Nie všetci hackeri sú zlé správy! Hackeri z červeného tímu sa pokúsia získať prístup k vašim údajom, ale na altruistické účely...
Red teaming je akt testovania, útokov a prenikania do počítačových sietí, aplikácií a systémov. Červení tímári sú etickí hackeri, ktorých si najímajú organizácie, aby otestovali svoju bezpečnostnú architektúru. Konečným cieľom červeného tímu je nájsť – a niekedy aj vyvolať – problémy a zraniteľné miesta v počítači a využiť ich.
Prečo je Red Teaming dôležitý?
Pre organizáciu, ktorá potrebuje chrániť citlivé údaje a systémy, zahŕňa červený tímový tím nábor operátori kybernetickej bezpečnosti, aby testovali, útočili a prenikli do jeho bezpečnostnej architektúry skôr, než budú škodlivé hackeri áno. Porovnateľné náklady na získanie priateľských stretnutí na simuláciu útoku sú exponenciálne nižšie ako v prípade útočníkov.
Červení tímári teda v podstate zohrávajú úlohu vonkajších hackerov; len ich zámery nie sú zlomyseľné. Namiesto toho operátori používajú hackerské triky, nástroje a techniky na nájdenie a využitie zraniteľností. Tiež dokumentujú proces, takže spoločnosť môže využiť získané poznatky na zlepšenie svojej celkovej bezpečnostnej architektúry.
Červený tím je dôležitý, pretože spoločnosti (a dokonca aj jednotlivci) s tajomstvami si nemôžu dovoliť nechať protivníkov získať kľúče od kráľovstva. Porušenie by mohlo mať prinajmenšom za následok stratu príjmov, pokuty od agentúr pre dodržiavanie predpisov, stratu dôvery klientov a verejné zahanbenie. V najhoršom prípade môže nepriaznivé porušenie viesť k bankrotu, nenapraviteľnému kolapsu korporácie a krádež identity, ktorá postihuje milióny zákazníkov.
Aký je príklad Red Teamingu?
Red teaming je vysoko zameraný na scenár. Napríklad hudobná produkčná spoločnosť môže najať operátorov červeného tímu na testovanie bezpečnostných opatrení na zabránenie úniku. Operátori vytvárajú scenáre zahŕňajúce ľudí, ktorí majú prístup k dátovým jednotkám obsahujúcim duševné vlastníctvo umelcov.
Cieľom v tomto scenári môže byť testovanie útokov, ktoré sú najúčinnejšie pri ohrozovaní prístupových práv k týmto súborom. Ďalším cieľom môže byť otestovať, ako ľahko sa môže útočník pohybovať bočne z jedného vstupného bodu a preniknúť do ukradnutých nahrávok.
Aké sú ciele Červeného tímu?
Červený tím sa snaží nájsť a využiť čo najviac zraniteľností v krátkom čase, bez toho, aby sa nechal chytiť. Zatiaľ čo skutočné ciele v cvičení kybernetickej bezpečnosti sa budú medzi organizáciami líšiť, červené tímy majú vo všeobecnosti tieto ciele:
- Modelujte reálne hrozby.
- Identifikujte slabé stránky siete a softvéru.
- Identifikujte oblasti na zlepšenie.
- Ohodnoťte efektívnosť bezpečnostných protokolov.
Ako funguje Red Teaming?
Red teaming začína, keď si spoločnosť (alebo jednotlivec) najme operátorov kybernetickej bezpečnosti, aby otestovali a vyhodnotili ich obranu. Po prijatí do zamestnania prechádza práca štyrmi fázami: plánovanie, realizácia, dezinfekcia a podávanie správ.
Fáza plánovania
Vo fáze plánovania klient a červený tím definujú ciele a rozsah zapojenia. Tu definujú oprávnené ciele (ako aj aktíva vylúčené z cvičenia), prostredie (fyzické a digitálne), trvanie zapojenia, náklady a inú logistiku. Obe strany tiež vytvárajú pravidlá zapojenia, ktoré budú viesť cvičenie.
Fáza vykonávania
Fáza vykonávania je miesto, kde operátori červeného tímu využijú všetko, čo môžu, aby našli a zneužili zraniteľné miesta. Musia to robiť tajne a vyhnúť sa tomu, aby ich zneškodnili existujúce protiopatrenia alebo bezpečnostné protokoly svojich cieľov. Červení tímy používajú rôzne taktiky v matici Adversarial Tactics, Techniques a Common Knowledge (ATT&CK).
Matica ATT&CK zahŕňa rámce, ktoré útočníci používajú na prístup, pretrvávanie a pohyb cez bezpečnostné architektúry ako zbierajú údaje a udržiavajú komunikáciu s kompromitovanou architektúrou po an útok.
Môžu použiť niektoré techniky zahŕňajú wardriving útoky, sociálne inžinierstvo, phishing, sniffovanie siete, dumping poverení, a skenovanie portov.
Fáza dezinfekcie
Toto je obdobie čistenia. Tu operátori červených tímov viažu voľné konce a vymazávajú stopy svojho útoku. Napríklad prístup k určitým adresárom môže zanechať protokoly a metadáta. Cieľom červeného tímu vo fáze dezinfekcie je vymazať tieto záznamy a vyčistite metadáta.
Okrem toho tiež zvrátia zmeny, ktoré vykonali v bezpečnostnej architektúre počas fázy vykonávania. To zahŕňa resetovanie ovládacích prvkov zabezpečenia, zrušenie prístupových práv, zatvorenie obchvatov alebo zadných vrátok, odstránenie škodlivého softvéru a obnovenie zmien v súboroch alebo skriptoch.
Umenie často napodobňuje život. Dezinfekcia je dôležitá, pretože operátori červených tímov sa chcú vyhnúť vydláždeniu cesty pre zlomyseľných hackerov skôr, ako obranný tím môže veci opraviť.
Fáza podávania správ
V tejto fáze červený tím pripraví dokument, v ktorom popisuje svoje činnosti a výsledky. Správa ďalej obsahuje pozorovania, empirické zistenia a odporúčania na opravu zraniteľností. Môže obsahovať aj smernice na zabezpečenie využívanej architektúry a protokolov.
Formát červených tímových správ sa zvyčajne riadi šablónou. Väčšina správ uvádza ciele, rozsah a pravidlá zapojenia; záznamy akcií a výsledkov; výsledky; podmienky, ktoré umožnili tieto výsledky; a diagram útoku. Zvyčajne je tam aj sekcia na hodnotenie bezpečnostných rizík autorizovaných cieľov a bezpečnostných aktív.
Čo príde po Červenom tíme?
Korporácie si často najímajú červené tímy na bojové testovanie bezpečnostných systémov v rámci definovaného rozsahu alebo scenára. Po zapojení červeného tímu obranný tím (t. j. modrý tím) využije získané poznatky na zlepšenie svojich bezpečnostných schopností proti známym a zero-day hrozbám. Útočníci však nečakajú. Vzhľadom na meniaci sa stav kybernetickej bezpečnosti a rýchlo sa vyvíjajúce hrozby nie je práca na testovaní a zlepšovaní bezpečnostnej architektúry nikdy skutočne dokončená.
