- PVSM.RU - https://www.pvsm.ru -
Термин Red Teaming слышали все, кто связан с информационной безопасностью напрямую или косвенно. Но не все до конца понимают, что это такое: зачем нужна оценка эффективности команды реагирования на инциденты? Что это за форма обучения команды защитников? Часто Red Teaming выдают за комплексное тестирование на проникновение: предоставляют классическое, хоть и расширенное тестирование на проникновение по цене в несколько раз выше. Некоторые крупные компании ищут своих собственных специалистов по Red Teaming и, скорей всего, тоже не до конца понимают, какие задачи будут решать с их помощью. Что же такое Red Teaming как услуга и что Red Teaming'ом не является? Об этом ниже.
Как и многие другие вещи в нашей повседневной жизни (клейкая лента, микроволновая печь, консервы и т.д.), термин Red Teaming пришел из военно-промышленного комплекса. Во время вьетнамской войны американские военные летчики отрабатывали навыки ведения воздушного боя и изучали собственные ошибки, тем самым повышая свой уровень мастерства без реальной потери пилотов и самолетов. А вот название «красная команда», скорей всего, появилось в ходе противоборства с Советским Союзом. Исторически сложилось, что «красные» нападают, а «синие» обороняются.
Охранникам в Будапеште тоже приглянулся этот термин;)
Существует три основных типа работ по проверке уровня защищенности компании.
Red Teaming – это процесс использования Тактик, Техник и Процедур (TTP) для имитации действий реального противника с целью тренировки и оценки эффективности людей, процессов и технологий, которые используются для защиты инфраструктуры и окружения организации.
Имитация действий злоумышленников командой атакующих тренирует автоматизм реагирования на инциденты и дает защитникам ситуационную осведомленность об инструментах и тактике атакующих.
Red Teaming фокусируется на операциях по обеспечению комплексной безопасности, включающей в себя людей, процессы и технологии. Red Teaming уделяет прямое внимание обучению команды защитников и оценке того, как служба безопасности может противодействовать реальным действиям противника. Технические недостатки и уязвимости в данном случае второстепенны – ключевой же вопрос: как с их помощью нарушитель может влиять на деятельность организации.
В основе Red Teaming лежит сценарий действий противника. Сценарии отличают Red Teaming от тестирования на проникновение, и они же определяют ход проекта. Сценарии позволяют моделировать действия определенного противника (конкретной APT-группы) или имитировать действия предполагаемого злоумышленника.
Red Teaming использует методы и техники наступательной (offensive) безопасности, но по своей природе является частью защитной (defensive) безопасности и частью SOС, поэтому не может существовать без Blue Team.
Команда атакующих – это независимая группа профессионалов, которая смотрит на безопасность организации с позиции противника. Команда находит альтернативные способы достижения поставленных целей и бросает вызов защитникам организации, чтобы проверить их готовность к реальным угрозам. Независимость помогает атакующим точно и непредвзято оценивать уровень безопасности, избегая многих предубеждений.
Именно для сохранения независимости команда атакующих должна быть внешней. И отсутствие каких-либо знаний об атакуемой системе и ее защите (кроме той информации, которая была получена на раннем этапе проекта) позволит лучше подготовиться и разработать правильную стратегию проведения проекта. Внутренний Red Teaming может быть только в ограниченном виде, и лучше его называть термином «Purple Teaming» (смешение красного и синего цветов) или Threat Hunt. Это группа специалистов внутри компании, которая может провести различные атаки на инфраструктуру и одновременно с этим настроить контроли для обнаружения таких атак. Но оценивать эффективность должна внешняя группа.
Как и любая деятельность, Red Teaming имеет цель. Цели атакующих могут быть различными (главное, чтобы они не нарушали законодательство и коммерческую тайну), например:
В Red Teaming нет ни победителей, ни проигравших. У атакующих нет цели тихо и незаметно захватить сервер или сеть организации. На начальном этапе команда атакующих будет действовать бесшумно, но, как только приблизится к цели на «расстояние вытянутой руки», начнет «шуметь», чтобы привлечь внимание защитников. Если они обнаружат и заблокируют атакующих на раннем этапе, то не смогут узнать, как противник может действовать дальше. Но если нет победителей и проигравших, как определить успех?
Успех Red Teaming определяется не тем, как хорошо команда атакующих захватывает сеть. Проект Red Teaming успешен, когда команда атакующих выполняет свои цели, а команда защитников способна обучаться и улучшать уровень безопасности организации.
