่ก็เป็นที่น่าสังเกตว่าเครื่องมือหลักหลายตัวของวิธีการต่อต้าน และโดยเฉพาะอย่างยิ่งเทคนิควิศวกรรมทางสังคม ส่วนใหญ่จะเป็นอิสระจากแพลตฟอร์ม
ค่านิยมหลักของการเลียนแบบการโจมตีจริงที่ซับซ้อนก็ไม่ได้เปลี่ยนไปเช่นกันตั้งแต่ยุค 80 ด้วยการจำลองการโจมตีระบบของคุณ คุณจะค้นพบช่องโหว่ได้ง่ายขึ้นและเข้าใจว่าสามารถถูกโจมตีได้อย่างไร และในขณะที่ Redteaming เคยใช้โดยแฮ็กเกอร์หมวกขาวและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เป็นหลัก มองหาช่องโหว่ผ่านการทดสอบการเจาะระบบ แต่ปัจจุบันมีการใช้อย่างแพร่หลายมากขึ้นในด้านความปลอดภัยทางไซเบอร์และธุรกิจ
กุญแจสำคัญในการลดเวลาคือการเข้าใจว่าคุณไม่สามารถเข้าใจถึงความปลอดภัยของระบบของคุณได้จริงๆ จนกว่าจะถูกโจมตี และแทนที่จะเสี่ยงกับการถูกโจมตีจากผู้โจมตีจริง การจำลองการโจมตีดังกล่าวด้วยคำสั่งสีแดงจะปลอดภัยกว่ามาก
Red Teaming: กรณีการใช้งาน
วิธีง่ายๆ ในการทำความเข้าใจพื้นฐานของการกำหนดเวลาซ้ำคือการดูตัวอย่างสองสามตัวอย่าง นี่คือสองคน:
- สถานการณ์ที่ 1 ลองนึกภาพว่าไซต์บริการลูกค้าได้รับการทดสอบและทดสอบสำเร็จแล้ว ดูเหมือนว่าสิ่งนี้ชี้ให้เห็นว่าทุกอย่างเป็นไปตามลำดับ อย่างไรก็ตาม ในเวลาต่อมา ในการโจมตีจำลองที่ซับซ้อน ทีมสีแดงพบว่าแม้แอปบริการลูกค้าจะทำงานได้ดี แต่ฟีเจอร์แชทของบุคคลที่สามไม่สามารถระบุตัวบุคคลได้อย่างถูกต้อง และทำให้สามารถหลอกตัวแทนฝ่ายบริการลูกค้าให้เปลี่ยนที่อยู่อีเมลของตนได้ . ในบัญชี (ซึ่งเป็นผลให้บุคคลใหม่ ผู้โจมตี สามารถเข้าถึง)
- สถานการณ์ที่ 2 จากการทดสอบพบว่า VPN และการควบคุมการเข้าถึงระยะไกลทั้งหมดมีความปลอดภัย อย่างไรก็ตามตัวแทนของ "ทีมสีแดง" เดินผ่านโต๊ะลงทะเบียนอย่างอิสระและหยิบแล็ปท็อปของพนักงานคนหนึ่งออกมา
ในทั้งสองกรณีข้างต้น "ทีมสีแดง" ไม่เพียงตรวจสอบความน่าเชื่อถือของแต่ละระบบเท่านั้น แต่ยังตรวจสอบจุดอ่อนของระบบโดยรวมทั้งหมดด้วย
ใครต้องการการจำลองการโจมตีที่ซับซ้อน?
