ProHoster > Blog > Pangangasiwa > Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool
Pinagmulan: Acunetix

Ang Red Teaming ay isang kumplikadong simulation ng mga totoong pag-atake upang masuri ang cybersecurity ng mga system. Ang "Red Team" ay isang grupo mga pentesters (mga espesyalista na nagsasagawa ng pagsubok sa pagtagos sa system). Maaari silang kunin mula sa labas o mga empleyado ng iyong organisasyon, ngunit sa lahat ng pagkakataon ay pareho ang kanilang tungkulin - upang gayahin ang mga aksyon ng mga nanghihimasok at subukang tumagos sa iyong system.

Kasama ang "mga pulang koponan" sa cybersecurity, marami pang iba. Halimbawa, ang Blue Team ay nakikipagtulungan sa Red Team, ngunit ang mga aktibidad nito ay naglalayong pahusayin ang seguridad ng imprastraktura ng system mula sa loob. Ang Purple Team ay ang link, na tumutulong sa iba pang dalawang koponan sa pagbuo ng mga diskarte sa pag-atake at depensa. Gayunpaman, ang redtiming ay isa sa mga hindi gaanong naiintindihan na paraan ng pamamahala ng cybersecurity, at maraming organisasyon ang nananatiling nag-aatubili na gamitin ang kasanayang ito.
Sa artikulong ito, ipapaliwanag namin nang detalyado kung ano ang nasa likod ng konsepto ng Red Teaming, at kung paano makakatulong ang pagpapatupad ng mga kumplikadong simulation practice ng mga totoong pag-atake na mapahusay ang seguridad ng iyong organisasyon. Ang layunin ng artikulong ito ay ipakita kung paano makabuluhang mapapataas ng pamamaraang ito ang seguridad ng iyong mga sistema ng impormasyon.

Pangkalahatang-ideya ng Red Teaming

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Bagaman sa ating panahon, ang "pula" at "asul" na mga koponan ay pangunahing nauugnay sa larangan ng teknolohiya ng impormasyon at cybersecurity, ang mga konseptong ito ay nilikha ng militar. Sa pangkalahatan, sa hukbo ko unang narinig ang tungkol sa mga konseptong ito. Ang pagtatrabaho bilang isang cybersecurity analyst noong 1980s ay ibang-iba sa ngayon: ang pag-access sa mga naka-encrypt na computer system ay mas pinaghihigpitan kaysa ngayon.

Kung hindi, ang aking unang karanasan sa mga larong pandigmaβ€”simulation, simulation, at interaksyonβ€”ay halos kapareho sa kumplikadong proseso ng simulation ng pag-atake ngayon, na nakarating sa cybersecurity. Sa ngayon, malaking atensyon ang binayaran sa paggamit ng mga pamamaraan ng social engineering upang kumbinsihin ang mga empleyado na bigyan ang "kaaway" ng hindi tamang pag-access sa mga sistema ng militar. Samakatuwid, kahit na ang mga teknikal na pamamaraan ng simulation ng pag-atake ay lumago nang malaki mula noong 80s, ito ay nagkakahalaga ng pagpuna na marami sa mga pangunahing tool ng adversarial approach, at lalo na ang mga social engineering technique, ay higit sa lahat ay independyente sa platform.

Ang pangunahing halaga ng kumplikadong imitasyon ng mga tunay na pag-atake ay hindi rin nagbago mula noong 80s. Sa pamamagitan ng pagtulad sa isang pag-atake sa iyong mga system, mas madali para sa iyo na tumuklas ng mga kahinaan at maunawaan kung paano sila mapagsasamantalahan. At habang ang redteaming ay pangunahing ginagamit ng mga hacker ng white hat at mga propesyonal sa cybersecurity na naghahanap ng mga kahinaan sa pamamagitan ng pagsubok sa pagtagos, mas malawak na itong ginagamit sa cybersecurity at negosyo.

Ang susi sa redtiming ay upang maunawaan na hindi mo talaga maiintindihan ang seguridad ng iyong mga system hangga't hindi sila inaatake. At sa halip na ilagay sa panganib ang iyong sarili na atakihin ng mga tunay na umaatake, mas ligtas na gayahin ang gayong pag-atake gamit ang pulang utos.

