Nguồn: Acunetix
Red Teaming là một mô phỏng phức tạp của các cuộc tấn công thực tế nhằm đánh giá an ninh mạng của các hệ thống. "Đội đỏ" là một nhóm (chuyên gia thực hiện kiểm tra thâm nhập vào hệ thống). Họ có thể được thuê từ bên ngoài hoặc nhân viên trong tổ chức của bạn, nhưng trong mọi trường hợp, vai trò của họ là như nhau - bắt chước hành động của những kẻ xâm nhập và cố gắng xâm nhập hệ thống của bạn.
Cùng với “đội đỏ” trong lĩnh vực an ninh mạng còn có một số đội khác. Vì vậy, ví dụ, "đội xanh" (Blue Team) làm việc cùng với đội đỏ, nhưng các hoạt động của họ nhằm mục đích nâng cao tính bảo mật của cơ sở hạ tầng của hệ thống từ bên trong. Đội Tím là cầu nối, hỗ trợ hai đội còn lại phát triển chiến lược tấn công và phòng thủ. Tuy nhiên, việc xác định lại thời gian là một trong những phương pháp quản lý an ninh mạng ít được hiểu rõ nhất và nhiều tổ chức vẫn miễn cưỡng áp dụng phương pháp này.
Trong bài viết này, chúng tôi sẽ giải thích chi tiết những gì ẩn sau khái niệm Red Teaming và cách triển khai các phương pháp mô phỏng phức tạp về các cuộc tấn công thực tế có thể giúp cải thiện tính bảo mật cho tổ chức của bạn. Mục đích của bài viết này là chỉ ra cách phương pháp này có thể tăng cường đáng kể tính bảo mật cho hệ thống thông tin của bạn.
Tổng quan về đội đỏ
Mặc dù ở thời đại chúng ta, đội "đỏ" và "xanh" chủ yếu gắn liền với lĩnh vực công nghệ thông tin và an ninh mạng, nhưng những khái niệm này đều do quân đội đặt ra. Nói chung, lần đầu tiên tôi nghe về những khái niệm này là trong quân đội. Làm việc với tư cách là nhà phân tích an ninh mạng vào những năm 1980 rất khác so với ngày nay: quyền truy cập vào hệ thống máy tính được mã hóa bị hạn chế hơn nhiều so với ngày nay.
Mặt khác, trải nghiệm đầu tiên của tôi về trò chơi chiến tranh—mô phỏng, mô phỏng và tương tác—rất giống với quy trình mô phỏng cuộc tấn công phức tạp ngày nay, vốn đã tìm được đường vào an ninh mạng. Hiện tại, người ta rất chú ý đến việc sử dụng các phương pháp kỹ thuật xã hội để thuyết phục nhân viên cấp cho "kẻ thù" quyền truy cập không phù hợp vào các hệ thống quân sự. Do đó, mặc dù các phương pháp kỹ thuật mô phỏng tấn công đã phát triển đáng kể từ những năm 80, nhưng điều đáng chú ý là nhiều công cụ chính của phương pháp đối nghịch, và đặc biệt là các kỹ thuật kỹ thuật xã hội, phần lớn là độc lập với nền tảng.
Giá trị cốt lõi của việc bắt chước phức tạp các cuộc tấn công thực tế cũng không thay đổi kể từ những năm 80. Bằng cách mô phỏng một cuộc tấn công vào hệ thống của bạn, bạn sẽ dễ dàng phát hiện ra các lỗ hổng hơn và hiểu cách chúng có thể bị khai thác. Và mặc dù redteaming từng được sử dụng chủ yếu bởi các hacker mũ trắng và các chuyên gia an ninh mạng đang tìm kiếm các lỗ hổng thông qua thử nghiệm thâm nhập, nhưng giờ đây nó đã được sử dụng rộng rãi hơn trong an ninh mạng và kinh doanh.