กล่าวโดยสรุปคือ เกือบทุกบริษัทจะได้ประโยชน์จากการปรับเวลาใหม่ ตามที่ปรากฏ องค์กรจำนวนมากที่น่ากลัวอยู่ภายใต้ความเชื่อผิดๆ ว่าพวกเขาสามารถควบคุมข้อมูลของตนได้อย่างสมบูรณ์ เราพบว่าโดยเฉลี่ย 22% ของโฟลเดอร์ของบริษัทมีให้สำหรับพนักงานทุกคน และ 87% ของบริษัทมีไฟล์ที่ละเอียดอ่อนที่ล้าสมัยมากกว่า 1000 ไฟล์ในระบบของพวกเขา
หากบริษัทของคุณไม่ได้อยู่ในอุตสาหกรรมเทคโนโลยี ดูเหมือนว่าการ redtiming จะไม่ให้ผลดีกับคุณมากนัก แต่มันไม่ใช่ ความปลอดภัยทางไซเบอร์ไม่ใช่แค่การปกป้องข้อมูลที่เป็นความลับเท่านั้น
ผู้ไม่หวังดีพยายามที่จะใช้เทคโนโลยีเท่าๆ กัน โดยไม่คำนึงถึงขอบเขตของกิจกรรมของบริษัท ตัวอย่างเช่น พวกเขาอาจพยายามเข้าถึงเครือข่ายของคุณเพื่อซ่อนการกระทำที่จะเข้าครอบครองระบบหรือเครือข่ายอื่นที่อื่นในโลก ด้วยการโจมตีประเภทนี้ ผู้โจมตีไม่ต้องการข้อมูลของคุณ พวกเขาต้องการให้คอมพิวเตอร์ของคุณติดมัลแวร์เพื่อเปลี่ยนระบบของคุณให้เป็นกลุ่มบอทเน็ตด้วยความช่วยเหลือของพวกเขา
สำหรับบริษัทขนาดเล็ก อาจเป็นเรื่องยากที่จะหาทรัพยากรมาแลก ในกรณีนี้ คุณควรมอบความไว้วางใจให้กระบวนการนี้กับผู้รับเหมาภายนอก
การรวมทีมสีแดง: คำแนะนำ
เวลาและความถี่ที่เหมาะสมที่สุดสำหรับการรีไทม์ขึ้นอยู่กับภาคส่วนที่คุณทำงานและความพร้อมของเครื่องมือรักษาความปลอดภัยทางไซเบอร์ของคุณ
โดยเฉพาะอย่างยิ่ง คุณควรมีกิจกรรมอัตโนมัติ เช่น การสำรวจสินทรัพย์และการวิเคราะห์ช่องโหว่ องค์กรของคุณควรรวมเทคโนโลยีอัตโนมัติเข้ากับการควบคุมดูแลโดยมนุษย์โดยดำเนินการทดสอบการเจาะเต็มรูปแบบอย่างสม่ำเสมอ
หลังจากเสร็จสิ้นการทดสอบการเจาะระบบและค้นหาช่องโหว่ในวงจรธุรกิจหลายรอบแล้ว คุณสามารถดำเนินการจำลองที่ซับซ้อนของการโจมตีจริงได้ ในขั้นตอนนี้ การกำหนดเวลาใหม่จะให้ประโยชน์ที่จับต้องได้แก่คุณ อย่างไรก็ตาม การพยายามทำก่อนที่คุณจะมีพื้นฐานของการรักษาความปลอดภัยทางไซเบอร์จะไม่ทำให้เกิดผลลัพธ์ที่จับต้องได้
ทีมหมวกขาวมีแนวโน้มที่จะสามารถประนีประนอมระบบที่ไม่ได้เตรียมตัวไว้ได้อย่างรวดเร็วและง่ายดายจนคุณได้รับข้อมูลน้อยเกินไปที่จะดำเนินการต่อไป เพื่อให้ได้ผลจริง ข้อมูลที่ "ทีมแดง" ได้รับจะต้องนำมาเปรียบเทียบกับการทดสอบเจาะระบบและการประเมินช่องโหว่ครั้งก่อนๆ
การทดสอบการเจาะคืออะไร?
การเลียนแบบที่ซับซ้อนของการโจมตีจริง (Red Teaming) มักจะสับสนกับ แต่ทั้งสองวิธีมีความแตกต่างกันเล็กน้อย แม่นยำยิ่งขึ้น การทดสอบการเจาะเป็นเพียงหนึ่งในวิธีการกำหนดเวลาใหม่
บทบาทของเพนเทสเตอร์ . การทำงานของเพนเทสเตอร์แบ่งออกเป็นสี่ขั้นตอนหลัก: การวางแผน การค้นหาข้อมูล การโจมตี และการรายงาน อย่างที่คุณเห็น ผู้ทดสอบทำมากกว่าแค่มองหาช่องโหว่ของซอฟต์แวร์ พวกเขาพยายามสวมบทบาทเป็นแฮ็กเกอร์ และเมื่อพวกเขาเข้าสู่ระบบของคุณ งานที่แท้จริงของพวกเขาก็เริ่มต้นขึ้น
พวกเขาค้นพบช่องโหว่และทำการโจมตีใหม่ตามข้อมูลที่ได้รับ ย้ายผ่านลำดับชั้นของโฟลเดอร์ นี่คือสิ่งที่ทำให้ผู้ทดสอบการเจาะระบบแตกต่างจากผู้ที่ได้รับการว่าจ้างให้ค้นหาช่องโหว่โดยใช้ซอฟต์แวร์สแกนพอร์ตหรือตรวจจับไวรัสเท่านั้น เพนเทสเตอร์ที่มีประสบการณ์สามารถกำหนด:
- ที่ซึ่งแฮ็กเกอร์สามารถควบคุมการโจมตีได้
- วิธีที่แฮ็กเกอร์จะโจมตี
- การป้องกันของคุณจะมีพฤติกรรมอย่างไร?