Red Teaming: mga kaso ng paggamit

Ang isang madaling paraan upang maunawaan ang mga pangunahing kaalaman sa redtiming ay ang pagtingin sa ilang mga halimbawa. Narito ang dalawa sa kanila:

  • Sitwasyon 1. Isipin na ang isang customer service site ay na-pentested at matagumpay na nasubok. Ito ay tila nagmumungkahi na ang lahat ay nasa ayos. Gayunpaman, sa paglaon, sa isang kumplikadong mock attack, natuklasan ng pulang team na habang maayos ang customer service app, hindi tumpak na matukoy ng third-party chat feature ang mga tao, at ginagawa nitong posible na linlangin ang mga kinatawan ng customer service na baguhin ang kanilang email address . sa account (bilang resulta kung saan ang isang bagong tao, isang umaatake, ay maaaring makakuha ng access).
  • Sitwasyon 2. Bilang resulta ng pentesting, nakitang secure ang lahat ng VPN at remote access control. Gayunpaman, pagkatapos ay ang kinatawan ng "pulang koponan" ay malayang dumaan sa desk ng pagpaparehistro at kinuha ang laptop ng isa sa mga empleyado.

Sa parehong mga kaso sa itaas, sinusuri ng "pulang pangkat" hindi lamang ang pagiging maaasahan ng bawat indibidwal na sistema, kundi pati na rin ang buong sistema sa kabuuan para sa mga kahinaan.

Sino ang Nangangailangan ng Complex Attack Simulation?

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Sa madaling sabi, halos anumang kumpanya ay maaaring makinabang mula sa redtiming. Gaya ng ipinapakita sa aming 2019 Global Data Risk Report., ang isang nakakatakot na malaking bilang ng mga organisasyon ay nasa ilalim ng maling paniniwala na sila ay may ganap na kontrol sa kanilang data. Nalaman namin, halimbawa, na sa average na 22% ng mga folder ng kumpanya ay available sa bawat empleyado, at na 87% ng mga kumpanya ay may higit sa 1000 hindi napapanahong sensitibong mga file sa kanilang mga system.

Kung ang iyong kumpanya ay wala sa tech na industriya, maaaring hindi ito mukhang mahusay sa iyo ng redtiming. Pero hindi pala. Ang cybersecurity ay hindi lamang tungkol sa pagprotekta sa kumpidensyal na impormasyon.

Ang mga malefactor ay pantay na nagsisikap na hawakan ang mga teknolohiya anuman ang saklaw ng aktibidad ng kumpanya. Halimbawa, maaari silang maghangad na makakuha ng access sa iyong network upang itago ang kanilang mga aksyon para sakupin ang isa pang system o network sa ibang lugar sa mundo. Sa ganitong uri ng pag-atake, hindi kailangan ng mga umaatake ang iyong data. Gusto nilang mahawaan ng malware ang iyong mga computer upang gawing grupo ng mga botnet ang iyong system sa tulong nila.

Para sa mas maliliit na kumpanya, maaaring maging mahirap na makahanap ng mga mapagkukunan upang i-redeem. Sa kasong ito, makatuwirang ipagkatiwala ang prosesong ito sa isang panlabas na kontratista.

Red Teaming: Mga Rekomendasyon

Ang pinakamainam na oras at dalas para sa redtiming ay depende sa sektor kung saan ka nagtatrabaho at sa kapanahunan ng iyong mga tool sa cybersecurity.

Sa partikular, dapat ay mayroon kang mga automated na aktibidad tulad ng pag-explore ng asset at pagsusuri sa kahinaan. Dapat ding pagsamahin ng iyong organisasyon ang automated na teknolohiya sa pangangasiwa ng tao sa pamamagitan ng regular na pagsasagawa ng buong penetration testing.
Pagkatapos makumpleto ang ilang mga siklo ng negosyo ng pagsubok sa pagtagos at paghahanap ng mga kahinaan, maaari kang magpatuloy sa isang kumplikadong simulation ng isang tunay na pag-atake. Sa yugtong ito, ang redtiming ay magdadala sa iyo ng mga tiyak na benepisyo. Gayunpaman, ang pagsisikap na gawin ito bago ka magkaroon ng mga pangunahing kaalaman sa cybersecurity ay hindi magdadala ng mga nakikitang resulta.