Chìa khóa để xác định lại thời gian là hiểu rằng bạn không thể thực sự hiểu được tính bảo mật của hệ thống cho đến khi chúng bị tấn công. Và thay vì đặt bản thân vào nguy cơ bị tấn công bởi những kẻ tấn công thực sự, sẽ an toàn hơn nhiều khi mô phỏng một cuộc tấn công như vậy bằng lệnh màu đỏ.
Nhóm màu đỏ: trường hợp sử dụng
Một cách dễ dàng để hiểu những điều cơ bản về việc xác định lại thời gian là xem xét một vài ví dụ. Dưới đây là hai trong số họ:
- Cảnh 1. Hãy tưởng tượng rằng một trang web dịch vụ khách hàng đã được thử nghiệm và thử nghiệm thành công. Có vẻ như điều này cho thấy rằng mọi thứ đều theo thứ tự. Tuy nhiên, sau đó, trong một cuộc tấn công giả phức tạp, đội đỏ phát hiện ra rằng mặc dù bản thân ứng dụng dịch vụ khách hàng vẫn ổn nhưng tính năng trò chuyện của bên thứ ba không thể nhận dạng chính xác mọi người và điều này có thể khiến đại diện dịch vụ khách hàng thay đổi địa chỉ email của họ. . trong tài khoản (do đó một người mới, kẻ tấn công, có thể có quyền truy cập).
- Cảnh 2. Kết quả của quá trình pentest là tất cả VPN và các biện pháp kiểm soát truy cập từ xa đều an toàn. Tuy nhiên, sau đó đại diện của “đội đỏ” đã thoải mái đi ngang qua bàn đăng ký và lấy laptop của một nhân viên ra.
Trong cả hai trường hợp trên, "đội đỏ" không chỉ kiểm tra độ tin cậy của từng hệ thống riêng lẻ mà còn kiểm tra toàn bộ hệ thống để tìm điểm yếu.
Ai cần mô phỏng tấn công phức tạp?
Tóm lại, hầu hết mọi công ty đều có thể hưởng lợi từ việc điều chỉnh lại thời gian. Như được hiển thị , một số lượng lớn các tổ chức có niềm tin sai lầm rằng họ có toàn quyền kiểm soát dữ liệu của mình. Ví dụ: chúng tôi nhận thấy rằng trung bình 22% thư mục của công ty được cung cấp cho mọi nhân viên và 87% công ty có hơn 1000 tệp nhạy cảm đã lỗi thời trên hệ thống của họ.
Nếu công ty của bạn không hoạt động trong ngành công nghệ, có vẻ như việc điều chỉnh lại thời gian sẽ không mang lại nhiều lợi ích cho bạn. Nhưng không phải vậy. An ninh mạng không chỉ là bảo vệ thông tin bí mật.
Những kẻ bất lương đều cố gắng nắm giữ công nghệ bất kể lĩnh vực hoạt động của công ty. Ví dụ: họ có thể tìm cách giành quyền truy cập vào mạng của bạn để che giấu hành động của họ nhằm chiếm lấy hệ thống hoặc mạng khác ở nơi khác trên thế giới. Với kiểu tấn công này, những kẻ tấn công không cần dữ liệu của bạn. Họ muốn lây nhiễm phần mềm độc hại vào máy tính của bạn để biến hệ thống của bạn thành một nhóm botnet với sự trợ giúp của họ.
Đối với các công ty nhỏ hơn, có thể khó tìm được nguồn lực để sử dụng. Trong trường hợp này, việc giao phó quá trình này cho một nhà thầu bên ngoài là điều hợp lý.
Nhóm màu đỏ: Khuyến nghị
Thời gian và tần suất tối ưu cho việc điều chỉnh lại thời gian tùy thuộc vào lĩnh vực bạn làm việc và mức độ hoàn thiện của các công cụ an ninh mạng của bạn.
Đặc biệt, bạn nên có các hoạt động tự động như thăm dò tài sản và phân tích lỗ hổng. Tổ chức của bạn cũng nên kết hợp công nghệ tự động với sự giám sát của con người bằng cách thường xuyên tiến hành thử nghiệm thâm nhập đầy đủ.
