Что такое Red Teaming и как он повышает кибербезопасность?

Red teaming — это акт тестирования, атаки и проникновения в компьютерные сети, приложения и системы. Red teamers — этичные хакеры, нанятые организациями для проверки их архитектуры безопасности. Конечная цель красной команды — найти — а иногда и вызвать — проблемы и уязвимости в компьютере и использовать их.

Почему Red Teaming важен?

Для организации, которой необходимо защищать конфиденциальные данные и системы, Red Teaming предполагает найм операторам кибербезопасности тестировать, атаковать и проникать в ее архитектуру безопасности до того, как злоумышленники хакеры делают. Сравнительная стоимость привлечения товарищеских игроков для имитации атаки экспоненциально меньше, чем если бы это делали атакующие.

Таким образом, красные команды по сути играют роль внешних хакеров; только их намерения не злонамеренны. Вместо этого операторы используют хакерские приемы, инструменты и методы для поиска и использования уязвимостей. Они также документируют процесс, поэтому компания может использовать извлеченные уроки для улучшения своей общей архитектуры безопасности.

Red teaming важен, потому что компании (и даже частные лица), обладающие секретами, не могут позволить противникам получить ключи от королевства. По крайней мере, нарушение может привести к потере доходов, штрафам со стороны агентств по соблюдению требований, потере доверия клиентов и общественному смущению. В худшем случае враждебное нарушение может привести к банкротству, необратимому краху корпорации и кража личных данных, затрагивающая миллионы клиентов.

Что является примером Red Teaming?

Красная команда очень ориентирована на сценарии. Например, музыкальная компания. может нанять операторов красной команды проверить средства защиты от утечек. Операторы разрабатывают сценарии с участием людей, имеющих доступ к дискам с данными, содержащим интеллектуальную собственность артистов.

Целью этого сценария может быть тестирование атак, которые наиболее эффективны для компрометации привилегий доступа к этим файлам. Другая цель может состоять в том, чтобы проверить, насколько легко злоумышленник может выйти из одной точки входа и эксфильтровать украденные мастер-записи.

Каковы цели Красной команды?

Красная команда намеревается найти и использовать как можно больше уязвимостей за короткое время, не будучи пойманным. В то время как фактические цели учений по кибербезопасности будут различаться в зависимости от организации, красные команды обычно имеют следующие цели:

• Смоделируйте реальные угрозы.
• Выявление слабых мест в сети и программном обеспечении.
• Определите области для улучшения.
• Оцените эффективность протоколов безопасности.

Как работает Red Teaming?

Red teaming начинается, когда компания (или частное лицо) нанимает операторов кибербезопасности для тестирования и оценки своей защиты. После приема на работу работа проходит четыре этапа взаимодействия: планирование, выполнение, санация и отчетность.

Этап планирования

На этапе планирования клиент и красная команда определяют цели и масштабы взаимодействия. Именно здесь они определяют утвержденные цели (а также активы, исключенные из учений), среду (физическую и цифровую), продолжительность участия, затраты и другую логистику. Обе стороны также создают правила взаимодействия, которыми будут руководствоваться в учениях.

Этап выполнения

На этапе выполнения операторы красной команды используют все возможное, чтобы найти и использовать уязвимости. Они должны делать это тайно, чтобы не попасть под действие существующих контрмер или протоколов безопасности своих целей. Красные команды используют различные тактики в матрице противоборствующей тактики, методов и общих знаний (ATT&CK).

Матрица ATT&CK включает в себя фреймворки, которые злоумышленники используют для доступа, сохранения и перемещения через архитектуры безопасности, а также как они собирают данные и поддерживают связь со скомпрометированной архитектурой после атака.

Некоторые методы, которые они могут использовать включать направленные атаки, социальная инженерия, фишинг, прослушивание сети, сброс учетных данных, и сканирование портов.

Стадия санитарной обработки

Это период очистки. Здесь операторы красной команды сводят концы с концами и стирают следы своей атаки. Например, при доступе к определенным каталогам могут остаться журналы и метаданные. Цель красной команды на этапе дезинфекции — очистить эти журналы. и очистить метаданные.

Кроме того, они также отменяют изменения, внесенные в архитектуру безопасности на этапе выполнения. Это включает в себя сброс элементов управления безопасностью, отзыв привилегий доступа, закрытие обходных путей или лазеек, удаление вредоносного ПО и восстановление изменений в файлах или сценариях.

Искусство часто имитирует жизнь. Дезинфекция важна, потому что операторы красной команды хотят не прокладывать дорогу злоумышленникам до того, как команда защиты сможет исправить ситуацию.

Этап отчетности

На этом этапе красная команда готовит документ с описанием своих действий и результатов. Отчет также включает наблюдения, эмпирические данные и рекомендации по устранению уязвимостей. Он также может содержать директивы для защиты эксплуатируемой архитектуры и протоколов.

Формат отчетов красной команды обычно следует шаблону. В большинстве отчетов описываются цели, объем и правила взаимодействия; журналы действий и результатов; результаты; условия, которые сделали эти результаты возможными; и схема атаки. Обычно есть раздел для оценки рисков безопасности авторизованных целей и активов безопасности.

Что будет дальше после Красной команды?

Корпорации часто нанимают красные команды для боевого испытания систем безопасности в рамках определенной области или сценария. После столкновения с красной командой команда защиты (то есть синяя команда) использует извлеченные уроки для улучшения своих возможностей защиты от известных угроз и угроз нулевого дня. Но злоумышленники не ждут. Учитывая меняющееся состояние кибербезопасности и быстро развивающиеся угрозы, работа по тестированию и улучшению архитектуры безопасности никогда не заканчивается.