Ang isang pangkat ng puting sumbrero ay malamang na magagawang ikompromiso ang isang hindi nakahandang sistema nang napakabilis at madali na nakakakuha ka ng masyadong maliit na impormasyon upang makagawa ng karagdagang aksyon. Upang magkaroon ng tunay na epekto, ang impormasyong nakuha ng "pulang pangkat" ay dapat ikumpara sa mga nakaraang pagsubok sa pagtagos at mga pagsusuri sa kahinaan.

Ano ang penetration testing?

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Ang kumplikadong imitasyon ng isang tunay na pag-atake (Red Teaming) ay kadalasang nalilito pagsubok sa pagtagos (pentest), ngunit ang dalawang pamamaraan ay bahagyang naiiba. Mas tiyak, ang penetration testing ay isa lamang sa mga paraan ng redtiming.

Ang Papel ng isang Pentester mahusay na tinukoy. Ang gawain ng mga pentester ay nahahati sa apat na pangunahing yugto: pagpaplano, pagtuklas ng impormasyon, pag-atake, at pag-uulat. Tulad ng nakikita mo, ang mga pentester ay hindi lamang naghahanap ng mga kahinaan sa software. Sinusubukan nilang ilagay ang kanilang mga sarili sa mga sapatos ng mga hacker, at sa sandaling makapasok sila sa iyong system, magsisimula ang kanilang tunay na gawain.

Natuklasan nila ang mga kahinaan at pagkatapos ay nagsasagawa ng mga bagong pag-atake batay sa impormasyong natanggap, na lumilipat sa hierarchy ng folder. Ito ang pinagkaiba ng mga penetration tester mula sa mga kinukuha lang para maghanap ng mga kahinaan, gamit ang port scanning software o virus detection. Maaaring matukoy ng isang bihasang pentester:

  • kung saan maaaring idirekta ng mga hacker ang kanilang pag-atake;
  • ang paraan ng pag-atake ng mga hacker;
  • Paano ang magiging kilos ng iyong depensa?
  • posibleng lawak ng paglabag.

Ang pagsubok sa penetration ay nakatuon sa pagtukoy ng mga kahinaan sa antas ng aplikasyon at network, pati na rin ang mga pagkakataon upang malampasan ang mga hadlang sa pisikal na seguridad. Bagama't maaaring ipakita ng awtomatikong pagsubok ang ilang isyu sa cybersecurity, isinasaalang-alang din ng manual penetration testing ang kahinaan ng isang negosyo sa mga pag-atake.

Red Teaming vs. pagsubok sa pagtagos

Walang alinlangan, mahalaga ang penetration testing, ngunit isa lamang itong bahagi ng buong serye ng mga aktibidad sa redtiming. Ang mga aktibidad ng "pulang koponan" ay may mas malawak na layunin kaysa sa mga pentester, na kadalasang naghahanap lamang ng access sa network. Ang redteaming ay madalas na nagsasangkot ng mas maraming tao, mapagkukunan at oras habang ang pulang team ay naghuhukay ng malalim upang lubos na maunawaan ang tunay na antas ng panganib at kahinaan sa teknolohiya at sa mga tao at pisikal na asset ng organisasyon.

Bilang karagdagan, may iba pang mga pagkakaiba. Ang redtiming ay karaniwang ginagamit ng mga organisasyong may mas mature at advanced na mga hakbang sa cybersecurity (bagaman hindi ito palaging nangyayari sa pagsasanay).

Ang mga ito ay karaniwang mga kumpanya na nakagawa na ng pagsubok sa pagtagos at inayos ang karamihan sa mga kahinaan na natagpuan at ngayon ay naghahanap ng isang tao na maaaring subukang muli upang ma-access ang sensitibong impormasyon o sirain ang proteksyon sa anumang paraan.
Ito ang dahilan kung bakit umaasa ang redtiming sa isang pangkat ng mga eksperto sa seguridad na nakatuon sa isang partikular na target. Tina-target nila ang mga panloob na kahinaan at ginagamit ang parehong mga elektroniko at pisikal na pamamaraan ng social engineering sa mga empleyado ng organisasyon. Hindi tulad ng mga pentester, ang mga pulang koponan ay naglalaan ng oras sa kanilang pag-atake, na gustong maiwasan ang pagtuklas tulad ng gagawin ng isang tunay na cybercriminal.

