Niso vsi hekerji slaba novica! Hekerji rdeče ekipe bodo poskušali pridobiti dostop do vaših podatkov, vendar iz altruističnih razlogov ...
Red teaming je dejanje testiranja, napadov in prodiranja v računalniška omrežja, aplikacije in sisteme. Red teamers so etični hekerji, ki jih najamejo organizacije, da preizkusijo svojo varnostno arhitekturo. Končni cilj rdeče ekipe je najti – in včasih sprožiti – težave in ranljivosti v računalniku ter jih izkoristiti.
Zakaj je Red Teaming pomemben?
Za organizacijo, ki mora zaščititi občutljive podatke in sisteme, red teaming vključuje zaposlovanje operaterje kibernetske varnosti, da preizkusijo, napadejo in prodrejo v njegovo varnostno arhitekturo, preden zlonamerni hekerji. Primerjalni stroški pridobivanja prijateljskih iger za simulacijo napada so eksponentno nižji, kot če bi to storili napadalci.
Torej, rdeči teamers v bistvu igrajo vlogo zunanjih hekerjev; le njihovi nameni niso zlonamerni. Namesto tega operaterji uporabljajo hekerske trike, orodja in tehnike za iskanje in izkoriščanje ranljivosti. Prav tako dokumentirajo proces, tako da lahko podjetje pridobljene izkušnje uporabi za izboljšanje svoje splošne varnostne arhitekture.
Rdeče združevanje je pomembno, ker si podjetja (in celo posamezniki) s skrivnostmi ne morejo privoščiti, da bi nasprotniki dobili ključe kraljestva. Vsaj kršitev bi lahko povzročila izgubo prihodkov, globe agencij za skladnost, izgubo zaupanja strank in javno sramoto. V najslabšem primeru bi kontradiktorna kršitev lahko povzročila stečaj, nepopravljiv propad družbe in kraja identitete, ki prizadene milijone strank.
Kaj je primer rdečega združevanja?
Red teaming je močno osredotočen na scenarij. Na primer glasbeno produkcijsko podjetje lahko najame operaterje rdeče ekipe za testiranje zaščitnih ukrepov za preprečevanje puščanja. Operaterji oblikujejo scenarije, ki vključujejo ljudi, ki imajo dostop do podatkovnih pogonov, ki vsebujejo umetničino intelektualno lastnino.
Cilj v tem scenariju je lahko preizkusiti napade, ki so najbolj učinkoviti pri ogrožanju pravic dostopa do teh datotek. Drug cilj bi lahko bil preizkusiti, kako enostavno se lahko napadalec bočno premakne z ene vstopne točke in izloči ukradene glavne posnetke.
Kakšni so cilji rdeče ekipe?
Rdeča ekipa si prizadeva poiskati in izkoristiti čim več ranljivosti v kratkem času, ne da bi jih ujeli. Medtem ko se dejanski cilji vaje kibernetske varnosti med organizacijami razlikujejo, imajo rdeče ekipe na splošno naslednje cilje:
- Modelirajte grožnje iz resničnega sveta.
- Ugotovite slabosti omrežja in programske opreme.
- Določite področja, ki jih je treba izboljšati.
- Ocenite učinkovitost varnostnih protokolov.
Kako deluje Red Teaming?
Red teaming se začne, ko podjetje (ali posameznik) najame operaterje kibernetske varnosti, da preizkusijo in ocenijo njihovo obrambo. Po zaposlitvi gre delo skozi štiri faze sodelovanja: načrtovanje, izvedba, sanacija in poročanje.
Faza načrtovanja
V fazi načrtovanja naročnik in rdeča ekipa določita cilje in obseg angažiranja. Tu definirajo avtorizirane cilje (kot tudi sredstva, izključena iz vaje), okolje (fizično in digitalno), trajanje angažiranja, stroške in drugo logistiko. Obe strani oblikujeta tudi pravila sodelovanja, ki bodo vodila vajo.
Faza izvedbe
Operaterji rdeče ekipe uporabljajo vse, kar lahko, da bi našli in izkoristili ranljivosti v fazi izvajanja. To morajo storiti prikrito in preprečiti, da bi jih ujeli obstoječi protiukrepi ali varnostni protokoli njihovih tarč. Rdeči ekipi uporabljajo različne taktike v matriki Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK).
Matrika ATT&CK vključuje tudi okvire, ki jih napadalci uporabljajo za dostop, vztrajanje in premikanje po varnostnih arhitekturah kako zbirajo podatke in vzdržujejo komunikacijo z ogroženo arhitekturo po an napad.
Nekatere tehnike, ki jih lahko uporabijo vključujejo napade z vožnjami, socialni inženiring, lažno predstavljanje, vohanje omrežja, odlaganje poverilnic, in skeniranje vrat.
Stopnja sanacije
To je obdobje čiščenja. Tukaj operaterji rdeče ekipe zvežejo proste konce in izbrišejo sledi svojega napada. Na primer, dostop do določenih imenikov lahko pusti dnevnike in metapodatke. Cilj rdeče ekipe v fazi saniranja je počistiti te dnevnike in počistite metapodatke.
Poleg tega razveljavijo tudi spremembe, ki so jih naredili v varnostni arhitekturi med fazo izvajanja. To vključuje ponastavitev varnostnih kontrol, preklic privilegijev dostopa, zapiranje obvodov ali stranskih vrat, odstranjevanje zlonamerne programske opreme in obnavljanje sprememb v datotekah ali skriptih.
Umetnost pogosto posnema življenje. Sanacija je pomembna, ker se operaterji rdeče ekipe želijo izogniti tlakovanju ceste za zlonamerne hekerje, preden lahko obrambna ekipa popravi stvari.
Faza poročanja
V tej fazi rdeča ekipa pripravi dokument, ki opisuje svoja dejanja in rezultate. Poročilo nadalje vključuje opažanja, empirične ugotovitve in priporočila za popravljanje ranljivosti. Vsebuje lahko tudi direktive za zaščito zlorabljene arhitekture in protokolov.
Oblika poročil rdeče ekipe običajno sledi predlogi. Večina poročil opisuje cilje, obseg in pravila sodelovanja; dnevniki dejanj in rezultatov; rezultati; pogoji, ki so te rezultate omogočili; in diagram napada. Običajno obstaja razdelek za ocenjevanje varnostnih tveganj pooblaščenih ciljev in varnostnih sredstev.
Kaj sledi po rdeči ekipi?
Korporacije pogosto najamejo rdeče ekipe za bojno testiranje varnostnih sistemov v okviru določenega obsega ali scenarija. Po angažmaju rdeče ekipe obrambna ekipa (tj. modra ekipa) uporabi pridobljene izkušnje za izboljšanje svojih varnostnih zmogljivosti pred znanimi grožnjami in grožnjami ničtega dne. Toda napadalci ne čakajo. Glede na spreminjajoče se stanje kibernetske varnosti in hitro razvijajoče se grožnje delo testiranja in izboljšanja varnostne arhitekture ni nikoli zares končano.