Sau khi hoàn thành một số chu kỳ kinh doanh của việc kiểm tra thâm nhập và tìm ra lỗ hổng, bạn có thể tiến hành mô phỏng phức tạp về một cuộc tấn công thực sự. Ở giai đoạn này, việc xác định lại thời gian sẽ mang lại cho bạn những lợi ích hữu hình. Tuy nhiên, cố gắng làm điều đó trước khi bạn có kiến thức cơ bản về an ninh mạng sẽ không mang lại kết quả rõ ràng.
Nhóm mũ trắng có khả năng xâm phạm một hệ thống chưa được chuẩn bị một cách nhanh chóng và dễ dàng đến mức bạn nhận được quá ít thông tin để thực hiện thêm hành động. Để có hiệu quả thực sự, thông tin mà “đội đỏ” thu được phải được so sánh với các thử nghiệm thâm nhập và đánh giá lỗ hổng trước đó.
Kiểm tra thâm nhập là gì?
Sự bắt chước phức tạp của một cuộc tấn công thực sự (Red Teaming) thường bị nhầm lẫn với , nhưng hai phương pháp này hơi khác nhau một chút. Chính xác hơn, thử nghiệm thâm nhập chỉ là một trong những phương pháp xác định lại thời gian.
Vai trò của một Pentester . Công việc của pentester được chia thành bốn giai đoạn chính: lập kế hoạch, khám phá thông tin, tấn công và báo cáo. Như bạn có thể thấy, pentester làm nhiều việc hơn là chỉ tìm kiếm các lỗ hổng phần mềm. Họ cố gắng đặt mình vào vị trí của tin tặc và khi họ xâm nhập được vào hệ thống của bạn, công việc thực sự của họ bắt đầu.
Chúng phát hiện ra các lỗ hổng và sau đó thực hiện các cuộc tấn công mới dựa trên thông tin nhận được, di chuyển qua hệ thống phân cấp thư mục. Đây là điểm khác biệt giữa người kiểm tra thâm nhập với những người được thuê chỉ để tìm lỗ hổng, sử dụng phần mềm quét cổng hoặc phát hiện vi-rút. Một pentester có kinh nghiệm có thể xác định:
- nơi tin tặc có thể chỉ đạo cuộc tấn công của chúng;
- cách tin tặc sẽ tấn công;
- Phòng thủ của bạn sẽ hành xử như thế nào?
- mức độ vi phạm có thể xảy ra.
Kiểm thử thâm nhập tập trung vào việc xác định các điểm yếu ở cấp độ ứng dụng và mạng, cũng như các cơ hội để vượt qua các rào cản bảo mật vật lý. Mặc dù thử nghiệm tự động có thể tiết lộ một số vấn đề về an ninh mạng, nhưng thử nghiệm thâm nhập thủ công cũng tính đến lỗ hổng của doanh nghiệp trước các cuộc tấn công.
Đội đỏ vs. thử nghiệm thâm nhập
Không còn nghi ngờ gì nữa, thử nghiệm thâm nhập là quan trọng nhưng nó chỉ là một phần trong toàn bộ chuỗi hoạt động xác định lại thời gian. Hoạt động của "đội đỏ" có mục tiêu rộng hơn nhiều so với mục tiêu của những người pentester, những người thường chỉ đơn giản tìm cách truy cập vào mạng. Nhóm đỏ thường liên quan đến nhiều người, nguồn lực và thời gian hơn khi nhóm đỏ đào sâu để hiểu đầy đủ mức độ rủi ro và lỗ hổng thực sự trong công nghệ cũng như tài sản vật chất và con người của tổ chức.
Ngoài ra, còn có những khác biệt khác. Redtiming thường được sử dụng bởi các tổ chức có các biện pháp an ninh mạng tiên tiến và hoàn thiện hơn (mặc dù điều này không phải lúc nào cũng đúng trong thực tế).