Mga Benepisyo ng Red Teaming

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Mayroong maraming mga pakinabang sa kumplikadong simulation ng mga tunay na pag-atake, ngunit ang pinakamahalaga, ang diskarte na ito ay nagbibigay-daan sa iyo upang makakuha ng isang komprehensibong larawan ng antas ng cybersecurity ng isang organisasyon. Kasama sa karaniwang end-to-end na simulate na proseso ng pag-atake ang pagsubok sa pagtagos (network, application, mobile phone, at iba pang device), social engineering (live on-site, mga tawag sa telepono, email, o mga text message at chat), at pisikal na panghihimasok ( pagsira ng mga kandado, pag-detect ng mga patay na zone ng mga security camera, pag-bypass ng mga sistema ng babala). Kung may mga kahinaan sa alinman sa mga aspetong ito ng iyong system, makikita ang mga ito.

Kapag natagpuan ang mga kahinaan, maaari silang ayusin. Ang isang epektibong pamamaraan ng simulation ng pag-atake ay hindi nagtatapos sa pagtuklas ng mga kahinaan. Kapag malinaw na natukoy ang mga bahid sa seguridad, gugustuhin mong pagsikapang ayusin ang mga ito at muling subukan ang mga ito. Sa katunayan, ang tunay na gawain ay karaniwang nagsisimula pagkatapos ng isang pulang pangkat na panghihimasok, kapag pinag-aaralan mo ng forensic ang pag-atake at sinubukang pagaanin ang mga nakitang kahinaan.

Bilang karagdagan sa dalawang pangunahing benepisyong ito, nag-aalok din ang redtiming ng ilang iba pa. Kaya, ang "pulang pangkat" ay maaaring:

  • tukuyin ang mga panganib at kahinaan sa mga pag-atake sa mga pangunahing asset ng impormasyon ng negosyo;
  • gayahin ang mga pamamaraan, taktika at pamamaraan ng mga tunay na umaatake sa isang kapaligiran na may limitado at kontroladong panganib;
  • Tayahin ang kakayahan ng iyong organisasyon na tuklasin, tumugon, at maiwasan ang mga kumplikado at naka-target na pagbabanta;
  • Hikayatin ang malapit na pakikipagtulungan sa mga departamento ng seguridad at mga asul na koponan upang magbigay ng makabuluhang pagpapagaan at magsagawa ng mga komprehensibong hands-on na workshop kasunod ng mga natuklasang kahinaan.

Paano gumagana ang Red Teaming?

Ang isang mahusay na paraan upang maunawaan kung paano gumagana ang redtiming ay upang tingnan kung paano ito karaniwang gumagana. Ang karaniwang proseso ng kumplikadong simulation ng pag-atake ay binubuo ng ilang mga yugto:

  • Sumasang-ayon ang organisasyon sa "pulang pangkat" (panloob o panlabas) sa layunin ng pag-atake. Halimbawa, ang naturang layunin ay maaaring makuha ang sensitibong impormasyon mula sa isang partikular na server.
  • Pagkatapos ang "pulang pangkat" ay nagsasagawa ng reconnaissance ng target. Ang resulta ay isang diagram ng mga target na system, kabilang ang mga serbisyo sa network, mga web application, at mga portal ng panloob na empleyado. .
  • Pagkatapos nito, hahanapin ang mga kahinaan sa target na sistema, na karaniwang ipinapatupad gamit ang mga pag-atake ng phishing o XSS. .
  • Kapag nakuha na ang mga token ng pag-access, ginagamit ng pulang team ang mga ito para mag-imbestiga ng higit pang mga kahinaan. .
  • Kapag natuklasan ang iba pang mga kahinaan, ang "pulang pangkat" ay magsusumikap na pataasin ang kanilang antas ng pag-access sa antas na kinakailangan upang makamit ang layunin. .
  • Sa pagkakaroon ng access sa target na data o asset, ang gawain sa pag-atake ay itinuturing na tapos na.

