Red Teaming — это про обучение и подготовку защитников организации к отражению реальной атаки, а также, конечно же, про оценку общего уровня безопасности в компании.
В предыдущий пост мы писали о мифах, сложившихся вокруг Red Teaming. Сегодня мы хотели бы поговорить о том, как правильно его спланировать и какая первоначальная подготовка необходима.
Не стоит недооценивать этот этап – ведь при планировании определяется главное: тип работ, модель злоумышленника, существенные особенности проекта и общий сценарий Red Teaming. 
Виды работ
Красная команда существует во многих различных формах, но существует три основных типа.
- «Кабинетные упражнения» .
Это теоретический поиск без проведения каких-либо активных атак, так сказать, размышления о вечном на тему «что будет если» или, как это официально называется, «штабные киберучения».
Такие упражнения требуют некоторой входной информации: это могут быть предположения, основанные на реальных угрозах, или результаты утилит по сбору разведывательных данных, например Бладхаунд .
Сегодня к этому виду работ имеется весьма нишевый интерес, но он может проявиться и внутри Пурпурной команды, т.е.
во время совместных действий команды нападающих и защитников.
- Военные игры .
Этот тип Red Teaming проводится в искусственной среде тренировочного полигона.
Примером может служить «Противостояние» конференции Positive Hack Days. У таких упражнений есть ряд преимуществ: можно выполнять практически любые действия, не причиняя реального вреда инфраструктуре.
Но есть и недостаток - он заключается в искусственности окружающей среды, а именно в отсутствии живых людей и человеческого фактора, а сами недостатки и уязвимости заложены организаторами и разработчиками такого полигона.
- Атака на инфраструктуру организации .
Это самый популярный вид работы и, на мой взгляд, самый полезный для команды защитников.
Все действия приближены к реальным, и невозможно предугадать, что сделает атакующая команда дальше.
В этом виде работы защитники организации должны продемонстрировать свою способность реагировать и противостоять реальному врагу и, конечно же, получить полезные знания и новый опыт.
Моделирование или имитация
Сообщество «наступательной и оборонительной безопасности» спорит, является ли Red Teaming имитацией или симуляцией.Имитация – это уподобление, подражание кому-то или чему-то.
При моделировании действий злоумышленника Красная команда воспроизводит и повторяет атаки какого-либо злоумышленника, например, APT-группы, причем делает это без импровизации.
Если организация хочет провести имитацию атаки со стороны APT-группы, она сообщает об этом на первой встрече.
Далее Красная команда изучает ТТП (тактику, приемы и процедуры) этой группы (если, конечно, есть такая аналитика) и шаг за шагом «осуществляет» все действия.
Преимущество такой работы в том, что нет необходимости длительной подготовки и планирования: Red Team не будет ничего менять в сценарии и использует те же инструменты и утилиты, что и группа APT. Но большим минусом является то, что IoC (индикаторы компрометации) этой группы уже известны, а значит, сценарий работы необходимо корректировать (например, злоумышленники могут использовать те же утилиты, но изменить тактику, пойти по другим маршрутам).
Если в такой ситуации Красная команда останется незамеченной, то возникает вопрос, почему команда безопасности посмотрела на известные IoC и не настроила системы безопасности для реагирования на такие события.
Моделирование — это воспроизведение атаки так, чтобы все выглядело по-настоящему, но опять же без реального ущерба для организации.
Во время симуляции атакующая команда действует по своему усмотрению, основываясь на собственном опыте работы с Red Teaming или на эффективности самых популярных в мире приемов.
Могут быть использованы собственные разработки или ТТП, которые позволят достичь поставленных целей, независимо от того, какая группа APT их использует. Таким образом, Red Teaming может осуществляться как в форме симуляции (и проверяет готовность команды защиты к обнаружению новых атак и новых ТТП), так и в форме имитации (здесь готовность отразить атаки известных APT-группировок).
проверено).
Выбор зависит от целей и желаний заказчика.
От этого зависит ход выполняемых работ.
Модели злоумышленников
Можно подумать, что модель злоумышленника — это термин из области так называемой бумажной безопасности.Однако для Красной команды это действительно важная информация, потому что.
она влияет на создание сценария.
В Red Teaming есть три модели нарушителей:
- Удаленный – это может быть любой человек или группа людей.
Основная особенность заключается в том, что злоумышленник не имеет легального физического доступа и доступа к внутренним системам и сетям организации, но может действовать по любому сценарию: проникновение через Интернет, использование методов социальной инженерии, попытки получения физического доступа или получить доступ с помощью беспроводных сетей.
- Приблизительный – это может быть сотрудник вспомогательных служб (уборка, охрана, обслуживающий персонал офисного здания).
Основная особенность заключается в том, что злоумышленник имеет легальный физический доступ, но не имеет легального доступа к внутренним системам и сетям.
- Интерьер – сотрудник организации, подвергшийся социальной инженерии или инсайдер, решивший похитить информацию организации.
Внутренним нарушителем могут считаться не только сотрудники организации, но и подрядчики, обладающие определенными полномочиями.
Основная особенность заключается в том, что злоумышленник имеет легальный физический доступ и легальный технический доступ к внутренним системам и сетям.
Сценарии
Сценарии управляют миром Red Teaming. В каком-то смысле сценарий определяется моделью злоумышленника и целью, дающей первоначальный толчок к старту проекта.Можно выделить следующие типы сценариев, различающиеся отправными точками и векторами атак:
- Беспроводные сценарии , в котором в качестве отправной точки принимается модель удаленного или близлежащего злоумышленника, а в качестве вектора атаки — беспроводная сеть.
