8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

RED TEAM

В настоящее время, у злоумышленников появляется все больше возможностей для получения доступа к информационной среде организаций, что влечет за собой как финансовые потери, так и репутационные риски в случае прорыва обороны системы информационной безопасности.

Злоумышленники пользуются тем, что пользователи информационных систем не предпринимают достаточных мер безопасности, решив, что приобретение лицензионного программного обеспечения, операционных систем, средств защиты как программных, так и аппаратных, а также настройка оборудования для защиты избавит их от всех возможных угроз. Такой подход не может быть абсолютно верным. Даже в этом случае могут остаться бреши в обороне. Легким примером может стать деструктивная почтовая рассылка сотрудникам организации специально подготовленных электронных писем. Письма могут быть хорошо замаскированы и сотрудник, получив такое письмо и не заметив ничего подозрительного откроет его или перейдет по ссылкам, вложенным в письмо, и тем самым попадет в радиус действия радаров киберпреступников.

Даже компании, которые считают что не имеют никакой ценной информации для защиты, могут подвергаться риску того, что кто-то попытается захватить сеть, установить вредоносное ПО, нарушить работу служб и многое другое. С таким количеством возможных атак, тестирование на проникновение является значимым инструментом и идет в ногу с развитием технологий.

RED TEAM

Эксперты по Red Team

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Кунавин Валерий Евгеньевич

Кунавин Валерий Евгеньевич

Младший консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2020 года

Профиль >>

Все эксперты

Описание

Что такое Red Team?

Немного погрузимся в данную атмосферу. Допустим в вашей организации создана некая система безопасности, оборонительная инфраструктура — стена, за которой следит так называемый Blue-Team, представленный в лице отдела информационной безопасности, его сотрудников, программного и аппаратного обеспечения. Структура, стоящая на защите информации вашей организации.

Возникает вопрос:

Мы построили структуру информационной безопасности, потратили кучу денег, наняли специалистов чтобы те следили за действием каждого сотрудника, неужели она не может нас защитить от всего? Как нам теперь убедиться в том, что наша структура готова и может достойно противостоять действиям злоумышленников?

Именно здесь вступают в игру Red-Team. Действия команды предназначены для эмуляции подготовленного злоумышленника, чтобы поставить под угрозу организацию с хорошо спроектированным стеком безопасности, достигнув целей в течение 1–3 месяцев и более (в зависимости от области применения).

Проверка Red-Team – это моделирование действий злоумышленников по атаке на защиту организации. Это своего рода учения на полигоне между двумя группами условных противников (red-team vs blue-team).

Red Team (Ред тим) – команда состоящая из высококвалифицированных специалистов, специализирующихся в определенных областях (разработка вредоносного кода, социальная инженерия, сетевые технологии и т.д.). Основная задача команды – проверка информационной безопасности, а точнее её компрометации (дискредитации). Компрометация – не очень приятный термин (кто же захочет по собственному желанию, чтобы скомпрометировали безопасность его организации).

Хорошо, когда компрометация происходит в рамках оценки редтиминга. В этом случае ваша организация получает необходимую информацию из сопроводительного отчета в формате поддержки наших экспертов по безопасности, чтобы исправить недостатки, обучить персонал и предоставить информацию, которая может вам понадобиться для обеспечения информационной безопасности (обезопасить от реальных угроз и последствий).

В значительной степени оценка Red Team сосредоточена на конкретной цели — подражании реальному субъекту угрозы, используя скрытность, подрывая установленные защитные средства контроля и выявляя пробелы в защитной стратегии организации.

Во время взаимодействия, Red Team больше фокусируется на конечных пользователях и использует различные способы получения минимальных и повышенных привилегий, необходимых для достижения своих целей.