- ขอบเขตที่เป็นไปได้ของการละเมิด
การทดสอบการเจาะระบบมุ่งเน้นไปที่การระบุจุดอ่อนในระดับแอปพลิเคชันและเครือข่าย ตลอดจนโอกาสในการเอาชนะอุปสรรคด้านความปลอดภัยทางกายภาพ ในขณะที่การทดสอบอัตโนมัติสามารถเปิดเผยปัญหาด้านความปลอดภัยทางไซเบอร์ได้ การทดสอบการเจาะระบบด้วยตนเองยังคำนึงถึงความเสี่ยงของธุรกิจที่จะถูกโจมตีด้วย
ทีมสีแดง vs. การทดสอบการเจาะ
ไม่ต้องสงสัยเลยว่าการทดสอบการเจาะระบบนั้นมีความสำคัญ แต่ก็เป็นเพียงส่วนหนึ่งของกิจกรรมการเรดไทม์ทั้งหมด กิจกรรมของ "ทีมสีแดง" มีเป้าหมายที่กว้างกว่าเป้าหมายของผู้ทดสอบซึ่งมักจะพยายามเข้าถึงเครือข่าย Redteaming มักจะเกี่ยวข้องกับคน ทรัพยากร และเวลามากขึ้น เนื่องจาก Red Team เจาะลึกเพื่อทำความเข้าใจระดับความเสี่ยงที่แท้จริงและความเปราะบางในเทคโนโลยีและทรัพย์สินของมนุษย์และทางกายภาพขององค์กร
นอกจากนี้ยังมีข้อแตกต่างอื่นๆ โดยทั่วไปแล้ว Redtiming จะใช้โดยองค์กรที่มีมาตรการรักษาความปลอดภัยทางไซเบอร์ขั้นสูงและทันสมัยกว่า (แม้ว่าในทางปฏิบัติจะไม่ใช่กรณีนี้เสมอไป)
โดยปกติแล้วบริษัทเหล่านี้คือบริษัทที่ทำการทดสอบการเจาะระบบและแก้ไขช่องโหว่ส่วนใหญ่ที่พบแล้ว และกำลังมองหาบุคคลที่สามารถลองอีกครั้งเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนหรือทำลายการป้องกันด้วยวิธีใดก็ตาม
นี่คือเหตุผลที่การกำหนดเวลาซ้ำต้องอาศัยทีมผู้เชี่ยวชาญด้านความปลอดภัยที่มุ่งเน้นไปที่เป้าหมายเฉพาะ พวกเขากำหนดเป้าหมายช่องโหว่ภายในและใช้เทคนิควิศวกรรมสังคมทั้งทางอิเล็กทรอนิกส์และกายภาพกับพนักงานขององค์กร ทีมสีแดงไม่เหมือนกับเพนเทสเตอร์ตรงที่จะใช้เวลาระหว่างการโจมตี โดยต้องการหลีกเลี่ยงการตรวจจับเหมือนที่อาชญากรไซเบอร์ตัวจริงทำ
ประโยชน์ของการรวมทีมสีแดง
มีข้อดีหลายประการในการจำลองการโจมตีจริงที่ซับซ้อน แต่ที่สำคัญที่สุด วิธีการนี้ช่วยให้คุณเห็นภาพที่ครอบคลุมเกี่ยวกับระดับความปลอดภัยทางไซเบอร์ขององค์กร กระบวนการโจมตีจำลองแบบ end-to-end ทั่วไปจะรวมถึงการทดสอบการเจาะระบบ (เครือข่าย แอปพลิเคชัน โทรศัพท์มือถือ และอุปกรณ์อื่นๆ) วิศวกรรมสังคม (ในสถานที่จริง โทรศัพท์ อีเมล หรือข้อความและแชท) และการบุกรุกทางกายภาพ (ทำลายล็อค, ตรวจจับโซนอับของกล้องวงจรปิด, เลี่ยงระบบเตือน) หากมีช่องโหว่ในด้านใดด้านหนึ่งของระบบของคุณ เราจะพบช่องโหว่ดังกล่าว
