Імітація кібератаки: як перевірити захищеність своєї компанії

Що таке Red Team

На початку варто сказати, що головна мета Red Team — поліпшити роботу Blue Team, зрозуміти, як в умовах атаки команда приймає рішення і використовує наявні кошти.

Red Team — в більшості випадків найнята команда експертів, перед якою стоїть завдання імітувати дії кіберзлочинців і працювати приховано, щоб атака відбувалася так, як ніби її проводить справжній зловмисник.

Blue Team — це служба безпеки на стороні замовника, яка повинна зрозуміти, що компанію атакують, і захистити її.

Найчастіше, Blue Team — це внутрішній SOC або SOC на аутсорсе, які займаються моніторингом та забезпеченням безпеки ІТ-інфраструктури.

Проведення таких киберучений дозволяють закрити відразу кілька завдань:

тестування готовності ІБ-співробітників до реальних загроз, перевірка їх здатності виявити потенційно небезпечну активність за звичними процесами;

перевірка ефективності використання самого комплексу ІБ-рішень;

надання рекомендації щодо поліпшення процесу забезпечення ІБ після завершення заходів.

Як працює Red Team

У замовника повинна бути конкретна мета. Наприклад, обійти мережеву захист периметра компанії. Під неї створюється робоча група, що включає фахівців з боку клієнта і організаторів киберучений. Вони визначають строки, способи та критерії досягнення мети (найчастіше — обмежень на технічні роботи).

Потім Red Team проводить розвідку компанії, прямо як потенційний зловмисник. Вона продумує комплекс дій та сценарії проведення атаки, які потім обов’язково погоджує з замовником.

З дозволу клієнта Red Team може використовувати навіть такі методи, які здатні викликати порушення в роботі ІТ-інфраструктури (наприклад, проведення контрольованої DoS-атаки на ресурс).

В результаті «Червона команда» реалізує сценарій, який може тривати кілька місяців, до тих пір, поки вона досягне або не досягне поставленої мети. Наприклад, під час обходу мережевого захисту периметра організації, Red Team могла б застосувати такі дії.

Подолання периметра і просування всередину інфраструктури.

Мережеві перевірки:

експлуатація вразливостей мережевих сервісів;

експлуатація вразливостей web-сервісів.

Соціально-технічні роботи:

фішингові розсилки з отриманням облікових даних;

фішингові розсилки для запуску виконуваного файлу на робочому пристрої;

розкидання флеш-носіїв на території організації або біля КПП з виконуваними файлами;

прозвон співробітників замовників та подання іншим співробітником.

Атакуючий — всередині локально-обчислювальної мережі, перевірка горизонтального і вертикального просування.

Атакуючий має доступну мережеву розетку в один з мережних сегментів;

атакуючий має скомпрометовану робочу станцію з користувальницьким доступом.

Пошук доступних бездротових мереж і спроба підключення до них.

Спроби фізичного проникнення в контрольовану зону.

«Червона команда» діє так, щоб атака не була виявлена максимально довго. В ідеалі Blue Team повинна засікти небезпечне діяння, проаналізувати відбулися за останній час події і зрозуміти, що це не помилкове спрацьовування, а цілий сценарій, який може завдати значної шкоди компанії.

За підсумками кампанії Red Team надає звіт про кібератаки, задіяних засобах, а також аналіз сильних і слабких сторін в захисті компанії і свої докладні рекомендації.

На цій основі замовник зможе удосконалювати роботу своєї ІБ-команди. І ось тут є підводний камінь: робота за звітом. Найчастіше при необхідності проведення якихось робіт з вже налагодженою системою у фахівців виникають труднощі, з якими можуть допомогти учасники Red Team.

Коли ж справа доходить до удосконалення процесу реагування на інциденти питань стає ще більше. Тоді на допомогу приходить сполучна ланка між командами — Purple Team. Це співробітник, чиє завдання — забезпечити легке взаємодія між Blue Team і Red Team на етапі роботи за рекомендаціями.

Чому не можна плутати Red Team з пентестом

Часто під виглядом нової, швидко набирає популярності технології Red Team клієнту на його запити можуть запропонувати дуже схожий, на перший погляд, продукт — пентест (тестування на проникнення). Але компаніям потрібно розуміти різницю між цими інструментами:

вартість;

призначення.

Безумовно, важко тримати в голові технологічні особливості кожного рішення, коли на ринку так багато пропозицій, і при цьому пам’ятати про вихід новинок.

Тому, щоб не зіткнутися з наслідками послуг від недобросовісних сервіс-провайдерів, компанія повинна чітко розуміти, для чого їм необхідний той чи інший інструмент:

щоб перевірити здатність своїх співробітників виявити приховану цілеспрямовану атаку;

щоб оцінити рівень захищеності ІТ-інфраструктури і застосовувані засоби захисту інформації.

Головна відмінність пентеста — про його проведення ІБ-служба знає заздалегідь. Крім того, цей інструмент відчуває саме технічну частину — IT-інфраструктуру і засоби захисту у всьому своєму різноманітті.

RedTeaming в свою чергу може задовольнятися лише однією вразливістю, що дозволяє досягти мети. Також за допомогою цього інструменту виявляються креативні підходи співробітників і процеси реагування у разі кібератаки.

Важливо розуміти, наскільки грамотно фахівці зможуть себе реалізувати в умовах кризової ситуації. Такі тренування дозволять організації в перспективі «наростити м’язи» і бути готовим до реальних атак. Однак при проведенні тренувань вузьким горлечком залишається взаємодія Red Team і Blue Team.

Тому при організації робіт по RedTeaming потрібно заздалегідь продумувати формат взаємодії і визначити, як буде проходити робота над помилками. Ці дві команди працюють на одній стороні і результатом спільної роботи має стати більш високий рівень захищеності, ніж був раніше.

Реклама