Get best of the week

5 Mitos tentang Red Teaming



Istilah Red Teaming telah didengar oleh semua orang yang terlibat dalam keamanan informasi secara langsung atau tidak langsung. Tetapi tidak semua orang sepenuhnya memahami apa itu: mengapa kita perlu penilaian tentang efektivitas tim penanggulangan insiden? Apa bentuk pelatihan ini untuk tim bek? Seringkali, Red Teaming diberikan untuk pengujian penetrasi yang komprehensif: mereka memberikan pengujian penetrasi klasik, meskipun canggih dengan harga beberapa kali lebih tinggi. Beberapa perusahaan besar mencari spesialis mereka sendiri dalam Red Teaming dan, kemungkinan besar, juga tidak sepenuhnya memahami tugas apa yang akan mereka selesaikan dengan bantuan mereka. Apa itu Red Teaming sebagai layanan dan apa yang bukan Red Teaming? Tentang itu di bawah ini.

Referensi sejarah


Seperti banyak hal lain dalam kehidupan kita sehari-hari (lakban, microwave, barang kaleng, dll.), Istilah Red Teaming berasal dari kompleks industri militer. Selama Perang Vietnam, pilot militer Amerika mempraktikkan keterampilan tempur udara dan mempelajari kesalahan mereka sendiri, sehingga meningkatkan tingkat keterampilan mereka tanpa kehilangan pilot dan pesawat. Tetapi nama "tim merah", kemungkinan besar, muncul selama konfrontasi dengan Uni Soviet. Secara historis, serangan "merah", dan "biru" bertahan.


Para penjaga di Budapest juga menyukai istilah ini;)

Apa itu Red Teaming?


Mitos # 1. Red Teaming adalah tes penetrasi atau audit yang komprehensif.


Ada tiga jenis pekerjaan utama untuk memeriksa tingkat keamanan suatu perusahaan.

  1. (Vulnerability Assessment) โ€“ , . , . .
  2. (Penetrating Test) โ€“ ( ) -. . . , (, ) (, ).
  3. Red Teaming โ€“ , , . Red Teaming โ€“ . ( , ). IOC ( , , .), . , .

Red Teaming โ€“ , (TTP) , , .
Mensimulasikan tindakan penyerang oleh tim penyerang melatih otomatisme dari respons insiden dan memberikan kesadaran situasional pembela terhadap alat dan taktik penyerang.

Red Teaming berfokus pada operasi keamanan terpadu yang mencakup orang, proses, dan teknologi. Red Teaming secara langsung berfokus pada pelatihan tim defensif dan menilai bagaimana layanan keamanan dapat menangkal tindakan nyata musuh. Kelemahan teknis dan kerentanan dalam kasus ini adalah sekunder - pertanyaan kuncinya adalah: bagaimana dengan bantuan mereka pengganggu dapat mempengaruhi kegiatan organisasi.

Di jantung Red Teaming adalah skenario musuh. Skenario membedakan Red Teaming dari pengujian penetrasi, dan mereka juga menentukan kemajuan proyek. Skenario memungkinkan Anda untuk mensimulasikan tindakan musuh tertentu (kelompok APT tertentu) atau mensimulasikan tindakan tersangka penyerang.

Red Teaming menggunakan metode dan teknik keamanan ofensif, tetapi pada dasarnya itu adalah bagian dari keamanan defensif dan bagian dari SOC, oleh karena itu tidak dapat ada tanpa Tim Biru.

Tim penyerang adalah kelompok profesional independen yang melihat keamanan organisasi dari posisi musuh. Tim menemukan cara alternatif untuk mencapai tujuan dan menantang pembela organisasi untuk menguji kesiapan mereka terhadap ancaman nyata. Kemerdekaan membantu penyerang secara akurat dan tidak memihak menilai tingkat keamanan sambil menghindari banyak bias.

Mitos nomor 2. Suatu organisasi dapat memiliki Red Teaming internal sendiri


Untuk menjaga independensi, tim penyerang harus dari luar. Dan kurangnya pengetahuan tentang sistem yang diserang dan perlindungannya (kecuali untuk informasi yang diperoleh pada tahap awal proyek) akan memungkinkan persiapan yang lebih baik dan pengembangan strategi implementasi proyek yang benar. Internal Red Teaming hanya bisa dalam bentuk terbatas, dan lebih baik menyebutnya istilah "Purple Teaming" (campuran warna merah dan biru) atau Threat Hunt. Ini adalah sekelompok spesialis dalam perusahaan yang dapat melakukan berbagai serangan pada infrastruktur dan pada saat yang sama mengatur kontrol untuk mendeteksi serangan tersebut. Tetapi kelompok eksternal harus mengevaluasi efektivitasnya.

Tujuan


Seperti aktivitas apa pun, Tim Merah memiliki tujuan. Tujuan para penyerang bisa berbeda (yang utama adalah bahwa mereka tidak melanggar hukum dan rahasia dagang), misalnya:

  • ;
  • ;
  • ;
  • ;
  • (DLP);
  • ;
  • .

โ„– 3. Red Teaming โ€“ ,


Tidak ada pemenang atau pecundang di Red Teaming. Penyerang tidak memiliki tujuan untuk menangkap server atau jaringan organisasi secara diam-diam dan diam-diam. Pada tahap awal, tim penyerang akan bertindak diam-diam, tetapi segera setelah mendekati target "senjata terentang", itu akan mulai "membuat suara" untuk menarik perhatian para pembela. Jika mereka mendeteksi dan memblokir penyerang pada tahap awal, mereka tidak akan dapat mengetahui bagaimana musuh dapat melanjutkan lebih jauh. Tetapi jika tidak ada yang menang dan yang kalah, bagaimana cara menentukan kesuksesan?

Keberhasilan


Keberhasilan Red Teaming tidak ditentukan oleh seberapa baik tim penyerang menangkap jaringan. Proyek Red Teaming berhasil ketika tim penyerang memenuhi tujuannya dan tim pertahanan dapat melatih dan meningkatkan tingkat keamanan organisasi.

Keberhasilan juga dapat ditentukan dengan menjawab pertanyaan-pertanyaan berikut:

  • Berapa lama tim pertahanan mendeteksi penyerang?
  • Apakah alat yang tersedia mendeteksi penyerang?
  • Apakah tim pertahanan mengikuti TTP mereka ketika tindakan tim penyerang meningkatkan alarm?
  • Bisakah tim pertahanan mendeteksi saluran komunikasi dengan pusat komando serangan (C2)?
  • Bisakah pembela HAM menyusun profil penyerang berdasarkan indikator kompromi (IOC) di jaringan dan tuan rumah?

Kena kau!


Bagaimana menentukan bahwa proyek Red Teaming sedang dalam tahap penyelesaian (dan sekarang saatnya untuk menulis laporan)? Item ini dibahas dan disetujui di awal. Secara umum, ada beberapa opsi:

  • . . , Red Teaming , , . , .
  • . ยซยป , ยซยป, .
  • Tim bek menemukan tindakan tim penyerang. Ada jebakan di sini. Jika tim pembela pada tahap awal mendeteksi serangan, misalnya, serangan phishing atau pemasangan saluran komunikasi dengan pusat komando (C2), dan berteriak "Ya, kami berhasil!", Bereaksi dengan benar - tujuannya tercapai. Dalam hal ini, ada baiknya membahas terlebih dahulu kemungkinan bagi para pembela HAM untuk mengamati tindakan selanjutnya dari para penyerang. Di sini Anda sudah dapat memantau hingga titik tertentu dan dengan demikian memeriksa kontrol keamanan mana yang dipicu dan mana yang tidak dan memerlukan pengaturan tambahan. Pembela kapan saja akan dapat memutus saluran komunikasi dan mengatakan "ketahuan!", Tapi sebelum itu mereka akan punya waktu untuk berkenalan dengan teknik baru.

Manfaat


Apa manfaat utama dari Red Teaming? Kemampuan untuk mengubah sudut pandang keamanan informasi di perusahaan:

  • melihat keadaan keamanan yang sebenarnya dan titik-titik lemah di dalamnya (sebelum seseorang yang "berbakat" melakukannya dari luar);
  • mengidentifikasi kesenjangan dalam proses, prosedur dan teknik (dan menghilangkan, tentu saja);
  • mencari tahu apakah layanan IS melakukan tugasnya dengan baik, tanpa konsekuensi dari insiden nyata;
  • lebih memahami taktik, metode, prosedur musuh dan membelanjakan anggaran untuk keamanan informasi lebih efisien;
  • meningkatkan kesadaran di antara personel, manajer, dan staf IS.

Jika proyek Red Teaming tidak meningkatkan tingkat keamanan, maka tidak ada gunanya melakukannya.

Mitos # 4. Hanya organisasi keamanan yang matang yang mungkin memerlukan Tim Merah.


Red Teaming dapat digunakan oleh organisasi dengan tingkat kematangan keamanan informasi apa pun. Prasyarat adalah tim pembela dan proses untuk menanggapi insiden dan ancaman.

Red and Teaming akan membantu organisasi dengan level entry dan mid maturity menilai kemampuan mereka untuk menghadapi musuh yang berpengalaman: memahami cara tumbuh yang mana, yang dikendalikan oleh keamanan untuk diimplementasikan. Dan juga mengembangkan otomatisme untuk respons yang benar terhadap insiden.

Untuk organisasi dengan tingkat keamanan yang matang, ini akan menjadi pelatihan dan pengembangan keterampilan mereka. Namun selain itu, mereka akan dapat melihat teknik dan taktik baru yang belum mereka temui.