Sa katunayan, ang isang makaranasang red team specialist ay gagamit ng malaking bilang ng iba't ibang paraan upang malagpasan ang bawat hakbang na ito. Gayunpaman, ang pangunahing takeaway mula sa halimbawa sa itaas ay ang maliliit na kahinaan sa mga indibidwal na system ay maaaring maging mga sakuna na pagkabigo kung magkakadena.

Ano ang dapat isaalang-alang kapag tinutukoy ang "red team"?

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Upang masulit ang redtiming, kailangan mong maghanda nang mabuti. Ang mga system at proseso na ginagamit ng bawat organisasyon ay magkakaiba, at ang antas ng kalidad ng redtiming ay nakakamit kapag ito ay naglalayong maghanap ng mga kahinaan sa iyong mga system. Para sa kadahilanang ito, mahalagang isaalang-alang ang ilang mga kadahilanan:

Alamin kung ano ang iyong hinahanap

Una sa lahat, mahalagang maunawaan kung aling mga sistema at proseso ang gusto mong suriin. Marahil alam mo na gusto mong subukan ang isang web application, ngunit hindi mo masyadong naiintindihan kung ano talaga ang ibig sabihin nito at kung ano ang iba pang mga system na isinama sa iyong mga web application. Samakatuwid, mahalagang magkaroon ka ng isang mahusay na pag-unawa sa iyong sariling mga system at ayusin ang anumang mga halatang kahinaan bago simulan ang isang kumplikadong simulation ng isang tunay na pag-atake.

Alamin ang iyong network

Ito ay nauugnay sa nakaraang rekomendasyon, ngunit higit pa tungkol sa mga teknikal na katangian ng iyong network. Kung mas mahusay mong mabibilang ang iyong kapaligiran sa pagsubok, magiging mas tumpak at tiyak ang iyong pulang koponan.

Alamin ang Iyong Badyet

Maaaring isagawa ang redtiming sa iba't ibang antas, ngunit ang pagtulad sa buong hanay ng mga pag-atake sa iyong network, kabilang ang social engineering at pisikal na panghihimasok, ay maaaring magastos. Para sa kadahilanang ito, mahalagang maunawaan kung magkano ang maaari mong gastusin sa naturang tseke at, nang naaayon, balangkasin ang saklaw nito.

Alamin ang iyong antas ng panganib

Maaaring tiisin ng ilang organisasyon ang medyo mataas na antas ng panganib bilang bahagi ng kanilang karaniwang mga pamamaraan sa negosyo. Kakailanganin ng iba na limitahan ang kanilang antas ng panganib sa mas malaking lawak, lalo na kung ang kumpanya ay nagpapatakbo sa isang lubos na kinokontrol na industriya. Samakatuwid, kapag nagsasagawa ng redtiming, mahalagang tumuon sa mga panganib na talagang nagdudulot ng panganib sa iyong negosyo.

Red Teaming: Mga Tool at Taktika

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Kung ipinatupad nang tama, ang "pulang koponan" ay magsasagawa ng isang malawakang pag-atake sa iyong mga network gamit ang lahat ng mga tool at pamamaraan na ginagamit ng mga hacker. Sa iba pang mga bagay, kabilang dito ang:

  • Application Penetration Testing - naglalayong tukuyin ang mga kahinaan sa antas ng aplikasyon, tulad ng pamemeke ng kahilingan sa cross-site, mga depekto sa pagpasok ng data, mahinang pamamahala ng session, at marami pang iba.
  • Pagsubok sa Pagpasok sa Network - naglalayong tukuyin ang mga kahinaan sa antas ng network at system, kabilang ang mga maling pagsasaayos, mga kahinaan sa wireless network, mga hindi awtorisadong serbisyo, at higit pa.
  • Pagsubok sa pisikal na pagtagos β€” pagsuri sa pagiging epektibo, pati na rin ang mga kalakasan at kahinaan ng mga pisikal na kontrol sa seguridad sa totoong buhay.
  • social engineering - naglalayong pagsamantalahan ang mga kahinaan ng mga tao at kalikasan ng tao, pagsubok sa pagkamaramdamin ng mga tao sa panlilinlang, panghihikayat at pagmamanipula sa pamamagitan ng mga phishing na email, mga tawag sa telepono at mga text message, pati na rin ang pisikal na pakikipag-ugnayan sa lugar.