เมื่อพบช่องโหว่ก็สามารถแก้ไขได้ ขั้นตอนการจำลองการโจมตีที่มีประสิทธิภาพไม่ได้จบลงด้วยการค้นพบช่องโหว่ เมื่อระบุข้อบกพร่องด้านความปลอดภัยได้ชัดเจนแล้ว คุณจะต้องดำเนินการแก้ไขและทดสอบใหม่อีกครั้ง ในความเป็นจริงแล้ว งานจริงมักจะเริ่มขึ้นหลังจากการบุกรุกของทีมสีแดง เมื่อคุณวิเคราะห์ทางนิติวิทยาศาสตร์เกี่ยวกับการโจมตีและพยายามลดช่องโหว่ที่พบ
นอกจากประโยชน์หลักสองประการนี้แล้ว การเรดไทม์ยังมีประโยชน์อื่นๆ อีกมากมาย ดังนั้น "ทีมสีแดง" สามารถ:
- ระบุความเสี่ยงและช่องโหว่ในการโจมตีสินทรัพย์ข้อมูลทางธุรกิจที่สำคัญ
- จำลองวิธีการ กลยุทธ์ และขั้นตอนของผู้โจมตีจริงในสภาพแวดล้อมที่จำกัดและควบคุมความเสี่ยงได้
- ประเมินความสามารถขององค์กรของคุณในการตรวจจับ ตอบสนอง และป้องกันภัยคุกคามที่กำหนดเป้าหมายที่ซับซ้อน
- ส่งเสริมการทำงานร่วมกันอย่างใกล้ชิดกับแผนกรักษาความปลอดภัยและทีมสีน้ำเงินเพื่อจัดเตรียมการบรรเทาผลกระทบที่สำคัญและจัดเวิร์กช็อปเชิงปฏิบัติที่ครอบคลุมตามช่องโหว่ที่ค้นพบ
Red Teaming ทำงานอย่างไร
วิธีที่ดีในการทำความเข้าใจว่า redtimed ทำงานอย่างไรคือการดูว่ามันเกิดขึ้นได้อย่างไร กระบวนการปกติของการจำลองการโจมตีที่ซับซ้อนประกอบด้วยหลายขั้นตอน:
- องค์กรตกลงกับ "ทีมสีแดง" (ภายในหรือภายนอก) ในวัตถุประสงค์ของการโจมตี ตัวอย่างเช่น เป้าหมายดังกล่าวอาจเป็นการดึงข้อมูลที่ละเอียดอ่อนจากเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่ง
- จากนั้น "ทีมสีแดง" จะทำการลาดตระเวนเป้าหมาย ผลลัพธ์คือไดอะแกรมของระบบเป้าหมาย รวมถึงบริการเครือข่าย เว็บแอปพลิเคชัน และพอร์ทัลพนักงานภายใน .
- หลังจากนั้นจะมีการค้นหาช่องโหว่ในระบบเป้าหมาย ซึ่งโดยปกติจะใช้การโจมตีแบบฟิชชิงหรือ XSS .
- เมื่อได้รับโทเค็นการเข้าถึงแล้ว ทีมสีแดงจะใช้เพื่อตรวจสอบช่องโหว่เพิ่มเติม .
- เมื่อมีการค้นพบช่องโหว่อื่น ๆ "ทีมสีแดง" จะพยายามเพิ่มระดับการเข้าถึงให้อยู่ในระดับที่จำเป็นเพื่อให้บรรลุเป้าหมาย .
- เมื่อเข้าถึงข้อมูลหรือสินทรัพย์เป้าหมายได้ ถือว่าภารกิจการโจมตีเสร็จสิ้น
ในความเป็นจริง ผู้เชี่ยวชาญของทีมสีแดงที่มีประสบการณ์จะใช้วิธีการต่างๆ มากมายเพื่อผ่านแต่ละขั้นตอนเหล่านี้ อย่างไรก็ตาม ประเด็นสำคัญจากตัวอย่างข้างต้นคือช่องโหว่ขนาดเล็กในแต่ละระบบสามารถกลายเป็นความล้มเหลวที่รุนแรงได้หากเชื่อมต่อเข้าด้วยกัน
สิ่งที่ควรพิจารณาเมื่อพูดถึง "ทีมสีแดง"?
