Ne visi įsilaužėliai yra blogos naujienos! Raudonosios komandos įsilaužėliai bandys patekti į jūsų duomenis, tačiau altruistiniais tikslais...
Red teaming yra bandymas, ataka ir įsiskverbimas į kompiuterių tinklus, programas ir sistemas. Raudonieji komandos nariai yra etiški įsilaužėliai, kuriuos samdo organizacijos, kad išbandytų savo saugumo architektūrą. Galutinis raudonosios komandos tikslas yra surasti ir kartais sukelti kompiuterio problemas bei pažeidžiamumą ir jas išnaudoti.
Kodėl Raudonoji komanda yra svarbi?
Organizacijai, kuriai reikia apsaugoti neskelbtinus duomenis ir sistemas, „raudonųjų komandų sudarymas“ apima samdymą kibernetinio saugumo operatoriams išbandyti, atakuoti ir įsiskverbti į jos saugos architektūrą prieš kenkėjiškus tai daro įsilaužėliai. Palyginamoji kaina už draugiškas rungtynes imituojant ataką yra eksponentiškai mažesnė nei užpuolikams.
Taigi raudonieji komandos nariai iš esmės atlieka išorinių įsilaužėlių vaidmenį; tik jų ketinimai nėra piktybiniai. Vietoj to, operatoriai naudoja įsilaužimo gudrybes, įrankius ir metodus, kad surastų ir išnaudotų pažeidžiamumą. Jie taip pat dokumentuoja procesą, todėl įmonė gali panaudoti įgytas pamokas, kad pagerintų savo bendrą saugos architektūrą.
Raudonoji komanda yra svarbi, nes įmonės (ir net asmenys), turinčios paslapčių, negali sau leisti leisti priešininkams gauti karalystės raktų. Pažeidimas gali sukelti bent jau pajamų praradimą, baudas iš atitikties agentūrų, klientų pasitikėjimo praradimą ir visuomenės gėdą. Blogiausiu atveju priešpriešinis pažeidimas gali baigtis bankrotu, nepataisoma korporacijos žlugimu ir tapatybės vagystės, paveikiančios milijonus klientų.
Kas yra raudonosios komandos pavyzdys?
Raudonoji komanda yra labai orientuota į scenarijus. Pavyzdžiui, muzikos gamybos įmonė gali samdyti raudonosios komandos operatorius išbandyti apsaugos priemones, apsaugančias nuo nuotėkio. Operatoriai kuria scenarijus, kuriuose dalyvauja žmonės, turintys prieigą prie duomenų diskų, kuriuose yra menininkų intelektinės nuosavybės.
Šio scenarijaus tikslas gali būti išbandyti atakas, kurios efektyviausiai pažeidžia prieigos prie tų failų teises. Kitas tikslas gali būti patikrinti, kaip lengvai užpuolikas gali judėti į šoną iš vieno įėjimo taško ir išfiltruoti pavogtus pagrindinius įrašus.
Kokie yra Raudonosios komandos tikslai?
Raudonoji komanda imasi per trumpą laiką surasti ir išnaudoti kuo daugiau pažeidžiamumų, nepakliūdama. Nors tikrieji kibernetinio saugumo pratybų tikslai įvairiose organizacijose skirsis, raudonosios komandos paprastai turi šiuos tikslus:
- Modeliuokite realaus pasaulio grėsmes.
- Nustatykite tinklo ir programinės įrangos trūkumus.
- Nustatykite sritis, kurias reikia tobulinti.
- Įvertinkite saugos protokolų efektyvumą.
Kaip veikia Red Teaming?
Red teaming prasideda tada, kai įmonė (ar asmuo) pasamdo kibernetinio saugumo operatorius, kad jie išbandytų ir įvertintų jų apsaugą. Įdarbintas darbas pereina keturis įtraukimo etapus: planavimą, vykdymą, dezinfekavimą ir ataskaitų teikimą.
