Kõik häkkerid pole halvad uudised! Punase meeskonna häkkerid üritavad teie andmetele siseneda, kuid altruistlikel eesmärkidel...
Red teaming on arvutivõrkude, rakenduste ja süsteemide testimine, ründamine ja tungimine. Punased meeskonnaliikmed on eetilised häkkerid, kelle organisatsioonid on palganud oma turbearhitektuuri testimiseks. Punase meeskonna lõppeesmärk on leida ja mõnikord esile kutsuda arvutis probleeme ja turvaauke ning neid ära kasutada.
Miks on punane meeskond oluline?
Organisatsiooni jaoks, mis peab kaitsma tundlikke andmeid ja süsteeme, hõlmab punane meeskonnatöö palkamist küberturvalisuse operaatorid, et testida, rünnata ja tungida selle turvaarhitektuuri enne pahatahtlikku häkkerid teevad. Rünnaku simuleerimiseks mõeldud sõprusmängude korraldamise hind on eksponentsiaalselt väiksem kui ründajatel.
Niisiis, punased meeskonnad mängivad sisuliselt väliste häkkerite rolli; ainult nende kavatsused ei ole pahatahtlikud. Selle asemel kasutavad operaatorid turvaaukude leidmiseks ja ärakasutamiseks häkkimise nippe, tööriistu ja tehnikaid. Samuti dokumenteerivad nad protsessi, et ettevõte saaks saadud õppetunde kasutada oma üldise turbearhitektuuri parandamiseks.
Punane meeskond on oluline, sest saladustega ettevõtted (ja isegi üksikisikud) ei saa lubada vastastel kuningriigi võtmeid hankida. Vähemalt võib rikkumine kaasa tuua tulude kaotuse, vastavusasutuste trahvid, klientide usalduse kaotuse ja avalikkuse piinlikkuse. Halvimal juhul võib võistlev rikkumine põhjustada pankrotti, ettevõtte pöördumatut kokkuvarisemist ja identiteedivargus, mis mõjutab miljoneid kliente.
Mis on punase meeskonna näide?
Punane meeskond on väga stsenaariumikeskne. Näiteks muusikaproduktsioonifirma võib palgata punase meeskonna operaatoreid lekete ärahoidmise kaitsemeetmete testimiseks. Operaatorid koostavad stsenaariume, mis hõlmavad inimesi, kellel on juurdepääs artistide intellektuaalomandit sisaldavatele andmedraividele.
Selle stsenaariumi eesmärk võib olla testida ründeid, mis on nende failide juurdepääsuõigusi kõige tõhusamad ohustavad. Teine eesmärk võib olla testida, kui kergesti saab ründaja ühest sisenemispunktist külgsuunas liikuda ja varastatud põhisalvestistest välja filtreerida.
Mis on punase meeskonna eesmärgid?
Punane meeskond püüab leida ja ära kasutada võimalikult palju turvaauke lühikese aja jooksul, ilma et ta vahele jääks. Kuigi küberturvalisuse tegelikud eesmärgid on organisatsiooniti erinevad, on punastel meeskondadel üldiselt järgmised eesmärgid:
- Modelleerige reaalseid ohte.
- Tuvastage võrgu ja tarkvara nõrkused.
- Määrake valdkonnad, mida parandada.
- Hinnake turvaprotokollide tõhusust.
Kuidas Red Teaming töötab?
Punane meeskonnatöö algab siis, kui ettevõte (või üksikisik) palkab küberturvalisuse operaatorid, et testida ja hinnata nende kaitsemehhanisme. Pärast tööle võtmist läbib töö neli kaasamisetappi: planeerimine, teostamine, desinfitseerimine ja aruandlus.
Planeerimise etapp
Planeerimisetapis määratlevad klient ja punane meeskond kaasamise eesmärgid ja ulatuse. Siin määratlevad nad lubatud sihtmärgid (ja ka harjutusest välja jäetud varad), keskkonna (füüsilise ja digitaalse), kaasamise kestuse, kulud ja muu logistika. Mõlemad pooled loovad ka kaasamise reeglid, mis juhivad harjutust.
Täitmise etapp
Täitmisetapis kasutavad punase meeskonna operaatorid turvaaukude leidmiseks ja ärakasutamiseks kõik endast oleneva. Nad peavad seda tegema varjatult ja vältima oma sihtmärkide olemasolevate vastumeetmete või turvaprotokollide vahelejäämist. Punased meeskonnaliikmed kasutavad võistleva taktika, tehnika ja ühiste teadmiste maatriksis (ATT&CK) erinevaid taktikaid.
ATT&CK maatriks hõlmab ka raamistikke, mida ründajad kasutavad turvaarhitektuuridele juurde pääsemiseks, nende püsimiseks ja nende kaudu liikumiseks kuidas nad andmeid koguvad ja sidet ohustatud arhitektuuriga pärast a rünnak.
Mõned tehnikad, mida nad võivad kasutada hõlmavad wardriving rünnakuid, sotsiaalne manipuleerimine, andmepüük, võrgu nuusutamine, volikirjade kustutamine, ja pordi skaneerimine.
Desinfitseerimise etapp
See on puhastusperiood. Siin seovad punase meeskonna operaatorid lahtised otsad kinni ja kustutavad oma rünnaku jäljed. Näiteks võib teatud kataloogidele juurdepääs jätta logid ja metaandmed. Punase meeskonna eesmärk desinfitseerimisetapis on need logid kustutada ja metaandmeid puhastada.
Lisaks tühistavad nad ka täitmisetapis turbearhitektuuris tehtud muudatused. See hõlmab turvakontrolli lähtestamist, juurdepääsuõiguste tühistamist, möödasõitude või tagauste sulgemist, pahavara eemaldamist ja failide või skriptide muudatuste taastamist.
Kunst jäljendab sageli elu. Desinfitseerimine on oluline, sest punase meeskonna operaatorid soovivad vältida tee sillutamist pahatahtlikele häkkeritele enne, kui kaitsemeeskond saab asju parandada.
Aruandluse etapp
Selles etapis koostab punane meeskond dokumendi, mis kirjeldab nende tegevust ja tulemusi. Aruanne sisaldab lisaks tähelepanekuid, empiirilisi leide ja soovitusi haavatavuste parandamiseks. See võib sisaldada ka juhiseid kasutatud arhitektuuri ja protokollide turvamiseks.
Punase meeskonna aruannete vorming järgib tavaliselt malli. Enamik aruandeid kirjeldab kaasamise eesmärke, ulatust ja reegleid; toimingute ja tulemuste logid; tulemused; tingimused, mis need tulemused võimalikuks tegid; ja rünnaku skeem. Tavaliselt on olemas jaotis volitatud sihtmärkide ja turbevarade turvariskide hindamiseks.
Mis saab pärast punast meeskonda?
Ettevõtted palkavad sageli punaseid meeskondi, et testida turvasüsteeme kindlaksmääratud ulatuse või stsenaariumi piires. Pärast punase meeskonna kaasamist kasutab kaitsemeeskond (st sinine meeskond) saadud õppetunde, et parandada oma turvavõimet teadaolevate ja nullpäevaohtude vastu. Kuid ründajad ei oota. Arvestades küberturvalisuse muutuvat olukorda ja kiiresti arenevaid ohte, ei ole turbearhitektuuri testimise ja täiustamise töö kunagi päriselt lõppenud.