เพื่อให้ได้ประโยชน์สูงสุดจากการเรดไทม์ คุณต้องเตรียมการอย่างระมัดระวัง ระบบและกระบวนการที่ใช้โดยแต่ละองค์กรนั้นแตกต่างกัน และระดับคุณภาพของการกำหนดเวลาใหม่จะสำเร็จได้เมื่อมีจุดประสงค์เพื่อค้นหาช่องโหว่ในระบบของคุณ ด้วยเหตุนี้ สิ่งสำคัญคือต้องพิจารณาปัจจัยหลายประการ:
รู้ว่าคุณกำลังมองหาอะไร
ก่อนอื่น สิ่งสำคัญคือต้องเข้าใจว่าคุณต้องการตรวจสอบระบบและกระบวนการใด บางทีคุณอาจรู้ว่าคุณต้องการทดสอบเว็บแอปพลิเคชัน แต่คุณไม่เข้าใจว่ามันหมายถึงอะไรจริงๆ และระบบอื่นๆ ใดบ้างที่รวมเข้ากับเว็บแอปพลิเคชันของคุณ ดังนั้น สิ่งสำคัญคือคุณต้องมีความเข้าใจที่ดีเกี่ยวกับระบบของคุณเองและแก้ไขช่องโหว่ที่เห็นได้ชัดก่อนที่จะเริ่มการจำลองที่ซับซ้อนของการโจมตีจริง
รู้จักเครือข่ายของคุณ
สิ่งนี้เกี่ยวข้องกับคำแนะนำก่อนหน้า แต่เพิ่มเติมเกี่ยวกับลักษณะทางเทคนิคของเครือข่ายของคุณ ยิ่งคุณสามารถวัดสภาพแวดล้อมการทดสอบของคุณได้ดีเท่าไร ทีมสีแดงของคุณก็จะแม่นยำและเฉพาะเจาะจงมากขึ้นเท่านั้น
รู้งบประมาณของคุณ
การลดเวลาสามารถทำได้ในหลายระดับ แต่การจำลองการโจมตีแบบเต็มรูปแบบบนเครือข่ายของคุณ รวมถึงวิศวกรรมสังคมและการบุกรุกทางกายภาพอาจมีค่าใช้จ่ายสูง ด้วยเหตุผลนี้ สิ่งสำคัญคือต้องเข้าใจว่าคุณสามารถใช้จ่ายเท่าไหร่กับเช็คดังกล่าว และร่างขอบเขตตามนั้น
รู้ระดับความเสี่ยงของคุณ
บางองค์กรอาจยอมรับความเสี่ยงในระดับที่ค่อนข้างสูงซึ่งเป็นส่วนหนึ่งของกระบวนการทางธุรกิจมาตรฐานของตน ผู้อื่นจำเป็นต้องจำกัดระดับความเสี่ยงของตนในระดับที่สูงขึ้นมาก โดยเฉพาะอย่างยิ่งหากบริษัทดำเนินกิจการในอุตสาหกรรมที่มีการควบคุมอย่างเข้มงวด ดังนั้น เมื่อดำเนินการ redtiming สิ่งสำคัญคือต้องเน้นที่ความเสี่ยงที่เป็นอันตรายต่อธุรกิจของคุณ
Red Teaming: เครื่องมือและยุทธวิธี
หากดำเนินการอย่างถูกต้อง "ทีมสีแดง" จะดำเนินการโจมตีเครือข่ายของคุณอย่างเต็มรูปแบบโดยใช้เครื่องมือและวิธีการทั้งหมดที่แฮ็กเกอร์ใช้ เหนือสิ่งอื่นใด ได้แก่:
- การทดสอบการเจาะแอปพลิเคชัน - มีจุดมุ่งหมายเพื่อระบุจุดอ่อนในระดับแอปพลิเคชัน เช่น การปลอมแปลงคำขอข้ามไซต์ ข้อบกพร่องในการป้อนข้อมูล การจัดการเซสชันที่อ่อนแอ และอื่นๆ อีกมากมาย
- การทดสอบการเจาะเครือข่าย - มีจุดประสงค์เพื่อระบุจุดอ่อนในระดับเครือข่ายและระบบ รวมถึงการกำหนดค่าที่ไม่ถูกต้อง ช่องโหว่ของเครือข่ายไร้สาย บริการที่ไม่ได้รับอนุญาต และอื่นๆ
- การทดสอบการเจาะทางกายภาพ — ตรวจสอบประสิทธิภาพ ตลอดจนจุดแข็งและจุดอ่อนของการควบคุมความปลอดภัยทางกายภาพในชีวิตจริง
- วิศวกรรมสังคม - มีจุดมุ่งหมายเพื่อใช้ประโยชน์จากจุดอ่อนของผู้คนและธรรมชาติของมนุษย์ ทดสอบความอ่อนแอของผู้คนต่อการหลอกลวง การโน้มน้าวใจ และการชักจูงผ่านอีเมลฟิชชิ่ง โทรศัพท์ และข้อความ รวมถึงการสัมผัสทางกาย ณ จุดนั้น
ทั้งหมดข้างต้นเป็นองค์ประกอบการกำหนดเวลาใหม่ เป็นการจำลองการโจมตีหลายชั้นเต็มรูปแบบที่ออกแบบมาเพื่อกำหนดว่าบุคลากร เครือข่าย แอปพลิเคชัน และการควบคุมความปลอดภัยทางกายภาพของคุณสามารถต้านทานการโจมตีจากผู้โจมตีจริงได้ดีเพียงใด
การพัฒนาวิธีการ Red Teaming อย่างต่อเนื่อง
