Nie wszyscy hakerzy to złe wieści! Hakerzy z czerwonej drużyny będą próbowali uzyskać dostęp do twoich danych, ale w celach altruistycznych...
Red teaming to czynność polegająca na testowaniu, atakowaniu i penetrowaniu sieci komputerowych, aplikacji i systemów. Red teamers to etyczni hakerzy zatrudniani przez organizacje do testowania ich architektury bezpieczeństwa. Ostatecznym celem zespołu czerwonego jest znalezienie — a czasem wywołanie — problemów i luk w zabezpieczeniach komputera oraz ich wykorzystanie.
Dlaczego Red Teaming jest ważny?
W przypadku organizacji, która musi chronić wrażliwe dane i systemy, red teaming wiąże się z zatrudnieniem operatorom cyberbezpieczeństwa do testowania, atakowania i penetrowania architektury bezpieczeństwa przed złośliwym oprogramowaniem robią hakerzy. Względny koszt pozyskania sojuszników do symulacji ataku jest wykładniczo niższy niż w przypadku atakujących.
Tak więc czerwoni gracze zasadniczo odgrywają rolę zewnętrznych hakerów; tylko ich intencje nie są złośliwe. Zamiast tego operatorzy używają sztuczek, narzędzi i technik hakerskich, aby znaleźć i wykorzystać luki w zabezpieczeniach. Dokumentują również proces, dzięki czemu firma może wykorzystać wyciągnięte wnioski do ulepszenia ogólnej architektury bezpieczeństwa.
Czerwone drużyny są ważne, ponieważ firmy (a nawet osoby prywatne) skrywające tajemnice nie mogą sobie pozwolić na to, by przeciwnicy zdobyli klucze do królestwa. Naruszenie może skutkować co najmniej utratą przychodów, karami nałożonymi przez agencje ds. zgodności, utratą zaufania klientów i publicznym zawstydzeniem. W najgorszym przypadku naruszenie zasad kontradyktoryjności może doprowadzić do bankructwa, nieodwracalnego upadku korporacji i kradzieży tożsamości dotykającej miliony klientów.
Jaki jest przykład czerwonego zespołu?
Drużyny czerwonych są bardzo skoncentrowane na scenariuszach. Na przykład firma zajmująca się produkcją muzyczną może zatrudnić operatorów zespołu czerwonego przetestować zabezpieczenia zapobiegające wyciekom. Operatorzy opracowują scenariusze z udziałem osób, które mają dostęp do dysków zawierających własność intelektualną artystów.
Celem w tym scenariuszu może być przetestowanie ataków, które są najskuteczniejsze w naruszeniu uprawnień dostępu do tych plików. Innym celem może być sprawdzenie, jak łatwo atakujący może przejść w bok od jednego punktu wejścia i eksfiltrować skradzione nagrania wzorcowe.
Jakie są cele Czerwonej Drużyny?
Drużyna czerwonych stara się znaleźć i wykorzystać jak najwięcej luk w zabezpieczeniach w krótkim czasie, nie dając się złapać. Podczas gdy rzeczywiste cele ćwiczeń z zakresu cyberbezpieczeństwa będą się różnić w zależności od organizacji, zespoły czerwone zazwyczaj mają następujące cele:
- Modeluj rzeczywiste zagrożenia.
- Zidentyfikuj słabe strony sieci i oprogramowania.
- Zidentyfikuj obszary do poprawy.
- Oceń skuteczność protokołów bezpieczeństwa.
Jak działa Red Teaming?
Red teaming rozpoczyna się, gdy firma (lub osoba prywatna) zatrudnia operatorów ds. cyberbezpieczeństwa w celu przetestowania i oceny ich mechanizmów obronnych. Po zatrudnieniu praca przechodzi przez cztery etapy zaangażowania: planowanie, wykonanie, sanityzacja i raportowanie.
Etap planowania
Na etapie planowania klient i czerwony zespół określają cele i zakres zaangażowania. Tutaj określają autoryzowane cele (a także aktywa wyłączone z ćwiczenia), środowisko (fizyczne i cyfrowe), czas trwania zaangażowania, koszty i inną logistykę. Obie strony tworzą również zasady zaangażowania, które będą kierować ćwiczeniem.
Etap wykonania
Etap wykonania polega na tym, że operatorzy zespołu czerwonego wykorzystują wszystko, co w ich mocy, aby znaleźć i wykorzystać luki w zabezpieczeniach. Muszą to robić potajemnie i unikać złapania przez istniejące środki zaradcze lub protokoły bezpieczeństwa swoich celów. Drużyny czerwonych używają różnych taktyk z matrycy taktyki kontradyktora, technik i wspólnej wiedzy (ATT&CK).
Macierz ATT&CK obejmuje również struktury używane przez atakujących do uzyskiwania dostępu, utrzymywania i poruszania się po architekturach bezpieczeństwa jak sposób, w jaki zbierają dane i utrzymują komunikację z zaatakowaną architekturą po an atak.
Niektóre techniki, które mogą zastosować obejmują ataki wardrivingu, socjotechnika, phishing, podsłuchiwanie sieci, zrzucanie poświadczeń, i skanowanie portów.
Etap sanityzacji
To jest okres oczyszczania. Tutaj operatorzy czerwonych drużyn wiążą luźne końce i usuwają ślady swojego ataku. Na przykład dostęp do niektórych katalogów może spowodować pozostawienie dzienników i metadanych. Celem drużyny czerwonej na etapie sanityzacji jest wyczyszczenie tych dzienników i wyczyść metadane.
Ponadto odwracają również zmiany wprowadzone w architekturze bezpieczeństwa na etapie wykonywania. Obejmuje to resetowanie kontroli bezpieczeństwa, cofanie uprawnień dostępu, zamykanie obejść lub tylnych drzwi, usuwanie złośliwego oprogramowania i przywracanie zmian w plikach lub skryptach.
Sztuka często naśladuje życie. Oczyszczanie jest ważne, ponieważ operatorzy czerwonego zespołu chcą uniknąć torowania drogi złośliwym hakerom, zanim zespół obrony będzie mógł coś załatać.
Etap raportowania
Na tym etapie zespół czerwony przygotowuje dokument opisujący ich działania i wyniki. Raport zawiera ponadto obserwacje, ustalenia empiryczne i zalecenia dotyczące łatania luk w zabezpieczeniach. Może również zawierać dyrektywy do zabezpieczania wykorzystywanej architektury i protokołów.
Format raportów zespołu czerwonego jest zwykle zgodny z szablonem. Większość raportów określa cele, zakres i zasady zaangażowania; dzienniki działań i wyników; wyniki; warunki, które umożliwiły osiągnięcie tych wyników; i schemat ataku. Zwykle jest też sekcja dotycząca oceny zagrożeń bezpieczeństwa autoryzowanych celów i zasobów bezpieczeństwa.
Co będzie dalej po drużynie czerwonych?
Korporacje często zatrudniają czerwone zespoły do testowania systemów bezpieczeństwa w określonym zakresie lub scenariuszu. Po starciu drużyny czerwonej, drużyna obrony (tj. drużyna niebieska) wykorzystuje wyciągnięte wnioski, aby poprawić swoje możliwości w zakresie bezpieczeństwa przed znanymi zagrożeniami i zagrożeniami dnia zerowego. Ale napastnicy nie czekają. Biorąc pod uwagę zmieniający się stan cyberbezpieczeństwa i szybko ewoluujące zagrożenia, praca nad testowaniem i ulepszaniem architektury bezpieczeństwa nigdy nie jest tak naprawdę zakończona.
