Джерело: Acunetix
Red Teaming (атака «червоної команди») – це комплексна імітація реальних атак із метою оцінки кібербезпеки систем. «Червона команда» є групою (Фахівців, які виконують тест на проникнення в систему). Вони можуть бути як найнятими з боку, так і співробітниками вашої організації, але в усіх випадках їхня роль однакова — імітувати дії зловмисників і намагатися поринути у вашу систему.
Поряд із «червоними командами» у кібербезпеці існує й низка інших. Так, наприклад, «синя команда» (Blue Team) працює разом із червоною, але її діяльність спрямована на підвищення безпеки інфраструктури системи зсередини. "Пурпурна команда" (Purple Team) є сполучною ланкою, допомагаючи двом іншим командам у розробці стратегії нападу та заходів захисту. Тим не менш, редтимінг є одним із найменш зрозумілих методів управління кібербезпекою, і багато організацій, як і раніше, неохоче використовують цю практику.
У цій статті ми докладно пояснимо, що криється за поняттям Red Teaming, і як запровадження практик комплексної імітації реальних атак може допомогти покращити безпеку вашої організації. Мета статті – показати, як цей метод може значно підвищити безпеку ваших інформаційних систем.
Red Teaming: огляд
Хоча в наш час «червоні» та «сині» команди асоціюються насамперед із сферою інформаційних технологій та кібербезпекою, ці поняття були придумані військовими. Взагалі, саме в армії я вперше і почув про ці поняття. Робота аналітиком з кібербезпеки в 1980-х роках багато в чому відрізнялася від сьогоднішньої: доступ до зашифрованих комп'ютерних систем був набагато обмеженішим, ніж зараз.
В іншому мій перший досвід військових ігор - моделювання, імітації та організації взаємодії - був дуже схожий на сьогоднішній процес комплексної імітації атак, що знайшов поширення у кібербезпеці. Як і зараз, велика увага приділялася використанню методів соціальної інженерії, щоб переконати співробітників надати «ворогові» неправомірний доступ до військових систем. Тому, хоча технічні методи імітації атак значно просунулися в порівнянні з 80-ми роками, варто зазначити, що багато основних інструментів змагального підходу, а особливо прийоми соціальної інженерії, значною мірою не залежать від платформи.
Основна цінність комплексної імітації реальних атак також змінилася з 80-х. Імітуючи атаку на свої системи, вам легше виявити вразливості та зрозуміти, як вони можуть бути використані. І хоча раніше редтимінг використовувався здебільшого «білими хакерами» та фахівцями з кібербезпеки, які шукали вразливості шляхом тестування на проникнення, зараз у цього методу з'явилося ширше застосування у сфері кібербезпеки та бізнесу.
Ключовим для редтимінгу є розуміння того, що насправді ви не можете отримати уявлення про захищеність ваших систем, доки вони не будуть атаковані. І замість того, щоб наражати себе на ризик атаки з боку справжніх зловмисників, набагато безпечніше змоделювати таку атаку за допомогою «червоної команди».
Red Teaming: сценарії використання
Простий спосіб зрозуміти основи редтимінгу — поглянути кілька прикладів. Ось два з них:
- Сценарії 1. Уявіть, що щодо сайту обслуговування клієнтів проведено пентест, і перевірка пройшла успішно. Здавалося б, це говорить про те, що все гаразд. Однак, пізніше, в результаті комплексної імітації атаки «червона команда» виявляє, що, хоча сама програма обслуговування клієнтів у порядку, функція стороннього чату не може точно ідентифікувати людей, і це дає можливість обдурити представників служби підтримки клієнтів, щоб вони змінили адресу електронної пошти. в обліковому записі (внаслідок чого нова людина, зловмисник, може отримати доступ).
- Сценарії 2. В результаті проведення пентесту було виявлено, що всі засоби керування VPN та віддаленим доступом захищені. Однак, потім представник «червоної команди» безперешкодно проходить повз стійку реєстрації та виносить ноутбук одного зі співробітників.
