Nu toți hackerii sunt vești proaste! Hackerii echipei roșii vor încerca să obțină acces la datele tale, dar în scopuri altruiste...
Red Teaming este actul de a testa, ataca și pătrunde în rețele, aplicații și sisteme de computere. Red Teamers sunt hackeri etici angajați de organizații pentru a-și testa arhitectura de securitate. Scopul final al echipei roșii este să găsească – și uneori să inducă – probleme și vulnerabilități într-un computer și să le exploateze.
De ce este importantă echipă roșie?
Pentru o organizație care trebuie să protejeze datele și sistemele sensibile, formarea în echipă roșie implică angajare operatorii de securitate cibernetică să testeze, să atace și să pătrundă arhitectura sa de securitate înainte de a fi rău intenționat hackerii fac. Costul comparativ al obținerii de partide amicale pentru a simula un atac este exponențial mai mic decât în cazul atacatorilor.
Deci, echipele roșii joacă în esență rolul hackerilor din afara; numai că intențiile lor nu sunt răuvoitoare. În schimb, operatorii folosesc trucuri, instrumente și tehnici de hacking pentru a găsi și exploata vulnerabilitățile. De asemenea, documentează procesul, astfel încât compania să poată folosi lecțiile învățate pentru a-și îmbunătăți arhitectura generală de securitate.
Echipa roșie este importantă pentru că companiile (și chiar indivizii) cu secrete nu își pot permite să lase adversarii să obțină cheile regatului. Cel puțin, o încălcare ar putea duce la pierderi de venituri, amenzi de la agențiile de conformitate, pierderea încrederii clienților și jena publică. În cel mai rău caz, o încălcare contradictorie ar putea duce la faliment, prăbușirea irecuperabilă a unei corporații și furtul de identitate care afectează milioane de clienți.
Ce este un exemplu de echipă roșie?
Echipa roșie este foarte concentrată pe scenarii. De exemplu, o companie de producție muzicală poate angaja operatori de echipa rosie pentru a testa măsurile de protecție pentru prevenirea scurgerilor. Operatorii creează scenarii care implică oameni care au acces la unități de date care conțin proprietatea intelectuală a artiștilor.
Un obiectiv în acest scenariu poate fi testarea atacurilor care sunt cele mai eficiente în compromiterea privilegiilor de acces la acele fișiere. Un alt obiectiv ar putea fi acela de a testa cât de ușor se poate mișca un atacator lateral dintr-un punct de intrare și să exfiltreze înregistrările master furate.
Care sunt obiectivele echipei Roșii?
Echipa roșie își propune să găsească și să exploateze cât mai multe vulnerabilități într-un timp scurt, fără a fi prins. În timp ce obiectivele reale ale unui exercițiu de securitate cibernetică vor varia între organizații, echipele roșii au, în general, următoarele obiective:
- Modelați amenințările din lumea reală.
- Identificați punctele slabe ale rețelei și ale software-ului.
- Identificați zonele de îmbunătățit.
- Evaluați eficacitatea protocoalelor de securitate.
Cum funcționează Red Teaming?
Echipa roșie începe atunci când o companie (sau individ) angajează operatori de securitate cibernetică pentru a-și testa și evalua apărarea. Odată angajat, postul trece prin patru etape de implicare: planificare, execuție, igienizare și raportare.
Etapa de planificare
În etapa de planificare, clientul și echipa roșie definesc obiectivele și domeniul de aplicare. Aici definesc obiectivele autorizate (precum și activele excluse din exercițiu), mediul (fizic și digital), durata angajării, costurile și alte elemente logistice. Ambele părți creează, de asemenea, regulile de angajare care vor ghida exercițiul.
Etapa de execuție
Etapa de execuție este cea în care operatorii echipei roșii folosesc tot ce pot pentru a găsi și exploata vulnerabilitățile. Ei trebuie să facă acest lucru pe ascuns și să evite să fie opriți de contramăsurile sau protocoalele de securitate existente ale țintelor lor. Echipele roșii folosesc diverse tactici în matricea Tactici adverse, tehnici și cunoștințe comune (ATT&CK).
Matricea ATT&CK include cadrele pe care atacatorii le folosesc pentru a accesa, a persista și a trece prin arhitecturile de securitate cum colectează date și mențin comunicarea cu arhitectura compromisă în urma unui atac.
Unele tehnici pe care le pot folosi includ atacuri wardriving, inginerie socială, phishing, sniffing în rețea, dumping de acreditări, și scanarea portului.
Etapa de igienizare
Aceasta este perioada de curățare. Aici, operatorii echipei roșii leagă capete libere și șterg urmele atacului lor. De exemplu, accesarea anumitor directoare poate lăsa jurnale și metadate. Scopul echipei roșii în etapa de igienizare este de a șterge aceste jurnalele și scrub metadate.
În plus, anulează și modificările pe care le-au făcut asupra arhitecturii de securitate în timpul etapei de execuție. Aceasta include resetarea controalelor de securitate, revocarea privilegiilor de acces, închiderea ocolirilor sau ușilor din spate, eliminarea programelor malware și restabilirea modificărilor la fișiere sau scripturi.
Arta imită adesea viața. Igienizarea este importantă, deoarece operatorii echipei roșii vor să evite pavarea drumului pentru hackeri rău intenționați înainte ca echipa de apărare să repare lucrurile.
Etapa de raportare
În această etapă, echipa roșie pregătește un document care descrie acțiunile și rezultatele lor. Raportul include în plus observații, constatări empirice și recomandări pentru corectarea vulnerabilităților. De asemenea, poate conține directive pentru securizarea arhitecturii și protocoalelor exploatate.
Formatul rapoartelor echipei roșii urmează de obicei un șablon. Majoritatea rapoartelor conturează obiectivele, domeniul de aplicare și regulile de angajament; jurnalele de acțiuni și rezultate; rezultate; condițiile care au făcut posibile aceste rezultate; și diagrama atacului. De obicei, există o secțiune pentru evaluarea riscurilor de securitate ale țintelor autorizate și ale activelor de securitate.
Ce urmează după echipa roșie?
Corporațiile angajează adesea echipe roșii pentru a testa sistemele de securitate într-un domeniu sau un scenariu definit. După o angajare a echipei roșii, echipa de apărare (adică echipa albastră) folosește lecțiile învățate pentru a-și îmbunătăți capacitățile de securitate împotriva amenințărilor cunoscute și zero-day. Dar atacatorii nu așteaptă. Având în vedere starea în schimbare a securității cibernetice și amenințările care evoluează rapid, munca de testare și îmbunătățire a arhitecturii de securitate nu este niciodată încheiată cu adevărat.
