Ikke alle hackere er dårlige nyheder! Red team hackere vil forsøge at få adgang til dine data, men af altruistiske formål...
Red teaming er handlingen med at teste, angribe og trænge ind i computernetværk, applikationer og systemer. Red teamers er etiske hackere hyret af organisationer til at kampteste deres sikkerhedsarkitektur. Det ultimative mål for det røde hold er at finde – og nogle gange fremkalde – problemer og sårbarheder i en computer og udnytte dem.
Hvorfor er Red Teaming vigtigt?
For en organisation, der skal beskytte følsomme data og systemer, involverer red teaming ansættelse cybersikkerhedsoperatører til at teste, angribe og trænge ind i dens sikkerhedsarkitektur, før de er ondsindede hackere gør. De komparative omkostninger ved at få venskabskampe til at simulere et angreb er eksponentielt mindre, end hvis angribere gør.
Så røde holdspillere spiller i det væsentlige rollen som eksterne hackere; kun deres hensigter er ikke ondsindede. I stedet bruger operatørerne hacking-tricks, værktøjer og teknikker til at finde og udnytte sårbarheder. De dokumenterer også processen, så virksomheden kan bruge erfaringerne til at forbedre sin overordnede sikkerhedsarkitektur.
Red teaming er vigtigt, fordi virksomheder (og endda enkeltpersoner) med hemmeligheder ikke har råd til at lade modstandere få nøglerne til kongeriget. Et brud kan i det mindste resultere i indtægtstab, bøder fra compliance-bureauer, tab af kunders tillid og offentlig forlegenhed. I værste fald kan et modstridende brud resultere i konkurs, et selskabs uoprettelige sammenbrud og identitetstyveri, der påvirker millioner af kunder.
Hvad er et eksempel på Red Teaming?
Red teaming er meget scenariefokuseret. For eksempel et musikproduktionsselskab kan ansætte red team-operatører at teste sikkerhedsforanstaltninger til at forhindre lækager. Operatører laver scenarier, der involverer mennesker, der har adgang til datadrev, der indeholder kunstneres intellektuelle ejendom.
Et mål i dette scenarie kan være at teste angreb, der er mest effektive til at kompromittere adgangsrettigheder til disse filer. Et andet mål kan være at teste, hvor let en angriber kan bevæge sig sideværts fra ét indgangspunkt og udslette stjålne masteroptagelser.
Hvad er målene for det røde hold?
Det røde hold sætter sig for at finde og udnytte så mange sårbarheder som muligt på kort tid uden at blive fanget. Mens de faktiske mål i en cybersikkerhedsøvelse vil variere mellem organisationer, har røde teams generelt følgende mål:
- Model trusler fra den virkelige verden.
- Identificer netværks- og softwaresvagheder.
- Identificer områder, der skal forbedres.
- Vurder effektiviteten af sikkerhedsprotokoller.
Hvordan fungerer Red Teaming?
Red teaming starter, når en virksomhed (eller enkeltperson) hyrer cybersikkerhedsoperatører til at teste og evaluere deres forsvar. Når jobbet er ansat, gennemgår det fire engagementsfaser: planlægning, udførelse, desinficering og rapportering.
Planlægningsstadiet
I planlægningsfasen definerer klienten og det røde team målene og omfanget af engagementet. Det er her, de definerer autoriserede mål (såvel som aktiver, der er udelukket fra øvelsen), miljøet (fysisk og digitalt), engagementets varighed, omkostninger og anden logistik. Begge sider opretter også de regler for engagement, der skal styre øvelsen.
Udførelsesstadiet
Udførelsesfasen er, hvor de røde teamoperatører bruger alt, hvad de kan, til at finde og udnytte sårbarheder. De skal gøre dette skjult og undgå at blive ramt af deres måls eksisterende modforanstaltninger eller sikkerhedsprotokoller. Røde holdspillere bruger forskellige taktikker i matrixen modstridende taktik, teknikker og fælles viden (ATT&CK).
ATT&CK-matricen inkluderer rammer, som angribere bruger til at få adgang til, vedholde og bevæge sig gennem sikkerhedsarkitekturer som hvordan de indsamler data og opretholder kommunikationen med den kompromitterede arkitektur efter en angreb.
Nogle teknikker kan de anvende omfatte krigsførende angreb, social engineering, phishing, netværkssniffing, legitimationsdumping, og port scanning.
Saneringsstadiet
Dette er oprydningsperioden. Her binder røde holdoperatører løse ender og sletter spor af deres angreb. For eksempel kan adgang til visse mapper efterlade logfiler og metadata. Det røde teams mål i desinficeringsfasen er at rydde disse logfiler og skrub metadata.
Derudover vender de også ændringer, de har foretaget i sikkerhedsarkitekturen under udførelsesfasen. Det omfatter nulstilling af sikkerhedskontroller, tilbagekaldelse af adgangsrettigheder, lukning af bypass eller bagdøre, fjernelse af malware og gendannelse af ændringer af filer eller scripts.
Kunst efterligner ofte livet. Sanering er vigtig, fordi operatører af røde hold ønsker at undgå at bane vejen for ondsindede hackere, før forsvarsholdet kan lappe tingene op.
Rapporteringsstadiet
I denne fase udarbejder det røde team et dokument, der beskriver deres handlinger og resultater. Rapporten indeholder desuden observationer, empiriske resultater og anbefalinger til opdatering af sårbarheder. Det kan også indeholde direktiver til sikring af udnyttet arkitektur og protokoller.
Formatet for røde teamrapporter følger normalt en skabelon. De fleste rapporter skitserer målene, omfanget og reglerne for engagement; log over handlinger og resultater; resultater; forhold, der gjorde disse resultater mulige; og angrebsdiagrammet. Der er normalt også et afsnit til vurdering af sikkerhedsrisici ved autoriserede mål og sikkerhedsaktiver.
Hvad kommer dernæst efter det røde hold?
Virksomheder hyrer ofte røde hold til at kampteste sikkerhedssystemer inden for et defineret omfang eller scenarie. Efter et rødt hold-engagement bruger forsvarsholdet (dvs. det blå hold) de erfaringer, de har lært, til at forbedre deres sikkerhedskapaciteter mod kendte trusler og zero-day-trusler. Men angriberne venter ikke. I betragtning af den skiftende tilstand af cybersikkerhed og hurtigt udviklende trusler, er arbejdet med at teste og forbedre sikkerhedsarkitekturen aldrig rigtigt afsluttet.