В обох вищезгаданих випадках «червона команда» перевіряє не тільки надійність кожної кожної окремо, а й усю систему в комплексі на наявність слабких місць.
Кому потрібна комплексна імітація атак?
У двох словах практично будь-яка компанія може отримати вигоду від редтимінгу. Як показано , лякаюче велика кількість організацій перебуває у хибній упевненості про те, що мають повний контроль над своїми даними. Ми виявили, наприклад, що в середньому 22% папок компанії доступні кожному співробітнику, і що 87% компаній мають застарілі 1000 конфіденційних файлів у своїх системах.
Якщо ваша компанія не працює у сфері технологій, може здатися, що редтимінг не принесе багато користі. Але це не так. Кібербезпека – це не лише захист конфіденційної інформації.
Зловмисники однаково намагаються заволодіти технологіями незалежно від сфери діяльності компанії. Наприклад, вони можуть прагнути отримати доступ до вашої мережі, щоб за допомогою її приховати свої дії щодо захоплення іншої системи або мережі в іншому місці світу. При цьому типі атак ваші дані зловмисникам не потрібні. Вони хочуть заразити шкідливим програмним забезпеченням саме ваші комп'ютери, щоб за допомогою їх перетворити вашу систему на групу ботнетів.
Для невеликих компаній може бути складно знайти ресурси щодо редтимінгу. У цьому випадку є сенс доручити виконання цього процесу зовнішньому підряднику.
Red Teaming: рекомендації
Оптимальний час для проведення редтимінгу та його частота залежать від того, в якому секторі ви працюєте, та від розвитку ваших засобів забезпечення кібербезпеки.
Зокрема, у вас мають бути автоматизовані такі дії, як дослідження активів та аналіз уразливостей. Ваша організація також повинна поєднувати автоматизовані технології з людським контролем регулярно проводячи повноцінне тестування на проникнення.
Після завершення кількох бізнес-циклів тестування на проникнення та пошуку вразливостей, ви можете приступати до комплексної імітації реальної атаки. На цьому етапі редтимінгу принесе вам відчутну користь. Однак спроба провести його до того, як ви налагодите основи кібербезпеки, не дасть відчутних плодів.
Команда «білих хакерів», ймовірно, зможе так швидко і легко поставити під загрозу непідготовлену систему, що ви отримаєте надто мало інформації для подальших заходів. Для досягнення реального ефекту інформація, отримана «червоною командою», має бути зіставлена з попередніми тестами на проникнення та оцінками вразливості.
Що таке тестування на проникнення?
Комплексну імітацію реальної атаки (Red Teaming) часто плутають з Але ці два методи трохи відрізняються. Точніше, тестування на проникнення – це лише один із методів редтимінгу.
Роль пентестера . Робота пентестерів поділена на чотири основні етапи: планування, виявлення інформації, атака та звітність. Як бачите, пентестери роблять більше, ніж просто шукають уразливості програмного забезпечення. Вони намагаються поставити себе на місце хакерів, і після того, як вони потрапляють до вашої системи, починається їхня справжня робота.
Вони виявляють уразливості, а потім здійснюють нові атаки, ґрунтуючись на отриманій інформації, переміщаючись ієрархією папок. Саме цим відрізняються фахівці, які проводять тест на проникнення, від тих, кого наймають лише для пошуку вразливостей, за допомогою програмного забезпечення для сканування портів або виявлення вірусів. Досвідчений пентестер може визначити:
- куди хакери можуть спрямувати свою атаку;
- спосіб, яким хакери атакуватимуть;
- як поводитиметься ваш захист;
- можливий масштаб порушення.
Тестування проникнення спрямовано виявлення недоліків лише на рівні додатків і мереж, і навіть можливостей подолання фізичних бар'єрів безпеки. У той час як автоматичне тестування може виявити деякі проблеми кібербезпеки, ручне тестування на проникнення також враховує вразливість бізнесу до атак.