- Сценарии социальной инженерии , в котором для проникновения используется человеческий фактор.
Фишинговые электронные письма или телефонные звонки могут быть сделаны с целью побудить пользователей выполнить определенные действия, которые позволят злоумышленникам получить начальный уровень доступа к внутренней сети организации.
- Сценарии с использованием физического доступа , которые используют любой физический доступ в качестве отправной точки для работы.
Это может быть, например, проникновение в офис под видом заявителя (и установка там физического «имплантата» для дальнейшего получения доступа к внутренней сети извне или проведение атаки на беспроводные сети).
Но важно помнить, что незаконное проникновение на территорию организации и не согласованное с заказчиком может обернуться массой проблем с правоохранительными органами.
И в этот момент важно, чтобы у оперативника Красной команды были при себе документы, удостоверяющие, что он может осуществлять подобные действия (например, доверенность).
- Полномасштабный сценарий работы – данный тип сценария объединяет все вышеперечисленное и реализуется с использованием сложной модели злоумышленника.
Все начинается с внешнего по отношению к организации злоумышленника, который может собирать данные из открытых источников и искать уязвимости, открывающие пути во внутреннюю сеть.
Большая часть работы в этом сценарии будет выглядеть как обычное тестирование на проникновение.
Но главное отличие состоит в том, что злоумышленники сосредоточатся на глубине, а не на ширине: атакующая группа, обнаружив один способ получить доступ к внутренней сети, будет использовать его как средство для достижения своих целей.
- Такая типология помогает не только разрабатывать сценарии, но и более тщательно планировать саму работу.
Кроме того, реализация уже утвержденного сценария может корректироваться в ходе проекта в зависимости от ситуации и поступления новых данных.
Способность атакующей команды проявлять гибкость имеет решающее значение для Red Teaming.
Это означает, что организация предполагает, что злоумышленник уже успешно выполнил некоторые шаги и может получить доступ к какому-то сегменту внутренней сети, DMZ или сегменту беспроводной сети.
Например, атакующей команде могут быть предоставлены:
- доступ к удаленной машине (предположительно полученный путем запуска «вредоносного» документа, содержащего полезную нагрузку для подключения к командному центру С2);
- пароль для подключения к беспроводной сети;
- рабочее место для имитации действий инсайдера.
Но при таком подходе сохраняется определенное недоверие к атакующей команде, ведь первоначальный доступ к внутренней инфраструктуре был предоставлен организацией и нет никаких доказательств того, что в реальных условиях Красная команда действительно смогла бы получить его самостоятельно.
.
Поэтому особенно важно обсудить и согласовать все эти моменты во время первых совещаний по планированию Red Teaming.
Примеры сценариев
Сценарий для компании-разработчика программного обеспечения Сценарий предполагает, что Красная команда — это группа хакеров из Государства X. Перед группой стоит задача получить доступ и внести изменения в исходный код программного обеспечения, разработанного Организацией Z, с целью получения несанкционированного доступа к компьютерам пользователей этого государства.программное обеспечение и осуществлять наблюдение.
Главный разработчик компании Z — Иван Иванов.
В ходе Red Teaming идет поиск потенциальных векторов атак на компьютер Ивана Иванова, собирается вся информация о нем, данные о сервисах, которыми он пользуется.
Далее «злоумышленники» пытаются проникнуть на его компьютер, чтобы затем скомпрометировать исходный код программного обеспечения.
Банковский сценарий Сценарий основан на предполагаемом взломе с использованием методов социальной инженерии.
«Красная команда» имитирует действия неизвестной группы киберпреступников, рассылающих фишинговые письма компаниям финансового сектора.
Цель злоумышленников — получить доступ к финансовой информации организации и возможности переводить средства на другие счета, а также доступ к данным кредитных карт клиентов.
В ходе предполагаемого взлома сотрудник организации открывает вложение, содержащее исполняемый файл, который дает злоумышленникам доступ к внутренней сети.
Вместо заключения
В целом Red Teaming — очень «креативный» сервис с точки зрения не только сценариев, но и форматов обучения Blue Team и оценки общего уровня безопасности.Однако, повторюсь, все это требует определенной подготовительной работы со стороны заказчика – ведь для составления правильного сценария атаки Красная команда должна понять, какие риски рассматривает организация, и проверить, как на их действия отреагируют защитники.
выполнение.
Например, модель риска может указывать на угрозу со стороны подрядчиков, и тогда необходимо будет не только использовать этот вектор при Red Teaming, но и заранее согласовывать такую работу с самим подрядчиком.
И подобные «рутинные детали», которые необходимо продумать и учесть «на берегу», существуют практически в каждом сценарии.
Поэтому качественная Red Teaming – это всегда совместное достижение заказчика и подрядчика.
Дмитрий Неверов, эксперт по анализу безопасности, Ирина Лескина, руководитель проекта по анализу безопасности, Ростелеком-Солар Теги: #информационная безопасность #пентест #красная команда #синяя команда #киберучения #анализ безопасности #красная команда
-
Как Создать Лучшую Контекстную Рекламу?
19 Oct, 24 -
Лучшие Практики Dns Для Телекоммуникаций
19 Oct, 24 -
Youtube Хочет Оставаться Независимым
19 Oct, 24
