Get best of the week

5 mitos sobre o Red Teaming



O termo Red Teaming foi ouvido por todos os envolvidos em segurança da informação direta ou indiretamente. Mas nem todos entendem completamente o que é: por que precisamos de uma avaliação da eficácia da equipe de resposta a incidentes? Qual é essa forma de treinamento para o time defensor? Freqüentemente, o Red Teaming é distribuído para testes de penetração abrangentes: eles fornecem testes de penetração clássicos, embora avançados, a um preço várias vezes maior. Algumas grandes empresas procuram seus próprios especialistas em Red Teaming e, muito provavelmente, também não entendem completamente quais tarefas serão resolvidas com a ajuda deles. O que é o Red Teaming como serviço e o que não é o Red Teaming? Sobre isso abaixo.

Referência histórica


Como muitas outras coisas em nossas vidas diárias (fita adesiva, microondas, enlatados, etc.), o termo Red Teaming veio do complexo industrial militar. Durante a Guerra do Vietnã, os pilotos militares americanos praticaram habilidades de combate aéreo e aprenderam seus próprios erros, aumentando assim seu nível de habilidade sem perda real de pilotos e aeronaves. Mas o nome "time vermelho", provavelmente, apareceu durante o confronto com a União Soviética. Historicamente, o ataque "vermelho" e o "azul" defendem.


Os guardas em Budapeste também gostaram deste termo;)

O que é o Red Teaming?


Mito 1. O Red Teaming é um teste abrangente de penetração ou auditoria.


Existem três tipos principais de trabalho para verificar o nível de segurança de uma empresa.

  1. (Vulnerability Assessment) – , . , . .
  2. (Penetrating Test) – ( ) -. . . , (, ) (, ).
  3. Red Teaming – , , . Red Teaming – . ( , ). IOC ( , , .), . , .

Red Teaming – , (TTP) , , .
A simulação das ações dos atacantes por uma equipe de atacantes treina o automatismo da resposta a incidentes e fornece aos defensores uma percepção situacional das ferramentas e táticas dos atacantes.

O Red Teaming se concentra em operações de segurança integradas que incluem pessoas, processos e tecnologias. O Red Teaming se concentra diretamente no treinamento da equipe defensiva e na avaliação de como o serviço de segurança pode neutralizar as ações reais do adversário. As deficiências e vulnerabilidades técnicas neste caso são secundárias - a questão principal é: como, com a ajuda deles, o invasor pode influenciar as atividades da organização.

No coração do Red Teaming está o cenário do inimigo. Os cenários diferenciam o Red Teaming do teste de penetração e também determinam o progresso do projeto. Os cenários permitem simular as ações de um adversário específico (um grupo APT específico) ou simular as ações de um invasor suspeito.

O Red Teaming usa métodos e técnicas de segurança ofensivas, mas, por sua natureza, faz parte da segurança defensiva e do SOC, portanto , não pode existir sem o Blue Team.

Uma equipe atacante é um grupo independente de profissionais que analisa a segurança de uma organização a partir da posição de um adversário. A equipe encontra maneiras alternativas de atingir seus objetivos e desafia os defensores da organização a testar sua prontidão em relação a ameaças reais. A independência ajuda os invasores a avaliar com precisão e imparcialidade os níveis de segurança, evitando muitos preconceitos.

Mito número 2. Uma organização pode ter seu próprio Red Teaming interno


Para manter a independência, a equipe atacante deve ser externa. E a falta de conhecimento sobre o sistema atacado e sua proteção (exceto as informações obtidas no estágio inicial do projeto) permitirá uma melhor preparação e desenvolvimento da estratégia correta de implementação do projeto. O Teaming interno vermelho pode ter apenas uma forma limitada, e é melhor chamá-lo de "Teaming roxo" (uma mistura de cores vermelha e azul) ou "Threat Hunt". Esse é um grupo de especialistas da empresa que pode realizar vários ataques à infraestrutura e, ao mesmo tempo, configurar controles para detectar esses ataques. Mas o grupo externo deve avaliar a eficácia.