Red Teaming vs. тестування на проникнення
Безперечно, тест на проникнення важливий, але він є лише однією частиною цілого ряду заходів, що проводяться при редтимінгу. Діяльність «червоної команди» має набагато ширші цілі, ніж у пентестерів, які часто просто прагнуть отримати доступ до мережі. У редтимінгу часто задіяно більше людей, ресурсів та часу, оскільки фахівці з «червоної команди» глибоко копають, щоб повністю зрозуміти справжній рівень ризику та вразливості у технологіях, а також людських та фізичних активах організації.
Крім того, є й інші відмінності. Редтимінг зазвичай використовується організаціями з більш зрілими та розвиненими заходами кібербезпеки (хоча на практиці це не завжди так).
Зазвичай це компанії, які вже провели тестування на проникнення та виправили більшість знайдених уразливостей, і тепер шукають когось, хто зможе знову спробувати отримати доступ до конфіденційної інформації чи зламати захист у будь-який спосіб.
Ось чому редтимінг покладається на команду експертів з безпеки, зосереджених на конкретну мету. Вони націлені на внутрішні вразливості та використовують як електронні, так і фізичні методи соціальної інженерії по відношенню до співробітників організації. На відміну від пентестерів, «червоні команди» не поспішають під час своїх атак, бажаючи уникнути виявлення, як це зробив би справжній кіберзлочинець.
Переваги Red Teaming
У комплексній імітації реальних атак є багато переваг, але найголовніше — цей підхід дає змогу отримати вичерпну картину рівня кібербезпеки організації. Типовий процес комплексної імітації атаки включатиме тестування на проникнення (мережа, додаток, мобільний телефон та інший пристрій), соціальну інженерію (у живому спілкуванні на місці, за допомогою телефонних дзвінків, електронною поштою або в текстових повідомленнях та чаті) та фізичне вторгнення ( злом замків, виявлення мертвих зон камер стеження, обхід систем оповіщення). Якщо в будь-якому з цих аспектів вашої системи є вразливість, вони будуть виявлені.
Як тільки уразливості виявлено, їх можна виправити. Ефективна процедура імітації атаки не закінчується після виявлення вразливостей. Після того, як недоліки безпеки будуть чітко визначені, ви захочете попрацювати над їх виправленням та повторним тестуванням. Фактично, ця робота зазвичай починається після вторгнення «червоної команди», коли ви проводите криміналістичний аналіз атаки і намагаєтеся скоротити знайдені вразливості.
На додаток до цих двох основних переваг редтимінг також пропонує низку інших. Так, «червона команда» може:
- виявити у ключових інформаційних активах бізнесу ризики та вразливості до атак;
- змоделювати методи, тактику та процедури реальних зловмисників у середовищі з обмеженим та контрольованим ризиком;
- оцінити здатність вашої організації виявляти, реагувати та запобігати складним цільовим загрозам;
- стимулювати тісну взаємодію з ІБ-відділами та «синіми командами», щоб забезпечити суттєве зменшення наслідків та провести комплексні практичні семінари за підсумками виявлених уразливостей.
Як працює Red Teaming?
Відмінний спосіб зрозуміти принцип роботи редтимінгу — поглянути, як це відбувається. Звичайний процес комплексної імітації атак складається з кількох етапів:
- Організація погоджує з «червоною командою» (внутрішньою або зовнішньою) мета атаки, що проводиться. Наприклад, такою метою може бути отримання конфіденційної інформації з певного сервера.
- Потім червона команда проводить розвідку мети. В результаті складається схема цільових систем, включаючи мережеві служби, веб-додатки та внутрішні портали для співробітників. .
- Після цього в цільовій системі шукаються вразливості, які зазвичай реалізуються за допомогою фішингу або XSS-атак. .
