Що обрати: Red Team або Penetration Testing

7 травня 2023 1 хвилина Автор: D2-R2

Pentest чи Red Team? Пірати проти ніндзя

Порівняємо дві популярні методології тестування безпекиRed Team та Penetration Testing, щоб вам було легше обрати найкращий варіант для вашого бізнесу. Red Team та Penetration Testing є ефективними інструментами для виявлення вразливостей та забезпечення максимального рівня безпеки вашої компанії. Проте вони мають деякі відмінності, які варто врахувати перед прийняттям рішення. Red Team – це комплексний підхід, який моделює атаку реального ворога на вашу інфраструктуру. Команда Red Team імітує різні сценарії атак та використовує широкий спектр методів, включаючи соціальний інжиніринг, фізичні вторгнення та технічні атаки. Цей підхід дозволяє виявити слабкі місця в системі та процесах, оцінити реакцію вашої команди на критичні ситуації та підвищити загальний рівень безпеки. Penetration Testing (також відомий як Ethical Hacking) – це фокусований процес виявлення та експлуатації конкретних вразливостей у вашій системі. Тестери безпеки здійснюють цілеспрямовані атаки, використовуючи різноманітні методи, з метою виявлення уразливостей та забезпечення їх усунення.

Penetration Testing дозволяє отримати детальну звітність про виявлені проблеми та рекомендації щодо поліпшення безпеки. Обирайте Red Team, якщо вам потрібна комплексна оцінка безпеки вашої компанії, з урахуванням різних видів атак і використання широкого спектру методів. Penetration Testing буде кращим варіантом, якщо вам потрібно провести цілеспрямоване тестування конкретних вразливостей з детальною звітністю. Та сама історія з пентестом і редтимінгом. Обидва підходи мають як сильні, так і слабкі сторони, що робить один із них кращим залежно від умов. Для отримання максимальної віддачі потрібно визначити цілі, а потім вирішити, що краще їм відповідає. Кінцева мета обох оцінок полягає в перевірці стану безпеки організації, а також її повного стеку заходів контролю безпеки, зокрема, з використанням тактики змагальності. Однак обидві оцінки різняться з погляду кінцевої мети, а також використовуваних методів і методологій.

Red Team

Термін “Red Team” вперше виник за часів Холодної війни, коли червоний колір стійко асоціювався з комунізмом. У цьому багаторічному військовому протистоянні Заходу і Сходу США позначали себе як Blue Team, а СРСР і КНР – як Red Team. Оцінюючи можливі дії противника під час атаки і використовуючи критичне мислення, військові моделювали різні загрози і нештатні ситуації, тим самим домагаючись якісного опрацювання своїх стратегічних планів. Згодом цей метод прогнозування дій противника став активно застосовуватися в багатьох галузях, які вимагають ретельного аналізу систем захисту.
В інформаційній безпеці Red Team – це команда експертів, які імітують реальну кібератаку, і їхня мета – мислити та діяти, як зловмисник, випробовуючи всі можливі шляхи проникнення в систему інформаційної безпеки компанії за допомогою технічних, соціальних і навіть фізичних* засобів. Тому оцінка Red Team порівняно з іншими типами аналізів захищеності зазвичай дає більш розгорнутий і реалістичний опис.

Коли ми тільки почали планувати створення нашого відділу, ми намагалися відвідати якомога більше профільних заходів, щоб познайомитися з думками фахівців інших компаній щодо того, які функції має виконувати Red Team. У класичних визначеннях і концепціях Red Team фізичний метод аналізу захищеності є історично основоположним. Наприклад, деякі команди практикують проникнення на об’єкт за допомогою клонованих карт перепусток або впровадження апаратних закладок. У таких методів є категоричні противники, але особисто мені цей вид аналізу здається вкрай кумедним і захопливим.

Penetration testing (pentest або пентест)

Пентест, або тестування на проникнення, – це аналіз, який проводять етичні хакери, щоб оцінити ступінь захисту компанії та виявити вразливості. Пентестери зосереджені на пошуку технічних вад і можуть, зокрема, сканувати мережі, шукати та використовувати вразливості в сервісах. Результати пентесту часто подають у вигляді звіту, в якому перелічено виявлені недоліки та рекомендації щодо їх усунення. Хоча варто зазначити, що в різних організаціях до прямого навчання SOC ставляться по-різному, і Red Team може брати додаткову участь у перерахованих далі заходах.

Purple Teaming

Під Purple Teaming часто мають на увазі кілька різних концепцій, але вони сходяться у визначенні його основних завдань: перевірка конфігурації СЗЗІ та правил для SIEM усередині компанії у форматі White-Box. У цьому процесі беруть участь як offensive-, так і defensive-фахівці, що підвищує ефективність двох команд (Red Team і Blue Team), а в ідеальному світі, – ще й створює постійну динамічну взаємодію між ними. Purple Teaming характеризується моментальним зворотним зв’язком від усіх сторін і зосереджений усередині ІБ-відділу компанії без залучення сторонніх фахівців.

Кібернавчання

У найширшому розумінні, кібернавчання – це об’єднання кількох компаній, організацій, державних служб і правоохоронних органів для моделювання спільного протистояння великій кіберзагрозі. У менш масштабному розумінні – це процес імітації цільових загроз з боку offensive-фахівців з Red Team або пентест-команд, що проходить у форматі Black/Gray-Box. До кібернавчань можуть залучатися як внутрішні, так і зовнішні фахівці. Їхня мета – протестувати і поліпшити узгодженість дій, а також співпрацю між компаніями або командами під час відбиття кіберзагроз. Або, як і у випадку з Purple Teaming, – посилити системи захисту і Blue Team. Після кіберзлочинів атакуючі надають для подальшого вивчення звіт із журналом своїх дій та інформацію, необхідну для порівняння з логами систем безпеки Blue Team.

Методи та цілі

Підхід Red Team часто ширший і гнучкіший, що складається з комбінацій різних методологій (MITRE ATT&CK, OWASP, PTES), у пентестерів же він більш структурований і дотримується певної методології. Мета команди Red Team – виявити вразливості та слабкі місця в системах захисту компанії, надавши рекомендацій щодо їхнього поліпшення. Дії її зазвичай більш потайливі і можуть включати в себе такі методи, як соціальна інженерія*. Пентестери ж зосереджені на пошуку та використанні технічних вразливостей у системах і мережах компанії.
Red Team використовуватиме методи соціальної інженерії у вигляді цільової атаки, наприклад, фішингу зі шкідливим вкладенням. Пентестери та ІБ-фахівці всередині компанії також можуть проводити фішингові розсилки, але вони будуть масового характеру і призначені для перевірки обізнаності користувачів.

Кіберполігони

На випадок, якщо ви ще не загубилися в кількості кібервизначень і понять, торкнемося і кіберполігонів. Це спеціалізовані тренувальні майданчики для симуляції кібератак на “тренувальній” інфраструктурі. Кіберполігони зазвичай включають у себе різні мережі та комп’ютерні системи, які призначені для імітації реальних середовищ, що дає змогу Red Team і Blue Team відточувати свої навички в контрольованому середовищі.

Розбіжності

Загалом, Purple Teaming, кібернавчання та кіберполігони схожі тим, що вони включають у себе моделювання кіберзагроз для тестування систем захисту компанії. Однак вони відрізняються за охопленням і фокусом: Purple Teaming націлений на тестування засобів захисту, кібернавчання зосереджені на тестуванні координації між співробітниками компанії, а кіберполігони являють собою контрольоване середовище для відточування навичок Red Team і Blue Team.

Ризики та бізнес-ризики/ Терміни

Крім використання різних методологій і TTP, у Red Team є ще одне вкрай важливе завдання: перевіряти на практиці ймовірності реалізації небажаних для бізнесу подій. Якщо простими словами, то це про критичні з погляду інформаційної безпеки активи компанії і пов’язані з цим ризики.  Наприклад, якщо взяти фінансову компанію, то буде логічно припустити, що найбільш критичними її активами будуть системи, пов’язані з прийомом і обробкою платежів, а також системи, що містять інформацію про користувачів. Знаючи про такі активи, їхнє розташування в корпоративній мережі, зовнішні точки доступу та стеки технологій, використані при створенні інформаційних систем, можна оцінити ймовірності настання небажаних подій, прорахувати потенційні втрати організації та навіть спрогнозувати частоту настання цих подій.

 

 

Саме для цього й існують фахівці з оцінювання ризиків, набори метрик і фреймворків. За допомогою зібраної аналітики та досліджень ризиків можна домовитися про застосування TTP конкретних хакерських організацій. У випадку з фінансовою компанією можна емулювати APT-групи, що спеціалізуються на таких організаціях, наприклад Carbanak. Red Team може допомогти в підтвердженні або спростуванні гіпотези про настання тієї чи іншої небажаної події, щоб скорегувати використовувану в конкретній компанії методологію або фреймворк з оцінювання ризиків. Під час проведення пентестів практикується вимкнення засобів захисту і додавання IP-адрес пентестерів у білі списки, щоб вони встигли ідентифікувати якомога більше вразливостей у задані терміни. Для роботи команди Red Team, як правило, відводиться від кількох місяців до року, і засоби захисту не відключають. Підхід Red Team більш потайний, тому що для проведення подібного аналізу системи захисту не вимикаються. У такій ситуації кожен крок може стати останнім і доведеться починати ланцюжок експлуатації з початку. Під час проведення пентесту компанія-замовник і служба інформаційної безпеки проінформовані про терміни початку і закінчення тестів, і вони проводяться за чітко прописаними в ТЗ умовами.

Внутрішні та зовнішні команди

Головна перевага фахівців Red Team всередині компанії в тому, що вони знають пристрій її систем і процесів. Це робить їх більш ефективними під час імітації загроз. З доступом до конфіденційної інформації та систем вони легше знаходять і використовують уразливості.
Зовнішні команди можуть подивитися на все свіжим поглядом і надати неупереджені оцінки безпеки компанії. Вони не знайомі з внутрішніми системами і процесами, тому їм буде простіше думати, як справжній зловмисник, і виявляти вразливості, які внутрішня команда Red Team може упустити.
Вибір між внутрішньою або зовнішньою командою залежить від конкретних потреб і цілей компанії. Загалом, обидва варіанти Red Team будуть цінним інструментом з аналізу захищеності, і навіть з можливістю доповнювати один одного.

Коли краще використовувати пентест, а коли Red Team?

Випробовуємо на собі кібератаку

Якщо ви хочете дізнатися:

  • чи витримає ваша організація справжню цільову кібератаку;
  • перевірити, як поведуться співробітники інформаційної безпеки та SOC;
  • визначити ефективність використовуваних вами засобів захисту;
  • дізнатися реальну ймовірність нанесення збитків бізнесу від кібератаки.

У такому разі вам необхідний аналіз захищеності силами Red Team. До того ж, регулярне проведення таких перевірок допоможе вашій організації виявити нові ризики безпеки та підготуватися до реальних загроз.

Шукаємо баги

Якщо вас турбує:

  • Скільки вразливостей на зовнішньому і внутрішньому периметрі організації?
  • Як багато багів потрапляє в експлуатацію і чи правильно працює SSDLC?
  • Чи помиляються адміністратори в конфігурації систем і мереж?
  • Чи потрібно впровадити додаткові системи безпеки?

На ці питання зможе відповісти пентест. Він зосереджений на пошуку та усуненні конкретних вразливостей, допоможе визначити слабкі місця і напрямок для подальшого поліпшення безпеки.

Коли є кому протистояти ?

Як я вже говорив, Red Team корисний для організацій, які хочуть перевірити ефективність свого реагування на інциденти ІБ. Але як зрозуміти, що ви можете повноцінно реагувати на інциденти?

  • У вас є SOC, і він функціонує 24/7; ви впевнені, що в будь-який момент дня і ночі оповіщення системи безпеки буде розглянуто співробітником ІБ, а не черговим системним адміністратором.
  • У вас достатнє покриття засобами моніторингу і вже є набори правил – події ІБ фіксуються.
  • Ви регулярно проводите пентести і знаєте, що захист зовнішнього і внутрішнього периметра вашої організації оцінюється як середній або високий.
  • Співробітники вашої компанії здебільшого розуміють, що таке фішинг, і побоюються його, повідомляючи про підозрілі події в ІБ.

Якщо ви впевнені, що цей список можна застосувати до вас, то Red Team стане для вас свіжим поглядом збоку і новим корисним досвідом.

Коли не знаєте, з чого почати ?

Пентест – це вид аналізу захищеності, що підходить для організацій будь-якого розміру. Для малих і середніх організацій пентест допоможе швидко знаходити й усувати вразливості. Такі організації можуть не мати ресурсів або центрів реагування для повноцінних комплексних оцінок безпеки. Для великих компаній зі “зрілою” інформаційною безпекою бажано використовувати Red Team разом із пентестами.

 Підведу підсумок:

  • Red Team і пентест дають змогу компанії оцінювати інформаційну безпеку і виявляти слабкі місця.
  • Red Team і пентест доповнюють один одного і можуть бути використані разом для отримання повного уявлення про інформаційну безпеку компанії.
  • Вибір правильного підходу залежить від конкретних потреб і цілей компанії.
  • У разі посилення інформаційної безпеки компанії необхідно збільшувати кількість методів її оцінки.

Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.