Nem minden hacker rossz hír! A vörös csapat hackerei megpróbálnak bejutni az adataidba, de önzetlen célból...
A red teaming a számítógépes hálózatok, alkalmazások és rendszerek tesztelésének, megtámadásának és behatolásának a tevékenysége. A vörös csapattagok etikus hackerek, akiket szervezetek bérelnek fel, hogy teszteljék biztonsági architektúrájukat. A vörös csapat végső célja, hogy problémákat és sebezhetőségeket találjon – és néha előidézzen – egy számítógépen, és kihasználja azokat.
Miért fontos a Red Teaming?
Egy olyan szervezet számára, amelynek meg kell védenie az érzékeny adatokat és rendszereket, a red teaming magában foglalja a munkaerő felvételét A kiberbiztonsági szolgáltatók tesztelhetik, megtámadhatják és behatolhatnak a biztonsági architektúrába, mielőtt rosszindulatúak a hackerek igen. A támadást szimuláló barátságos mérkőzések összehasonlító költségei exponenciálisan alacsonyabbak, mintha a támadók ezt tennék.
Tehát a vörös csapattagok alapvetően külső hackerek szerepét töltik be; csak a szándékaik nem rosszindulatúak. Ehelyett az üzemeltetők hackelési trükköket, eszközöket és technikákat alkalmaznak a sebezhetőségek megtalálására és kihasználására. A folyamatot dokumentálják is, így a vállalat felhasználhatja a tanulságokat az általános biztonsági architektúra javítására.
A vörös csapatok összefogása azért fontos, mert a titkokkal rendelkező cégek (sőt magánszemélyek) nem engedhetik meg maguknak, hogy az ellenfelek megszerezzék a királyság kulcsait. A jogsértés legalább bevételkiesést, a megfelelőségi ügynökségek pénzbírságát, az ügyfelek bizalmának elvesztését és a nyilvános megszégyenülést eredményezheti. A legrosszabb esetben a kontradiktórius jogsértés csődhöz, egy vállalat helyrehozhatatlan összeomlásához vezethet, és vásárlók millióit érintő személyazonosság-lopás.
Mi a Red Teaming példája?
A Red teaming erősen forgatókönyv-központú. Például egy zenei produkciós cég vörös csapat operátorokat alkalmazhat a szivárgások megelőzésére szolgáló biztosítékok tesztelésére. Az üzemeltetők olyan forgatókönyveket készítenek, amelyekben olyan emberek vesznek részt, akik hozzáférnek a művészek szellemi tulajdonát tartalmazó adatmeghajtókhoz.
Ebben a forgatókönyvben az lehet a cél, hogy teszteljék azokat a támadásokat, amelyek a leghatékonyabban veszélyeztetik az adott fájlok hozzáférési jogosultságait. Egy másik cél lehet annak tesztelése, hogy a támadó milyen könnyen tud oldalirányban elmozdulni az egyik belépési ponttól, és kiszivárogni az ellopott főfelvételekből.
Mik a Vörös Csapat céljai?
A vörös csapat arra törekszik, hogy rövid időn belül minél több sebezhetőséget találjon és aknázzon ki anélkül, hogy elkapják. Míg a kiberbiztonsági gyakorlat tényleges céljai szervezetenként eltérőek, a vörös csapatoknak általában a következő céljaik vannak:
- Modellezze a valós fenyegetéseket.
- Azonosítsa a hálózati és szoftver gyengeségeket.
- Határozza meg a javítandó területeket.
- Értékelje a biztonsági protokollok hatékonyságát.
Hogyan működik a Red Teaming?
A red teaming akkor kezdődik, amikor egy vállalat (vagy magánszemély) kiberbiztonsági üzemeltetőket bérel fel védekezésük tesztelésére és értékelésére. Felvételt követően a munka négy megbízási szakaszon megy keresztül: tervezés, végrehajtás, fertőtlenítés és jelentés.
