Nisu svi hakeri loše vijesti! Hakeri crvenog tima pokušat će ući u vaše podatke, ali iz altruističkih razloga...
Red teaming je čin testiranja, napada i prodiranja u računalne mreže, aplikacije i sustave. Red teamers su etički hakeri koje angažiraju organizacije da testiraju njihovu sigurnosnu arhitekturu. Krajnji cilj crvenog tima je pronaći—a ponekad i izazvati—probleme i ranjivosti u računalu i iskoristiti ih.
Zašto je Red Teaming važan?
Za organizaciju koja treba zaštititi osjetljive podatke i sustave, crveno timovanje uključuje zapošljavanje operatore kibernetičke sigurnosti da testiraju, napadnu i prodru u njegovu sigurnosnu arhitekturu prije zlonamjernog hakeri rade. Usporedni trošak dobivanja prijateljskih utakmica za simulaciju napada je eksponencijalno manji nego ako to rade napadači.
Dakle, crveni timovi u biti igraju ulogu vanjskih hakera; samo što njihove namjere nisu zlonamjerne. Umjesto toga, operateri koriste trikove, alate i tehnike hakiranja kako bi pronašli i iskoristili ranjivosti. Oni također dokumentiraju proces, tako da tvrtka može iskoristiti naučene lekcije za poboljšanje svoje cjelokupne sigurnosne arhitekture.
Crveno udruživanje je važno jer tvrtke (pa čak i pojedinci) s tajnama ne mogu dopustiti protivnicima da dobiju ključeve kraljevstva. U najmanju ruku, kršenje bi moglo rezultirati gubitkom prihoda, kaznama agencija za usklađenost, gubitkom povjerenja klijenata i javnom sramotom. U najgorem slučaju, kontradiktorno kršenje moglo bi rezultirati bankrotom, nepopravljivim kolapsom korporacije i krađa identiteta koja utječe na milijune kupaca.
Što je primjer Red Teaminga?
Red teaming je visoko fokusiran na scenarij. Na primjer, tvrtka za glazbenu produkciju može zaposliti operatere crvenog tima za testiranje zaštitnih mjera za sprječavanje curenja. Operateri smišljaju scenarije koji uključuju ljude koji imaju pristup podatkovnim pogonima koji sadrže umjetničino intelektualno vlasništvo.
Cilj u ovom scenariju može biti testiranje napada koji su najučinkovitiji u ugrožavanju privilegija pristupa tim datotekama. Drugi bi cilj mogao biti testirati koliko se lako napadač može pomaknuti bočno s jedne ulazne točke i izvući ukradene glavne snimke.
Koji su ciljevi crvenog tima?
Crveni tim nastoji pronaći i iskoristiti što više ranjivosti u kratkom vremenu, a da ne bude uhvaćen. Iako će se stvarni ciljevi u vježbi kibernetičke sigurnosti razlikovati od organizacije do organizacije, crveni timovi općenito imaju sljedeće ciljeve:
- Modelirajte prijetnje iz stvarnog svijeta.
- Identificirajte mrežne i softverske slabosti.
- Odredite područja za poboljšanje.
- Ocijenite učinkovitost sigurnosnih protokola.
Kako funkcionira Red Teaming?
Red teaming počinje kada tvrtka (ili pojedinac) angažira operatere kibernetičke sigurnosti da testiraju i procijene njihovu obranu. Nakon što se zaposli, posao prolazi kroz četiri faze angažmana: planiranje, izvođenje, sanacija i izvješćivanje.
Faza planiranja
U fazi planiranja klijent i crveni tim definiraju ciljeve i opseg angažmana. Ovdje se definiraju ovlašteni ciljevi (kao i sredstva isključena iz vježbe), okruženje (fizičko i digitalno), trajanje angažmana, troškovi i druga logistika. Obje strane također stvaraju pravila angažmana koja će voditi vježbu.
Faza izvršenja
Faza izvršenja je mjesto gdje operateri crvenog tima koriste sve što mogu kako bi pronašli i iskoristili ranjivosti. Moraju to učiniti tajno i izbjeći da ih uhvate postojeće protumjere ili sigurnosni protokoli njihovih meta. Crveni timovi koriste različite taktike u matrici Suparničkih taktika, tehnika i zajedničkog znanja (ATT&CK).
ATT&CK matrica također uključuje okvire koje napadači koriste za pristup, ustrajavanje i kretanje kroz sigurnosne arhitekture kako prikupljaju podatke i održavaju komunikaciju s ugroženom arhitekturom nakon napad.
Neke tehnike koje mogu koristiti uključuju wardriving napade, društveni inženjering, krađa identiteta, njuškanje mreže, izbacivanje vjerodajnica, i skeniranje portova.
Faza dezinfekcije
Ovo je razdoblje čišćenja. Ovdje operateri crvenog tima vezuju labave krajeve i brišu tragove svog napada. Na primjer, pristup određenim imenicima može ostaviti zapisnike i metapodatke. Cilj crvenog tima u fazi dezinfekcije je očistiti te zapise i pročišćavati metapodatke.
Osim toga, oni također poništavaju promjene koje su napravili u sigurnosnoj arhitekturi tijekom faze izvršenja. To uključuje resetiranje sigurnosnih kontrola, opoziv privilegija pristupa, zatvaranje zaobilaznica ili stražnjih vrata, uklanjanje zlonamjernog softvera i vraćanje promjena u datoteke ili skripte.
Umjetnost često oponaša život. Dezinfekcija je važna jer operateri crvenog tima žele izbjeći krčenje puta za zlonamjerne hakere prije nego što obrambeni tim popravi stvari.
Stadij izvješćivanja
U ovoj fazi, crveni tim priprema dokument koji opisuje njihove radnje i rezultate. Izvješće nadalje uključuje zapažanja, empirijske nalaze i preporuke za krpanje ranjivosti. Također može sadržavati direktive za osiguranje eksploatirane arhitekture i protokola.
Format izvješća crvenog tima obično slijedi predložak. Većina izvješća ocrtava ciljeve, opseg i pravila angažmana; dnevnici radnji i rezultata; ishodi; uvjete koji su omogućili te rezultate; i dijagram napada. Obično postoji odjeljak za ocjenjivanje sigurnosnih rizika ovlaštenih ciljeva i sigurnosnih sredstava.
Što dolazi nakon crvenog tima?
Korporacije često angažiraju crvene timove za testiranje sigurnosnih sustava unutar definiranog opsega ili scenarija. Nakon angažmana crvenog tima, obrambeni tim (tj. plavi tim) koristi naučene lekcije za poboljšanje svojih sigurnosnih sposobnosti protiv poznatih prijetnji i prijetnji nultog dana. Ali napadači ne čekaju. S obzirom na promjenjivo stanje kibernetičke sigurnosti i prijetnje koje se brzo razvijaju, rad na testiranju i poboljšanju sigurnosne arhitekture nikada nije doista završen.