Успех также можно определять ответами на следующие вопросы:
Как определить, что проект Red Teaming на стадии завершения (и пора писать отчет)? Этот пункт обсуждается и утверждается ещё на старте. В целом есть несколько вариантов:
В чем ключевая польза от Red Teaming? В возможности изменить угол обзора ИБ в компании:
Если проект по Red Teaming не будет улучшать уровень безопасности, то нет смысла его проводить.
Red Teaming могут использовать организации с любым уровнем зрелости ИБ. Необходимое условие – это наличие команды защитников и процессов реагирования на инциденты и угрозы.
Организациям с начальным и средним уровнем зрелости Red Teaming поможет оценить свою способность противостоять опытному противнику: понять, в какую сторону расти, какие контроли безопасности внедрить. А также выработать автоматизм правильного реагирования на инциденты.
Для организации со зрелым уровнем безопасности это будет тренировка и отработка своих навыков. Но кроме этого, они смогут увидеть новые техники и тактики, с которыми еще не сталкивались.
В проекте участвуют следующие команды:
Часто White Team путают с Purple Team.
Пожалуй, самый важный вопрос, который интересует любого заказчика, — это цена. Заоблачная стоимость Red Teaming — это уловка маркетинга. Непонятное название, новый тренд в индустрии ИБ – все это нередко побуждает к необоснованному взвинчиванию цены на услугу.
Стоимость Red Teaming рассчитывается исходя из продолжительности проекта, которая в свою очередь зависит от выбранного сценария. Чем сложнее сценарий, тем больше работ по нему.
Длительность проекта Red Teaming обусловлена тем, что команде атакующих требуется действовать скрытно, чтобы не обнаружить себя раньше времени. Средняя продолжительность проекта – около 12 недель. Для сравнения: комплексное тестирование на проникновение, включающее внешний периметр, внутреннюю инфраструктуру, социальную инженерию и анализ беспроводных сетей, в среднем длится 7 недель (может быть закончен быстрее, если подрядчик проводит этапы параллельно).
Еще до старта основной части команда атакующих проводит пассивную разведку и сбор данных, подготовку инфраструктуры и доработку или разработку собственных инструментов в соответствии с полученной информацией. А по завершении проекта организуется дополнительная консультация сотрудников заказчика. Все эти трудозатраты учитываются в итоговой стоимости.
Отсюда вполне логично следует, что цена за Red Teaming будет выше комплексного тестирования на проникновение. Но при этом, конечно, не будет превышать его стоимость в десятки раз.
Отчет является формой доказательства проведения работ. Однако, главная его ценность в том, что он может (и должен) быть проанализирован и использован для улучшения безопасности в компании. Поэтому крайне важно его качество.
Отчет по Red Teaming может довольно сильно отличаться от отчетов по тестированию на проникновение и анализа защищенности. Так как работы в значительной степени сфокусированы на сценарии, то и отчет основан на истории действий.
Отчет будет содержать следующую информацию:
По окончании проекта возможно проведение нескольких встреч с представителями обеих сторон. Одна – для руководства организации, с фокусом на общей картине проекта. Результаты Red Teaming могут повлиять на дальнейшую работу организации: потребовать финансирования для устранения найденных недостатков или изменения штатного расписания. Если результаты Red Teaming будут использоваться для повышения безопасности организации (а в ином случае такие работы не имеют смысла), то осведомленность и заинтересованность руководства очень важны.
Другая встреча – техническая. Это двусторонний обмен информацией между атакующими, защитниками и координатором проекта на стороне заказчика. Включает подробный высокотехнический обзор действий команды атакующих и защитников, предпринятых во время проекта. Позволяет обеим сторонам задать вопросы в контексте реализованных атак и реагирования на них, получить рекомендации по улучшению и идеи для новых методологий. Тем самым дает возможность улучшить способности как защитников, так и команды атакующих. Подобные встречи являются частью проекта, и польза от них может быть бесценна.
Тема Red Teaming очень обширна и ее нельзя полностью рассмотреть в одной статье. Тем не менее из описанного выше можно сделать некоторые основные короткие выводы:
Автор: Дмитрий Неверов, эксперт по анализу защищенности, «Ростелеком-Солар»
Автор: SolarSecurity
Источник [1]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/353240
Ссылки в тексте:
[1] Источник: https://habr.com/ru/post/503042/?utm_source=habrahabr&utm_medium=rss&utm_campaign=503042
Нажмите здесь для печати.