- Як тільки будуть отримані токени для доступу, "червона команда" використовує їх для дослідження подальших вразливостей. .
- При виявленні інших уразливостей «червона команда» прагнутиме підвищити свій рівень доступу до необхідного рівня для досягнення мети. .
- При отриманні доступу до цільових даних або активу завдання атаки вважається виконаним.
Насправді досвідчений фахівець «червоної команди» використовуватиме величезну кількість різних методів для проходження кожного з перерахованих кроків. Однак ключовий висновок із наведеного вище прикладу полягає в тому, що невеликі вразливості в окремих системах можуть перерости в катастрофічні збої, якщо об'єднані в ланцюжок.
Що потрібно враховувати під час звернення до «червоної команди»?
Щоб отримати максимальну віддачу від редтимінгу, необхідно ретельно підготуватись. Системи та процеси, що використовуються кожною організацією, різні, і якісний рівень редтимінгу досягається, коли він націлений на пошук уразливостей саме у ваших системах. З цієї причини важливо врахувати низку факторів:
Знайте, що шукаєте
Насамперед важливо зрозуміти, які системи та процеси ви хочете перевірити. Можливо, ви знаєте, що хочете протестувати веб-додаток, але не дуже добре розумієте, що це насправді означає, і які інші системи інтегровані з вашими веб-додатками. Тому важливо, щоб ви добре зналися на своїх власних системах і виправили всі очевидні вразливості, перш ніж розпочинати комплексну імітацію реальної атаки.
Знайте свою мережу
Це пов'язано з попередньою рекомендацією, але це стосується технічних характеристик вашої мережі. Чим краще ви зможете кількісно оцінити середовище тестування, тим точніше і конкретніше діятиме ваша «червона команда».
Знайте свій бюджет
Редтимінг може виконуватися на різних рівнях, але імітація повного спектру атак на вашу мережу, включаючи соціальну інженерію та фізичне вторгнення, може стати дорогим заходом. Тому важливо розуміти, скільки ви можете витратити на таку перевірку і, відповідно, окреслити її обсяг.
Знайте свій рівень ризику
Деякі організації можуть допускати досить високий рівень ризику у межах своїх стандартних бізнес-процедур. Іншим же необхідно буде обмежити свій рівень ризику значно більшою мірою, особливо якщо компанія працює у високо регульованій галузі. Тому при проведенні редтимінгу важливо зосередитися на ризиках, які дійсно становлять небезпеку для вашого бізнесу.
Red Teaming: інструменти та тактики
При правильній реалізації «червона команда» проведе повномасштабну атаку на ваші мережі із застосуванням усіх інструментів та методів, які використовуються хакерами. Серед іншого сюди належить:
- Тестування додатків на проникнення — спрямовано виявлення недоліків лише на рівні додатків, як-от підробка міжсайтових запитів, недоліки введення даних, слабке управління сеансами та ще.
- Тестування мережі на проникнення — спрямоване на виявлення недоліків на рівні мережі та системи, включаючи неправильні конфігурації, вразливість бездротової мережі, несанкціоновані служби та багато іншого.
- Фізичне тестування на проникнення — перевірка ефективності, а також сильних та слабких сторін фізичних засобів контролю безпеки у реальному житті.
- Соціальна інженерія — націлена на використання слабкостей людей та людської природи, перевірка сприйнятливості людей до обману, переконання та маніпуляцій за допомогою фішингу електронною поштою, телефонних дзвінків та текстових повідомлень, а також при фізичному контакті на місці.
Все перераховане вище є компонентами редтимінгу. Це повномасштабне багаторівневе моделювання атаки, призначене для визначення того, наскільки добре ваші люди, мережі, програми та фізичні засоби контролю безпеки можуть протистояти атаці реального зловмисника.
Постійний розвиток методів Red Teaming
Природа комплексної імітації реальних атак, у яких «червоні команди» намагаються знайти нові вразливості у системі безпеки, а «сині команди» намагаються їх виправити, призводить до постійного розвитку методів таких перевірок. Тому складно скласти актуальний список сучасних технік редтимінгу, оскільки вони швидко застарівають.