ลักษณะของการจำลองการโจมตีจริงที่ซับซ้อน ซึ่งทีมสีแดงพยายามหาช่องโหว่ด้านความปลอดภัยใหม่ และทีมสีน้ำเงินพยายามแก้ไข นำไปสู่การพัฒนาวิธีการตรวจสอบดังกล่าวอย่างต่อเนื่อง ด้วยเหตุนี้ จึงเป็นเรื่องยากที่จะรวบรวมรายชื่อเทคนิคการปรับเวลาสมัยใหม่ที่ทันสมัย เนื่องจากเทคนิคเหล่านี้ล้าสมัยอย่างรวดเร็ว
ดังนั้น Redteamer ส่วนใหญ่จะใช้เวลาอย่างน้อยส่วนหนึ่งในการเรียนรู้เกี่ยวกับช่องโหว่ใหม่และใช้ประโยชน์จากช่องโหว่เหล่านั้น โดยใช้ทรัพยากรมากมายที่ชุมชน Red Team จัดหาให้ นี่คือชุมชนที่ได้รับความนิยมมากที่สุด:
- เป็นบริการสมัครสมาชิกที่เสนอหลักสูตรวิดีโอออนไลน์ที่เน้นการทดสอบการเจาะระบบเป็นหลัก เช่นเดียวกับหลักสูตรเกี่ยวกับนิติวิทยาศาสตร์ของระบบปฏิบัติการ งานด้านวิศวกรรมสังคม และภาษาแอสเซมบลีของการรักษาความปลอดภัยข้อมูล
- เป็น "ผู้ดำเนินการรักษาความปลอดภัยทางไซเบอร์ที่ไม่เหมาะสม" ซึ่งมักเขียนบล็อกเกี่ยวกับวิธีการจำลองการโจมตีจริงที่ซับซ้อน และเป็นแหล่งแนวทางใหม่ๆ ที่ดี
- Twitter ยังเป็นแหล่งที่ดีหากคุณกำลังมองหาข้อมูลการกำหนดเวลาล่าสุด คุณสามารถค้นหาได้ด้วยแฮชแท็ก и .
- เป็นอีกหนึ่งผู้เชี่ยวชาญด้าน redtiming ที่มีประสบการณ์ซึ่งจัดทำจดหมายข่าวและ นำไปสู่ และเขียนมากมายเกี่ยวกับกระแสของทีมสีแดงในปัจจุบัน ในบรรดาบทความล่าสุดของเขา: и .
- เป็นจดหมายข่าวด้านความปลอดภัยบนเว็บที่สนับสนุนโดย PortSwigger Web Security นี่เป็นแหล่งข้อมูลที่ดีในการเรียนรู้เกี่ยวกับการพัฒนาล่าสุดและข่าวสารในด้านของการปรับเวลาใหม่ - การแฮ็ก การรั่วไหลของข้อมูล การหาประโยชน์ ช่องโหว่ของเว็บแอปพลิเคชัน และเทคโนโลยีความปลอดภัยใหม่ๆ
- เป็นแฮ็กเกอร์หมวกขาวและนักทดสอบการเจาะระบบซึ่งมักจะพูดถึงกลยุทธ์ใหม่ๆ ของทีมสีแดงในตัวเขา .
- MWR labs เป็นแหล่งข้อมูลสำหรับการ redtiming news ที่ดี แม้ว่าจะมีเทคนิคมากก็ตาม โพสต์เหล่านี้มีประโยชน์สำหรับทีมสีแดง และพวกเขา มีเคล็ดลับในการแก้ปัญหาที่ผู้ทดสอบความปลอดภัยต้องเผชิญ
- - ทนายความและ "แฮ็กเกอร์ขาว" ฟีด Twitter ของเขามีเทคนิคที่เป็นประโยชน์สำหรับ "ทีมสีแดง" เช่น การเขียน SQL Injections และการปลอมโทเค็น OAuth
- (ATT & CK) เป็นฐานความรู้ที่รวบรวมไว้เกี่ยวกับพฤติกรรมของผู้โจมตี ติดตามขั้นตอนของวงจรชีวิตของผู้โจมตีและแพลตฟอร์มที่พวกเขากำหนดเป้าหมาย
- เป็นแนวทางสำหรับแฮ็กเกอร์ ซึ่งแม้ว่าจะค่อนข้างเก่า แต่ก็ครอบคลุมเทคนิคพื้นฐานมากมายที่ยังคงเป็นหัวใจสำคัญของการเลียนแบบการโจมตีจริงที่ซับซ้อน ผู้เขียนปีเตอร์คิมก็มี ซึ่งเขานำเสนอเคล็ดลับการแฮ็กและข้อมูลอื่นๆ
- SANS Institute เป็นผู้ให้บริการสื่อการฝึกอบรมความปลอดภัยทางไซเบอร์รายใหญ่อีกราย ของพวกเขา มุ่งเน้นไปที่การพิสูจน์หลักฐานดิจิทัลและการตอบสนองต่อเหตุการณ์ โดยมีข่าวสารล่าสุดเกี่ยวกับหลักสูตร SANS และคำแนะนำจากผู้ปฏิบัติงานที่เชี่ยวชาญ
- มีการเผยแพร่ข่าวที่น่าสนใจที่สุดเกี่ยวกับ redtiming ใน . มีบทความที่เน้นด้านเทคโนโลยี เช่น การเปรียบเทียบ Red Teaming กับการทดสอบการรุก รวมถึงบทความเชิงวิเคราะห์ เช่น The Red Team Specialist Manifesto
- ในที่สุด Awesome Red Teaming คือชุมชน GitHub ที่นำเสนอ ทรัพยากรที่อุทิศให้กับ Red Teaming ครอบคลุมแทบทุกแง่มุมทางเทคนิคของกิจกรรมของทีมสีแดง ตั้งแต่การเข้าถึงครั้งแรก การดำเนินกิจกรรมที่เป็นอันตราย ไปจนถึงการรวบรวมและแยกข้อมูล
"ทีมสีน้ำเงิน" - มันคืออะไร?