Ang lahat ng nasa itaas ay mga bahagi ng redtiming. Isa itong full-blown, layered na simulation ng pag-atake na idinisenyo upang matukoy kung gaano kahusay ang iyong mga tao, network, application, at mga kontrol sa pisikal na seguridad sa pag-atake mula sa isang tunay na umaatake.

Patuloy na pagbuo ng mga pamamaraan ng Red Teaming

Ang likas na katangian ng kumplikadong simulation ng mga tunay na pag-atake, kung saan sinusubukan ng mga pulang koponan na maghanap ng mga bagong kahinaan sa seguridad at sinusubukan ng mga asul na koponan na ayusin ang mga ito, ay humahantong sa patuloy na pagbuo ng mga pamamaraan para sa mga naturang pagsusuri. Para sa kadahilanang ito, mahirap mag-compile ng up-to-date na listahan ng mga modernong diskarte sa redtiming, dahil mabilis silang luma na.

Samakatuwid, ang karamihan sa mga redteamer ay gugugol ng hindi bababa sa bahagi ng kanilang oras sa pag-aaral tungkol sa mga bagong kahinaan at pagsasamantala sa mga ito, gamit ang maraming mapagkukunang ibinigay ng komunidad ng red team. Narito ang pinakasikat sa mga komunidad na ito:

  • Pentester Academy ay isang serbisyo sa subscription na nag-aalok ng mga online na kurso sa video na pangunahing nakatuon sa pagsubok sa pagtagos, gayundin ng mga kurso sa operating system forensics, mga gawain sa social engineering, at information security assembly language.
  • Vincent Yiu ay isang "offensive cybersecurity operator" na regular na nagba-blog tungkol sa mga pamamaraan para sa kumplikadong simulation ng mga tunay na pag-atake at isang magandang pinagmumulan ng mga bagong diskarte.
  • Ang Twitter ay isa ring magandang source kung naghahanap ka ng napapanahong impormasyon sa redtiming. Mahahanap mo ito gamit ang mga hashtag #redteam ΠΈ #redteaming.
  • Daniel Miessler ay isa pang bihasang espesyalista sa redtiming na gumagawa ng newsletter at podcast, nangunguna website at nagsusulat ng marami tungkol sa kasalukuyang mga trend ng red team. Kabilang sa kanyang mga kamakailang artikulo: "Ang Purple Team Pentest ay Nangangahulugan na Ang Iyong Pula at Asul na Mga Koponan ay Nabigo" ΠΈ "Mga Gantimpala sa Pagkakahinaan at Kailan Gagamitin ang Pagsusuri sa Pagkakahinaan, Pagsubok sa Pagpasok, at Komprehensibong Simulation ng Pag-atake".
  • Araw-araw na Swig ay isang web security newsletter na inisponsor ng PortSwigger Web Security. Ito ay isang mahusay na mapagkukunan upang matutunan ang tungkol sa mga pinakabagong pag-unlad at balita sa larangan ng redtiming - mga hack, data leaks, pagsasamantala, mga kahinaan sa web application at mga bagong teknolohiya sa seguridad.
  • Florian Hansemann ay isang white hat hacker at penetration tester na regular na sumasaklaw sa mga bagong taktika ng red team sa kanya post ng blog.
  • Ang MWR labs ay isang mahusay, kahit na sobrang teknikal, pinagmumulan para sa redtiming na balita. Nag-post sila ng kapaki-pakinabang para sa mga pulang koponan Toolsat kanilang Twitter feed naglalaman ng mga tip para sa paglutas ng mga problemang kinakaharap ng mga security tester.
  • Emad Shanab - Abogado at "white hacker". Ang kanyang Twitter feed ay may mga diskarteng kapaki-pakinabang para sa "mga pulang koponan", tulad ng pagsusulat ng mga SQL injection at pag-forging ng mga token ng OAuth.
  • Ang Adversarial Tactics, Teknik at Karaniwang Kaalaman ni Mitre (ATT & CK) ay isang curated knowledge base ng pag-uugali ng attacker. Sinusubaybayan nito ang mga yugto ng ikot ng buhay ng mga umaatake at ang mga platform na kanilang tina-target.
  • Ang Hacker Playbook ay isang gabay para sa mga hacker, na, bagama't medyo luma, ay sumasaklaw sa marami sa mga pangunahing pamamaraan na nasa puso pa rin ng kumplikadong imitasyon ng mga tunay na pag-atake. May akda rin si Peter Kim Twitter feed, kung saan nag-aalok siya ng mga tip sa pag-hack at iba pang impormasyon.
  • Ang SANS Institute ay isa pang pangunahing tagapagbigay ng mga materyales sa pagsasanay sa cybersecurity. Ang kanilang Twitter feedNakatuon sa digital forensics at pagtugon sa insidente, naglalaman ito ng pinakabagong balita sa mga kurso ng SANS at payo mula sa mga dalubhasang practitioner.
  • Ang ilan sa mga pinakakawili-wiling balita tungkol sa redtiming ay nai-publish sa Red Team Journal. May mga artikulong nakatuon sa teknolohiya gaya ng paghahambing ng Red Teaming sa penetration testing, pati na rin ang mga analytical na artikulo gaya ng The Red Team Specialist Manifesto.
  • Sa wakas, ang Awesome Red Teaming ay isang komunidad ng GitHub na nag-aalok napaka detalyadong listahan mga mapagkukunan na nakatuon sa Red Teaming. Sinasaklaw nito ang halos lahat ng teknikal na aspeto ng mga aktibidad ng pulang koponan, mula sa pagkakaroon ng paunang pag-access, pagsasagawa ng mga nakakahamak na aktibidad, hanggang sa pagkolekta at pagkuha ng data.