Tervezési szakasz
A tervezési szakaszban az ügyfél és a vörös csapat határozza meg a célokat és az elkötelezettség körét. Itt határozzák meg az engedélyezett célokat (valamint a gyakorlatból kizárt eszközöket), a környezetet (fizikai és digitális), a megbízás időtartamát, a költségeket és egyéb logisztikát. Mindkét fél megalkotja az elköteleződés szabályait, amelyek irányítják a gyakorlatot.
Végrehajtási szakasz
A végrehajtási szakaszban a vörös csapat operátorai minden tőlük telhetőt felhasználnak a sebezhetőségek felkutatására és kihasználására. Ezt burkoltan kell megtenniük, és el kell kerülniük, hogy célpontjaik meglévő ellenintézkedései vagy biztonsági protokolljai megzavarják őket. A vörös csapattagok különféle taktikákat alkalmaznak az ellenséges taktika, technikák és közös tudás (ATT&CK) mátrixában.
Az ATT&CK mátrix tartalmazza azokat a keretrendszereket is, amelyeket a támadók a biztonsági architektúrák eléréséhez, fennmaradásához és áthaladásához használnak hogyan gyűjtenek adatokat és tartanak fenn kommunikációt a kompromittált architektúrával egy támadás.
Néhány technikát alkalmazhatnak magukban foglalják a wardriving támadásokat, social engineering, adathalászat, hálózati szippantás, hitelesítő adatok kiíratása, és port szkennelés.
Fertőtlenítési szakasz
Ez a takarítás időszaka. Itt a vörös csapat operátorai bekötik a laza végeket, és eltüntetik támadásuk nyomait. Például bizonyos könyvtárak elérésekor naplók és metaadatok maradhatnak. A vörös csapat célja a fertőtlenítés szakaszában az, hogy törölje ezeket a naplókat és súrolja a metaadatokat.
Ezenkívül a biztonsági architektúrán a végrehajtási szakaszban végrehajtott változtatásokat is visszafordítják. Ez magában foglalja a biztonsági ellenőrzések visszaállítását, a hozzáférési jogosultságok visszavonását, a megkerülők vagy hátsó ajtók bezárását, a rosszindulatú programok eltávolítását, valamint a fájlok vagy szkriptek módosításainak visszaállítását.
A művészet gyakran utánozza az életet. A fertőtlenítés azért fontos, mert a vörös csapatok kezelői el akarják kerülni, hogy a rosszindulatú hackerek útját kössék, mielőtt a védelmi csapat helyrehozná a dolgokat.
Jelentéstételi szakasz
Ebben a szakaszban a vörös csapat elkészít egy dokumentumot, amelyben leírja tevékenységeiket és eredményeiket. A jelentés emellett megfigyeléseket, empirikus megállapításokat és ajánlásokat tartalmaz a sebezhetőségek javítására vonatkozóan. Tartalmazhat direktívákat is a kihasznált architektúrák és protokollok védelmére.
A vörös csapat jelentések formátuma általában sablont követ. A legtöbb jelentés felvázolja a kötelezettségvállalás céljait, hatályát és szabályait; cselekvések és eredmények naplói; eredmények; feltételek, amelyek lehetővé tették ezeket az eredményeket; és a támadási diagramot. Általában van egy szakasz az engedélyezett célpontok és biztonsági eszközök biztonsági kockázatainak értékelésére is.
Mi következik a Vörös Csapat után?
A vállalatok gyakran alkalmaznak vörös csapatokat, hogy teszteljék a biztonsági rendszereket egy meghatározott hatókörön vagy forgatókönyvön belül. A vörös csapat szerepvállalását követően a védelmi csapat (azaz a kék csapat) a tanulságokat felhasználva javítja biztonsági képességeit az ismert és nulladik napi fenyegetésekkel szemben. De a támadók nem várakoznak. Tekintettel a kiberbiztonság változó állapotára és a gyorsan fejlődő fenyegetésekre, a biztonsági architektúra tesztelése és fejlesztése soha nem fejeződött be igazán.