ด้วยทีมหลากสีจำนวนมาก อาจเป็นเรื่องยากที่จะพิจารณาว่าองค์กรของคุณต้องการประเภทใด
ทางเลือกหนึ่งสำหรับทีมสีแดง และโดยเฉพาะอย่างยิ่งทีมอีกประเภทที่สามารถใช้ร่วมกับทีมสีแดงได้คือทีมสีน้ำเงิน ทีมสีน้ำเงินยังประเมินความปลอดภัยของเครือข่ายและระบุช่องโหว่ของโครงสร้างพื้นฐานที่อาจเกิดขึ้น อย่างไรก็ตาม เธอมีเป้าหมายที่แตกต่างออกไป ทีมงานประเภทนี้จำเป็นต้องค้นหาวิธีป้องกัน เปลี่ยนแปลง และจัดกลุ่มกลไกการป้องกันใหม่เพื่อให้การตอบสนองต่อเหตุการณ์มีประสิทธิภาพมากขึ้น
เช่นเดียวกับทีมสีแดง ทีมสีน้ำเงินต้องมีความรู้เหมือนกันเกี่ยวกับกลยุทธ์ เทคนิค และกระบวนการโจมตีของผู้โจมตี เพื่อสร้างกลยุทธ์การตอบโต้ตามพวกเขา อย่างไรก็ตามหน้าที่ของทีมสีน้ำเงินไม่ได้จำกัดเพียงแค่การป้องกันการโจมตีเท่านั้น นอกจากนี้ยังมีส่วนร่วมในการเสริมความแข็งแกร่งให้กับโครงสร้างพื้นฐานด้านความปลอดภัยทั้งหมด เช่น การใช้ระบบตรวจจับการบุกรุก (IDS) ที่ให้การวิเคราะห์กิจกรรมที่ผิดปกติและน่าสงสัยอย่างต่อเนื่อง
นี่คือขั้นตอนบางส่วนที่ "ทีมสีน้ำเงิน" ดำเนินการ:
- การตรวจสอบความปลอดภัย โดยเฉพาะการตรวจสอบ DNS
- การวิเคราะห์บันทึกและหน่วยความจำ
- การวิเคราะห์แพ็คเก็ตข้อมูลเครือข่าย
- การวิเคราะห์ข้อมูลความเสี่ยง
- การวิเคราะห์รอยเท้าดิจิทัล
- วิศวกรรมย้อนกลับ
- การทดสอบ DDoS;
- การพัฒนาสถานการณ์จำลองการดำเนินการตามความเสี่ยง
ความแตกต่างระหว่างทีมสีแดงและสีน้ำเงิน
คำถามทั่วไปสำหรับหลายองค์กรคือควรใช้ทีมใด สีแดงหรือสีน้ำเงิน ปัญหานี้มักจะมาพร้อมกับความเกลียดชังที่เป็นมิตรระหว่างคนที่ทำงาน "ในฝั่งตรงข้ามของเครื่องกีดขวาง" ในความเป็นจริงแล้ว คำสั่งทั้งสองก็ไม่สมเหตุสมผลหากไม่มีคำสั่งอื่น ดังนั้นคำตอบที่ถูกต้องสำหรับคำถามนี้คือทั้งสองทีมมีความสำคัญ
ทีมสีแดงโจมตีและใช้เพื่อทดสอบความพร้อมของทีมสีน้ำเงินในการป้องกัน บางครั้งทีมสีแดงอาจพบช่องโหว่ที่ทีมสีน้ำเงินมองข้ามไปโดยสิ้นเชิง ซึ่งในกรณีนี้ทีมสีแดงจะต้องแสดงให้เห็นว่าสามารถแก้ไขช่องโหว่เหล่านั้นได้อย่างไร
เป็นสิ่งสำคัญสำหรับทั้งสองทีมในการทำงานร่วมกันเพื่อต่อต้านอาชญากรไซเบอร์เพื่อเสริมสร้างความปลอดภัยของข้อมูล
ด้วยเหตุนี้ จึงไม่มีเหตุผลที่จะเลือกเพียงฝ่ายเดียวหรือลงทุนในทีมเพียงประเภทเดียว สิ่งสำคัญคือต้องจำไว้ว่าเป้าหมายของทั้งสองฝ่ายคือการป้องกันอาชญากรรมทางไซเบอร์