Metas


Como qualquer atividade, o Red Teaming tem um objetivo. Os objetivos dos atacantes podem ser diferentes (o principal é que eles não violam a lei e os segredos comerciais), por exemplo:

  • ;
  • ;
  • ;
  • ;
  • (DLP);
  • ;
  • .

№ 3. Red Teaming – ,


Não há vencedores ou perdedores no Red Teaming. Os invasores não têm o objetivo de capturar silenciosamente e silenciosamente o servidor ou a rede da organização. No estágio inicial, a equipe atacante agirá silenciosamente, mas assim que se aproximar do “comprimento do braço” do alvo, começará a “fazer barulho” para atrair a atenção dos defensores. Se eles detectarem e bloquearem atacantes em um estágio inicial, eles não serão capazes de descobrir como o inimigo pode prosseguir. Mas se não houver vencedores e perdedores, como determinar o sucesso?

Sucesso


O sucesso do Red Teaming não é determinado por quão bem a equipe atacante captura a rede. O projeto Red Teaming é bem-sucedido quando a equipe atacante cumpre seus objetivos e a equipe de defesa é capaz de aprender e melhorar o nível de segurança da organização.

O sucesso também pode ser determinado respondendo às seguintes perguntas:

  • Quanto tempo a equipe de defesa detecta os atacantes?
  • As ferramentas disponíveis detectam invasores?
  • A equipe de defesa segue seu TTP quando as ações da equipe atacante disparam um alarme?
  • A equipe de defesa pode detectar canais de comunicação com o centro de comando de ataque (C2)?
  • Os defensores podem compilar um perfil de invasor com base em indicadores de comprometimento (IOCs) na rede e nos hosts?

Peguei vocês!


Como determinar se o projeto Red Teaming está em fase de conclusão (e é hora de escrever um relatório)? Este item é discutido e aprovado no início. Em geral, existem várias opções:

  • . . , Red Teaming , , . , .
  • . «» , «», .
  • O time defensor descobriu as ações do time atacante. Há uma armadilha aqui. Se o time defensor detectou um ataque, por exemplo, um ataque de phishing ou a instalação de um canal de comunicação com o centro de comando (C2), e gritou "sim, você conseguiu!", Reagiu corretamente - o objetivo foi alcançado. Nesse caso, vale a pena discutir antecipadamente a possibilidade de os defensores observarem as ações posteriores dos atacantes. Aqui você já pode monitorar até um certo ponto e, assim, verificar quais controles de segurança são acionados e quais não são e requerem configurações adicionais. Os defensores a qualquer momento poderão desconectar os canais de comunicação e dizer "capturados!", Mas antes disso eles terão tempo para se familiarizar com as novas técnicas.

Benefício


Quais são os principais benefícios do Red Teaming? A capacidade de alterar o ângulo de visão da segurança da informação na empresa:

  • ver o real estado de segurança e os pontos fracos dele (antes que alguém especialmente “talentoso” faça isso de fora);
  • identificar lacunas nos processos, procedimentos e técnicas (e eliminar, é claro);
  • descubra se o serviço de SI está fazendo seu trabalho bem, sem as consequências de um incidente real;
  • entender melhor as táticas, métodos, procedimentos do inimigo e gastar o orçamento em segurança da informação com mais eficiência;
  • conscientizar os funcionários, gerentes e funcionários de SI.

Se o projeto Red Teaming não melhorar o nível de segurança, não faz sentido conduzi-lo.

Mito 4. Apenas organizações de segurança maduras podem precisar do Red Teaming.


O Red Teaming pode ser usado por organizações com qualquer nível de maturidade em segurança da informação. Um pré-requisito é uma equipe de defensores e processos para responder a incidentes e ameaças.

Red e Teaming ajudarão as organizações de nível básico e intermediário a avaliar sua capacidade de resistir a um adversário experiente: entender qual caminho crescer, quais controles de segurança implementar. E também desenvolva automatismo para a resposta correta a incidentes.

Para uma organização com um nível maduro de segurança, este será o treinamento e o desenvolvimento de suas habilidades. Mas, além disso, eles poderão ver novas técnicas e táticas que ainda não encontraram.

