Ne všichni hackeři jsou špatné zprávy! Hackeři z červeného týmu se pokusí získat přístup k vašim datům, ale pro altruistické účely...
Red teaming je akt testování, napadání a pronikání počítačových sítí, aplikací a systémů. Red teamers jsou etičtí hackeři najatí organizacemi, aby otestovali jejich bezpečnostní architekturu. Konečným cílem červeného týmu je najít – a někdy vyvolat – problémy a zranitelnosti v počítači a využít je.
Proč je Red Teaming důležitý?
Pro organizaci, která potřebuje chránit citlivá data a systémy, zahrnuje red teaming nábor Operátoři kybernetické bezpečnosti testují, útočí a pronikají do její bezpečnostní architektury dříve, než budou škodlivé hackeři ano. Poměrné náklady na získání přátel pro simulaci útoku jsou exponenciálně nižší, než kdyby to udělali útočníci.
Takže červení týmoví hráči v podstatě hrají roli vnějších hackerů; pouze jejich záměry nejsou škodlivé. Místo toho operátoři používají hackerské triky, nástroje a techniky k nalezení a zneužití zranitelnosti. Dokumentují také proces, takže společnost může využít získané zkušenosti ke zlepšení své celkové bezpečnostní architektury.
Červený tým je důležitý, protože společnosti (a dokonce i jednotlivci) s tajemstvím si nemohou dovolit nechat protivníky získat klíče od království. Porušení by mohlo mít přinejmenším za následek ztrátu příjmů, pokuty od agentur pro dodržování předpisů, ztrátu důvěry klientů a veřejné ostudy. V nejhorším případě by nepřátelské porušení mohlo vést k bankrotu, nenapravitelnému kolapsu korporace a krádež identity postihující miliony zákazníků.
Jaký je příklad Red Teamingu?
Red teaming je vysoce zaměřený na scénář. Například hudební produkční společnost může najmout operátory červeného týmu otestovat bezpečnostní opatření zabraňující únikům. Operátoři vytvářejí scénáře zahrnující lidi, kteří mají přístup k datovým jednotkám obsahujícím duševní vlastnictví umělců.
Cílem v tomto scénáři může být otestovat útoky, které jsou nejúčinnější při narušování přístupových oprávnění k těmto souborům. Dalším cílem může být otestovat, jak snadno se může útočník pohybovat bočně z jednoho vstupního bodu a proniknout k odcizeným nahrávkám.
Jaké jsou cíle Červeného týmu?
Červený tým se vydává za krátkou dobu najít a využít co nejvíce zranitelností, aniž by se nechal chytit. Zatímco skutečné cíle cvičení v oblasti kybernetické bezpečnosti se budou mezi organizacemi lišit, červené týmy mají obecně následující cíle:
- Modelujte reálné hrozby.
- Identifikujte slabá místa sítě a softwaru.
- Identifikujte oblasti ke zlepšení.
- Ohodnoťte efektivitu bezpečnostních protokolů.
Jak Red Teaming funguje?
Red teaming začíná, když společnost (nebo jednotlivec) najme operátory kybernetické bezpečnosti, aby otestovali a vyhodnotili jejich obranu. Jakmile je práce přijata, prochází čtyřmi fázemi zakázky: plánování, provádění, sanitace a podávání zpráv.
Fáze plánování
Ve fázi plánování klient a červený tým definují cíle a rozsah zapojení. Zde definují autorizované cíle (stejně jako aktiva vyloučená z cvičení), prostředí (fyzické a digitální), dobu trvání zapojení, náklady a další logistiku. Obě strany také vytvářejí pravidla zapojení, kterými se bude cvičení řídit.
Fáze provádění
Fáze provádění je místo, kde operátoři červeného týmu využijí vše, co mohou, k nalezení a zneužití zranitelností. Musí to dělat skrytě a vyhýbat se tomu, aby je zneškodnili stávající protiopatření nebo bezpečnostní protokoly svých cílů. Červení členové týmu používají různé taktiky v matici Adversarial Tactics, Techniques a Common Knowledge (ATT&CK).
Matice ATT&CK zahrnuje rámce, které útočníci používají k přístupu, přetrvávání a pohybu prostřednictvím architektur zabezpečení jak shromažďují data a udržují komunikaci s kompromitovanou architekturou po an Záchvat.
Některé techniky mohou používat zahrnují wardriving útoky, sociální inženýrství, phishing, sniffování sítě, ukládání přihlašovacích údajů, a skenování portů.
Fáze dezinfekce
Toto je období čištění. Zde operátoři červených týmů zavazují volné konce a mažou stopy svého útoku. Například přístup k určitým adresářům může zanechat protokoly a metadata. Cílem červeného týmu ve fázi dezinfekce je vymazat tyto protokoly a smazat metadata.
Kromě toho také vrátí změny, které provedli v architektuře zabezpečení během fáze provádění. To zahrnuje resetování ovládacích prvků zabezpečení, odebrání přístupových oprávnění, uzavření bypassů nebo zadních vrátek, odstranění malwaru a obnovení změn v souborech nebo skriptech.
Umění často napodobuje život. Dezinfekce je důležitá, protože operátoři červených týmů se chtějí vyhnout dláždění cesty pro zákeřné hackery, než obranný tým může věci opravit.
Fáze hlášení
V této fázi červený tým připraví dokument popisující své akce a výsledky. Zpráva dále obsahuje pozorování, empirická zjištění a doporučení pro záplatování zranitelností. Může také obsahovat směrnice pro zabezpečení zneužité architektury a protokolů.
Formát červených týmových zpráv se obvykle řídí šablonou. Většina zpráv uvádí cíle, rozsah a pravidla zapojení; protokoly akcí a výsledků; výsledky; podmínky, které umožnily tyto výsledky; a schéma útoku. Obvykle je zde také sekce pro hodnocení bezpečnostních rizik autorizovaných cílů a bezpečnostních aktiv.
Co přijde po červeném týmu?
Korporace si často najímají červené týmy, aby otestovaly bezpečnostní systémy v rámci definovaného rozsahu nebo scénáře. Po nasazení červeného týmu využije obranný tým (tj. modrý tým) získané poznatky ke zlepšení svých bezpečnostních schopností proti známým a zero-day hrozbám. Útočníci však nečekají. Vzhledem k měnícímu se stavu kybernetické bezpečnosti a rychle se vyvíjejícím hrozbám není práce na testování a zlepšování bezpečnostní architektury nikdy skutečně dokončena.
