Колонки

Что такое Red Team и зачем бизнес взламывает сам себя

Колонки
Александр Герасимов
Александр Герасимов

Директор по информационной безопасности и сооснователь Awillix

Анастасия Удальцова

Большие компании с активами, за которые можно просить солидный выкуп, обязательно находятся на радарах серьезных хакерских группировок. Чтобы понять, каким способом злоумышленники могут завладеть важными данными и сколько времени и денег для этого понадобится, существуют сложные методы имитаций атак — например, Red Team.

Александр Герасимов, директор по информационной безопасности и сооснователь Awillix, эксперт в области тестирования на проникновение и анализа защищенности, рассказал, что такое Red Team и в каких случаях компании прибегают к этому инструменту.
Что такое Red Team и зачем бизнес взламывает сам себя

 

Содержание:

 

Что такое Red Team

Как действует хакер:

  1. начинает разведку,
  2. взламывает один из элементов защиты,
  3. проникает и закрепляется в системе,
  4. развивает атаку, получая все больше и больше доступов.

Так, злоумышленники могут забрать деньги, уничтожить исходный код, зашифровать важные данные и полностью саботировать бизнес-процессы. 

Специалисты по кибербезопасности, проводя пентест, тоже взламывают системы, но только чтобы обнаружить ее слабые места раньше злоумышленников и устранить их. А Red Team — это целая команда нападающих. Она позволяет сымитировать весь комплекс действий для сложной целевой атаки в режиме реального времени силой выделенной команды пентестеров.


Red Team — это комплексная услуга, в которой содержится тест на проникновение сразу и инфраструктуры, и различных средств защиты, сетевых устройств (например, Wi-Fi) и тестирование методом социальной инженерии: фишинговые рассылки, звонки, физическое проникновение и многое другое.


Имитация в Red Team очень натуральна и наиболее приближена к реальности, ничто не ограничивает исполнителей в достижении цели.

На время проекта Red Team — это хакерская группировка, которая собирает информацию из открытых источников и даркнета, находит любые, даже самые сложные уязвимости в защите, ломает компанию любыми способами и пытается никак себя не выдать. Целью может быть получение административного доступа к инфраструктуре, вывод базы данных или получение доступа к 1С.

Red Team проводится без уведомления внутренних служб информационной безопасности. Все по-настоящему: защита работает на полную.

Все, что знают нападающие — название компании.

Красная команда скрывает себя и заранее готовит инструментарий. Для фишинговой рассылки заранее покупается домен, чтобы он стал доверенным. Закупаются инструменты типа VPN и proxy, чтобы скрыть реальный адрес для каждого запроса. Сканеры настраиваются так, чтобы внутренняя служба безопасности не замечала сканирования или не подозревала, что это целенаправленная атака. 

Red Team направлен на оценку уровня защищенности организации и того, насколько корректно работают средства защиты, как эффективно реагируют специалисты службы безопасности компании. Их задача — обнаружить атакующих, расследовать инциденты и противостоять нападению. Они не знают, что это учения, и отражают атаку реальных хакеров. 

Цель Red Team — улучшить процессы информационной безопасности.

Когда на компьютере финансиста вдруг неожиданно запускается командная строка или инструмент, который тот никогда не запускал — это аномалия.

Средство защиты будет блокировать аномальные действия и сообщать средствам мониторинга, поэтому нужно действовать незаметно. Применяются дополнительные техники сокрытия и вывода данных, приходится видоизменять эксплуатацию и пытаться обмануть систему. Может возникнуть сложность и увеличится время атаки. 

Помимо красной команды атаки, есть и другие:

  • Синяя — это внутренняя ИБ-служба, которая отражает атаки.
  • Фиолетовая — арбитры, чья задача обеспечить и довести до максимума эффективность работы Красных и Синих команд.

Они вписывают защитные приемы синих команд и исследования угроз красных в единый контекст. Когда проект заканчивается, все проведенные работы красной и синей команд сопоставляются. Синие рассказывают, что видели, как реагировали на инциденты, какие меры принимали. Красные предоставляют отчет о развитии своих атак, предлагают рекомендации технического плана. Все вместе проводят разбор полетов.

 

В каких случаях применяется Red Team

Red Team — это масштабная и секретная имитация высокоорганизованной целевой хакерской атаки. Она нужна только в том случае, если компания успешно прошла другие более простые проверки безопасности.

Это как проверка на прочность для тех, кто уже видел все, умеет быстро и эффективно реагировать на любые инциденты и отражать атаки.

Хакеров не сдерживают правила морали, они используют любые методы для входа во внутреннюю сеть. Полезно проверить, насколько команда безопасников готова к изощренному нападению. Поэтому член Red Team может устроиться на работу в компанию или подбросить флешку с вредоносным ПО. Попросить уборщицу, чтобы она вставила устройство в розетку. Подослать подставного курьера под любым предлогом.

Только прямой подкуп сотрудников остается вне закона. 

Представьте офисное здание, где сотрудники используют свои логины и пароли от компьютеров для авторизации в корпоративной Wi-Fi-сети. Для проникновения через Wi-Fi нужны учетные данные. Чтобы получить их, красная команда готовит несколько сценариев фишинговой рассылки. Рассылку быстро заметят и примут меры.

Нужно отправить письма и ждать пока кто-то внесет данные, затем сразу же пробовать попасть во внутреннюю сеть. Для этого можно заехать во двор и парковаться максимально близко к зданию, чтобы Wi-Fi ловился из машины. Часть команды фишит из квартиры, часть в машине ждет данные.

Попасть во внутреннюю сеть таким образом можно меньше чем за 20 минут.


Читайте по теме:

«Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании

6 технологических гигантов, которые были взломаны хакерами LAPSUS$


Пентестерам часто приходится писать собственные инструменты, которые помогают не обнаружить чужаков внутри. Например, ты в компьютере сотрудника, у которого есть доступ к нужному файлу, нужно преобразовать файл в закодированный вид и вывести через протоколы, которые не видят средства защиты. 

В итоге такая проверка помогает заказчику правильным образом настроить корпоративный Wi-Fi, отладить модель реагирования на подобные угрозы и дополнительно обучить сотрудников распознавать и реагировать на фишинг.

Другой пример — физическое проникновение в банк. Защита банка на хорошем уровне повсеместно: от средств защиты до обычной охраны. Можно делать все, кроме применения физической силы к персоналу и привлечения общественности.

Можно взламывать замки, залезать через окна, представляться курьером или клиентом, заходить вместе с сотрудником с пропуском, пока не закрылась дверь (применять Tailgating). Чтобы попасть через колючую проволоку забора, можно перекинуть обычный ковер — все это реальные способы получения доступа в корпоративную сеть.

RB.RU рекомендует лучших поставщиков цифровых решений для вашего бизнеса — по ссылке

После этого атакующие могут использовать собственное устройство, благодаря которому получат максимальные привилегии в сети банка. В нашей практике это занимает около трех часов. 

После такого теста компания узнает, как отладить внутренние процессы мониторинга ИБ-инцидентов и физической безопасности.


Заказчиком такой услуги обычно выступают собственники или топ-менеджеры. Для оценки реальной ситуации важно, чтобы о Red Team проекте не знал никто, даже директор по безопасности.

Часто договоры на Red Team не проходят даже процедуру согласования внутри компании, даже в крупных и бюрократизированных организациях из-за секретности. В России Red Team проводят очень редко и только те, чей уровень ИБ максимально развит, и на безопасность выделяются серьезные бюджеты.

 

Когда Red Team не нужен

  • Тестирования дарят собственникам бизнеса спокойный сон. Это единственный способ узнать наверняка, насколько сложно злоумышленнику заполучить активы организации.

Перед процедурами слияний и поглощений компании могут проводить RT-проекты, чтобы убедиться, что чувствительная информация не будет скомпрометирована и не сорвет сделку в последний момент. 

  • С помощью Red Team компания тюнингует свои ИБ-процессы — понимает, что не предусмотрела, и дорабатывает это.

Это не может полностью завершиться. Чтобы сохранять высокий уровень информационной безопасности, нужно организовать цикл:

  1. провели Red Team,
  2. сделали выводы,
  3. что-то исправили,
  4. заказали следующий Red Team. 

Это вовсе не означает, что Red Team-проекты — это волшебная таблетка для безопасности.

Даже наоборот, они не помогут, если процессы информационной безопасности не развиты.

Сначала нужно убедиться, что весь ландшафт ИТ-инфраструктуры покрыт проверками и защищен, а только потом переходить к имитации атак. Если в компании есть много сайтов, сервисов и приложений, начать можно, к примеру, с автоматизированного сканирования. В автоматическом режиме сканер проанализирует сервисы компании и выдаст отчет, что надо исправить. 

Далее то, что не обнаружили сканеры, обнаружат специалисты, делая анализ защищенности, выявляя максимальное количество уязвимостей на ИТ-периметре и в сервисах уже в ручном режиме. 


Читайте также:

Кто такие блокчейн-детективы и чем они занимаются

Почему будущее Web 3.0 зависит от хакеров


Когда все «дыры» в широком понимании закрыты, можно переходить к более сложным упражнениям — имитации настоящей атаки. После теста на проникновения ИБ-отдел исправит оставшиеся сложные уязвимости.

Так, с каждым разом компания будет становиться все неприступнее. Но этого будет все равно недостаточно. 

Чтобы защититься от злоумышленников с высоким уровнем подготовки и мотивации — недостаточно думать только о защите от одиночной атаки или серии атак. Принципиальное значение приобретают процессы.

Необходимо выстроить и внедрить правила предоставления и отзыва доступа для каждого сотрудника, порядок мониторинга подозрительных активностей и реагирования на инциденты и многое другое.

Например, каждый сотрудник должен точно знать, что ему делать и к кому обратиться при получении подозрительного сообщения, обнаружении незнакомых файлов или программ на своем рабочем компьютере.

Фото на обложке: Shutterstock / Rawpixel.com

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Честный знак при карго-доставке из Китая: «серые» схемы и их последствия
  2. 2 Как взламывают корпоративные сайты и что сделать в компании, чтобы это предотвратить
  3. 3 4 ситуации, где мошенники обманывают предпринимателей — и как от них защититься
  4. 4 Риски кибербезопасности при покупке бизнеса: как устранить?
  5. 5 Как хакеры атакуют программы лояльности и чем это грозит бизнесу и его клиентам
EdTech: карта российского рынка
Все компании и инвесторы в области образовательных технологий
Перейти