Сценарии работы

Сценарии работы Red Team

  • Проникновение. Например, под видом курьера, один из членов Red Team проникает в здание. Попав внутрь, он подключает устройство к внутренней сети организации для удалённого доступа. Устройство устанавливает сетевой туннель, используя один из разрешённых портов: 80, 443 или 53 (HTTP, HTTPS или DNS), обеспечивая C2-канал. Другой участник команды, используя этот канал, начинает продвижение по сетевой инфраструктуре, используя, например, незащищённые принтеры или другие устройства, которые помогут скрыть точку проникновения в сеть.
  • Фишинговая рассылка. Подготовка и проведение фишинговых кампаний, ориентированных на сотрудников. Чаще всего это рассылка писем о проблеме с электронным ящиком: недоставленное сообщение, взлом пароля, рассылка спама, черный список, нехватка памяти. Сообщения тщательно маскируются под дизайн Gmail, Mail.ru и «Яндекс.Почты», от имени органов власти (Роскомнадзор), Госуслуги и т.д. Но также это может быть еще подделка сайта (корп портал, соцсеть), фишинговый телефонный звонок, СМС, и т.д.
    Таким образом, первоначальной целью является – сбор информации для дальнейшего ее использования.
  • Фальсификация общедоступных точек доступа. Другой сценарий может быть нацелен на пользователей Wi-Fi, где участники команды Red Team устанавливают мошенническую точку доступа (Access Point), выдавая себя за легитимную. Когда пользователь подключается к ней, появляется возможность выполнить атаки MiTM (Man-in-the-Middle) и далее, установка специально созданных исполняемых файлов, путем захвата загруженных файлов, для получения дальнейшего доступа.

    Запрос коммерческого предложения

    Этапы проведения оценки

    Этапы проведения оценки

    Этап сбора информации

    Оценка Red Team начинается:

    • со сбора информации о цели;
    • со сбора информации о людях, технологиях и среде;
    • с использования правильных инструментов для взаимодействия.

    Red Team стараются глубже понять инфраструктуру, объекты и сотрудников. Это также позволяет использовать такие средства, как создание ориентированных на пользователя вредоносных файлов, подготовка доступа к СКУД (например, создание клонов RFID), настройка аппаратных троянов, применение камуфлирующей атрибутики для проникновения и получения физического доступа к объектам.

    Типичная информация, собранная на этом этапе, включает в себя:

    • Раскрытие используемых операционных систем (Windows, macOS или Linux).
    • Определение марки и модели сетевого оборудования (серверы, межсетевые экраны, коммутаторы, маршрутизаторы, точки доступа, компьютеры и т. д.).
    • Понимание физического контроля (двери, замки, камеры, сотрудники службы безопасности).
    • Изучение того, какие порты открыты/закрыты в брандмауэре, чтобы разрешить/заблокировать определенный трафик.
    • Создание карты сети, чтобы определить, на каких хостах работают какие сервисы и куда отправляется трафик.

    Этап получения доступа

    На этапе получения доступа, Red-Team использует уязвимости, выявленные в процессе сбора информации. Данный этап может включать в себя использование социальной инженерии (фишинговая рассылка писем, сбор информации) против сотрудников или обход физической защиты (клонирование носителей RFID — СКУД), использование уязвимостей программного обеспечения, выявленных в ходе сканирования (пентест), чтобы обойти защитные механизмы организации.

    Например, участник Red-Team может знать, что на сервере работает Microsoft Windows Server 2016 R2 (серверная операционная система) и что по-прежнему используются политики домена по умолчанию. Microsoft поставляет свое программное обеспечение с настройками по умолчанию, предоставляя сетевым администраторам возможность обновлять политики. Если настройки все еще установлены в состояние по умолчанию, злоумышленник может воспользоваться смягченными мерами безопасности.

    То есть, Red Team не только проводит полный аудит сетевой инфраструктуры, но и специализируется на вскрытии СКУД, получении доступа к камерам наблюдения и так далее.

    Для реализации Red teaming часто вовлекают больше людей, ресурсов и времени, чтобы глубоко понять реальный уровень риска и уязвимости в отношении технологий, персонала и физических ресурсов организации.

    Этап эксплуатации

    С помощью взломанных серверов, установки вредоносных файлов или с использованием оттисков физических ключей, Red-Team стремится получить управление и контроль. Как только удаленный доступ к эксплуатируемым системам становится стабильным и надежным, начинается этап для реальных действий по достижению цели, таких как изменение критически важных данных, информации или физических активов.

