Не всички хакери са лоша новина! Хакерите от червения екип ще се опитат да влязат във вашите данни, но за алтруистични цели...
Red teaming е актът на тестване, атака и проникване в компютърни мрежи, приложения и системи. Red teamers са етични хакери, наети от организации, за да тестват в битка тяхната архитектура за сигурност. Крайната цел на червения екип е да открие – и понякога да предизвика – проблеми и уязвимости в компютъра и да ги използва.
Защо Red Teaming е важно?
За организация, която трябва да защитава чувствителни данни и системи, екипирането в червено включва наемане оператори за киберсигурност, за да тестват, атакуват и проникват в нейната архитектура за сигурност преди злонамерени хакерите правят. Сравнителната цена за получаване на приятелски мачове за симулиране на атака е експоненциално по-малка, отколкото ако нападателите го направят.
Така че червените екипи по същество играят ролята на външни хакери; само намеренията им не са злонамерени. Вместо това операторите използват хакерски трикове, инструменти и техники за намиране и използване на уязвимости. Те също така документират процеса, така че компанията да може да използва научените уроци, за да подобри цялостната си архитектура за сигурност.
Червеното обединяване е важно, защото компании (и дори физически лица) с тайни не могат да си позволят да позволят на противниците да получат ключовете от кралството. Най-малкото нарушение може да доведе до загуба на приходи, глоби от агенции за съответствие, загуба на доверие на клиенти и обществено смущение. В най-лошия случай състезателно нарушение може да доведе до фалит, необратим колапс на корпорация и кражба на самоличност, засягаща милиони клиенти.
Какво е пример за Red Teaming?
Red teaming е силно фокусирано върху сценария. Например музикална продуцентска компания може да наеме оператори на червен екип за тестване на предпазни мерки за предотвратяване на течове. Операторите създават сценарии, включващи хора, които имат достъп до дискове с данни, съдържащи интелектуалната собственост на артистите.
Целта в този сценарий може да бъде тестване на атаки, които са най-ефективни при компрометиране на привилегиите за достъп до тези файлове. Друга цел може да бъде да се тества колко лесно един нападател може да се движи странично от една входна точка и да ексфилтрира откраднати основни записи.
Какви са целите на червения отбор?
Червеният екип се стреми да намери и използва възможно най-много уязвимости за кратко време, без да бъде хванат. Въпреки че действителните цели в учението за киберсигурност ще варират между организациите, червените екипи обикновено имат следните цели:
- Моделирайте заплахи от реалния свят.
- Идентифицирайте слабостите в мрежата и софтуера.
- Определете областите за подобряване.
- Оценете ефективността на протоколите за сигурност.
Как работи Red Teaming?
Red teaming започва, когато компания (или физическо лице) наеме оператори за киберсигурност, за да тестват и оценят техните защити. Веднъж наета, работата преминава през четири етапа на ангажираност: планиране, изпълнение, саниране и докладване.
Етап на планиране
В етапа на планиране клиентът и червеният екип определят целите и обхвата на ангажимента. Това е мястото, където те определят упълномощени цели (както и активи, изключени от упражнението), среда (физическа и цифрова), продължителност на ангажимента, разходи и друга логистика. И двете страни също създават правилата за участие, които ще ръководят упражнението.
Етап на изпълнение
Етапът на изпълнение е мястото, където операторите на червения екип използват всичко възможно, за да намерят и използват уязвимостите. Те трябва да правят това тайно и да избягват да бъдат хващани от съществуващите контрамерки или протоколи за сигурност на своите цели. Червените екипи използват различни тактики в матрицата за тактики, техники и общи познания (ATT&CK).
Матрицата ATT&CK включва и рамки, които атакуващите използват за достъп, запазване и преминаване през архитектурите за сигурност като как събират данни и поддържат комуникация с компрометираната архитектура след атака.
Някои техники, които могат да използват включват wardriving атаки, социално инженерство, фишинг, мрежово подухване, изхвърляне на идентификационни данни, и сканиране на портове.
Етап на саниране
Това е периодът на почистване. Тук операторите на червения екип завързват свободните краища и заличават следите от атаката си. Например достъпът до определени директории може да остави регистрационни файлове и метаданни. Целта на червения екип в етапа на саниране е да изчисти тези регистрационни файлове и изчистване на метаданни.
В допълнение, те също обръщат промените, които са направили в архитектурата на сигурността по време на етапа на изпълнение. Това включва нулиране на контролите за сигурност, отнемане на привилегии за достъп, затваряне на байпаси или задни врати, премахване на зловреден софтуер и възстановяване на промени във файлове или скриптове.
Изкуството често имитира живота. Дезинфекцията е важна, защото операторите на червения екип искат да избегнат прокарването на пътя за злонамерени хакери, преди екипът на защитата да може да поправи нещата.
Етап на отчитане
На този етап червеният отбор изготвя документ, описващ техните действия и резултати. Освен това докладът включва наблюдения, емпирични констатации и препоръки за коригиране на уязвимости. Може също така да съдържа директиви за защита на експлоатирана архитектура и протоколи.
Форматът на отчетите на червения екип обикновено следва шаблон. Повечето доклади очертават целите, обхвата и правилата за ангажиране; дневници на действия и резултати; резултати; условия, които са направили тези резултати възможни; и диаграмата на атаката. Обикновено има раздел за оценка на рисковете за сигурността на оторизирани цели и активи за сигурност.
Какво следва след червения отбор?
Корпорациите често наемат червени екипи, за да тестват системи за сигурност в рамките на определен обхват или сценарий. След ангажиране на червен екип, защитният екип (т.е. синият екип) използва научените уроци, за да подобри своите способности за сигурност срещу известни заплахи и заплахи от нулевия ден. Но нападателите не чакат. Като се има предвид променящото се състояние на киберсигурността и бързо развиващите се заплахи, работата по тестването и подобряването на архитектурата за сигурност никога не е наистина завършена.