Đây thường là những công ty đã thực hiện thử nghiệm thâm nhập và sửa hầu hết các lỗ hổng được tìm thấy và hiện đang tìm kiếm người có thể thử lại để truy cập thông tin nhạy cảm hoặc phá vỡ lớp bảo vệ theo bất kỳ cách nào.
Đây là lý do tại sao việc xác định lại thời gian dựa vào một nhóm chuyên gia bảo mật tập trung vào một mục tiêu cụ thể. Họ nhắm vào các lỗ hổng nội bộ và sử dụng cả kỹ thuật xã hội vật lý và điện tử đối với nhân viên của tổ chức. Không giống như những người pentester, đội đỏ dành thời gian trong các cuộc tấn công của họ, muốn tránh bị phát hiện giống như tội phạm mạng thực sự.
Lợi ích của Đội Đỏ
Có nhiều lợi thế khi mô phỏng phức tạp các cuộc tấn công thực, nhưng quan trọng nhất, phương pháp này cho phép bạn có được bức tranh toàn diện về mức độ an ninh mạng của một tổ chức. Một quy trình tấn công mô phỏng từ đầu đến cuối điển hình sẽ bao gồm thử nghiệm thâm nhập (mạng, ứng dụng, điện thoại di động và thiết bị khác), kỹ thuật xã hội (trực tiếp tại chỗ, cuộc gọi điện thoại, email hoặc tin nhắn văn bản và trò chuyện) và xâm nhập vật lý. ( phá khóa, phát hiện vùng chết của camera an ninh, vượt qua hệ thống cảnh báo). Nếu có lỗ hổng ở bất kỳ khía cạnh nào trong hệ thống của bạn, chúng sẽ được tìm thấy.
Một khi các lỗ hổng được tìm thấy, chúng có thể được sửa chữa. Một quy trình mô phỏng tấn công hiệu quả không kết thúc bằng việc phát hiện ra các lỗ hổng. Khi các lỗi bảo mật được xác định rõ ràng, bạn sẽ muốn khắc phục chúng và kiểm tra lại chúng. Trên thực tế, công việc thực sự thường bắt đầu sau cuộc xâm nhập của đội đỏ, khi bạn phân tích pháp y về cuộc tấn công và cố gắng giảm thiểu các lỗ hổng được tìm thấy.
Ngoài hai lợi ích chính này, việc xác định lại thời gian còn mang lại một số lợi ích khác. Vì vậy, “đội đỏ” có thể:
- xác định rủi ro và lỗ hổng trước các cuộc tấn công vào tài sản thông tin kinh doanh quan trọng;
- mô phỏng các phương pháp, chiến thuật và quy trình của những kẻ tấn công thực sự trong môi trường có rủi ro hạn chế và được kiểm soát;
- Đánh giá khả năng phát hiện, ứng phó và ngăn chặn các mối đe dọa có chủ đích, phức tạp của tổ chức bạn;
- Khuyến khích hợp tác chặt chẽ với các bộ phận an ninh và đội xanh để đưa ra biện pháp giảm thiểu đáng kể và tiến hành các hội thảo thực hành toàn diện sau các lỗ hổng được phát hiện.
Red Teaming hoạt động như thế nào?
Một cách tuyệt vời để hiểu cách thức hoạt động của việc xác định lại thời gian là xem nó thường hoạt động như thế nào. Quá trình mô phỏng cuộc tấn công phức tạp thông thường bao gồm một số giai đoạn:
- Tổ chức đồng ý với “đội đỏ” (nội bộ hoặc bên ngoài) về mục đích tấn công. Ví dụ: mục tiêu như vậy có thể là lấy thông tin nhạy cảm từ một máy chủ cụ thể.
- Sau đó “đội đỏ” tiến hành trinh sát mục tiêu. Kết quả là sơ đồ các hệ thống mục tiêu, bao gồm các dịch vụ mạng, ứng dụng web và cổng thông tin nội bộ của nhân viên. .
- Sau đó, các lỗ hổng được tìm kiếm trong hệ thống đích, thường được triển khai bằng các cuộc tấn công lừa đảo hoặc XSS. .
- Sau khi nhận được mã thông báo truy cập, đội đỏ sẽ sử dụng chúng để điều tra các lỗ hổng tiếp theo. .
- Khi các lỗ hổng khác được phát hiện, "đội đỏ" sẽ tìm cách tăng mức độ truy cập của họ lên mức cần thiết để đạt được mục tiêu. .
- Khi có được quyền truy cập vào dữ liệu hoặc tài sản mục tiêu, nhiệm vụ tấn công được coi là đã hoàn thành.
Trên thực tế, một chuyên gia đội đỏ có kinh nghiệm sẽ sử dụng rất nhiều phương pháp khác nhau để vượt qua từng bước này. Tuy nhiên, điểm mấu chốt rút ra từ ví dụ trên là các lỗ hổng nhỏ trong các hệ thống riêng lẻ có thể trở thành lỗi nghiêm trọng nếu liên kết với nhau.
Cần lưu ý gì khi nhắc tới “đội đỏ”?
Để tận dụng tối đa thời gian đỏ, bạn cần chuẩn bị kỹ lưỡng. Các hệ thống và quy trình được mỗi tổ chức sử dụng là khác nhau và mức độ chất lượng của việc định thời gian lại đạt được khi mục đích là nhằm tìm ra các lỗ hổng trong hệ thống của bạn. Vì lý do này, điều quan trọng là phải xem xét một số yếu tố:
Bạn có biết là mình đang tìm cái gì không
Trước hết, điều quan trọng là phải hiểu bạn muốn kiểm tra hệ thống và quy trình nào. Có lẽ bạn biết rằng bạn muốn thử nghiệm một ứng dụng web, nhưng bạn không hiểu rõ ý nghĩa thực sự của nó và những hệ thống khác được tích hợp với ứng dụng web của bạn. Do đó, điều quan trọng là bạn phải hiểu rõ về hệ thống của mình và khắc phục mọi lỗ hổng rõ ràng trước khi bắt đầu mô phỏng phức tạp về một cuộc tấn công thực sự.
Biết mạng của bạn
Điều này liên quan đến đề xuất trước đó nhưng liên quan nhiều hơn đến các đặc tính kỹ thuật của mạng của bạn. Bạn càng có thể định lượng môi trường thử nghiệm của mình tốt hơn thì đội đỏ của bạn sẽ càng chính xác và cụ thể hơn.
Biết ngân sách của bạn
Việc xác định lại thời gian có thể được thực hiện ở các cấp độ khác nhau, nhưng việc mô phỏng toàn bộ các cuộc tấn công vào mạng của bạn, bao gồm cả kỹ thuật tấn công xã hội và xâm nhập vật lý, có thể tốn kém. Vì lý do này, điều quan trọng là phải hiểu số tiền bạn có thể chi cho một tấm séc như vậy và theo đó, vạch ra phạm vi của nó.
Biết mức độ rủi ro của bạn
Một số tổ chức có thể chấp nhận mức độ rủi ro khá cao như một phần của quy trình kinh doanh tiêu chuẩn của họ. Những người khác sẽ cần hạn chế mức độ rủi ro của họ ở mức độ lớn hơn nhiều, đặc biệt nếu công ty hoạt động trong một ngành được quản lý chặt chẽ. Vì vậy, khi tiến hành điều chỉnh lại thời gian, điều quan trọng là phải tập trung vào những rủi ro thực sự gây nguy hiểm cho doanh nghiệp của bạn.
Đội Đỏ: Công cụ và Chiến thuật
Nếu thực hiện đúng, "đội đỏ" sẽ thực hiện một cuộc tấn công toàn diện vào mạng của bạn bằng tất cả các công cụ và phương pháp được tin tặc sử dụng. Trong số những thứ khác, điều này bao gồm:
- Thử nghiệm thâm nhập ứng dụng - nhằm mục đích xác định các điểm yếu ở cấp độ ứng dụng, chẳng hạn như giả mạo yêu cầu giữa các trang, lỗi nhập dữ liệu, quản lý phiên yếu và nhiều điểm yếu khác.
