- PVSM.RU - https://www.pvsm.ru -
В данной статье будет рассмотрено командное взаимодействие, инструментарий и методологии проведения Red Team операций. Операции RedT eam позволяют максимально натуралистично эмитировать атаку группы профессиональных внешних нарушителей для выявления уязвимостей инфраструктуры.
Термин Red Team пришел из военной среды и определяет «дружественную» атакующую команду. В противовес ей существует команда защитников — Blue Team.
Отличие Red Team операций от классического пентеста в первую очередь в регламенте действий и упреждении защищаемой стороны. Также, при «классическом» пентесте зачастую используются «белые списки», ограничение по времени проводимых работ, уровню взаимодействия с системой. При проведении Red Team операций нет практически никаких ограничений, производится реальная атака на инфраструктуру: от атак внешнего периметра, до попыток физического доступа, «жестких» социотехнических техник (не фиксация перехода по ссылке, а к примеру, полноценный реверс-шелл).
Задача Blue Team — обеспечивать защиту инфраструктуры вслепую: команду защитников не предупреждают о проведении атаки или ее отличиях от реальных злоумышленников — это один из лучших факторов проверить как защитные системы, так и способность специалистов выявлять и блокировать атаки, а впоследствии проводить расследование инцидентов. После завершения операции необходимо сравнить отработанные векторы атак с зафиксированными инцидентами для улучшения системы защиты инфраструктуры.
Подход Red Team ближе всего соотносится с таргетированной атакой — APT (Advanced Persistent Threat). Команда Red Team должна состоять из опытных профессионалов, с богатым опытом как построения ИТ/ИБ инфраструктуры, так и опытом компрометации систем.
Что отличает Red Team операции:
Red Team схож с войсковой операцией: определяются цели или объекты атаки, зоны ответственности и роли членов команды. Нередко в Red Team команде может выступать инсайдер, передающий данные изнутри компании, либо выполняющий вспомогательные функции.
Четкое распределение ролей, системы оперативного взаимодействия и анализа данных обуславливают несколько ролей снайпер, медик:
Использование конкретного инструментария в частном случае может быть обусловлено спецификой того или иного приложения или сервиса и слабо отличается от обычного тестирования на проникновение. При проведении Red Team операций встает вопрос командного взаимодействия и систематизации полученных результатов — это и отчеты различных инструментальных средств анализа и уязвимости выявленные в ручном режиме — все это представляет из себя огромный объем информации, в котором без должного порядка и системного подхода можно упустить что-то важное или «разгребать» возможные дубли. Также существует необходимость сведения отчетов и их нормализация и приведение к единому виду.
Обычно Red Team операции покрывают довольно объемные инфраструктуры, которые требуют применения специализированного инструментария:
Cobalt Strike
Cobalt Strike — это фреймворк для проведения тестов на проникновение. Это продвинутый аналог Armitage, который в свою очередь является GUI надстройкой над Metasploit Farmework. Продвинутая система встроенного скриптового языка позволяет проводить наиболее эффективные атаки.
Dradis
Один из старейших и популярных фреймворков. Нативно установлен в Кali Linux. Dradis Framework является платформой с открытым исходным кодом для упрощения совместной работы и отчетности в области информационной безопасности. Dradis является автономным веб-приложением, которое обеспечивает централизованное хранение информации. Существуют две версии — Community Edition (бесплатная) и Professional Edition (от $59). В про версии больше функционала, в том числе в возможностях интеграции, системе отчетов, поддержке (в том числе и приоритетной), доступных методологиях и т.д. Возможно расширение функционала в виде плагинов/аддонов.
Faraday IDE
Faraday — самая мощная среда для совместной работы, true multiplayer penetration testing. Поддерживает работу в ArchAssault, Archlinux, Debian, Kali, OSX, Debian. Работает в режиме реального времени, моментально обрабатывая результаты, присланные тем или иным пентестером. В этом фреймворке заложен концепт геймификации, специалистам дается возможность померяться скиллами по количеству и качеству зарепорченных уязвимостей.
Nessus
Один из самых популярных сканеров уязвимостей, разработанный компанией Tenable Network Security. До 2005 года это было свободное программное обеспечение с открытым исходным кодом, а в 2008 году вышла платная версия продукта.
OpenVAS
OpenVAS (Open Vulnerability Assessment System, Открытая Система Оценки Уязвимости, первоначальное название GNessUs) фреймворк состоящий из нескольких сервисов и утилит, позволяющий производить сканирование узлов сети на наличие уязвимостей и управление уязвимостями.
SE Toolkit
Social Engineering Toolkit (набор для социальной инженерии), классический мультиинструмент, для проведения социотехнических атак.
GoPhish
OpenSource фреймворк для фишинга. Позволяет проводить массированные фишинговые атаки.
Logstash/Elasticsearch/Kibana
Решения для широкого спектра задач по сбор, анализу и хранению данных.
Для желающих сформировать свою команду Red Team, получив лучшие практики по организации командного взаимодействия, нашими специалистами разработана новая программа обучения: Red Team. Программа курса поможет научится эффективно использовать как инструментарий для проведения атак, так и методы и технологии выявления и анализа действий атакующих. Теоретическая часть будет закреплена в специализированной лаборатории, позволяющей на практике применить все полученные навыки.
Курс позволит эффективно применять навыки командной работы при проведении тестирования на проникновение, получить представление о системах взаимодействия и анализа данных, разработку масштабных операций Red Team для выявления векторов атак на сложную инфраструктуру, проведение социотехнических кампаний и анализ результатов, методы обнаружения и противодействия атакам в реальном времени, анализ инцидентов и затронутых объектов.
Ознакомиться с программой и записаться на курс: https://www.pentestit.ru/courses/corp-lab/ [1]
Автор: Pentestit
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/261562
Ссылки в тексте:
[1] https://www.pentestit.ru/courses/corp-lab/: https://www.pentestit.ru/courses/corp-lab/
[2] Источник: https://habrahabr.ru/post/334620/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.