"Blue team" - ano ito?

Ang Red Teaming ay isang kumplikadong simulation ng mga pag-atake. Pamamaraan at mga tool

Sa napakaraming multi-colored na team, maaaring mahirap malaman kung anong uri ang kailangan ng iyong organisasyon.

Ang isang alternatibo sa pulang koponan, at mas partikular na isa pang uri ng koponan na maaaring gamitin kasabay ng pulang koponan, ay ang asul na koponan. Sinusuri din ng Blue Team ang seguridad ng network at kinikilala ang anumang mga potensyal na kahinaan sa imprastraktura. Gayunpaman, mayroon siyang ibang layunin. Ang mga pangkat ng ganitong uri ay kailangan upang makahanap ng mga paraan upang maprotektahan, baguhin at muling pagsamahin ang mga mekanismo ng pagtatanggol upang gawing mas epektibo ang pagtugon sa insidente.

Tulad ng pulang koponan, ang asul na koponan ay dapat magkaroon ng parehong kaalaman sa mga taktika, diskarte, at pamamaraan ng pag-atake upang makalikha ng mga diskarte sa pagtugon batay sa mga ito. Gayunpaman, ang mga tungkulin ng asul na koponan ay hindi limitado sa pagtatanggol lamang laban sa mga pag-atake. Kasangkot din ito sa pagpapalakas ng buong imprastraktura ng seguridad, gamit, halimbawa, isang intrusion detection system (IDS) na nagbibigay ng tuluy-tuloy na pagsusuri ng hindi pangkaraniwang at kahina-hinalang aktibidad.

Narito ang ilan sa mga hakbang na ginagawa ng "blue team":

  • pag-audit sa seguridad, sa partikular na pag-audit ng DNS;
  • pagtatasa ng log at memorya;
  • pagsusuri ng mga packet ng data ng network;
  • pagsusuri ng data ng panganib;
  • digital footprint analysis;
  • reverse engineering;
  • pagsubok ng DDoS;
  • pagbuo ng mga senaryo sa pagpapatupad ng panganib.

Mga pagkakaiba sa pagitan ng pula at asul na mga koponan

Ang karaniwang tanong para sa maraming organisasyon ay kung aling koponan ang dapat nilang gamitin, pula o asul. Ang isyung ito ay madalas ding sinamahan ng magiliw na poot sa pagitan ng mga taong nagtatrabaho "sa magkabilang panig ng mga barikada." Sa katotohanan, walang saysay ang alinman sa utos kung wala ang isa. Kaya ang tamang sagot sa tanong na ito ay ang parehong mga koponan ay mahalaga.