Struktur organisasi


Tim-tim berikut berpartisipasi dalam proyek:

  • Tim Merah ( Tim Merah) - menyerang. Spesialis yang mensimulasikan serangan pada suatu organisasi.
  • (Blue Team) โ€“ . , .
  • (White Team) โ€“ . , CISO. , : , , . . , , ( ) (IOC), . , ยซยป . , Red Team, , Blue Team. .

Seringkali Tim Putih bingung dengan Tim Ungu.

Nomor mitos 5. Biaya proyek Red Teaming yang sangat tinggi


Mungkin masalah yang paling penting yang menarik minat setiap pelanggan adalah harga. Biaya tinggi Red Teaming adalah cara pemasaran. Nama yang tidak dapat dipahami, tren baru dalam industri keamanan informasi - semua ini sering mengarah pada inflasi harga layanan yang tidak masuk akal.

Biaya Red Teaming dihitung berdasarkan durasi proyek, yang pada gilirannya tergantung pada skenario yang dipilih. Semakin kompleks skrip, semakin banyak yang dikerjakan.
Durasi proyek Red Teaming adalah karena fakta bahwa tim penyerang diharuskan untuk bertindak secara diam-diam agar tidak mengungkapkan dirinya sebelumnya. Durasi proyek rata-rata adalah sekitar 12 minggu. Sebagai perbandingan: pengujian penetrasi komprehensif, termasuk perimeter eksternal, infrastruktur internal, rekayasa sosial dan analisis jaringan nirkabel, rata-rata berlangsung selama 7 minggu (dapat diselesaikan lebih cepat jika kontraktor melakukan tahapan secara paralel).

Bahkan sebelum dimulainya bagian utama, tim penyerang melakukan pengintaian pasif dan pengumpulan data, menyiapkan infrastruktur dan menyelesaikan atau mengembangkan alat mereka sendiri sesuai dengan informasi yang diterima. Dan di akhir proyek, konsultasi tambahan karyawan pelanggan diselenggarakan. Semua biaya tenaga kerja ini diperhitungkan dalam total biaya.

Secara logis mengikuti bahwa harga untuk Red Teaming akan lebih tinggi dari pengujian penetrasi komprehensif. Tetapi pada saat yang sama, tentu saja, itu tidak akan melebihi sepuluh kali lipat biayanya.

Penyelesaian pekerjaan


Laporan adalah bentuk bukti kerja. Namun, nilai utamanya adalah dapat (dan harus) dianalisis dan digunakan untuk meningkatkan keamanan di perusahaan. Karena itu, kualitasnya sangat penting.

Laporan Tim Merah dapat sangat berbeda dari pengujian penetrasi dan laporan analisis keamanan. Karena sebagian besar pekerjaan difokuskan pada naskah, laporan tersebut didasarkan pada sejarah tindakan.

Laporan akan berisi informasi berikut:

  • Kesimpulan tingkat tinggi tentang keadaan keamanan dan kemauan para pembela HAM untuk menghadapi ancaman nyata
  • ,
  • . , (IOC)
  • ,
  • ,
  • .

Di akhir proyek, beberapa pertemuan dimungkinkan dengan perwakilan kedua belah pihak. Salah satunya adalah untuk memandu organisasi, dengan fokus pada gambaran keseluruhan proyek. Hasil Tim Merah dapat mempengaruhi pekerjaan organisasi di masa depan: membutuhkan dana untuk menghilangkan kekurangan yang ditemukan atau mengubah tabel kepegawaian. Jika hasil Red Teaming akan digunakan untuk meningkatkan keamanan organisasi (jika tidak, pekerjaan seperti itu tidak masuk akal), maka kesadaran dan minat manajemen sangat penting.

Pertemuan lain adalah pertemuan teknis. Ini adalah pertukaran informasi dua arah antara penyerang, pembela HAM dan koordinator proyek di sisi pelanggan. Termasuk ulasan teknologi tinggi terperinci dari tindakan tim penyerang dan pertahanan yang diambil selama proyek. Mengizinkan kedua pihak untuk mengajukan pertanyaan dalam konteks serangan yang diterapkan dan meresponsnya, menerima rekomendasi untuk perbaikan dan ide-ide untuk metodologi baru. Hal ini memungkinkan untuk meningkatkan kemampuan bek dan tim penyerang. Pertemuan semacam itu adalah bagian dari proyek, dan manfaatnya bisa sangat berharga.

Kesimpulan


Topik Red Teaming sangat luas dan tidak dapat sepenuhnya dipertimbangkan dalam satu artikel. Namun demikian, dari hal di atas, kita dapat menarik beberapa kesimpulan singkat dasar:

  • Manfaat utama dari Red Teaming adalah pelatihan dan berbagi pengetahuan.
  • Red Teaming
  • Red Teaming โ€“ ( )
  • Red Teaming โ€“ , , , .

: , , ยซ-ยป

More articles:


All Articles