กล่าวอีกนัยหนึ่ง บริษัทต่างๆ จำเป็นต้องสร้างความร่วมมือร่วมกันของทั้งสองทีมเพื่อให้มีการตรวจสอบอย่างครอบคลุม โดยมีบันทึกการโจมตีทั้งหมดและการตรวจสอบที่ดำเนินการ บันทึกคุณลักษณะที่ตรวจพบ
"ทีมสีแดง" ให้ข้อมูลเกี่ยวกับการดำเนินการที่พวกเขาทำระหว่างการโจมตีจำลอง ในขณะที่ทีมสีน้ำเงินให้ข้อมูลเกี่ยวกับการดำเนินการที่พวกเขาทำเพื่อเติมเต็มช่องว่างและแก้ไขช่องโหว่ที่พบ
ความสำคัญของทั้งสองทีมไม่สามารถประเมินได้ต่ำเกินไป หากไม่มีการตรวจสอบความปลอดภัยอย่างต่อเนื่อง การทดสอบการเจาะระบบ และการปรับปรุงโครงสร้างพื้นฐาน บริษัทต่างๆ จะไม่ทราบสถานะความปลอดภัยของตนเอง อย่างน้อยก็จนกว่าข้อมูลจะรั่วไหลและเห็นได้ชัดว่ามาตรการรักษาความปลอดภัยยังไม่เพียงพอ
ทีมสีม่วงคืออะไร?
"ทีมสีม่วง" เกิดจากความพยายามที่จะรวมทีมสีแดงและสีน้ำเงินเข้าด้วยกัน ทีมสีม่วงเป็นแนวคิดมากกว่าประเภทของทีมที่แยกจากกัน เหมาะที่จะดูเป็นการผสมผสานระหว่างทีมสีแดงและสีน้ำเงิน เธอมีส่วนร่วมกับทั้งสองทีม ช่วยให้พวกเขาทำงานร่วมกัน
ทีมสีม่วงสามารถช่วยทีมรักษาความปลอดภัยปรับปรุงการตรวจจับช่องโหว่ การค้นหาภัยคุกคาม และการตรวจสอบเครือข่ายโดยสร้างแบบจำลองสถานการณ์ภัยคุกคามทั่วไปอย่างแม่นยำ และช่วยสร้างวิธีการตรวจจับและป้องกันภัยคุกคามใหม่ๆ
บางองค์กรใช้ทีมสีม่วงสำหรับกิจกรรมที่มุ่งเน้นเพียงครั้งเดียวซึ่งกำหนดเป้าหมายด้านความปลอดภัย ลำดับเวลา และผลลัพธ์หลักอย่างชัดเจน ซึ่งรวมถึงการตระหนักถึงจุดอ่อนในการโจมตีและการป้องกัน เช่นเดียวกับการระบุความต้องการด้านการฝึกอบรมและเทคโนโลยีในอนาคต
แนวทางอื่นที่กำลังได้รับแรงผลักดันในขณะนี้คือการมองว่าทีมสีม่วงเป็นโมเดลที่มีวิสัยทัศน์ซึ่งทำงานทั่วทั้งองค์กรเพื่อช่วยสร้างและปรับปรุงวัฒนธรรมความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง
ข้อสรุป
Red Teaming หรือการจำลองการโจมตีที่ซับซ้อนเป็นเทคนิคที่มีประสิทธิภาพสำหรับการทดสอบช่องโหว่ด้านความปลอดภัยขององค์กร แต่ควรใช้ด้วยความระมัดระวัง โดยเฉพาะต้องใช้ให้เพียงพอ มิฉะนั้นเขาอาจไม่สมเหตุสมผลกับความหวังที่วางไว้
เรดไทม์สามารถเปิดเผยช่องโหว่ในระบบของคุณที่คุณไม่รู้ด้วยซ้ำว่ามีอยู่และช่วยแก้ไขได้ ด้วยการใช้แนวทางที่เป็นปฏิปักษ์ระหว่างทีมสีน้ำเงินและสีแดง คุณสามารถจำลองว่าแฮ็กเกอร์ตัวจริงจะทำอย่างไร หากเขาต้องการขโมยข้อมูลของคุณหรือทำให้ทรัพย์สินของคุณเสียหาย
ที่มา: will.com