Что такое Red Team

Этические хакеры оценивают уязвимости систем с помощью передовых аналитических средств и инструментов. О кибербезопасности всегда говорили на военном языке. Когда мы говорим о хакерах, пытающихся взломать системы, мы используем такие термины, как "атакующие" и "защитники". Взаимодействие между атакующими и защитниками часто представляется как "битва" или "война" с множеством соответствующих тактик и стратегий. Подробное описание на Википедии.

И в сегодняшнюю эпоху реальная кибервойна стала критической проблемой для правительств стран мира и организаций, против которых направлены действия государственных субъектов. Поэтому неудивительно, что одна из самых эффективных методологий кибербезопасности берет свое начало в военных играх.

В настоящий момент, Red Teaming является сложной, многосоставной услугой в области кибербезопасности.

Эта практика, называемая Red team, может быть просто описана как этический взлом, осуществляемый для получения информации о сильных или слабых сторонах системы безопасности организации. Red team, состоящие из групп экспертов по кибербезопасности, получают задание проникнуть в компьютерные системы во время имитации атак. Таким образом, они могут обнаружить уязвимости в оборудовании, программном обеспечении или методологии, которые представляют серьезный риск для организации.

Они оказывают неоценимую услугу сотрудникам службы безопасности, позволяя им увидеть ситуацию глазами противника. Перспектива, полученная в ходе этих упражнений, может сыграть решающую роль в преодолении культурных предубеждений, а также позволяет отточить навыки решения проблем.

Два типа Red team

Хотя большинство членов Red team являются экспертами, они не всегда происходят из одного и того же места. Некоторые команды являются внутренними, что означает, что они состоят из людей, занимающих определенные должности в компании, проводящей учения. Внешние команды, в свою очередь, обычно являются консультантами и проводят учения с различными клиентами (часто работая над несколькими проектами одновременно).

Как внутренние, так и внешние команды привносят свои сильные стороны. Внутренние команды лучше знакомы со средой, которую они пытаются оценить, и могут иметь больше времени и/или бюджета для проведения учений. Эти знания могут помочь команде сосредоточиться на наиболее подходящих сценариях и ускорить процесс исправления. С другой стороны, внешние команды могут обладать более глубокими знаниями, и им также может быть полезно взглянуть на существующие проблемы "свежим взглядом".

Как упражнения RED TEAMS работают с этичными хакерами

Упражнения начинаются с определения начальной точки и цели. Исходные точки назначаются путем определения знаний, которыми обладает имитируемый злоумышленник о среде безопасности, или доступа, которым он обладает. Одним из примеров может быть зараженная конечная точка. Также можно выполнять эти упражнения вслепую, без каких-либо предполагаемых знаний или доступа, кроме тех, которые можно найти в открытом доступе. Целью является актив, который противник должен атаковать - часто это "драгоценный" сервер, содержащий важные бизнес-данные.

Другие переменные, играющие роль во время учений Red team, включают тактику или технику, используемую атакующим, масштаб моделируемой атаки и степень осведомленности защитников об атаке. В некоторых случаях учения могут быть сосредоточены на некритичных областях инфраструктуры, чтобы избежать нарушения производственного процесса.

В состав команды обычно входят люди с глубоким и разнообразным набором навыков. Они могут включать технические навыки (знание безопасности веб-приложений, Active Directory, методов обхода и т. д.) и навыки работы в реальном мире (социальная инженерия).

Red team часто используют сочетание известных и собственных инструментов для удаленного управления взломанными машинами, эксплуатации уязвимостей, перемещения по сети и "кражи" критически важных активов.

Важно проводить различие между учениями Red Team и тестами на проникновение. Хотя они имеют один и тот же общий принцип, тесты на проникновение обычно короче по продолжительности, нацелены на одну часть организации, сосредоточены на уязвимостях, а не на целях, и меньше зависят от скрытности.

Преимущества RED TEAMS

Red Teams играют ключевую роль в обеспечении безопасности по одной простой причине: трудно понять истинное состояние защиты организации без проведения имитационных атак. Эти упражнения проливают свет на уязвимости, которые иначе могли бы остаться незамеченными, и дают представление о том, как потенциальные злоумышленники видят окружающую среду. В этом смысле они позволяют защитникам отказаться от реактивной позиции и взять на себя инициативу в обеспечении безопасности своих систем.

Как только команды выявляют ключевые уязвимости, можно приступать к их устранению и/или смягчению, что позволяет организациям более эффективно управлять рисками.

Тем не менее несмотря на то, что традиционно Red Teams играют важную роль в поддержании сильной позиции безопасности, эта практика не лишена ограничений.

Проблемы с ручными RED TEAMS

Как уже упоминалось, Red Teams состоят из экспертов по безопасности, которые работают внутри компании или в качестве сторонних консультантов. Однако сама природа такой организации создает недостатки.

Ручное создание требует значительных ресурсов. Наем консультантов - или отвлечение внутренних сотрудников для проведения учений - требует значительных затрат времени и денег.

Это означает, что большинство учений проводятся эпизодически, часто раз в квартал или даже год. Однако компьютерные системы сегодня, как никогда ранее, динамичны. Изменения в инфраструктуре могут создать новые уязвимости, а периоды между тестами Red Teams могут позволить этим брешам остаться незамеченными.

Однако существует технологическое решение этой проблемы несовершенной защиты: автоматизированное тестирование.

Сила автоматизированной RED TEAMS

Платформы для моделирования взломов и атак (BAS) используют преимущества Red Teams и увеличивают их потенциал, обеспечивая непрерывное покрытие.

Эти платформы работают путем запуска безостановочных симулированных атак в контролируемой среде, как и ручная Red Team. Разница в том, что программное обеспечение BAS использует возможности автоматизации для непрерывной работы, поэтому организациям больше не придется неделями или месяцами обходиться без обзора своих систем. После выявления уязвимостей решение BAS предлагает приоритетные рекомендации по их устранению, что позволяет быстро заделать все дыры в системе безопасности.

Выбор правильной платформы, однако, жизненно важен. Вам нужен полностью автоматизированный продукт BAS, платформа, которая расширяет возможности автоматизированного Red Team на гибридные среды, обеспечивая защиту в Amazon Web Services (AWS).

Учитывая рост и усложнение облачных вычислений - и необходимость безопасной миграции в облако - платформы BAS, обеспечивающие защиту в нескольких средах, особенно полезны для современных организаций.

В заключение

Red Teams исторически играют важную роль в сфере кибербезопасности. Однако присущие им ограничения ограничивают их возможности по обеспечению непрерывной защиты.

Автоматизированные Red Teams (в виде платформ BAS) помогают организациям освободиться от ограничений точечного тестирования - и наслаждаться постоянной бдительностью против злоумышленников.