- Kiểm tra thâm nhập mạng - nhằm mục đích xác định các điểm yếu ở cấp độ mạng và hệ thống, bao gồm cấu hình sai, lỗ hổng mạng không dây, dịch vụ trái phép, v.v.
- Kiểm tra thâm nhập vật lý — kiểm tra tính hiệu quả cũng như điểm mạnh và điểm yếu của các biện pháp kiểm soát an ninh vật lý trong đời sống thực.
- kỹ thuật xã hội - nhằm mục đích khai thác những điểm yếu của con người và bản chất con người, kiểm tra khả năng lừa dối, thuyết phục và thao túng của con người thông qua email lừa đảo, cuộc gọi điện thoại và tin nhắn văn bản, cũng như tiếp xúc vật lý ngay tại chỗ.
Tất cả những điều trên là các thành phần định thời gian lại. Đây là một mô phỏng tấn công toàn diện, theo lớp được thiết kế để xác định mức độ con người, mạng, ứng dụng và các biện pháp kiểm soát bảo mật vật lý của bạn có thể chống lại cuộc tấn công từ kẻ tấn công thực sự đến mức nào.
Liên tục phát triển các phương pháp Nhóm Đỏ
Bản chất của mô phỏng phức tạp các cuộc tấn công thực, trong đó đội đỏ cố gắng tìm lỗ hổng bảo mật mới và đội xanh cố gắng khắc phục chúng, dẫn đến sự phát triển không ngừng của các phương pháp kiểm tra như vậy. Vì lý do này, rất khó để biên soạn một danh sách cập nhật các kỹ thuật xác định lại thời gian hiện đại vì chúng nhanh chóng trở nên lỗi thời.
Do đó, hầu hết các redteamers sẽ dành ít nhất một phần thời gian của mình để tìm hiểu về các lỗ hổng mới và khai thác chúng, sử dụng nhiều tài nguyên do cộng đồng redteam cung cấp. Dưới đây là những cộng đồng phổ biến nhất trong số các cộng đồng này:
- là dịch vụ đăng ký cung cấp các khóa học video trực tuyến tập trung chủ yếu vào thử nghiệm thâm nhập cũng như các khóa học về điều tra hệ điều hành, nhiệm vụ kỹ thuật xã hội và ngôn ngữ hợp ngữ bảo mật thông tin.
- là một "nhà điều hành an ninh mạng tấn công", người thường xuyên viết blog về các phương pháp mô phỏng phức tạp các cuộc tấn công thực và là nguồn cung cấp các phương pháp tiếp cận mới.
- Twitter cũng là một nguồn tốt nếu bạn đang tìm kiếm thông tin cập nhật về thời gian làm việc. Bạn có thể tìm thấy nó bằng hashtag и .
- là một chuyên gia có kinh nghiệm khác về điều chỉnh thời gian, người sản xuất bản tin và , dẫn và viết rất nhiều về xu hướng hiện tại của đội đỏ. Trong số các bài báo gần đây của ông: и .
- là một bản tin bảo mật web được tài trợ bởi PortSwigger Web Security. Đây là một nguồn tốt để tìm hiểu về những phát triển và tin tức mới nhất trong lĩnh vực xác định lại thời gian - hack, rò rỉ dữ liệu, khai thác, lỗ hổng ứng dụng web và công nghệ bảo mật mới.
- là một hacker mũ trắng và người thử nghiệm thâm nhập, người thường xuyên đề cập đến các chiến thuật mới của đội đỏ trong tài liệu của mình. .
- Các phòng thí nghiệm MWR là một nguồn tốt, mặc dù cực kỳ kỹ thuật, cung cấp tin tức về việc điều chỉnh lại thời gian. Họ đăng bài hữu ích cho đội đỏ và của họ chứa các mẹo để giải quyết các vấn đề mà người kiểm tra bảo mật gặp phải.
- - Luật sư và "hacker trắng". Nguồn cấp dữ liệu Twitter của anh ấy có các kỹ thuật hữu ích cho "đội đỏ" như viết lệnh chèn SQL và giả mạo mã thông báo OAuth.
