Что такое Red Team и откуда она взялась?
Истоки красных команд имеют военное происхождение. Стало понятно, что для лучшей защиты необходимо атаковать собственную оборону, чтобы найти слабые места, которые затем можно было защитить лучше.
Это превратилось в «Военные игры», где защитники или дружественные силы были обозначены СИНИМ, а противостоящие силы - КРАСНЫМ.
Red Teaming рассматривалась как полезный инструмент для генералов, чтобы оценить их позицию безопасности.
Red Team поэтому взял на себя роль агрессоров или «плохих парней». Плохие парни не следуют правилам, но используются контролируемым образом, имитируя и подражая тому, что могут делать плохие парни.
Red Teaming помогает защитникам обнаруживать, реагировать и останавливать атаки, а также укреплять и улучшать их.
Двигаясь вперед в сфере информационной безопасности, Red Team, в первую очередь, несмотря на свой «наступательный» характер, являются защитниками. Они также являются инструментом, позволяющим организациям лучше защищаться от враждебных агрессоров, учиться и совершенствоваться.
- Атака - секрет защиты; защита - это планирование нападения - The Art of War, Sun Tzu
Поэтому, чтобы лучше защищаться, вам нужно знать, как атаковать и остановить эту атаку.
Red Teaming - это то, что чаще всего называют тестированием на проникновение. В сфере информационной безопасности Red Teaming или Наступательное тестирование безопасности - считаются важными при проверке состояния безопасности организаций. Как правило, многие организации нанимают Blue Team или защитников и проверяют свою защиту только один раз в год на предмет соответствия требованиям.
Такой образ мышления может сделать организации уязвимыми для атак. Чтобы оспорить и оценить свою позицию, организации могут провести собственное тестирование либо с помощью специальной внутренней Red Team, либо с привлечением внешних экспертов и действий на основе этого опыта.
Итак, в чем разница между Blue Team и Red Team?
Blue Team - это защитники, как правило, члены SOC, они будут отслеживать и искать угрозы, затем они будут реагировать на эти угрозы, т.к. являясь реактивными по своей природе, они ожидаю их возникновения.
Red Team действуют проактивно, имитируют реальных атакующих и пытаются незаметно прорваться через оборону. Их задача - выявить бреши в защите и улучшить возможности обнаружения для Blue Team.
Например, Blue Team может использовать сканирование и тестирование уязвимостей для поиска и проверки управления исправлениями, в зависимости от рассматриваемой организации, дыры могут быть помечены как гипотетические.
«Эй, это может случиться, если мы не исправим», и к этому не следует относиться всерьез. Red Team, однако, также будет использовать этот подход в оценках, но вместо этого, продвинувшись дальше, они будут продемонстрирует, как можно использовать обнаруженные уязвимости, и будет использовать их и предоставит доказательства успеха.
В сочетании с отчетом с подробным описанием уязвимости, ее оценки риска, вероятности и доказательств эксплуатации это имеет больший вес и поможет в достижении цели.
Red Teaming используются двумя способами:
- Внешнее независимое тестирование
- Внутренняя команда
Давайте сначала посмотрим, как может функционировать внешний Red Teaming. Внешние независимые группы по тестированию на проникновение могут быть задействованы в различных сферах в зависимости от требований клиентов, они могут включать, но не ограничиваются:
Физический:
- Проверка физического доступа к зданиям, включая помещения для персонала, например, инфраструктуру такую как отопление / коммунальные услуги, дата-центры.
- Социальная инженерия/выдача себя за другое лицо
- Взлом замков/обход контроля
- Уклонение от контроля безопасности
Социальная инженерия:
- Фишинговые атаки
- Выдача себя за другое лицо
- Tailgating
- Drop Attack
Сетевая инфраструктура:
- Обход межсетевого экрана
- Тестирование настроек маршрутизаторов
- DNS footprinting
- Прокси-серверы
- Эксплойты уязвимостей
- Конфигурация
Компрометация и использование веб-приложений - физических и облачных.
Беспроводная связь:
- Конфигурация
- Несанкционированные точки доступа
- Пароли по умолчанию
- Протоколы шифрования
Тестирование приложений - базы данных, - физические и облачные.
Стандарты сборки операционной системы:
- Сервер
- Рабочий стол
- Мобильный
Интернет вещей.
Внешние пентестеры могут использовать White Box и Gray Box в своей работе или при полностью смоделированных атаках работать в режиме Black Box, это означает, что они должны использовать свои навыки и знания, чтобы проникнуть через защиту в качестве внешнего атакующего с минимальной информацией, в этих условиях они будут использовать все вышеперечисленные методы и многое другое для достижения своей цели.
Для выполнения упражнений на соответствие им может потребоваться выполнить определенные действия в рамках целевого тестирования.
Например, они могут попытаться повысить уровень привилегий, чтобы получить права администратора домена, протестировать сборки рабочей станции/сервера, проверить исправления, взломать пароль и проверить правила брандмауэра.
Внутренняя команда может находится рядом с Blue Team и работать в тесном контакте с ними, или они могут работать в своем собственном отделе, например, в отделе аудита, и действовать независимо, чтобы обеспечить честность в своей деятельности.
В этой роли они могут тестировать существующие средства защиты, проводить аудит/проверку журналов, оценивать опубликованные уязвимости, а также тестировать и оценивать свои риски и угрозы для своей инфраструктуры.
Внутренняя команда будет иметь дополнительное преимущество в том, что они будут знать что это инфраструктура их организации, в то время как независимые тестировщики могут или не могут, в зависимости от объема и характера задач.
В некоторых случаях также могут быть военные игры. Red против Blue. Они могут быть разных форм в зависимости от объема учений и преследуемых целей.
Red Team может быть внешним злоумышленником, которому поручено развернуть Black Box с минимальной информацией и ему было поручено проникнуть в компанию извне и проникнуть с конкретными (предоставленными) целевыми данными.
Такое упражнение так же реально, как и симуляция реальной атаки для реальных угроз.
Следует принять во внимание ценность этого упражнения.
Примером может быть, если бы Red Team использовала социальную инженерию и другие методы для проникновения в помещения, их ценность для Blue Team при оценке их сетевой защиты будет равняться нулю, если Red Team будет разгромлена физическим охранником в самом начале.
Элемент неожиданности также будет потерян, поэтому ценность упражнения красной команды может быть потеряна, если упражнение закончится преждевременно.
Это действительно зависит от бизнеса рассматриваемой организации. Компания, которая занимается защитой данных и ценных IP-адресов, может серьезно задуматься о своей физической безопасности, однако это можно проверить отдельным упражнением, после чего можно задать гипотетический вопрос «а что, если», если злоумышленники окажутся на месте в качестве развертывания другого сценария.
Эти развертывания могут происходить в двух направлениях - Blue Team знает об этих нарушителях и их намеченные цели - поэтому они могут отслеживать и пытаться остановить их, либо Blue Team не знает об учениях.
Это дает реалистичную демонстрацию того, что могут осуществить атакующие.
Такие упражнения обеспечивают хорошие сценарии тестирования для проверки реагирования на инциденты.
Хотя Blue Team может почувствовать элемент уязвленной гордости, если она проиграет Red Team, это важные уроки, усвоенные в упражнении.
В сфере безопасности у нас есть возможность остановить плохих парней в 100% случаев, в то время как плохие парни должны преуспеть только один раз.
Таким образом, Blue Team оказывает давление на то, чтобы добиться успеха в обнаружении. Red Team играет ключевую роль в помощи Blue Team в процессе улучшения их процессов и обнаружения киберугроз.