Тому більшість фахівців, які проводять редтимінг, витрачатимуть хоча б частину свого часу на вивчення нових вразливостей та методів їх експлуатації, використовуючи безліч ресурсів, які надає спільнота «червоних команд». Ось найпопулярніші з таких спільнот:
- — це сервіс з передплати, який пропонує онлайн-відеокурси, присвячені головним чином тестуванню на проникнення, а також курси з криміналістики операційних систем, завдань соціальної інженерії та мови асемблера для захисту інформації.
- — «оператор наступальної кібербезпеки», який регулярно веде блог про методи комплексної імітації реальних атак і є добрим джерелом нових підходів.
- Twitter - теж хороше джерело, якщо ви шукаєте актуальну інформацію про редтимінг. Ви можете знайти її за хештегами и .
- — ще один досвідчений спеціаліст з редтимінгу, який випускає інформаційний бюлетень та веде і багато пише про сучасні тенденції «червоних команд». Серед останніх статей: и .
- - це інформаційний бюлетень з веб-безпеки, що спонсорується PortSwigger Web Security. Це хороший ресурс, щоб дізнатися про напрацювання та новини в галузі редтимінгу — зломи, витоки даних, експлойти, уразливості веб-додатків та нові технології безпеки.
- — «білий хакер» та фахівець із тестування на проникнення, він регулярно висвітлює нові тактики «червоної команди» у своєму .
- MWR labs — хороше, хоч і надзвичайно технічне джерело новин про редтимінг. Вони публікують корисні для червоних команд , а їх містить поради щодо вирішення проблем, з якими стикаються фахівці з тестування безпеки.
- — юрист та «білий хакер». У його стрічці Twitter є методи, корисні для "червоних команд", такі як написання SQL-ін'єкцій та підробка токенів OAuth.
- (ATT & CK) - це ретельно підібрана база знань про поведінку зловмисників. У ній відстежуються фази життєвого циклу зловмисників та платформ, на які вони націлені.
- — це керівництво для хакерів, яке, хоч і досить старе, охоплює багато фундаментальних методів, які все ще лежать в основі комплексної імітації реальних атак. Автор Пітера Кіма (Peter Kim) також є , в якій він пропонує поради щодо злому та іншу інформацію.
- SANS Institute - ще один великий постачальник навчальних матеріалів з кібербезпеки. Їх , присвячений цифровій криміналістиці та реагуванню на інциденти, містить останні новини про курси SANS та поради експертів-практиків.
- Деякі з найцікавіших новинок про редтимінг опубліковані в . Там є статті, орієнтовані на технології, такі як порівняння Red Teaming із тестуванням на проникнення, а також аналітичні статті, такі як "Маніфест фахівця червоної команди".
- Нарешті, Awesome Red Teaming – це спільнота на GitHub, яка пропонує ресурсів, присвячених Red Teaming. У ньому розглядаються практично всі технічні аспекти діяльності «червоної команди» від отримання початкового доступу, виконання шкідливих дій до збору та вилучення даних.
"Синя команда" - що це?
За такої великої кількості «різнокольорових» команд може бути складно визначити, який тип потрібен вашій організації.
Однією з альтернатив "червоній команді", а точніше іншим типом команди, який може використовуватися разом із "червоною командою", є "синя команда". «Синя команда» також оцінює безпеку мережі та виявляє будь-які можливі вразливості інфраструктури. Однак має іншу мету. Команди цього типу потрібні для знаходження способів захисту, зміни та перегрупування захисних механізмів, щоб зробити реагування на інциденти набагато ефективнішим.
Як і «червона команда», синя має володіти тими самими знаннями про тактики зловмисників, техніки та процедури, щоб на їх основі створювати стратегії реагування. Однак обов'язки «синьої команди» не обмежуються лише захистом від атак. Вона також бере участь у зміцненні всієї інфраструктури безпеки, використовуючи, наприклад, систему виявлення вторгнень (IDS), яка забезпечує безперервний аналіз незвичайної та підозрілої активності.
Ось деякі з кроків, які виконує синя команда:
- аудит безпеки, зокрема аудит DNS;
- аналіз журналів та пам'яті;
- аналіз пакетів мережевих даних;
- аналіз даних про ризики;
- аналіз цифрового сліду;
- зворотна технологія;
- DDoS-тестування;
- розробка сценаріїв реалізації ризиків.
Відмінності червоної та синьої команд
Поширене питання для багатьох організацій: яку команду їм краще використовувати червону чи синю. Це питання також часто супроводжується дружньою неприязнью між людьми, які працюють «по різні боки барикад». Насправді ж жодна команда не має сенсу без іншої. Тож правильна відповідь на це питання — важливі обидві команди.
«Червона команда» атакує та використовується для перевірки підготовленості «синьої команди» до захисту. Іноді «червона команда» може знаходити вразливості, які «синя команда» повністю втратила на увазі, і в цьому випадку «червона команда» повинна показати, як ці вразливості можуть бути виправлені.
Для обох команд життєво важливо працювати спільно проти кіберзлочинців над посиленням інформаційної безпеки.
Тому немає сенсу вибирати тільки одну сторону або інвестувати тільки в один тип команди. Важливо пам'ятати, що ціль обох сторін — запобігання кіберзлочинам.
Іншими словами, компаніям необхідно налагодити взаємну співпрацю обох команд, щоб забезпечити комплексний аудит — із журналами всіх виконаних атак та перевірок, записами виявлених особливостей.
"Червона команда" надає інформацію про операції, які вони виконали під час імітації атаки, а синя - про дії, які вони зробили, щоб заповнити прогалини та усунути знайдені вразливості.
Важливість обох команд не можна недооцінювати. Без їхнього постійного аудиту безпеки, проведення тестування на проникнення та вдосконалення інфраструктури компанії не знали б про стан своєї власної безпеки. Принаймні до тих пір, поки не станеться виток даних, і стане до болю ясно, що заходів безпеки було недостатньо.
Що таке "пурпурна команда"?
"Пурпурна команда" з'явилася в результаті спроб об'єднати червону та синю команди. "Пурпурна команда" - це швидше концепція, а не окремий тип команди. Її краще розглядати як поєднання червоної та синьої команд. Вона задіє обидві команди, допомагаючи їм працювати разом.
«Пурпурна команда» може допомогти службам безпеки підвищити ефективність виявлення вразливостей, пошуку загроз та моніторингу мережі за рахунок точного моделювання загальних сценаріїв загроз та допомоги у створенні нових методів виявлення та запобігання загрозам.
Деякі організації залучають «пурпурну команду» для одноразових цілеспрямованих заходів, за яких чітко визначені цілі безпеки, терміни та ключові результати. Це включає визнання недоліків в атаці та захисті, а також визначення майбутніх вимог до навчання та технологій.
Альтернативний підхід, що набирає зараз обертів, полягає в тому, щоб розглядати «пурпурову команду» як концептуальну модель, яка працює у всій організації, сприяючи створенню культури кібербезпеки та її безперервного покращення.
Висновок
Red Teaming, або комплексна імітація атак - це потужний метод тестування вразливостей системи безпеки організації, але слід застосовувати обережно. Зокрема, для його застосування вам необхідно мати достатньо , інакше він може не виправдати покладених на нього надій.
Редтимінг може виявити вразливість вашої системи, про які ви навіть не припускали, і допомогти усунути їх. Використовуючи змагальний підхід між синьою та червоною командами, ви можете змоделювати дії справжнього хакера, якби він захотів вкрасти ваші дані або пошкодити ваші активи.
Джерело: habr.com