Ang Red Team ay umaatake at ginagamit upang subukan ang kahandaan ng Blue Team na magdepensa. Minsan ang pulang koponan ay maaaring makakita ng mga kahinaan na ganap na hindi napapansin ng asul na koponan, kung saan dapat ipakita ng pulang koponan kung paano maaayos ang mga kahinaang iyon.

Mahalaga para sa parehong mga koponan na magtulungan laban sa mga cybercriminal upang palakasin ang seguridad ng impormasyon.

Para sa kadahilanang ito, walang saysay na pumili lamang ng isang panig o mamuhunan sa isang uri lamang ng koponan. Mahalagang tandaan na ang layunin ng parehong partido ay maiwasan ang cybercrime.
Sa madaling salita, ang mga kumpanya ay kailangang magtatag ng mutual na kooperasyon ng parehong mga koponan upang makapagbigay ng isang komprehensibong pag-audit - na may mga tala ng lahat ng mga pag-atake at pagsusuri na ginawa, mga talaan ng mga nakitang tampok.

Ang "pulang koponan" ay nagbibigay ng impormasyon tungkol sa mga operasyong ginawa nila sa simulate na pag-atake, habang ang asul na koponan ay nagbibigay ng impormasyon tungkol sa mga aksyon na kanilang ginawa upang punan ang mga puwang at ayusin ang mga kahinaang natagpuan.

Ang kahalagahan ng parehong koponan ay hindi maaaring maliitin. Kung wala ang kanilang patuloy na pag-audit sa seguridad, pagsubok sa pagtagos, at pagpapahusay sa imprastraktura, hindi malalaman ng mga kumpanya ang estado ng kanilang sariling seguridad. Hindi bababa sa hanggang sa ma-leak ang data at maging masakit na malinaw na ang mga hakbang sa seguridad ay hindi sapat.

Ano ang purple team?

Ang "Purple Team" ay isinilang dahil sa mga pagtatangka na pag-isahin ang Red at Blue Teams. Ang Purple Team ay higit pa sa isang konsepto kaysa sa isang hiwalay na uri ng koponan. Pinakamainam itong tingnan bilang kumbinasyon ng pula at asul na mga koponan. Nakikipag-ugnayan siya sa magkabilang koponan, tinutulungan silang magtulungan.

Makakatulong ang Purple Team sa mga security team na pahusayin ang pagtuklas ng kahinaan, pagtuklas ng pagbabanta, at pagsubaybay sa network sa pamamagitan ng tumpak na pagmomodelo ng mga karaniwang sitwasyon ng pagbabanta at pagtulong na lumikha ng mga bagong paraan ng pagtuklas at pag-iwas sa pagbabanta.

Ang ilang organisasyon ay gumagamit ng Purple Team para sa isang beses na nakatuong aktibidad na malinaw na tumutukoy sa mga layunin sa kaligtasan, mga timeline, at pangunahing resulta. Kabilang dito ang pagkilala sa mga kahinaan sa pag-atake at pagtatanggol, pati na rin ang pagtukoy sa mga kinakailangan sa pagsasanay at teknolohiya sa hinaharap.

Ang isang alternatibong diskarte na nagkakaroon na ngayon ng momentum ay ang tingnan ang Purple Team bilang isang visionary model na gumagana sa buong organisasyon upang tumulong na lumikha at patuloy na pahusayin ang isang cybersecurity culture.

Konklusyon

Ang Red Teaming, o kumplikadong simulation ng pag-atake, ay isang mahusay na diskarte para sa pagsubok sa mga kahinaan sa seguridad ng isang organisasyon, ngunit dapat gamitin nang may pag-iingat. Sa partikular, upang magamit ito, kailangan mong magkaroon ng sapat advanced na paraan ng pagprotekta sa seguridad ng impormasyonKung hindi, maaaring hindi niya bigyang-katwiran ang mga pag-asa na inilagay sa kanya.
Ang redtiming ay maaaring magbunyag ng mga kahinaan sa iyong system na hindi mo alam na umiiral at makakatulong na ayusin ang mga ito. Sa pamamagitan ng pagsasagawa ng adversarial approach sa pagitan ng mga blue at red team, maaari mong gayahin kung ano ang gagawin ng isang tunay na hacker kung gusto niyang nakawin ang iyong data o masira ang iyong mga asset.

Pinagmulan: www.habr.com

Magdagdag ng komento