Kas ir Red Teaming un kā tas uzlabo kiberdrošību?

Sarkanā komanda ir datortīklu, lietojumprogrammu un sistēmu testēšana, uzbrukšana un iespiešanās. Sarkanie komandas darbinieki ir ētiski hakeri, kurus nolīgušas organizācijas, lai pārbaudītu savu drošības arhitektūru. Sarkanās komandas galvenais mērķis ir atrast un dažreiz izraisīt problēmas un ievainojamības datorā un tās izmantot.

Kāpēc sarkanā komanda ir svarīga?

Organizācijai, kurai ir jāaizsargā sensitīvi dati un sistēmas, red teaming ietver darbā pieņemšanu kiberdrošības operatoriem, lai pārbaudītu, uzbruktu un iekļūtu tās drošības arhitektūrā pirms ļaunprātīgas izmantošanas hakeri dara. Salīdzinošās izmaksas par draudzības spēlēm, lai simulētu uzbrukumu, ir eksponenciāli mazākas nekā tad, ja to dara uzbrucēji.

Tātad sarkanie komandas darbinieki būtībā spēlē ārējo hakeru lomu; tikai viņu nolūki nav ļaunprātīgi. Tā vietā operatori izmanto uzlaušanas trikus, rīkus un paņēmienus, lai atrastu un izmantotu ievainojamības. Viņi arī dokumentē procesu, lai uzņēmums varētu izmantot gūtās atziņas, lai uzlabotu savu vispārējo drošības arhitektūru.

Sarkanā komanda ir svarīga, jo uzņēmumi (un pat privātpersonas) ar noslēpumiem nevar atļauties ļaut pretiniekiem iegūt karaļvalsts atslēgas. Vismaz pārkāpums var izraisīt ieņēmumu zaudējumus, naudas sodus no atbilstības aģentūrām, klientu uzticības zaudēšanu un publisku apmulsumu. Sliktākajā gadījumā pretrunīgs pārkāpums var izraisīt bankrotu, neatgriezenisku korporācijas sabrukumu un identitātes zādzība, kas ietekmē miljoniem klientu.

Kāds ir sarkanās komandas piemērs?

Sarkanā komanda ir ļoti orientēta uz scenārijiem. Piemēram, mūzikas producēšanas uzņēmums var nolīgt sarkanās komandas operatorus lai pārbaudītu drošības pasākumus noplūžu novēršanai. Operatori izstrādā scenārijus, iesaistot cilvēkus, kuriem ir piekļuve datu diskdziņiem, kas satur mākslinieku intelektuālo īpašumu.

Šī scenārija mērķis var būt pārbaudīt uzbrukumus, kas ir visefektīvākie, lai apdraudētu piekļuves tiesības šiem failiem. Vēl viens mērķis varētu būt pārbaudīt, cik viegli uzbrucējs var pārvietoties uz sāniem no viena ieejas punkta un izfiltrēt nozagtos galvenos ierakstus.

Kādi ir Sarkanās komandas mērķi?

Sarkanā komanda cenšas īsā laikā atrast un izmantot pēc iespējas vairāk ievainojamību, nepiekļūstot. Lai gan faktiskie mērķi kiberdrošības uzdevumā dažādās organizācijās atšķiras, sarkanajām komandām parasti ir šādi mērķi:

• Modelējiet reālos draudus.
• Identificējiet tīkla un programmatūras nepilnības.
• Nosakiet jomas, kuras jāuzlabo.
• Novērtējiet drošības protokolu efektivitāti.

Kā darbojas Red Teaming?

Sarkanā komanda sākas, kad uzņēmums (vai indivīds) nolīgst kiberdrošības operatorus, lai pārbaudītu un novērtētu viņu aizsardzību. Kad darbs ir pieņemts darbā, tas iziet četrus iesaistīšanās posmus: plānošanu, izpildi, dezinfekciju un ziņošanu.