Planavimo etapas
Planavimo etape klientas ir raudonoji komanda apibrėžia įsipareigojimo tikslus ir apimtį. Čia jie apibrėžia leistinus tikslus (taip pat turtą, neįtrauktą į pratimą), aplinką (fizinę ir skaitmeninę), veiklos trukmę, išlaidas ir kitą logistiką. Abi pusės taip pat sukuria įsitraukimo taisykles, kuriomis vadovausis pratimas.
Vykdymo etapas
Vykdymo etape raudonosios komandos operatoriai naudoja viską, ką gali, kad surastų ir išnaudotų pažeidžiamumą. Jie turi tai daryti slaptai ir vengti būti sugadinti dėl esamų savo taikinių atsakomųjų priemonių ar saugumo protokolų. Raudonieji komandos nariai naudoja įvairias taktikas priešpriešinės taktikos, metodų ir bendrųjų žinių (ATT&CK) matricoje.
ATT&CK matrica apima sistemas, kurias užpuolikai naudoja norėdami pasiekti, išlikti ir pereiti per saugos architektūras kaip jie renka duomenis ir palaiko ryšį su pažeista architektūra po to puolimas.
Kai kurie metodai, kuriuos jie gali naudoti apima karybos išpuolius, socialinė inžinerija, sukčiavimas, tinklo uostymas, kredencialų išmetimas, ir prievadų nuskaitymas.
Dezinfekavimo etapas
Tai yra valymo laikotarpis. Čia raudonosios komandos operatoriai suriša palaidus galus ir ištrina savo puolimo pėdsakus. Pavyzdžiui, prieiga prie tam tikrų katalogų gali palikti žurnalus ir metaduomenis. Raudonosios komandos tikslas dezinfekavimo etape yra išvalyti šiuos rąstus ir šveisti metaduomenis.
Be to, jie taip pat atšaukia saugos architektūros pakeitimus vykdymo etape. Tai apima saugos valdiklių nustatymą iš naujo, prieigos privilegijų panaikinimą, aplinkkelių arba galinių durų uždarymą, kenkėjiškų programų pašalinimą ir failų ar scenarijų pakeitimų atkūrimą.
Menas dažnai imituoja gyvenimą. Dezinfekavimas yra svarbus, nes raudonųjų komandų operatoriai nori neleisti kelią piktavaliams įsilaužėliams prieš gynybos komandai sutvarkyti reikalus.
Ataskaitų teikimo etapas
Šiame etape raudonoji komanda parengia dokumentą, kuriame aprašomi jų veiksmai ir rezultatai. Ataskaitoje taip pat pateikiami pastebėjimai, empiriniai atradimai ir rekomendacijos dėl pažeidžiamumų pataisymo. Jame taip pat gali būti nurodymų, kaip apsaugoti išnaudotą architektūrą ir protokolus.
Raudonosios komandos ataskaitų formatas paprastai yra pagal šabloną. Daugumoje ataskaitų aprašomi įsipareigojimo tikslai, apimtis ir taisyklės; veiksmų ir rezultatų žurnalai; rezultatai; sąlygos, dėl kurių šie rezultatai buvo įmanomi; ir puolimo schema. Paprastai yra skyrius, skirtas įvertinti įgaliotų objektų ir saugos išteklių saugumo riziką.
Kas bus po Raudonosios komandos?
Korporacijos dažnai samdo raudonąsias komandas kovoti su saugumo sistemomis pagal apibrėžtą sritį arba scenarijų. Po raudonosios komandos įsitraukimo gynybos komanda (t. y. mėlynoji komanda) pasinaudoja įgytomis pamokomis, kad pagerintų savo saugumo galimybes nuo žinomų ir nulinės dienos grėsmių. Tačiau užpuolikai nelaukia. Atsižvelgiant į kintančią kibernetinio saugumo būklę ir sparčiai besivystančias grėsmes, saugumo architektūros testavimo ir tobulinimo darbai niekada nėra baigti.