Estrutura organizacional


As seguintes equipes participam do projeto:

  • Red Team (Red Team) - atacando. Especialistas que simulam ataques a uma organização.
  • (Blue Team) – . , .
  • (White Team) – . , CISO. , : , , . . , , ( ) (IOC), . , «» . , Red Team, , Blue Team. .

Freqüentemente o time branco é confundido com o time roxo.

Mito número 5. O custo muito alto do projeto Red Teaming


Talvez a questão mais importante que interessa a qualquer cliente seja o preço. O alto custo do Red Teaming é uma jogada de marketing. Um nome incompreensível, uma nova tendência no setor de segurança da informação - tudo isso muitas vezes leva a uma inflação irracional do preço de um serviço.

O custo do Red Teaming é calculado com base na duração do projeto, que por sua vez depende do cenário escolhido. Quanto mais complexo o script, mais trabalho nele.
A duração do projeto Red Teaming se deve ao fato de que a equipe atacante é obrigada a agir secretamente para não se revelar antes do tempo. A duração média do projeto é de cerca de 12 semanas. Para comparação: testes abrangentes de penetração, que incluem perímetro externo, infraestrutura interna, engenharia social e análise de redes sem fio, duram 7 semanas em média (podem ser concluídas mais rapidamente se o contratado conduzir as etapas em paralelo).

Mesmo antes do início da parte principal, a equipe atacante realiza reconhecimento passivo e coleta de dados, preparando a infraestrutura e finalizando ou desenvolvendo suas próprias ferramentas de acordo com as informações recebidas. E no final do projeto, uma consulta adicional dos funcionários do cliente é organizada. Todos esses custos de mão de obra são levados em consideração no custo total.

Segue-se logicamente que o preço do Red Teaming será maior que o teste abrangente de penetração. Mas, ao mesmo tempo, é claro, não excederá dez vezes o custo.

Conclusão do trabalho


O relatório é uma forma de prova de trabalho. No entanto, seu principal valor é que ele pode (e deve) ser analisado e usado para melhorar a segurança na empresa. Portanto, sua qualidade é extremamente importante.

O relatório do Red Teaming pode ser bem diferente dos relatórios de teste de penetração e análise de segurança. Como o trabalho é amplamente focado no script, o relatório é baseado em um histórico de ações.

O relatório conterá as seguintes informações:

  • Conclusão de alto nível sobre o estado de segurança e a disposição dos defensores de enfrentar ameaças reais
  • ,
  • . , (IOC)
  • ,
  • ,
  • .

No final do projeto, várias reuniões são possíveis com representantes de ambos os lados. Uma é orientar a organização, com foco na imagem geral do projeto. Os resultados do Red Teaming podem afetar o trabalho futuro da organização: exigir financiamento para eliminar as deficiências encontradas ou alterar a tabela de pessoal. Se os resultados do Red Teaming forem usados ​​para melhorar a segurança da organização (caso contrário, esse trabalho não faça sentido), a conscientização e o interesse da gerência serão muito importantes.

Outra reunião é técnica. Trata-se de uma troca bidirecional de informações entre atacantes, defensores e o coordenador do projeto no lado do cliente. Inclui uma análise detalhada de alta tecnologia das ações da equipe atacante e defensiva tomadas durante o projeto. Permite que ambas as partes façam perguntas no contexto de ataques implementados e respondam a elas, recebam recomendações para aprimoramento e idéias para novas metodologias. Isso possibilita melhorar a capacidade dos defensores e das equipes atacantes. Tais reuniões fazem parte do projeto e seus benefícios podem ser inestimáveis.

Conclusão


O tópico do Red Teaming é muito extenso e não pode ser totalmente considerado em um artigo. No entanto, do exposto, podemos tirar algumas breves conclusões básicas:

  • Os principais benefícios do Red Teaming são treinamento e compartilhamento de conhecimento.
  • Red Teaming
  • Red Teaming – ( )
  • Red Teaming – , , , .

: , , «-»

More articles:


All Articles