Решающая роль red team в обеспечении корпоративной безопасности

Подходы Red Team

Тестирование Red Team обычно проводится по методологии «черного ящика», основанной на аналитических данных, для тщательного изучения возможностей организаций по обнаружению и реагированию.

Такой подход, скорее всего, будет включать в себя несколько этапов, о которых написано ниже.

Разведка

Высококачественные разведданные имеют решающее значение для успеха любого участия Red Team. Этот этап является основным, и он может занять много времени, особенно если команды не имеют опыта. Этичные хакеры используют инструменты, методы и ресурсы разведки с открытым исходным кодом для сбора всех данных и для проникновения в ИТ-систему. Может быть собрана информация, включающая сведения о сотрудниках, инфраструктуре и развернутых технологиях.

Инсценировка и вооружение

После выявления уязвимостей и разработки плана атаки следующим этапом является инсценировка — получение, настройка и маскировка ресурсов, необходимых для проведения атаки. Эта практика может включать создание серверов для осуществления командно-контрольной деятельности (C2) и социальной инженерии, а также разработку вредоносного кода и пользовательских вредоносных программ.

Фаза атаки и внутренний компромисс

Существуют активные атаки, при которых атакуются сетевые и веб-приложения, в то время как пассивные атаки включают фишинг и социальную инженерию для взлома слабых паролей сотрудников и размещения вредоносного ПО через электронную почту.

Есть и физические атаки, при которых используются подставные лица, приманки и неавторизованные точки доступа. Red Team обнаружит больше уязвимостей по мере продвижения в системе. Повышение привилегий, физический компромисс, командно-контрольная деятельность и эксфильтрация данных происходят после того, как Red Team проникнет в систему.

Отчетность и анализ

После окончания работы команды Red Team заказчику представляется подробный итоговый отчет, понятный как руководству, так и техническим и нетехническим специалистам. В отчете содержится подробный обзор использованной методологии, векторов атак, найденных уязвимостей и рекомендации по снижению этих рисков. Обзор дает организации подробную информацию о том, каким рискам они подвергаются и что они могут сделать для защиты своих систем, если такая атака произойдет в будущем.

Будущее красной команды

Развитие ландшафта киберугроз

По мере развития технологий меняется и ландшафт киберугроз. Будущее Red Teaming заключается в его способности адаптироваться к новым и возникающим угрозам. Красные команды должны постоянно совершенствовать свои методы и методологии, чтобы имитировать новейшие векторы атак и тактики, используемые киберпротивниками.

Технологические достижения и их влияние

Достижения в области технологий, такие как искусственный интеллект (ИИ), Интернет вещей (IoT) и квантовые вычисления, открывают как возможности, так и проблемы. Красные команды должны использовать эти технологии для улучшения своих возможностей тестирования, а также учитывать последствия для безопасности, которые они представляют для организаций.

Красная команда как стратегия превентивной защиты

В будущем Red Teaming будет играть еще более важную роль в качестве стратегии превентивной защиты. Организации поймут, что моделируемые атаки необходимы для выявления слабых мест, повышения готовности к реагированию на инциденты и на шаг впереди киберугроз. Red Teaming будет интегрирован в основу практики кибербезопасности, став стандартным подходом к оценке и улучшению состояния безопасности организации.

What Is Automated Red Teaming?

Automated red teaming is a proactive cybersecurity approach that uses automation to simulate adversarial attack scenarios against an organization’s information systems. It mimics the tactics, techniques, and procedures (TTPs) of real-world sophisticated attackers, aiming to identify chains of attack vectors before they are exploited by an adversary.

Unlike traditional red teaming, which often relies heavily on human expertise for planning and execution, automated red teaming uses software tools to rapidly conduct a range of attacks, identify vulnerabilities, and test defensive measures. This method offers the advantage of scalability, repeatability, and consistent assessment of security posture, allowing organizations to continually evaluate and improve their defensive measures against evolving threats.

