Нису сви хакери лоша вест! Хакери црвеног тима ће покушати да уђу у ваше податке, али у алтруистичке сврхе...
Црвени тим је чин тестирања, напада и продирања у рачунарске мреже, апликације и системе. Црвени тимови су етички хакери које организације ангажују да тестирају своју безбедносну архитектуру. Крајњи циљ црвеног тима је да пронађе—и понекад изазове—проблеме и рањивости у рачунару и да их искористи.
Зашто је црвени тим важан?
За организацију која треба да заштити осетљиве податке и системе, црвени тим подразумева запошљавање оператере сајбер безбедности да тестирају, нападну и продру у његову безбедносну архитектуру пре него што су злонамерни хакери раде. Упоредни трошак вођења пријатељских утакмица за симулацију напада је експоненцијално мањи него ако то чине нападачи.
Дакле, црвени тимови у суштини играју улогу спољних хакера; само њихове намере нису злонамерне. Уместо тога, оператери користе хакерске трикове, алате и технике да пронађу и искористе рањивости. Они такође документују процес, тако да компанија може да искористи научене лекције да побољша своју целокупну безбедносну архитектуру.
Црвени тим је важан јер компаније (па чак и појединци) са тајнама не могу себи приуштити да дозволе противницима да добију кључеве краљевства. У најмању руку, кршење може довести до губитка прихода, новчаних казни од агенција за поштовање прописа, губитка поверења клијената и срамоте јавности. У најгорем случају, контрадикторно кршење може довести до банкрота, непоправљивог колапса корпорације и крађа идентитета која утиче на милионе купаца.
Шта је пример црвеног тима?
Црвени тим је веома фокусиран на сценарио. На пример, компанија за производњу музике може ангажовати оператере црвеног тима да се тестирају заштитне мере за спречавање цурења. Оператери креирају сценарије који укључују људе који имају приступ дисковима података који садрже интелектуалну својину уметника.
Циљ у овом сценарију може бити тестирање напада који су најефикаснији у компромитовању привилегија приступа тим датотекама. Други циљ би могао бити да се тестира колико лако нападач може да се креће бочно са једне улазне тачке и ексфилтрира украдене главне снимке.
Који су циљеви Црвеног тима?
Црвени тим покушава да пронађе и искористи што је могуће више рањивости за кратко време, а да не буде ухваћен. Док ће се стварни циљеви у вежби сајбер безбедности разликовати од организације, црвени тимови генерално имају следеће циљеве:
- Моделирајте претње из стварног света.
- Идентификујте слабости мреже и софтвера.
- Идентификујте области које треба побољшати.
- Оцените ефикасност безбедносних протокола.
Како функционише Ред Теаминг?
Црвени тим почиње када компанија (или појединац) ангажује оператере за сајбер безбедност да тестирају и процене њихову одбрану. Када се запосли, посао пролази кроз четири фазе ангажовања: планирање, извршење, санација и извештавање.
Фаза планирања
У фази планирања, клијент и црвени тим дефинишу циљеве и обим ангажовања. Овде дефинишу овлашћене циљеве (као и средства искључена из вежбе), окружење (физичко и дигитално), трајање ангажовања, трошкове и другу логистику. Обе стране такође креирају правила ангажовања која ће водити вежбу.
Фаза извршења
Фаза извршења је у којој оператери црвеног тима користе све што могу да пронађу и искористе рањивости. Они то морају да ураде тајно и да избегну да буду ухваћени постојећим противмерама или безбедносним протоколима својих мета. Црвени тимови користе различите тактике у матрици Адверсариал Тацтицс, Тецхникуес и Цоммон Кновледге (АТТ&ЦК).
АТТ&ЦК матрица укључује и оквире које нападачи користе да приступе, истрају и крећу се кроз безбедносне архитектуре, такође како прикупљају податке и одржавају комуникацију са компромитованом архитектуром која следи напад.
Неке технике које могу користити укључују нападе забране, друштвени инжењеринг, пхисхинг, њушкање мреже, одбацивање акредитива, и скенирање портова.
Фаза дезинфекције
Ово је период чишћења. Овде, црвени тимски оператери везују лабаве крајеве и бришу трагове свог напада. На пример, приступ одређеним директоријумима може оставити евиденције и метаподатке. Циљ црвеног тима у фази санације је да очисти ове дневнике и очистите метаподатке.
Поред тога, они такође поништавају промене које су направили у безбедносној архитектури током фазе извршења. То укључује ресетовање безбедносних контрола, укидање привилегија приступа, затварање бајпаса или бацкдоор-а, уклањање малвера и враћање промена у датотеке или скрипте.
Уметност често имитира живот. Санитизација је важна јер оператери црвеног тима желе да избегну асфалтирање пута злонамерним хакерима пре него што тим одбране може да закрпи ствари.
Фаза извештавања
У овој фази, црвени тим припрема документ који описује њихове акције и резултате. Извештај даље укључује запажања, емпиријске налазе и препоруке за закрпе рањивости. Такође може да садржи директиве за обезбеђивање искоришћене архитектуре и протокола.
Формат извештаја црвеног тима обично следи шаблон. Већина извештаја наводи циљеве, обим и правила ангажовања; евиденције акција и резултата; исходи; услови који су омогућили те исходе; и дијаграм напада. Обично постоји одељак за оцењивање безбедносних ризика овлашћених мета и безбедносних средстава.
Шта следи после Црвеног тима?
Корпорације често ангажују црвене тимове да тестирају безбедносне системе у оквиру дефинисаног обима или сценарија. Након ангажовања црвеног тима, тим одбране (тј. плави тим) користи научене лекције да побољша своје безбедносне способности против познатих претњи и претњи нултог дана. Али нападачи не чекају. С обзиром на променљиво стање сајбер безбедности и претње које се брзо развијају, посао тестирања и побољшања безбедносне архитектуре никада није заиста завршен.