Plānošanas posms

Plānošanas posmā klients un sarkanā komanda definē iesaistes mērķus un apjomu. Šeit viņi definē atļautos mērķus (kā arī aktīvus, kas ir izslēgti no vingrinājuma), vidi (fizisko un digitālo), iesaistes ilgumu, izmaksas un citu loģistiku. Abas puses arī izstrādā iesaistīšanās noteikumus, kas vadīs vingrinājumu.

Izpildes posms

Izpildes stadijā sarkanās komandas operatori izmanto visu iespējamo, lai atrastu un izmantotu ievainojamības. Viņiem tas jādara slēpti un jāizvairās no tā, ka viņu mērķi ir pakļauti esošajiem pretpasākumiem vai drošības protokoliem. Sarkanie komandas dalībnieki izmanto dažādas taktikas pretrunīgās taktikas, paņēmienu un kopējo zināšanu (ATT&CK) matricā.

ATT&CK matrica ietver arī ietvarus, ko uzbrucēji izmanto, lai piekļūtu drošības arhitektūrām, saglabātu tās un pārvietotos pa tām kā viņi vāc datus un uztur saziņu ar kompromitētu arhitektūru pēc uzbrukums.

Dažas metodes viņi var izmantot ietver sargāšanas uzbrukumus, sociālā inženierija, pikšķerēšana, tīkla sniffing, akreditācijas datu izņemšana, un portu skenēšana.

Sanitizācijas posms

Šis ir tīrīšanas periods. Šeit sarkano komandu operatori sasien vaļīgos galus un izdzēš uzbrukuma pēdas. Piemēram, piekļūstot noteiktiem direktorijiem, var atstāt žurnālus un metadatus. Sarkanās komandas mērķis sanitārijas posmā ir notīrīt šos baļķus un iztīrīt metadatus.

Turklāt tie arī atceļ drošības arhitektūrā veiktās izmaiņas izpildes posmā. Tas ietver drošības kontroles atiestatīšanu, piekļuves privilēģiju atcelšanu, apvedceļu vai aizmugures durvju aizvēršanu, ļaunprātīgas programmatūras noņemšanu un failu vai skriptu izmaiņu atjaunošanu.

Māksla bieži atdarina dzīvi. Dezinficēšana ir svarīga, jo sarkanās komandas operatori vēlas izvairīties no ceļu izveidošanas ļaunprātīgiem hakeriem, pirms aizsardzības komanda var salabot lietas.

Ziņošanas posms

Šajā posmā sarkanā komanda sagatavo dokumentu, kurā aprakstīta viņu darbība un rezultāti. Turklāt ziņojumā ir iekļauti novērojumi, empīriski atklājumi un ieteikumi ievainojamību labošanai. Tajā var būt arī norādījumi izmantotās arhitektūras un protokolu nodrošināšanai.

Sarkano komandu ziņojumu formāts parasti tiek veidots pēc veidnes. Lielākajā daļā ziņojumu ir izklāstīti iesaistīšanās mērķi, darbības joma un noteikumi; darbību un rezultātu žurnāli; rezultāti; apstākļi, kas padarīja šos rezultātus iespējamus; un uzbrukuma diagramma. Parasti ir sadaļa atļauto mērķu un drošības līdzekļu drošības risku novērtēšanai.

Kas sekos pēc Sarkanās komandas?

Korporācijas bieži nolīgst sarkanās komandas, lai pārbaudītu drošības sistēmas noteiktā apjomā vai scenārijā. Pēc sarkanās komandas iesaistīšanās aizsardzības komanda (t.i., zilā komanda) izmanto gūtās mācības, lai uzlabotu savas drošības spējas pret zināmiem un nulles dienas apdraudējumiem. Bet uzbrucēji negaida. Ņemot vērā mainīgo kiberdrošības stāvokli un strauji augošos draudus, drošības arhitektūras testēšanas un uzlabošanas darbs nekad nav īsti pabeigts.