RED TEAM: Имитация кибератак этичных хакеров

Что такое Red Team?

Немного погрузимся в данную атмосферу. Допустим в вашей организации создана некая система безопасности, оборонительная инфраструктура — стена, за которой следит так называемый Blue-Team, представленный в лице отдела информационной безопасности, его сотрудников, программного и аппаратного обеспечения. Структура, стоящая на защите информации вашей организации.

Возникает вопрос:

Мы построили структуру информационной безопасности, потратили кучу денег, наняли специалистов чтобы те следили за действием каждого сотрудника, неужели она не может нас защитить от всего? Как нам теперь убедиться в том, что наша структура готова и может достойно противостоять действиям злоумышленников?

Именно здесь вступают в игру Red-Team. Действия команды предназначены для эмуляции подготовленного злоумышленника, чтобы поставить под угрозу организацию с хорошо спроектированным стеком безопасности, достигнув целей в течение 1–3 месяцев и более (в зависимости от области применения).

Проверка Red-Team – это моделирование действий злоумышленников по атаке на защиту организации. Это своего рода учения на полигоне между двумя группами условных противников (red-team vs blue-team).

Red Team (Ред тим) – команда состоящая из высококвалифицированных специалистов, специализирующихся в определенных областях (разработка вредоносного кода, социальная инженерия, сетевые технологии и т.д.). Основная задача команды – проверка информационной безопасности, а точнее её компрометации (дискредитации). Компрометация – не очень приятный термин (кто же захочет по собственному желанию, чтобы скомпрометировали безопасность его организации).

Хорошо, когда компрометация происходит в рамках оценки редтиминга. В этом случае ваша организация получает необходимую информацию из сопроводительного отчета в формате поддержки наших экспертов по безопасности, чтобы исправить недостатки, обучить персонал и предоставить информацию, которая может вам понадобиться для обеспечения информационной безопасности (обезопасить от реальных угроз и последствий).

В значительной степени оценка Red Team сосредоточена на конкретной цели — подражании реальному субъекту угрозы, используя скрытность, подрывая установленные защитные средства контроля и выявляя пробелы в защитной стратегии организации.

Во время взаимодействия, Red Team больше фокусируется на конечных пользователях и использует различные способы получения минимальных и повышенных привилегий, необходимых для достижения своих целей.

Важно!

В соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» любое тестирование на проникновение, в том числе и командой RED TEAM, является лицензируемым видом деятельности и проводить данные работы имеют право только организации имеющие лицензию ФСТЭК на ТЗКИ.

Сценарии работы

• Проникновение. Например, под видом курьера, один из членов Red Team проникает в здание. Попав внутрь, он подключает устройство к внутренней сети организации для удалённого доступа. Устройство устанавливает сетевой туннель, используя один из разрешённых портов: 80, 443 или 53 (HTTP, HTTPS или DNS), обеспечивая C2-канал. Другой участник команды, используя этот канал, начинает продвижение по сетевой инфраструктуре, используя, например, незащищённые принтеры или другие устройства, которые помогут скрыть точку проникновения в сеть.
• Фишинговая рассылка. Подготовка и проведение фишинговых кампаний, ориентированных на сотрудников. Чаще всего это рассылка писем о проблеме с электронным ящиком: недоставленное сообщение, взлом пароля, рассылка спама, черный список, нехватка памяти. Сообщения тщательно маскируются под дизайн Gmail, Mail.ru и «Яндекс.Почты», от имени органов власти (Роскомнадзор), Госуслуги и т.д. Но также это может быть еще подделка сайта (корп портал, соцсеть), фишинговый телефонный звонок, СМС, и т.д.
  Таким образом, первоначальной целью является – сбор информации для дальнейшего ее использования.
• Фальсификация общедоступных точек доступа. Другой сценарий может быть нацелен на пользователей Wi-Fi, где участники команды Red Team устанавливают мошенническую точку доступа (Access Point), выдавая себя за легитимную. Когда пользователь подключается к ней, появляется возможность выполнить атаки MiTM (Man-in-the-Middle) и далее, установка специально созданных исполняемых файлов, путем захвата загруженных файлов, для получения дальнейшего доступа.

Этапы проведения оценки

Этап сбора информации

Оценка Red Team начинается:

• со сбора информации о цели;
• со сбора информации о людях, технологиях и среде;
• с использования правильных инструментов для взаимодействия.

Red Team стараются глубже понять инфраструктуру, объекты и сотрудников. Это также позволяет использовать такие средства, как создание ориентированных на пользователя вредоносных файлов, подготовка доступа к СКУД (например, создание клонов RFID), настройка аппаратных троянов, применение камуфлирующей атрибутики для проникновения и получения физического доступа к объектам.