- (ATT & CK) là cơ sở kiến thức được tuyển chọn về hành vi của kẻ tấn công. Nó theo dõi các giai đoạn trong vòng đời của kẻ tấn công và nền tảng mà chúng nhắm tới.
- là một hướng dẫn dành cho tin tặc, mặc dù khá cũ nhưng bao gồm nhiều kỹ thuật cơ bản vẫn là trọng tâm của việc bắt chước các cuộc tấn công thực sự phức tạp. Tác giả Peter Kim cũng có , trong đó anh ấy đưa ra các mẹo hack và thông tin khác.
- Viện SANS là một nhà cung cấp tài liệu đào tạo an ninh mạng lớn khác. Của họ Tập trung vào điều tra kỹ thuật số và ứng phó sự cố, nó chứa những tin tức mới nhất về các khóa học của SANS và lời khuyên từ các chuyên gia.
- Một số tin tức thú vị nhất về việc điều chỉnh lại thời gian được đăng trên . Có những bài viết tập trung vào công nghệ như so sánh Red Teaming với thử nghiệm thâm nhập, cũng như các bài viết phân tích như Tuyên ngôn Chuyên gia của Red Team.
- Cuối cùng, Awesome Red Teaming là một cộng đồng GitHub cung cấp nguồn lực dành riêng cho Red Teaming. Nó bao gồm hầu như mọi khía cạnh kỹ thuật trong hoạt động của đội đỏ, từ việc giành quyền truy cập ban đầu, thực hiện các hoạt động độc hại cho đến thu thập và trích xuất dữ liệu.
"Đội xanh" - nó là gì?
Với rất nhiều nhóm đa màu sắc, có thể khó tìm ra loại tổ chức của bạn cần.
Một đội thay thế cho đội đỏ, và cụ thể hơn là một loại đội khác có thể được sử dụng cùng với đội đỏ, đó là đội xanh. Đội Xanh cũng đánh giá an ninh mạng và xác định mọi lỗ hổng cơ sở hạ tầng tiềm ẩn. Tuy nhiên, cô ấy có một mục tiêu khác. Cần có những đội thuộc loại này để tìm cách bảo vệ, thay đổi và tập hợp lại các cơ chế phòng thủ nhằm giúp việc ứng phó sự cố hiệu quả hơn nhiều.
Giống như đội đỏ, đội xanh phải có cùng kiến thức về chiến thuật, kỹ thuật và quy trình của kẻ tấn công để tạo ra chiến lược phản ứng dựa trên chúng. Tuy nhiên, nhiệm vụ của đội xanh không chỉ giới hạn ở việc phòng thủ trước các đợt tấn công. Nó cũng liên quan đến việc tăng cường toàn bộ cơ sở hạ tầng bảo mật, ví dụ như sử dụng hệ thống phát hiện xâm nhập (IDS) cung cấp phân tích liên tục về hoạt động bất thường và đáng ngờ.
Dưới đây là một số bước mà "đội xanh" thực hiện:
- kiểm tra bảo mật, đặc biệt là kiểm tra DNS;
- phân tích nhật ký và bộ nhớ;
- phân tích các gói dữ liệu mạng;
- phân tích dữ liệu rủi ro;
- phân tích dấu chân kỹ thuật số;
- kỹ thuật đảo ngược;
- thử nghiệm DDoS;
- xây dựng các kịch bản thực hiện rủi ro.
Sự khác biệt giữa đội đỏ và đội xanh
Một câu hỏi phổ biến đối với nhiều tổ chức là họ nên sử dụng đội nào, đỏ hay xanh. Vấn đề này cũng thường đi kèm với sự thù địch thân thiện giữa những người làm việc "ở hai phía đối diện của chướng ngại vật". Trong thực tế, không có lệnh nào có ý nghĩa nếu không có lệnh kia. Vì vậy, câu trả lời đúng cho câu hỏi này là cả hai đội đều quan trọng.
