Ikke alle hackere er dårlige nyheter! Red team hackere vil prøve å få tilgang til dataene dine, men for altruistiske formål...
Red teaming er handlingen for å teste, angripe og penetrere datanettverk, applikasjoner og systemer. Red teamers er etiske hackere ansatt av organisasjoner for å kampteste sikkerhetsarkitekturen deres. Det endelige målet til det røde teamet er å finne – og noen ganger indusere – problemer og sårbarheter i en datamaskin og utnytte dem.
Hvorfor er Red Teaming viktig?
For en organisasjon som trenger å beskytte sensitive data og systemer, innebærer red teaming ansettelse cybersikkerhetsoperatører til å teste, angripe og trenge gjennom sikkerhetsarkitekturen før de skades hackere gjør. Den komparative kostnaden for å få vennskapskamper for å simulere et angrep er eksponentielt mindre enn hvis angripere gjør det.
Så, røde lagspillere spiller i hovedsak rollen som eksterne hackere; bare intensjonene deres er ondsinnede. I stedet bruker operatørene hacking-triks, verktøy og teknikker for å finne og utnytte sårbarheter. De dokumenterer også prosessen, slik at selskapet kan bruke erfaringene til å forbedre sin generelle sikkerhetsarkitektur.
Red teaming er viktig fordi selskaper (og til og med enkeltpersoner) med hemmeligheter ikke har råd til å la motstandere få nøklene til kongeriket. I det minste kan et brudd føre til inntektstap, bøter fra overholdelsesbyråer, tap av kundenes tillit og offentlig sjenanse. I verste fall kan et kontradiktorisk brudd føre til konkurs, uopprettelig kollaps av et selskap, og identitetstyveri som rammer millioner av kunder.
Hva er et eksempel på Red Teaming?
Red teaming er svært scenariofokusert. For eksempel et musikkproduksjonsselskap kan ansette red team-operatører for å teste sikkerhetstiltak for å forhindre lekkasjer. Operatører lager scenarier som involverer personer som har tilgang til datastasjoner som inneholder artisters immaterielle rettigheter.
Et mål i dette scenariet kan være å teste angrep som er mest effektive til å kompromittere tilgangsrettigheter til disse filene. Et annet mål kan være å teste hvor lett en angriper kan bevege seg sideveis fra ett inngangspunkt og eksfiltrere stjålne masteropptak.
Hva er målene til det røde laget?
Det røde teamet setter ut for å finne og utnytte så mange sårbarheter som mulig på kort tid, uten å bli tatt. Mens de faktiske målene i en cybersikkerhetsøvelse vil variere mellom organisasjoner, har røde team generelt følgende mål:
- Modeller trusler fra den virkelige verden.
- Identifiser nettverks- og programvaresvakheter.
- Identifiser områder som skal forbedres.
- Vurder effektiviteten til sikkerhetsprotokoller.
Hvordan fungerer Red Teaming?
Red teaming starter når et selskap (eller enkeltperson) ansetter cybersikkerhetsoperatører for å teste og evaluere forsvaret deres. Når den er ansatt, går jobben gjennom fire engasjementsstadier: planlegging, utførelse, desinfisering og rapportering.
Planleggingsstadiet
I planleggingsfasen definerer klienten og det røde teamet målene og omfanget av engasjementet. Det er her de definerer autoriserte mål (samt eiendeler ekskludert fra øvelsen), miljøet (fysisk og digitalt), engasjementets varighet, kostnader og annen logistikk. Begge sider lager også engasjementsregler som skal lede øvelsen.
Utførelsesstadiet
Utførelsesfasen er der de røde teamoperatørene bruker alt de kan for å finne og utnytte sårbarheter. De må gjøre dette i det skjulte og unngå å bli slått av målenes eksisterende mottiltak eller sikkerhetsprotokoller. Røde lagspillere bruker forskjellige taktikker i matrisen motstridende taktikk, teknikker og felles kunnskap (ATT&CK).
ATT&CK-matrisen inkluderer også rammeverk angripere bruker for å få tilgang til, vedvare og bevege seg gjennom sikkerhetsarkitekturer som hvordan de samler inn data og opprettholder kommunikasjon med den kompromitterte arkitekturen etter en angrep.
Noen teknikker kan de bruke inkludere krigføringsangrep, sosial teknikk, phishing, nettverkssniffing, legitimasjonsdumping, og portskanning.
Saneringsstadiet
Dette er oppryddingsperioden. Her binder røde teamoperatører opp løse ender og sletter spor etter angrepet deres. For eksempel kan tilgang til visse kataloger etterlate logger og metadata. Det røde teamets mål i rensefasen er å tømme disse loggene og skrubbe metadata.
I tillegg reverserer de også endringer de gjorde i sikkerhetsarkitekturen under utførelsesfasen. Dette inkluderer tilbakestilling av sikkerhetskontroller, tilbakekalling av tilgangsprivilegier, lukking av omkjøringsveier eller bakdører, fjerning av skadelig programvare og gjenoppretting av endringer i filer eller skript.
Kunst imiterer ofte livet. Sanering er viktig fordi operatører av røde team ønsker å unngå å bane veien for ondsinnede hackere før forsvarsteamet kan lappe opp ting.
Rapporteringsstadiet
På dette stadiet utarbeider det røde teamet et dokument som beskriver deres handlinger og resultater. Rapporten inkluderer videre observasjoner, empiriske funn og anbefalinger for oppdatering av sårbarheter. Den kan også inneholde direktiver for sikring av utnyttet arkitektur og protokoller.
Formatet til røde teamrapporter følger vanligvis en mal. De fleste rapporter skisserer målene, omfanget og reglene for engasjement; logger over handlinger og resultater; utfall; forhold som gjorde disse resultatene mulig; og angrepsdiagrammet. Det er vanligvis en seksjon for å vurdere sikkerhetsrisikoen til autoriserte mål og sikkerhetsmidler også.
Hva kommer neste etter det røde laget?
Selskaper ansetter ofte røde team for å kamp-teste sikkerhetssystemer innenfor et definert omfang eller scenario. Etter et rødt team-engasjement bruker forsvarsteamet (dvs. det blå teamet) lærdommene til å forbedre sine sikkerhetsegenskaper mot kjente trusler og null-dagers trusler. Men angripere venter ikke rundt. Gitt den skiftende tilstanden til cybersikkerhet og raskt utviklende trusler, er arbeidet med å teste og forbedre sikkerhetsarkitekturen aldri virkelig fullført.