Как защититься от уязвимостей

Историческая справка

Как и многие другие вещи в нашей повседневной жизни (клейкая лента, микроволновая печь, консервы и т.д.), термин Red Teaming пришел из военно-промышленного комплекса. Во время вьетнамской войны американские военные летчики отрабатывали навыки ведения воздушного боя и изучали собственные ошибки, тем самым повышая свой уровень мастерства без реальной потери пилотов и самолетов. А вот название «красная команда», скорей всего, появилось в ходе противоборства с Советским Союзом. Исторически сложилось, что «красные» нападают, а «синие» обороняются.

Охранникам в Будапеште тоже приглянулся этот термин;)

Востребованность, деньги, перспективы

Обеспечения информационной безопасности — это дорого. Согласно отчету Cisco, российские средние и крупные компании тратят на это в среднем 1,4 миллиона долларов в год. В итоге эффект — положительный: опрошенные организации оценили преимущества, которые они получили от защиты данных, в 2,1 миллиона долларов ежегодно. Логично, что инвестиции в ИБ продолжают расти.

Вместе с тем, до 93 % компаний признают, что их служба кибербезопасности не в полной мере соответствует потребностям. Одна из ключевых проблем в ИБ — «заплаточный» подход, когда проблемы решаются по мере их поступления. В таком случае отсутствует единое видение системы защиты организации.

Несостоятельность такого подхода доказывается работой пентестров. В 2019 году компания Positive Technologies ряд тестирований на проникновение, и вот что из этого вышло:

• получить доступ к локальным сетям удалось в 93 % случаев;
• чаще всего находилось несколько способов преодолеть сетевой периметр, максимальное число векторов проникновения в одном проекте — 13;
• в среднем на проникновение в локальную сеть требовалось четыре дня, минимум — 30 минут;
• сложность атаки в большинстве случаев оценивалась как низкая — значит, совершить ее мог даже низкоквалифицированный хакер.

Более современным и актуальным оказывает подход к ИБ, в котором присутствует механизм моделирования угроз, а мониторинг ведется постоянно. Практика показывает, что уровень защищенности систем растет, если безопасники и пентестеры работают в связке.

Это не может влиять на рынок: потребность в специалистах Blue Team и Red Team уже сейчас высока, а в будущем она будет только расти. Уровень зарплат в обоих случаях достойный даже у специалистов без обширного опыта:

• безопасники на старте карьеры получают в среднем 70 тысяч рублей, специалисты с опытом от года до трех лет — до 120 тысяч.
• пентестеры с опытом от трех лет могут получать до 250 тысяч рублей, без опыта — около 80 тысяч.

Как работает Red team

Вы можете удивиться, узнав, что Red team (красная команда) тратит больше времени на планирование атаки, чем на ее проведение. Специалисты красной команды используют несколько методов для получения доступа к сети.

Например, атаки с использованием социальной инженерии основаны на исследовании поведения и привычек сотрудников, это нужно для проведения целевых фишинговых кампаний. Перед проведением теста на проникновение используются снифферы пакетов и анализаторы протоколов для сканирования сети и сбора максимально возможной информации о системе.

Типичная информация, собираемая на этом этапе, включает в себя:

• Выявление используемых операционных систем (Windows, macOS или Linux).
• Определение марки и модели сетевого оборудования (серверы, брандмауэры, коммутаторы, маршрутизаторы, точки доступа, компьютеры и т. д.).
• Понимание физических средств контроля (двери, замки, камеры, персонал службы безопасности).
• Изучение того, какие порты открыты/закрыты на брандмауэре для разрешения/блокирования определенного трафика.
• Создание карты сети, чтобы определить, на каких узлах запущены те или иные службы, а также куда отправляется трафик.

После того как специалисты из Red team получат более полное представление о системе, они разрабатывают план действий, направленный на проведение атаки, которая поможет выявить уязвимости.

Завершение работ

Отчет является формой доказательства проведения работ. Однако, главная его ценность в том, что он может (и должен) быть проанализирован и использован для улучшения безопасности в компании

Поэтому крайне важно его качество

Отчет по Red Teaming может довольно сильно отличаться от отчетов по тестированию на проникновение и анализа защищенности. Так как работы в значительной степени сфокусированы на сценарии, то и отчет основан на истории действий.

Отчет будет содержать следующую информацию:

• Высокоуровневый вывод о состоянии безопасности и готовности защитников противостоять реальным угрозам
• Риски, выявленные в результате анализа выполнения проекта и реагирования защитников
• Хронология действий атакующей команды от начала до завершения проекта. Команда защитников сможет сравнить их со своими журналами событий, чтобы выявить дополнительные индикаторы компрометации (IOC)
• Технические детали с пошаговой информацией, которая позволит повторить шаги и обнаружить найденные недостатки
• Технические рекомендации для немедленного применения, для закрытия обнаруженных критичных уязвимостей
• Стратегические рекомендации для долгосрочной перспективы повышения уровня безопасности.

По окончании проекта возможно проведение нескольких встреч с представителями обеих сторон. Одна – для руководства организации, с фокусом на общей картине проекта. Результаты Red Teaming могут повлиять на дальнейшую работу организации: потребовать финансирования для устранения найденных недостатков или изменения штатного расписания. Если результаты Red Teaming будут использоваться для повышения безопасности организации (а в ином случае такие работы не имеют смысла), то осведомленность и заинтересованность руководства очень важны.

Другая встреча – техническая. Это двусторонний обмен информацией между атакующими, защитниками и координатором проекта на стороне заказчика. Включает подробный высокотехнический обзор действий команды атакующих и защитников, предпринятых во время проекта. Позволяет обеим сторонам задать вопросы в контексте реализованных атак и реагирования на них, получить рекомендации по улучшению и идеи для новых методологий. Тем самым дает возможность улучшить способности как защитников, так и команды атакующих. Подобные встречи являются частью проекта, и польза от них может быть бесценна.

Почему хакерам так легко взламывать

Хотя может показаться, что создание пароля не такое уж и сложное дело, все же даже такие крупные и мощные компании как eBay, LinkedIn, а недавно и Facebook все же пострадали от этой проблемы, т.к. у многих их пользователей были скомпрометированы пароли. По словам Стива Лангана, руководителя специализированного страховщика Hiscox, в 2016 году ущерб глобальной экономике от кибер-преступлений составил более $450 миллиардов долларов США, было украдено свыше 2 миллиардов записей. Почему хакерам так легко подключаться к аккаунтам и получать безопасные пароли?

Во-первых, что самое главное, мы часто используем один и тот же пароль в разных местах. Свыше % населения используют одинаковый пароль на различных сайтах. А т.к. для % вообще трудно управлять своими паролями, то мы становимся невероятно открытыми для хакеров, особенно когда мы годами и даже десятилетиями не меняем свои пароли.

Люди также очень предсказуемы. Мы склонны использовать пароли, которые имеют то или иное отношение к нашей жизни, потому что их легко запомнить. Благодаря нашей способности визуальной памяти, нам проще запоминать изображения и информацию, с которой мы уже знакомы и которая имеет для нас определенное значение. Вот почему мы часто создаем простые для запоминания и весьма предсказуемые пароли, связанные, например, с членами нашей семьи, нашими животными или днями рождения.

Средний пользователь имеет порядка защищенных паролем аккаунтов, но для всех этих аккаунтов он имеет всего только пять различных паролей. Это делает нас более уязвимыми для взлома, особенно для атак типа «brute force». Свыше 85% американцев держат все свои пароли в голове, а ведь это практически невозможно запомнить 26 разных паролей. Имея множество разных паролей, следует установить программу, которая будет управлять паролями. Впрочем, такую программу использует всего 12% американцев.

Стандартное правило – менять пароли каждые 90 дней. Однако в последние годы этот метод был признан Лорри Кранор (Руководитель по технологиям в FTC и профессор компьютерных наук в Карнеги Меллон) неэффективным. Она обнаружила, что когда люди вынуждены менять свои пароли на регулярной основе, они применяют для этого меньше умственных усилий. Вот еще один способ, как хакеры могут воспользоваться отсутствием у людей усилий и желаний изменить или разнообразить свои пароли.

Сколько требуется хакерам времени, чтобы определить ваш пароль

Если ваш пароль очень простой, как слово “password” или “abcdefg”, то хакеру потребуется примерно 0,29 миллисекунд, чтобы его подобрать (по данным BetterBuys). Удивлены? А вот пароль типа 123456789 может быть подобран 431 раз за то время, пока вы моргаете. Даже более сложные пароли взламываются достаточно быстро. И если раньше на подбор какого-нибудь пароля у хакеров уходило до 3 лет, то теперь они могут это сделать за пару месяцев.

Хакеры сперва проверяют самые простые и распространенные пароли, а затем уже переходят к паролям с наименьшим числом символов. В то время как пароль с семью символами может быть взломан за 0,29 миллисекунд, то на взлом пароля из 12 символов может потребоваться до двух столетий. Чем длиннее пароли, тем больше времени требуется хакерам для получения правильной комбинации.

Все могут короли?

Многие считают, что им нечего скрывать от всеведущих спецслужб, а известные методы защиты данных все равно от них не спасут. Отчасти такое отношение формируют сами ведомства, но IRL их возможности тоже далеко не безграничны. NSA, CIA, FBI и другие страшные трехбуквенные организации состоят из рядовых сотрудников, которые, простите за резкость, регулярно лажают.

Например, NSA случайно удалила разведданные за семь лет, а группировка Crackas With Attitude в 2015–2016 годах получила доступ к аккаунтам руководителей почти всех федеральных ведомств США. Только один ее представитель — Justin «D3F4ULT» Liverman лично поимел директоров ФБР и ЦРУ, как написано в обвинительном заключении: «…длительно терроризируя их и их семьи разглашением конфиденциальной информации, полученной в результате незаконного доступа к онлайновым аккаунтам потерпевших».

Это не Ливерман оказался сильнее спецслужб, а их главы наплевали на элементарные правила безопасности, пользуясь для работы публичными сервисами (вроде AOL Mail), которые не ломал только ленивый.

Еще бытует мнение, что шифруй не шифруй, а все равно получишь… доступ. Конечно, под пытками вспоминают даже те пароли, которые и не знали, но не всегда столь грубые методы доступны. Просто посмотри, сколько негодования каждый раз вызывает у ФБР очередной смартфон с функцией полного шифрования данных. К примеру, в ноябре 2017 года на допросе «техасского стрелка», убившего 26 человек, следствие застряло из-за того, что он отказался разблокировать свой смартфон.

Как же быть с историями о взломе? Все успешные «взломы» последних смартфонов достигались косвенными методами. Например, через бэкапы облачных копий, авторизацию с залогиненных в ту же учетку ноутбуков… или старым и совсем недобрым ректотермальным криптоанализом.

Когда бэкапов нет, а пытать некого, ФБР ищет профессиональных охотников за уязвимостями, поскольку само не располагает достаточно квалифицированными кадрами. Например, в 2016 году бюро заплатило 1,3 миллиона долларов за уязвимость нулевого дня. Она позволила вскрыть iPhone 5c, найденный у ликвидированного в ходе спецоперации террориста Сайеда Ризвана Фарука. Тогда Apple не смогла (или не захотела) помочь забраться в айфон, а в новых моделях закрыла эту уязвимость.

Директор ФБР Кристофер Рэй заявил, что из-за шифрования бюро не смогло получить данные почти с семи тысяч мобильных устройств, которые изъяло у подозреваемых в 2017 году. Может, шифрование и не панацея, но оно точно усложняет задачу сбора доказательств. Просто не все криптосистемы одинаково полезны, а принципиальные отличия в подходах к шифрованию данных на смартфоне описаны здесь.

Проблемы и риски в Red Teaming

Потенциальное воздействие на производственные системы

Одной из основных задач Red Teaming является обеспечение того, чтобы моделируемые атаки случайно не нарушили производственные системы или критически важные операции

Участники Red Team должны проявлять осторожность, чтобы предотвратить любые непредвиденные последствия, которые могут привести к простою или финансовым потерям

Юридические и этические соображения

Red Teaming предполагает проведение действий, которые могут быть сочтены навязчивыми или неэтичными, если ими не управлять должным образом. Соблюдение правовых границ и получение надлежащего согласия заинтересованных сторон имеет решающее значение для предотвращения юридических последствий и соблюдения этических стандартов.

Неправильное использование результатов Красной команды

Отчеты Red Team содержат конфиденциальную информацию об уязвимостях организации. Существует риск того, что такие результаты попадут в чужие руки или будут использованы злоумышленниками. Строгий контроль и безопасное обращение с результатами необходимы для снижения этого риска.

Преодоление сопротивления со стороны внутренних команд

Внутренние команды могут сопротивляться или чувствовать угрозу от участия в Red Teaming, особенно если они боятся раскрытия своих слабостей. Построение доверия, коммуникации и сотрудничества между Красными командами и внутренним персоналом необходимо для создания атмосферы сотрудничества для улучшения.

Решение этих проблем и снижение рисков имеют важное значение для успешного проведения мероприятий Red Teaming. Организации должны подходить к Red Teaming с четко определенными задачами, сильной поддержкой со стороны руководства и стремлением использовать полученные результаты для активного улучшения безопасности

Что должен знать пентестер: программирование, работа приложений, типы уязвимостей

Знания, необходимые пентестеру для работы, можно разделить на три больших категории:

1. Принципы работы разных мобильных и веб-приложений. Сюда же можно отнести понимание операционных систем.
2. Основные типы уязвимостей и техники их использования.
3. Языки программирования. Для пентестера нет необходимости в умении писать на всех языках, но читать и понимать их он обязан.

«Знать все на свете нереально. Поэтому пентестер уделяет особенно много времени изучению тех систем, с которыми он сталкивается чаще всего. А параллельно он развивает в себе полезные навыки: умение искать, быть внимательным, наблюдательным. Найти абсолютно все уязвимости невозможно. Но можно попытаться обнаружить большую часть», — поясняет Егор Богомолов.

Коротко разберем популярную задачу пентестера — использовать SQL-инъекцию. Это один из самых простых способов взлома сайта, работающего с базами данных. Его суть — внедрить в данные произвольный код на языке SQL, что позволит злоумышленнику выполнить любой запрос к базе, читать и записывать данные.

Часть необходимых знаний пентестеры получают в университете — это в первую очередь касается языков программирования. Однако программ именно для пентестеров в вузах нет — специалисты Red Team получают необходимые знания и навыки благодаря самообучению, проходят курсы и посещают вебинары.

В школе кибербезопасности HackerU есть трёхэтапный профессиональный курс «Специалист по тестированию на проникновение». Он дает знания и навыки, необходимые для старта карьеры в этой области. Получить программу обучения и записаться на бесплатный пробный урок можно по этой ссылке.

Методы Red team

Красная команда использует различные методы и инструменты для обнаружения слабых мест и уязвимостей в сети

Важно отметить, что Red team будет использовать любые средства, которые необходимы, согласно условиям участия, для проникновения в вашу систему. В зависимости от обнаруженной уязвимости они могут развернуть вредоносное ПО для заражения узлов или даже обойти физические средства контроля безопасности путем клонирования карт доступа

Некоторые из методов атаки:

Тестирование на проникновение, также известное как этический взлом, — это когда тестировщик (в данном случае специалист из Red team) пытается получить доступ к системе, используя программные инструменты.

Например, «John theRipper— это программа для взлома паролей. Она может определить, какой тип шифрования используется, и попытаться обойти его.

Социальная инженерия — это когда Red Team пытается убедить или обмануть сотрудников, чтобы они раскрыли свои учетные данные или предоставили доступ в закрытую зону.

Фишинг подразумевает отправку внешне аутентичных электронных писем, которые побуждают сотрудников предпринять определенные действия, например, войти на сайт хакера и ввести учетные данные.

Перехват коммуникаций

Программные средства, такие как снифферы пакетов и анализаторы протоколов, могут быть использованы для составления карты сети или чтения сообщений, отправленных открытым текстом. Цель этих инструментов — получить информацию о системе. Например, если злоумышленник знает, что сервер работает на операционной системе Microsoft, то он направит свои атаки на использование уязвимостей Microsoft.

Клонирование карты безопасности сотрудника для предоставления доступа в неограниченные зоны, например, в серверную комнату.

Что такое тест на проникновение?

В современной архитектуре цифровых систем, где сложные сети и приложения становятся стандартом, обеспечение их безопасности превращается в ключевую задачу. В этом контексте тестирование на проникновение выдвигается на передний план как мощный инструмент, способный выявить уязвимости в системах, которые потенциальные злоумышленники могли бы использовать в своих целях.

Проще говоря, тест на проникновение – это симуляция атаки на собственные информационные ресурсы. Опытные специалисты проводят внимательное исследование сетей, приложений и инфраструктуры, выявляя возможные точки входа

Важно понимать, что это не попытка реального взлома, а скорее методологический анализ, направленный на обнаружение уязвимых мест еще до того, как они могут быть использованы злоумышленниками

Востребованность, деньги, перспективы

Обеспечения информационной безопасности — это дорого. Согласно отчету Cisco, российские средние и крупные компании тратят на это в среднем 1,4 миллиона долларов в год. В итоге эффект — положительный: опрошенные организации оценили преимущества, которые они получили от защиты данных, в 2,1 миллиона долларов ежегодно. Логично, что инвестиции в ИБ продолжают расти.

Вместе с тем, до 93 % компаний признают, что их служба кибербезопасности не в полной мере соответствует потребностям. Одна из ключевых проблем в ИБ — «заплаточный» подход, когда проблемы решаются по мере их поступления. В таком случае отсутствует единое видение системы защиты организации.

Несостоятельность такого подхода доказывается работой пентестров. В 2019 году компания Positive Technologies ряд тестирований на проникновение, и вот что из этого вышло:

• получить доступ к локальным сетям удалось в 93 % случаев;
• чаще всего находилось несколько способов преодолеть сетевой периметр, максимальное число векторов проникновения в одном проекте — 13;
• в среднем на проникновение в локальную сеть требовалось четыре дня, минимум — 30 минут;
• сложность атаки в большинстве случаев оценивалась как низкая — значит, совершить ее мог даже низкоквалифицированный хакер.

Более современным и актуальным оказывает подход к ИБ, в котором присутствует механизм моделирования угроз, а мониторинг ведется постоянно. Практика показывает, что уровень защищенности систем растет, если безопасники и пентестеры работают в связке.

Это не может влиять на рынок: потребность в специалистах Blue Team и Red Team уже сейчас высока, а в будущем она будет только расти. Уровень зарплат в обоих случаях достойный даже у специалистов без обширного опыта:

• безопасники на старте карьеры получают в среднем 70 тысяч рублей, специалисты с опытом от года до трех лет — до 120 тысяч.
• пентестеры с опытом от трех лет могут получать до 250 тысяч рублей, без опыта — около 80 тысяч.

Заключение

Развитие iOS идет зигзагами. Возможность сброса пароля на резервные копии при помощи одного лишь кода блокировки устройства разработчики Apple пытаются компенсировать усложнением условий, при которых возможен взлом пасскода, оставляя при этом открытым доступ к паролям из связки ключей. Все, что остается обычным, не корпоративным пользователям, — это воспользоваться «детскими» ограничениями, которые, очевидно, не предназначены для серьезной защиты данных.

В то же время в iOS нет секретных «черных ходов» или явных проблем в шифровании; из штаб-квартиры Apple не выходят загрузчики с наивными, просто детскими уязвимостями (камень в огород компании OnePlus), не утекают цифровые подписи (камень в огород Microsoft и ключей от Secure Boot), не создаются и не получают распространения инженерные загрузчики (машем рукой Samsung). Те уязвимости, которые все-таки есть, обнаруживаются трудом и усилиями профессиональных команд, а их использование — часто дело нетривиальное.