Типичная информация, собранная на этом этапе, включает в себя:

• Раскрытие используемых операционных систем (Windows, macOS или Linux).
• Определение марки и модели сетевого оборудования (серверы, межсетевые экраны, коммутаторы, маршрутизаторы, точки доступа, компьютеры и т. д.).
• Понимание физического контроля (двери, замки, камеры, сотрудники службы безопасности).
• Изучение того, какие порты открыты/закрыты в брандмауэре, чтобы разрешить/заблокировать определенный трафик.
• Создание карты сети, чтобы определить, на каких хостах работают какие сервисы и куда отправляется трафик.

Этап получения доступа

На этапе получения доступа, Red-Team использует уязвимости, выявленные в процессе сбора информации. Данный этап может включать в себя использование социальной инженерии (фишинговая рассылка писем, сбор информации) против сотрудников или обход физической защиты (клонирование носителей RFID — СКУД), использование уязвимостей программного обеспечения, выявленных в ходе сканирования (пентест), чтобы обойти защитные механизмы организации.

Например, участник Red-Team может знать, что на сервере работает Microsoft Windows Server 2016 R2 (серверная операционная система) и что по-прежнему используются политики домена по умолчанию. Microsoft поставляет свое программное обеспечение с настройками по умолчанию, предоставляя сетевым администраторам возможность обновлять политики. Если настройки все еще установлены в состояние по умолчанию, злоумышленник может воспользоваться смягченными мерами безопасности.

То есть, Red Team не только проводит полный аудит сетевой инфраструктуры, но и специализируется на вскрытии СКУД, получении доступа к камерам наблюдения и так далее.

Для реализации Red teaming часто вовлекают больше людей, ресурсов и времени, чтобы глубоко понять реальный уровень риска и уязвимости в отношении технологий, персонала и физических ресурсов организации.

Этап эксплуатации

С помощью взломанных серверов, установки вредоносных файлов или с использованием оттисков физических ключей, Red-Team стремится получить управление и контроль. Как только удаленный доступ к эксплуатируемым системам становится стабильным и надежным, начинается этап для реальных действий по достижению цели, таких как изменение критически важных данных, информации или физических активов.

Заключительный этап

Документация и отчетность — это считается последней фазой проверки Red-Team и в основном состоит из создания окончательного, документированного отчета, содержащего:

• Информацию об обнаруженных слабых местах и уязвимостях в безопасности;
• Типы и виды кибератак, которые были проведены, и их последствия;
• Возможность эксплуатации реальным кибер-злоумышленником;
• Корректирующие действия, которые необходимо предпринять для устранения всех обнаруженных пробелов в безопасности;
• Последствия, которые могут возникнуть из-за отсутствия действий или реализации рекомендованных решений.

В конце взаимодействия, Red-Team сообщает Blue-Team признаки компрометации, которые были обнаружены во время реализации проекта. Затем эти данные можно сравнить с другими данными, собранными в ходе проекта и включенными в отчет. Для получения максимального эффекта от проекта, Red-Team тесно сотрудничает с Blue-team, объединяя тактику, методы и процедуры, как лучше выявлять и реагировать на такие наступательные методы в будущих инцидентах.

Результаты проведения редтиминга

Хорошо, мы заинтересованы в проведении проверки Red Team, но что мы узнаем и получим в итоге?

• Качественная оценка тестирования на проникновение (Пентест) — оценка Red-Team поможет выявить и устранить уязвимости, обнаруженные в программном обеспечении и системах инфраструктуры.
• Редтиминг имеет гораздо более широкую область применения, помогая вам выявить более широкий спектр уязвимостей в организации, которые могут использоваться совместно для компрометации конфиденциальных активов или данных.
• Red-Team позволит раскрыть множество способов, которыми злоумышленник сможет взломать вашу защиту.
• Red-Team поможет определить потенциальный ущерб, который может быть нанесен.
• Также оценка редтим в области моделировании продвинутых атак повышает уровень ваших внутренних команд безопасности. Red-Team может помочь определить, насколько эффективны ваши внутренние группы безопасности.
• Редтиминг позволяет узнать, хорошо ли работает защита, без последствий реального инцидента.
• Red-Team помогают команде безопасности стать более гибкой в разработке защитных средств, а также в обучении реагировать на угрозы.
• Задача команды состоит в том, чтобы способствовать улучшению защитной структуры.

Наша собственная оценка Red-Team — это комплексное моделирование атак, проводимое высококвалифицированными экспертами по безопасности для:

• Определения физических, аппаратных, программных и человеческих уязвимостей
• Получения более реалистичного понимания риска для вашей организации
• Оценки подготовленности сотрудников и их рабочих мест
• Помощи в устранении всех выявленных недостатков безопасности

Red-Team будет полезен для любой организации, желающей проверить свою устойчивость к киберугрозам и обладающих важными активами бизнеса, которые они хотят защитить.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 382-П, 684-П, 683-П для российских банков, некредитных финансовых организаций, а также платежных систем
• Поддерживаем самую обширную линейку услуг в тематике тестирования на проникновение и анализа уязвимостей
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты