Red Teaming | AEC.cz

​​​​​​Red Teaming

Tento pojem je odvodený od výrazu Red Team, ktorý označuje tím skúsených etických hackerov, ktorý simulovaný útok realizuje a využíva pri tom rovnako sofistikované prostriedky ako reálni útočníci. Proti Red Teamu stojí na strane cieľovej spoločnosti tzv. Blue Team. Blue Team je tím odborníkov, ktorý sa stará o zabezpečenie, detekciu a riešenie cyber incidentov. Jeho cieľom je spraviť všetko pre to, aby útok nebol úspešný a pokiaľ už útok úspešný je, potom ho čo najrýchlejšie odhaliť, zastaviť a zabrániť jeho opakovaniu.


 

Nezaspite na vavrínoch

Nadnárodná telekomunikačná spoločnosť, v súlade s internou bezpečnostnou politikou, pravidelne uskutočňovala penetračné testy a bezpečnostné audity svojich jednotlivých systémov, infraštruktúry a zamestnancov. Závažné chyby detegované týmito testami a auditmi boli pravidelne v súčinnosti s dodávateľmi opravované a následne bola opätovným testom overovaná kvalita nasadených protiopatrení.

Spoločnosť začala taktiež v nedávnej dobe budovať vlastný Security Operations Center (SOC) tím s cieľom zaistiť komplexnú centralizáciu riadenia bezpečnostných udalostí a incidentov v jednom bode s účelom minimalizovať reakčnú dobu na incident a škody z nej plynúce.

Bolo to v jednu jesennú stredu na konci pracovnej doby, kedy vybraným členom managementu dorazil anonymný e-mail s tvrdením, že skupina útočníkov – hackerov infiltrovala kritické systémy spoločnosti obsahujúce zákaznícke dáta. Pokiaľ spoločnosť nezaplatí do 48 hodín požadovanú sumu v danej kryptomene, budú všetky dáta zverejnené. Ako dôkaz bol pripojený odkaz na archív s dátami. Analýzou týchto dát sa potvrdili najhoršie obavy – skutočne sa jednalo o výber dát z produkčných databáz.

Management už vie, že bez ohľadu na zaplatenie výkupného, je nutné v súlade s GDPR zistený incident nahlásiť, nakoľko zjavne došlo k narušeniu bezpečnosti osobných údajov zákazníkov. Situácia je tak dvojnásobne horšia a následná medializácia incidentu vedie k prudkému odlivu zákazníkov.

Čo sa ale stalo? Kde spoločnosť urobila chybu? Predsa nechala pravidelne svoje systémy testovať a auditovať. Predsa buduje SOC tím presne na tieto prípady detekcie a prevencie útokov. Na tomto mieste sa hodí uviesť citát CEO spoločnosti Cisco Johna Chambersa: “Existujú dva typy spoločností: tie ktoré boli hacknuté a tie, ktoré ešte nevedia, že boli hacknuté".

Analýza útoku nám dala odpoveď na vyššie položenú otázku. Áno, jednotlivé izolované systémy boli nadštandardne zabezpečené. Avšak útočníci, ktorí prvotný prístup do siete získali prostredníctvom phishingu na nového zamestnanca helpdesku, elegantne prekľučkovali internou infraštruktúrou a dostali sa až do chráneného segmentu siete, kde úspešnou eskaláciou privilégií získali prístup k citlivým dátam. Testovaným a zabezpečeným systémom sa vyhli a naopak svoje útoky viedli na staršie až zabudnuté stroje, ktoré sa stále nachádzali v sieti. K samotným zabezpečeným systémom potom už pristupovali pod funkciou administrátora, čím obišli bezpečnostné opatrenia. Vyššie popísaný vektor útoku, ktorý je úplne out of scope klasického penetračného testu či bezpečnostného auditu, by ale bol detegovaný prostredníctvom Red Teamingu.

Popis riešenia

Porovnanie s penetračnými testami

Popis služby Red Teaming začneme na lepšie pochopenie porovnaním s penetračnými testmi. O pojme penetračné testovanie pravdepodobne už počul každý informovanejší človek pohybujúci sa v rámci IT a hlavne v odvetví jeho bezpečnosti. Penetračné testy sú s obľubou popisované ako simulácia útoku voči zadanej IT oblasti. Predmetom penetračného testu je vždy určitá izolovaná časť IT ekosystému spoločnosti ako napríklad webová aplikácia, desktopová aplikácia, či sieťová infraštruktúra. Slovo izolovaná v predchádzajúcej vete by si zaslúžilo dvakrát podčiarknuť. Práve v tejto izolovanosti tkvie najväčšia slabina penetračných testov. Ako výsledok periodického uskutočňovania týchto testov môžeme mať informáciu, že všetky bezpečnostné riziká boli znížené na akceptovateľnú úroveň a testovaný systém je odolný voči útoku.

Čo nám už výsledok penetračného testu nepovie je, že systém je možné kompromitovať zaslaním e-mailu s malwarom v prílohe jeho správcu, že je možné dostať sa k dátam kompromitáciou úplne iného systému, ktorý však s pôvodným zdieľa rovnaké dátové úložisko a tak ďalej. Penetračné testy sú jednoducho úzkoprofilovo zamerané na konkrétne oblasti a z podstaty veci nemôžu pokryť komplexnosť previazanosti celého ekosystému spoločnosti a z toho vyplývajúcich rizík.

Penetračný test Red Teaming​
  • Metodický prístup
  • Striktne daný rozsah
  • Obvyklá dĺžka trvania 1–3 týždne
  • Dopredu ohlásený
  • Cieľom je identifikácia zraniteľností konkrétnej oblasti
  • Flexibilní prístup
  • Neobmedzený rozsah
  • Obvyklá dĺžka trvania 1–3 mesiace
  • Tajný, o realizácii vie len White Team
  • Cieľom je otestovať odolnosť celého prostredia spoločnosť voči útoku
 

Red Teaming

V tomto bode prichádza na radu práve Red Teaming. Tento pojem je odvodený od výrazu Red Team, ktorý označuje tím skúsených etických hackerov, ktorý simulovaný útok realizuje a využíva pri tom rovnako sofistikované prostriedky ako reálni útočníci. Red Teaming pokrýva veľmi široký rozsah vektorov útokov a cieli na ľudí, technológie i fyzické aktíva. Okrem pokusu o prienik zneužitím zraniteľností v danej technológii využíva aj prostriedky sociálneho inžinierstva, zberu informácií z otvorených zdrojov (OSINT, dumpster diving) či fyzického prieniku.

Proti Red Teamu stojí na strane cieľovej spoločnosti tzv. Blue Team, čo je tím odborníkov, ktorý sa stará o prevenciu, detekciu a riešenie kybernetických incidentov. Jeho cieľom je urobiť všetko pre to, aby útok nebol úspešný a pokiaľ už útok úspešný je, potom ho čo najrýchlejšie odhaliť, zadržať a zabrániť jeho opakovaniu. V dnešnej dobe sa u väčších spoločností jedná o oddelenie Security Operations (SOC) či Cyber Defense Centra (CDC).

Red Team vs Blue Team

Úlohy Red Teamu a Blue Teamu sú asymetrické. V prvotnej fáze, keď sa útočiaci tím pokúša preniknúť do internej siete chránenej obranným tímom, má navrch Red Team. Blue Team musí zabezpečiť každý z mnoho potenciálnych vektorov útoku, avšak toto pole je veľmi široké. Útočiacemu tímu stačí nájsť jednu zraniteľnosť, jedno pochybenie, zneužiť dôveru jedného zo zamestnancov a získa tak prístup do vnútra siete.

V tomto momente sa však situácia obracia. Výhoda sa preklápa do rúk obranného tímu. Útočiaci tím sa dostáva na neznámu pôdu internej siete, ktorú má pevne pod kontrolou Blue Team. Akonáhle tu urobí Red Team jedinú chybu, začne sa chovať príliš “hlučne", aktivuje honeypot alebo na svoju aktivitu upozorní iným spôsobom, je z vnútornej siete nemilosrdne Blue Teamom vystrčený a jeho práca začína nanovo. Prirovnanie s pomyselnou hrou na mačku a myš je tu tak viac než na mieste.

Pokiaľ už sa Red Team dostane na ihrisko Blue Teamu, čo je vlastne jeho cieľom? Cieľom je nepozorovane získať tzv. Flag teda vlajku, ktorá je definovaná spolu so zadávateľom na začiatku Red Teaming cvičenia. Môže sa napríklad jednať o prístup do určitého segmentu internej siete, prístup ku konkrétnemu serveru či predom nachystaným dátam v databáze, fyzický prístup do serverovne, odcudzenie notebooku či inštalácia HW backdooru. Princípom je definovať Flag spôsobom, aby po jeho dosiahnutí Red Teamom bolo možné konštatovať, že zabezpečenie na úrovni technickej, fyzickej a procesnej nie je dostatočné na zabránenie cielenej infiltrácie z vonka. V rámci výsledného reportu je potom celý útok vrátane slepých ciest či nepodarených infiltrácií detailne analyzovaný a popísaný a taktiež sú navrhnuté odporúčania na úspešnú obranu naprieč rôznymi oblasťami.

Z vyššie uvedeného vyplýva, že na dosiahnutie čo najvernejších výsledkov je nevyhnutné, aby o implementácii Red Teamingu neboli informovaní zamestnanci, predovšetkým ľudia z IT jednotiek (IT Operations, SOC, CDC) cieľovej spoločnosti. Na strane zadávateľa vie o uskutočňovaní Red Teamingu iba úzka skupina ľudí, tzv. White Team, ktorý sa stará o súčinnosť v priebehu procesu dodania služby. Podľa dohody môžu útoky prebiehať i mimo pracovnú dobu, je tak nevyhnutné, aby bola kontaktná osoba neustále dostupná. V prípade fyzických prienikov dostávajú členovia Red teamu tzv. Get Out of Jail Free kartu, ktorou sa legitimujú v prípade, že sú úspešne odhalený.

Prínosy nášho riešenia

Naše riešenie má zmysel, pretože:
  • Verne nasimulujeme útoky spôsobom, ktorým ich uskutočňujú ozajstní útočníci
  • Odhalíme vektory útoku, ktoré boli mimo rozsah penetračných testov a auditov
  • Implementáciou Red Teamingu sa testuje a zároveň školí Blue Team (SOC)
  • Otestujeme odolnosť celého prostredia spoločnosti, nie len izolovaného systému
  • Otestujeme fyzický, psychologický i kybernetický aspekt zabezpečenia

 

Referencie

Dlhodobo spolupracujeme s firmami a organizáciami naprieč celým trhom. Medzi našimi zákazníkmi nájdete nadnárodné spoločnosti, ale taktiež malé firmy a drobných podnikateľov. Všetkým vychádzame maximálne v ústrety a poskytujeme služby na mieru s ohľadom na ich veľkosť a oblasť pôsobenia. Konkrétne referencie radi predložíme na vyžiadanie.

 

Radi skonzultujeme vašu konkrétnu situáciu


Overenie: