Δεν είναι όλοι οι χάκερ κακά νέα! Οι χάκερ της Red team θα προσπαθήσουν να εισέλθουν στα δεδομένα σας, αλλά για αλτρουιστικούς σκοπούς...

Η κόκκινη ομαδοποίηση είναι η πράξη δοκιμής, επίθεσης και διείσδυσης σε δίκτυα υπολογιστών, εφαρμογές και συστήματα. Οι Red teamers είναι ηθικοί χάκερ που προσλαμβάνονται από οργανισμούς για να δοκιμάσουν την αρχιτεκτονική ασφαλείας τους. Ο απώτερος στόχος της κόκκινης ομάδας είναι να βρει —και μερικές φορές να προκαλέσει— προβλήματα και τρωτά σημεία σε έναν υπολογιστή και να τα εκμεταλλευτεί.

Γιατί είναι σημαντική η Red Teaming;

Για έναν οργανισμό που πρέπει να προστατεύει ευαίσθητα δεδομένα και συστήματα, η κόκκινη ομαδοποίηση περιλαμβάνει προσλήψεις χειριστές κυβερνοασφάλειας να δοκιμάσουν, να επιτεθούν και να διεισδύσουν στην αρχιτεκτονική ασφαλείας του πριν από κακόβουλο κάνουν οι χάκερ. Το συγκριτικό κόστος για τη λήψη φιλικών για την προσομοίωση μιας επίθεσης είναι εκθετικά μικρότερο από ό, τι αν κάνουν οι επιτιθέμενοι.

Έτσι, οι red teamers παίζουν ουσιαστικά το ρόλο των εξωτερικών χάκερ. μόνο οι προθέσεις τους δεν είναι κακόβουλες. Αντίθετα, οι χειριστές χρησιμοποιούν κόλπα, εργαλεία και τεχνικές πειρατείας για να βρουν και να εκμεταλλευτούν τρωτά σημεία. Τεκμηριώνουν επίσης τη διαδικασία, ώστε η εταιρεία να μπορεί να χρησιμοποιήσει τα διδάγματα που έχει μάθει για να βελτιώσει τη συνολική αρχιτεκτονική ασφαλείας της.

instagram viewer

Η κόκκινη ομαδοποίηση είναι σημαντική επειδή οι εταιρείες (ακόμα και τα άτομα) με μυστικά δεν έχουν την πολυτέλεια να αφήσουν τους αντιπάλους να πάρουν τα κλειδιά του βασιλείου. Τουλάχιστον, μια παραβίαση θα μπορούσε να οδηγήσει σε απώλεια εσόδων, πρόστιμα από οργανισμούς συμμόρφωσης, απώλεια εμπιστοσύνης των πελατών και δημόσια αμηχανία. Στη χειρότερη περίπτωση, μια επιθετική παραβίαση θα μπορούσε να οδηγήσει σε πτώχευση, την ανεπανόρθωτη κατάρρευση μιας εταιρείας και κλοπή ταυτότητας που επηρεάζει εκατομμύρια πελάτες.

Τι είναι ένα παράδειγμα Red Teaming;

Η κόκκινη ομάδα είναι πολύ εστιασμένη στο σενάριο. Για παράδειγμα, μια εταιρεία μουσικής παραγωγής μπορεί να προσλάβει χειριστές της κόκκινης ομάδας για τη δοκιμή διασφαλίσεων για την αποφυγή διαρροών. Οι χειριστές δημιουργούν σενάρια που αφορούν άτομα που έχουν πρόσβαση σε μονάδες δεδομένων που περιέχουν πνευματική ιδιοκτησία καλλιτεχνών.

Ένας στόχος σε αυτό το σενάριο μπορεί να είναι ο έλεγχος επιθέσεων που είναι πιο αποτελεσματικές στο να παραβιάσουν τα δικαιώματα πρόσβασης σε αυτά τα αρχεία. Ένας άλλος στόχος μπορεί να είναι να ελέγξετε πόσο εύκολα ένας εισβολέας μπορεί να μετακινηθεί πλευρικά από ένα σημείο εισόδου και να διεισδύσει στις κλεμμένες κύριες εγγραφές.

Ποιοι είναι οι στόχοι της Red Team;

Η κόκκινη ομάδα ξεκινά να βρει και να εκμεταλλευτεί όσο το δυνατόν περισσότερα τρωτά σημεία σε σύντομο χρονικό διάστημα, χωρίς να πιαστεί. Ενώ οι πραγματικοί στόχοι σε μια άσκηση κυβερνοασφάλειας θα διαφέρουν μεταξύ των οργανισμών, οι κόκκινες ομάδες έχουν γενικά τους ακόλουθους στόχους:

  • Μοντέλο πραγματικών απειλών.
  • Προσδιορίστε τις αδυναμίες δικτύου και λογισμικού.
  • Προσδιορίστε τομείς προς βελτίωση.
  • Αξιολογήστε την αποτελεσματικότητα των πρωτοκόλλων ασφαλείας.

Πώς λειτουργεί το Red Teaming;

Η Red teaming ξεκινά όταν μια εταιρεία (ή άτομο) προσλαμβάνει χειριστές κυβερνοασφάλειας για να δοκιμάσουν και να αξιολογήσουν την άμυνά τους. Μόλις προσληφθεί, η εργασία περνά από τέσσερα στάδια δέσμευσης: σχεδιασμός, εκτέλεση, απολύμανση και αναφορά.

Στάδιο Σχεδιασμού

Στο στάδιο του σχεδιασμού, ο πελάτης και η κόκκινη ομάδα ορίζουν τους στόχους και το εύρος της δέσμευσης. Εδώ ορίζουν τους εξουσιοδοτημένους στόχους (καθώς και τα περιουσιακά στοιχεία που εξαιρούνται από την άσκηση), το περιβάλλον (φυσικό και ψηφιακό), τη διάρκεια της δέσμευσης, το κόστος και άλλα logistics. Και οι δύο πλευρές δημιουργούν επίσης τους κανόνες εμπλοκής που θα καθοδηγούν την άσκηση.

Στάδιο Εκτέλεσης

Το στάδιο εκτέλεσης είναι όπου οι χειριστές της κόκκινης ομάδας χρησιμοποιούν ό, τι μπορούν για να βρουν και να εκμεταλλευτούν τρωτά σημεία. Πρέπει να το κάνουν κρυφά και να αποφύγουν να καταρριφθούν από τα υπάρχοντα αντίμετρα ή τα πρωτόκολλα ασφαλείας των στόχων τους. Οι Red teamers χρησιμοποιούν διάφορες τακτικές στη μήτρα Adversarial Tactics, Techniques and Common Knowledge (ATT&CK).

Ο πίνακας ATT&CK περιλαμβάνει πλαίσια που χρησιμοποιούν οι εισβολείς για πρόσβαση, διατήρηση και μετακίνηση μέσω αρχιτεκτονικών ασφαλείας, επίσης όπως πώς συλλέγουν δεδομένα και διατηρούν επικοινωνία με την παραβιασμένη αρχιτεκτονική μετά από ένα επίθεση.

Μερικές τεχνικές που μπορεί να χρησιμοποιήσουν περιλαμβάνουν επιθέσεις οδηγού, κοινωνική μηχανική, phishing, sniffing δικτύου, απόρριψη διαπιστευτηρίων, και σάρωση θυρών.

Στάδιο Απολύμανσης

Αυτή είναι η περίοδος καθαρισμού. Εδώ, οι χειριστές των κόκκινων ομάδων δένουν χαλαρά άκρα και σβήνουν τα ίχνη της επίθεσής τους. Για παράδειγμα, η πρόσβαση σε ορισμένους καταλόγους μπορεί να αφήσει αρχεία καταγραφής και μεταδεδομένα. Ο στόχος της κόκκινης ομάδας στο στάδιο της απολύμανσης είναι να καθαρίσει αυτά τα κούτσουρα και καθαρίστε τα μεταδεδομένα.

Επιπλέον, αντιστρέφουν επίσης τις αλλαγές που έκαναν στην αρχιτεκτονική ασφαλείας κατά το στάδιο της εκτέλεσης. Αυτό περιλαμβάνει την επαναφορά των ελέγχων ασφαλείας, την ανάκληση των δικαιωμάτων πρόσβασης, το κλείσιμο παρακαμπτηρίων ή κερκόπορτων, την αφαίρεση κακόβουλου λογισμικού και την επαναφορά αλλαγών σε αρχεία ή σενάρια.

Η τέχνη συχνά μιμείται τη ζωή. Η απολύμανση είναι σημαντική επειδή οι χειριστές των κόκκινων ομάδων θέλουν να αποφύγουν να ανοίξουν το δρόμο για κακόβουλους χάκερ προτού η ομάδα άμυνας μπορέσει να διορθώσει τα πράγματα.

Στάδιο Αναφοράς

Σε αυτό το στάδιο, η κόκκινη ομάδα ετοιμάζει ένα έγγραφο που περιγράφει τις ενέργειες και τα αποτελέσματά της. Η έκθεση περιλαμβάνει περαιτέρω παρατηρήσεις, εμπειρικά ευρήματα και συστάσεις για την επιδιόρθωση των τρωτών σημείων. Μπορεί επίσης να περιλαμβάνει οδηγίες για την εξασφάλιση αξιοποιημένης αρχιτεκτονικής και πρωτοκόλλων.

Η μορφή των αναφορών της κόκκινης ομάδας συνήθως ακολουθεί ένα πρότυπο. Οι περισσότερες αναφορές περιγράφουν τους στόχους, το πεδίο εφαρμογής και τους κανόνες δέσμευσης. αρχεία καταγραφής ενεργειών και αποτελεσμάτων· αποτελέσματα· συνθήκες που κατέστησαν δυνατά αυτά τα αποτελέσματα· και το διάγραμμα επίθεσης. Συνήθως υπάρχει μια ενότητα για την αξιολόγηση των κινδύνων ασφαλείας των εξουσιοδοτημένων στόχων και των στοιχείων ασφαλείας επίσης.

Τι ακολουθεί μετά την Κόκκινη Ομάδα;

Οι εταιρείες προσλαμβάνουν συχνά κόκκινες ομάδες για να δοκιμάζουν τα συστήματα ασφαλείας εντός ενός καθορισμένου πεδίου ή σεναρίου. Μετά από εμπλοκή της κόκκινης ομάδας, η ομάδα άμυνας (δηλαδή η μπλε ομάδα) χρησιμοποιεί τα διδάγματα που αντλήθηκαν για να βελτιώσει τις δυνατότητές της ασφαλείας έναντι γνωστών απειλών και απειλών μηδενικής ημέρας. Αλλά οι επιτιθέμενοι δεν περιμένουν. Δεδομένης της μεταβαλλόμενης κατάστασης της κυβερνοασφάλειας και των ταχέως εξελισσόμενων απειλών, το έργο της δοκιμής και της βελτίωσης της αρχιτεκτονικής ασφάλειας δεν ολοκληρώνεται ποτέ πραγματικά.