    Заключительный этап

    Документация и отчетность — это считается последней фазой проверки Red-Team и в основном состоит из создания окончательного, документированного отчета, содержащего:

    • Информацию об обнаруженных слабых местах и уязвимостях в безопасности;
    • Типы и виды кибератак, которые были проведены, и их последствия;
    • Возможность эксплуатации реальным кибер-злоумышленником;
    • Корректирующие действия, которые необходимо предпринять для устранения всех обнаруженных пробелов в безопасности;
    • Последствия, которые могут возникнуть из-за отсутствия действий или реализации рекомендованных решений.

    В конце взаимодействия, Red-Team сообщает Blue-Team признаки компрометации, которые были обнаружены во время реализации проекта. Затем эти данные можно сравнить с другими данными, собранными в ходе проекта и включенными в отчет. Для получения максимального эффекта от проекта, Red-Team тесно сотрудничает с Blue-team, объединяя тактику, методы и процедуры, как лучше выявлять и реагировать на такие наступательные методы в будущих инцидентах.

    Результаты проведения редтиминга

    Хорошо, мы заинтересованы в проведении проверки Red Team, но что мы узнаем и получим в итоге?

    Что получим в итоге проведения Red Team

    • Качественная оценка тестирования на проникновение (Пентест) — оценка Red-Team поможет выявить и устранить уязвимости, обнаруженные в программном обеспечении и системах инфраструктуры.
    • Редтиминг имеет гораздо более широкую область применения, помогая вам выявить более широкий спектр уязвимостей в организации, которые могут использоваться совместно для компрометации конфиденциальных активов или данных.
    • Red-Team позволит раскрыть множество способов, которыми злоумышленник сможет взломать вашу защиту.
    • Red-Team поможет определить потенциальный ущерб, который может быть нанесен.
    • Также оценка редтим в области моделировании продвинутых атак повышает уровень ваших внутренних команд безопасности. Red-Team может помочь определить, насколько эффективны ваши внутренние группы безопасности.
    • Редтиминг позволяет узнать, хорошо ли работает защита, без последствий реального инцидента.
    • Red-Team помогают команде безопасности стать более гибкой в разработке защитных средств, а также в обучении реагировать на угрозы.
    • Задача команды состоит в том, чтобы способствовать улучшению защитной структуры.

    Наша собственная оценка Red-Team — это комплексное моделирование атак, проводимое высококвалифицированными экспертами по безопасности для:

    Результаты проведения Red Team

    • Определения физических, аппаратных, программных и человеческих уязвимостей
    • Получения более реалистичного понимания риска для вашей организации
    • Оценки подготовленности сотрудников и их рабочих мест
    • Помощи в устранении всех выявленных недостатков безопасности

    Red-Team будет полезен для любой организации, желающей проверить свою устойчивость к киберугрозам и обладающих важными активами бизнеса, которые они хотят защитить.

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 382-П, 684-П, 683-П для российских банков, некредитных финансовых организаций, а также платежных систем
    • Поддерживаем самую обширную линейку услуг в тематике тестирования на проникновение и анализа уязвимостей
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по RED TEAM

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: +7 (495) 309-31-25
    Время работы: пн-пт 10:00 — 17:00 (мск)
    email: info@rtmtech.ru

      Заказать





      Видео по Red Team

      Наши преимущества

      Без сбоев в работе

      Без нарушения функционирования информационной инфраструктуры

      3 лицензии

      ФСТЭК России и ФСБ России

      Объективность

      Объективная оценка о состоянии информационной безопасности

      Цены на услуги по Red Team

      Наименование услуги Стоимость

      Консультация

      бесплатно

      RED TEAM (Редтиминг)

      от 1 500 000 руб.

      FAQ: Часто задаваемые вопросы

      А сколько человек участвует в RED TEAM?

      Состав команды зависит от решаемых задач. Как правило это 2-4 человека: специалисты по сетевому взлому, социальной инженерии, анализу приложений и координатор группы.

      НАМ ДОВЕРЯЮТ