Đội Đỏ đang tấn công và được sử dụng để kiểm tra khả năng sẵn sàng phòng thủ của Đội Xanh. Đôi khi đội đỏ có thể tìm thấy những lỗ hổng mà đội xanh hoàn toàn bỏ qua, trong trường hợp đó, đội đỏ phải chỉ ra cách khắc phục những lỗ hổng đó.
Điều quan trọng đối với cả hai nhóm là hợp tác chống lại tội phạm mạng để tăng cường bảo mật thông tin.
Vì lý do này, sẽ không có ý nghĩa gì nếu chỉ chọn một bên hoặc chỉ đầu tư vào một loại nhóm. Điều quan trọng cần nhớ là mục tiêu của cả hai bên là ngăn chặn tội phạm mạng.
Nói cách khác, các công ty cần thiết lập sự hợp tác chung của cả hai nhóm để cung cấp một cuộc kiểm tra toàn diện - với nhật ký về tất cả các cuộc tấn công và kiểm tra đã thực hiện, cũng như hồ sơ về các tính năng được phát hiện.
"Đội đỏ" cung cấp thông tin về các hoạt động họ thực hiện trong cuộc tấn công mô phỏng, trong khi đội xanh cung cấp thông tin về các hành động họ đã thực hiện để lấp đầy các lỗ hổng và khắc phục các lỗ hổng được tìm thấy.
Không thể đánh giá thấp tầm quan trọng của cả hai đội. Nếu không có các cuộc kiểm tra bảo mật, thử nghiệm thâm nhập và cải tiến cơ sở hạ tầng liên tục, các công ty sẽ không nhận thức được tình trạng bảo mật của chính họ. Ít nhất là cho đến khi dữ liệu bị rò rỉ và rõ ràng là các biện pháp bảo mật là chưa đủ.
Đội màu tím là gì?
"Đội Tím" ra đời từ nỗ lực hợp nhất Đội Đỏ và Đội Xanh. Đội Tím là một khái niệm hơn là một loại đội riêng biệt. Nó được xem tốt nhất là sự kết hợp của các đội đỏ và xanh. Cô gắn kết cả hai đội, giúp họ làm việc cùng nhau.
Nhóm Tím có thể giúp các nhóm bảo mật cải thiện khả năng phát hiện lỗ hổng, phát hiện mối đe dọa và giám sát mạng bằng cách lập mô hình chính xác các kịch bản mối đe dọa phổ biến và giúp tạo ra các phương pháp ngăn chặn và phát hiện mối đe dọa mới.
Một số tổ chức sử dụng Nhóm Tím cho các hoạt động tập trung một lần nhằm xác định rõ ràng các mục tiêu an toàn, tiến trình và kết quả chính. Điều này bao gồm việc nhận ra những điểm yếu trong tấn công và phòng thủ, cũng như xác định các yêu cầu về công nghệ và đào tạo trong tương lai.
Một cách tiếp cận khác hiện đang đạt được động lực là xem Đội Tím như một mô hình có tầm nhìn xa, hoạt động trong toàn tổ chức để giúp tạo ra và liên tục cải thiện văn hóa an ninh mạng.
Kết luận
Red Teaming, hay mô phỏng tấn công phức tạp, là một kỹ thuật mạnh mẽ để kiểm tra các lỗ hổng bảo mật của tổ chức nhưng cần phải cẩn thận khi sử dụng. Đặc biệt, để sử dụng nó, bạn cần có đủ Nếu không, anh ta có thể không biện minh cho những hy vọng đặt vào mình.
Việc xác định lại thời gian có thể tiết lộ các lỗ hổng trong hệ thống của bạn mà bạn thậm chí không biết đã tồn tại và giúp khắc phục chúng. Bằng cách áp dụng cách tiếp cận đối đầu giữa đội xanh và đội đỏ, bạn có thể mô phỏng hành động mà một hacker thực sự sẽ làm nếu hắn muốn đánh cắp dữ liệu hoặc làm hỏng tài sản của bạn.
Nguồn: www.habr.com