RED TEAM: Комплексная проверка безопасности информационных систем (пентест)

Проверка не только технических средств защиты, но и подготовленности вашего подразделения по противодействию вторжениям.

Мы предлагаем:

  • Тестирование на проникновение по черному и белому ящикам (пентест);
  • Комбинации с социальной инженерией;
  • Внедрение сотрудников;
  • Анализ мер по отражению кибератаки.

Почему мы:

  • Опыт работ с системно-значимыми кредитными организациями;
  • Команда из более чем 10 профессионалов с отрасли информационной безопасности;
  • Гибкие сроки проведения работ.
RED TEAM: Комплексная проверка безопасности информационных систем (пентест) - услуги RTM Group
RED TEAM: Комплексная проверка безопасности информационных систем (пентест) - от RTM Group
Узнать стоимость?

Эксперты по Red Team

Эксперт по Red Team Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по Red Team Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты

Что такое Red Team?

Немного погрузимся в данную атмосферу. Допустим в вашей организации создана некая система безопасности, оборонительная инфраструктура – стена, за которой следит так называемый Blue Team, представленный в лице отдела информационной безопасности, его сотрудников, программного и аппаратного обеспечения. Структура, стоящая на защите информации вашей организации.

Возникает вопрос:

Мы построили структуру информационной безопасности, потратили кучу денег, наняли специалистов чтобы те следили за действием каждого сотрудника, неужели она не может нас защитить от всего? Как нам теперь убедиться в том, что наша структура готова и может достойно противостоять действиям злоумышленников?

Именно здесь вступают в игру Red Team. Действия команды предназначены для эмуляции подготовленного злоумышленника, чтобы поставить под угрозу организацию с хорошо спроектированным стеком безопасности, достигнув целей в течение 1–3 месяцев и более (в зависимости от области применения).

Проверка Red Team — это моделирование действий злоумышленников по атаке на защиту организации. Это своего рода учения на полигоне между двумя группами условных противников (red-team vs blue-team).

Red Team (Ред тим) — команда состоящая из высококвалифицированных специалистов, специализирующихся в определенных областях (разработка вредоносного кода, социальная инженерия, сетевые технологии и т.д.). Основная задача команды – проверка информационной безопасности, а точнее её компрометации (дискредитации). Компрометация – не очень приятный термин (кто же захочет по собственному желанию, чтобы скомпрометировали безопасность его организации).

Хорошо, когда компрометация происходит в рамках оценки редтиминга. В этом случае ваша организация получает необходимую информацию из сопроводительного отчета в формате поддержки наших экспертов по безопасности, чтобы исправить недостатки, обучить персонал и предоставить информацию, которая может вам понадобиться для обеспечения информационной безопасности (обезопасить от реальных угроз и последствий).

В значительной степени оценка Red Team сосредоточена на конкретной цели – подражании реальному субъекту угрозы, используя скрытность, подрывая установленные защитные средства контроля и выявляя пробелы в защитной стратегии организации.

Во время взаимодействия, Red Team больше фокусируется на конечных пользователях и использует различные способы получения минимальных и повышенных привилегий, необходимых для достижения своих целей.

Важно!

В соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. N 79 “О лицензировании деятельности по технической защите конфиденциальной информации” любое тестирование на проникновение, в том числе и командой RED TEAM, является лицензируемым видом деятельности и проводить данные работы имеют право только организации имеющие лицензию ФСТЭК на ТЗКИ.

Сценарии работы

Сценарии работы Red Team

  1. Проникновение. Например, под видом курьера, один из членов Red Team проникает в здание. Попав внутрь, он подключает устройство к внутренней сети организации для удалённого доступа. Устройство устанавливает сетевой туннель, используя один из разрешённых портов: 80, 443 или 53 (HTTP, HTTPS или DNS), обеспечивая C2-канал. Другой участник команды, используя этот канал, начинает продвижение по сетевой инфраструктуре, используя, например, незащищённые принтеры или другие устройства, которые помогут скрыть точку проникновения в сеть.
  2. Фишинговая рассылка. Подготовка и проведение фишинговых кампаний, ориентированных на сотрудников. Чаще всего это рассылка писем о проблеме с электронным ящиком: недоставленное сообщение, взлом пароля, рассылка спама, черный список, нехватка памяти. Сообщения тщательно маскируются под дизайн Gmail, Mail.ru и «Яндекс.Почты», от имени органов власти (Роскомнадзор), Госуслуги и т.д. Но также это может быть еще подделка сайта (корп портал, соцсеть), фишинговый телефонный звонок, СМС, и т.д.
    Таким образом, первоначальной целью является – сбор информации для дальнейшего ее использования.
  3. Фальсификация общедоступных точек доступа. Другой сценарий может быть нацелен на пользователей Wi-Fi, где участники команды Red Team устанавливают мошенническую точку доступа (Access Point), выдавая себя за легитимную. Когда пользователь подключается к ней, появляется возможность выполнить атаки MiTM (Man-in-the-Middle) и далее, установка специально созданных исполняемых файлов, путем захвата загруженных файлов, для получения дальнейшего доступа.

    Нужна консультация?

    Этапы проведения оценки

    Этапы проведения оценки

    Этап сбора информации

    Оценка Red Team начинается:

    1. со сбора информации о цели;
    2. со сбора информации о людях, технологиях и среде;
    3. с использования правильных инструментов для взаимодействия.

    Red Team стараются глубже понять инфраструктуру, объекты и сотрудников. Это также позволяет использовать такие средства, как создание ориентированных на пользователя вредоносных файлов, подготовка доступа к СКУД (например, создание клонов RFID), настройка аппаратных троянов, применение камуфлирующей атрибутики для проникновения и получения физического доступа к объектам.

    Типичная информация, собранная на этом этапе, включает в себя:

    • Раскрытие используемых операционных систем (Windows, macOS или Linux).
    • Определение марки и модели сетевого оборудования (серверы, межсетевые экраны, коммутаторы, маршрутизаторы, точки доступа, компьютеры и т. д.).
    • Понимание физического контроля (двери, замки, камеры, сотрудники службы безопасности).
    • Изучение того, какие порты открыты/закрыты в брандмауэре, чтобы разрешить/заблокировать определенный трафик.
    • Создание карты сети, чтобы определить, на каких хостах работают какие сервисы и куда отправляется трафик.

    Этап получения доступа

    На этапе получения доступа, Red Team использует уязвимости, выявленные в процессе сбора информации. Данный этап может включать в себя использование социальной инженерии (фишинговая рассылка писем, сбор информации) против сотрудников или обход физической защиты (клонирование носителей RFID – СКУД), использование уязвимостей программного обеспечения, выявленных в ходе сканирования (пентест), чтобы обойти защитные механизмы организации.

    Например, участник Red Team может знать, что на сервере работает Microsoft Windows Server 2016 R2 (серверная операционная система) и что по-прежнему используются политики домена по умолчанию. Microsoft поставляет свое программное обеспечение с настройками по умолчанию, предоставляя сетевым администраторам возможность обновлять политики. Если настройки все еще установлены в состояние по умолчанию, злоумышленник может воспользоваться смягченными мерами безопасности.

    То есть, Red Team не только проводит полный аудит сетевой инфраструктуры, но и специализируется на вскрытии СКУД, получении доступа к камерам наблюдения и так далее.

    Для реализации Red teaming часто вовлекают больше людей, ресурсов и времени, чтобы глубоко понять реальный уровень риска и уязвимости в отношении технологий, персонала и физических ресурсов организации.

    Этап эксплуатации

    С помощью взломанных серверов, установки вредоносных файлов или с использованием оттисков физических ключей, Red Team стремится получить управление и контроль. Как только удаленный доступ к эксплуатируемым системам становится стабильным и надежным, начинается этап для реальных действий по достижению цели, таких как изменение критически важных данных, информации или физических активов.

    Заключительный этап

    Документация и отчетность — это считается последней фазой проверки Red Team и в основном состоит из создания окончательного, документированного отчета, содержащего:

    • Информацию об обнаруженных слабых местах и уязвимостях в безопасности;
    • Типы и виды кибератак, которые были проведены, и их последствия;
    • Возможность эксплуатации реальным кибер-злоумышленником;
    • Корректирующие действия, которые необходимо предпринять для устранения всех обнаруженных пробелов в безопасности;
    • Последствия, которые могут возникнуть из-за отсутствия действий или реализации рекомендованных решений.

    В конце взаимодействия, Red-Team сообщает Blue-Team признаки компрометации, которые были обнаружены во время реализации проекта. Затем эти данные можно сравнить с другими данными, собранными в ходе проекта и включенными в отчет. Для получения максимального эффекта от проекта, Red-Team тесно сотрудничает с Blue-team, объединяя тактику, методы и процедуры, как лучше выявлять и реагировать на такие наступательные методы в будущих инцидентах.

    Результаты проведения редтиминга

    Хорошо, мы заинтересованы в проведении проверки Red Team, но что мы узнаем и получим в итоге?

    Что получим в итоге проведения Red Team

    • Качественная оценка тестирования на проникновение (Пентест) — оценка Red Team поможет выявить и устранить уязвимости, обнаруженные в программном обеспечении и системах инфраструктуры.
    • Редтиминг имеет гораздо более широкую область применения, помогая вам выявить более широкий спектр уязвимостей в организации, которые могут использоваться совместно для компрометации конфиденциальных активов или данных.
    • Red Team позволит раскрыть множество способов, которыми злоумышленник сможет взломать вашу защиту.
    • Red Team поможет определить потенциальный ущерб, который может быть нанесен.
    • Также оценка редтим в области моделировании продвинутых атак повышает уровень ваших внутренних команд безопасности. Red Team может помочь определить, насколько эффективны ваши внутренние группы безопасности.
    • Редтиминг позволяет узнать, хорошо ли работает защита, без последствий реального инцидента.
    • Red Team помогают команде безопасности стать более гибкой в разработке защитных средств, а также в обучении реагировать на угрозы.
    • Задача команды состоит в том, чтобы способствовать улучшению защитной структуры.

    Наша собственная оценка Red Team — это комплексное моделирование атак, проводимое высококвалифицированными экспертами по безопасности для:

    Результаты проведения Red Team

    • Определения физических, аппаратных, программных и человеческих уязвимостей
    • Получения более реалистичного понимания риска для вашей организации
    • Оценки подготовленности сотрудников и их рабочих мест
    • Помощи в устранении всех выявленных недостатков безопасности

    Red Team будет полезен для любой организации, желающей проверить свою устойчивость к киберугрозам и обладающих важными активами бизнеса, которые они хотят защитить.

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 683-П, 719-П, 747-П, 757-П для российских банков, некредитных финансовых организаций, а также платежных систем
    • Поддерживаем самую обширную линейку услуг в тематике тестирования на проникновение и анализа уязвимостей
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по RED TEAM

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по Red Team

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по Red Team

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    RED TEAM (Редтиминг)

    от 9 900 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    Без сбоев в работе

    Мы работаем без нарушения функционирования информационной инфраструктуры Заказчика

    3 лицензии

    ФСТЭК России и ФСБ России

    Объективность

    Объективная оценка о состоянии информационной безопасности

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    А сколько человек участвует в RED TEAM?

    Состав команды зависит от решаемых задач. Как правило это 2-4 человека: специалисты по сетевому взлому, социальной инженерии, анализу приложений и координатор группы.

    Здравствуйте!

    Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?

    Здравствуйте!

    В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.

    Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?

    Пентест включает в себя анализ уязвимостей инфраструктуры – серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.

    Исследование ПО на уязвимости по уровню ОУД4 – это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.

    Здравствуйте!

    Я использую Debian 9 чтобы на нём стоял мой сервер minecraft. И недавно, он подвергся взлому, да-да именно дедик. Они зашли на него каким то путем обхода, минуя авторизацию, так же я заметил махинации что к дедику началось около 20-и конектов и брут к sftp, хотя он у меня даже не запущен. Все логи на дедике стерты, это всё что я мог узнать.

    Я хочу чтобы вы сказали, как хакеры могли обойти систему авторизации SSH?

    Способов обхода авторизации SSH существует несколько.
    Самый актуальный — это перехват параметров подключения администратора ресурса.

    В Вашем случае, это, вероятнее всего, Вы.
    Злоумышленник (хакер) может просто подселить троян к Вам на компьютер, и перехватить вводимые Вами логин и пароль, а также украсть сертификат.

    При отсутствии сертификата наиболее распространенный способ взлома – перебор (брут) пароля. При невысокой сложности пароля и отсутствии защиты от перебора – результат для злоумышленника лишь вопрос времени.

    Это два основных способа преодолеть защиту подключения SSH.

    Здравствуйте. Я студент, учусь на специалиста по информационной безопасности, пишу курсовую на тему: “Особенности внедрения подсистем предотвращения утечек КИ в систему комплексной безоп на пп.”

    Как основную систему предотвращения утечек рассматриваю систему DLP и был бы очень благодарен, если Вы поможете с основными (общими) этапами проведения пентеста.

    Добрый день.

    DLP, как класс систем, является даже не основным, а, скорее, единственным. Просто многие продукты, позиционируемые иначе, содержат функционал DLP (например, тот же KES с возможностью блокировки флешек).

    На Вашем месте я бы сделал упор не на пентест, а на возможности интеграции DLP с другими системами безопасности — в первую очередь SIEM и AD – так как комплексная система содержится в названии работы.

    Отвечая на Ваш вопрос можно выделить (не всегда этапы таковы, но в среднем похоже):

    • инвентаризация области тестирования — сбор сведений об узлах сети, информационных системах, сетевом трафике, учетных данных и прочее — зачастую конфиденциальная информация находится уже на этом этапе в открытом доступе;
    • поиск уязвимостей — по общедоступным базам либо закрытым базам тестировщиков;
    • проверка прочности аутентификации (брутфорс);
    • попытка повышения прав доступа;
    • доступ к конфиденциальной информации.