Home Blog Проект Red Team: организация, управление, скоуп

Проект Red Team: организация, управление, скоуп

by Denis Makrushin
2.8K views
Виды наступательных мероприятий и их скоуп (источник — Threatexpress)

Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.

Именно для того, чтобы сгладить эту асимметрию, индустрия ИБ разделила процессы на два полюса: оборонительные и наступательные. И раскрасила их в разные цвета — красный для атакующей стороны, синий — для защищающейся.

В этой статье на примере Red Team я расскажу об основных формальных и фактических различиях между командами, рассмотрю, с какими задачами сталкиваются их участники, и, возможно, даже помогу тебе определиться с «цветом», если ты только начинаешь свою карьеру в информационной безопасности или чувствуешь себя не на том месте.

Материал подготовлен для авторской колонки в издании “Хакер”

Красная, синяя и пурпурная команды

Понятия Red Team и Blue Team пришли из традиционного военного ремесла, и суть этих терминов нисколько не изменилась. Blue Team в контексте кибербезопасности означает команду экспертов, задача которых — обеспечивать защиту инфраструктуры.

Ключевые этапы адаптивной безопасности, которые должны быть выстроены Blue Team (источник — Gartner)
Ключевые этапы адаптивной безопасности, которые должны быть выстроены Blue Team (источник — Gartner)

Согласно архитектуре адаптивной безопасности, которую предложило информационное агентство Gartner, задачи Blue Team делятся на следующие области:

  • Prevent — выстраивать систему защиты от уже известных атак;
  • Detect — выявлять новые (в том числе и ранее неизвестные) атаки и оперативно приоритизировать и обрабатывать инциденты;
  • Respond — вырабатывать ответные меры и политики реагирования на выявленные инциденты (на этом этапе крайне желательно, чтобы выявленные инциденты целой категорией отправлялись в блок Prevent);
  • Predict — прогнозировать появление новых атак с учетом меняющегося ландшафта угроз.

Последний пункт с технической точки зрения и привносит настоящий челлендж в работу security-аналитика («Какое там прогнозирование, когда SIEM завален событиями и инциденты еще не разобраны?»). К этому блоку относятся мероприятия для оценки уровня защищенности, однако они же позволяют оценить эффективность процессов и на других стадиях.

Таким образом, задача Red Team сводится не к тому, чтобы «разнести» корпоративную инфраструктуру и доказать всем, что все плохо; а напротив — использовать анализ защищенности в качестве конструктивной меры для оценки существующих процессов и помощи Blue Team в их улучшении.

Во многих организациях, где процессы ИБ еще недостаточно зрелые либо бюджеты не позволяют расширять штат безопасников, задачи оценки защищенности решают специалисты Blue Team. А вот в крупных компаниях наступательные мероприятия передали Red Team. Это разделение, в частности, позволяет бизнесу эффективно оценивать бюджеты на информационную безопасность.

Изредка встречаются крупные компании, которые добавляют еще и команду Purple Team. Ее основная задача — в повышении эффективности взаимодействия синей и красной команд. «Пурпурные» эксперты помогают другим командам дружить, позволяя синей команде разрабатывать стратегию и технические меры для защиты инфраструктуры на основе обнаруженных красной командой уязвимостей и недостатков. Однако при наличии эффективной коммуникации между Blue Team и Red Team необходимость в Purple Team вызывает сомнения.

Еще раз подчеркну. Цель всех этих команд — повышение уровня защищенности инфраструктуры. При этом:

  • Blue Team занята защитой инфраструктуры за счет реализации процессов адаптивной безопасности;
  • Red Team занимается эмуляцией действий атакующего, а также вырабатывает и реализует стратегии для оценки эффективности процессов защиты и непрерывно доставляет результаты команде Blue Team;
  • Purple Team, если она есть, вырабатывает эффективные меры для Blue Team с учетом экспертизы Red Team.

Выбирай свою пилюлю, исходя из личных интересов, но помни, что Red Team не означает «игры в хакеров» и какую-либо романтику. Более того, на мой взгляд, в задачах Blue Team куда больше реальных вызовов, потому что экспертам этой команды, в отличие от Red Team, надо быть начеку в режиме 24/7.

Выбери свою пилюлю, Нео, но помни, что результат должен быть один
Выбери свою пилюлю, Нео, но помни, что результат должен быть один

Виды наступательной безопасности

Разобравшись с высокоуровневыми целями команд, представляем себе, что выбрали красную пилюлю. Рассмотрим задачи Red Team в контексте всех мероприятий, связанных с наступательной безопасностью.

https://twitter.com/difezza/status/1123539814530392064

Хайп вокруг услуг Red Teaming, который одно время наблюдался в индустрии, постепенно проходит. Считалось, что красные команды якобы намного эффективнее и дороже пентестов, а их работа сложнее. Не ведись! Эти процессы преследуют разные цели в рамках одной общей задачи — повышения уровня защищенности. Они решают разные технические задачи и, соответственно, не взаимозаменяемы. Напротив, эти активности должны на определенных этапах дополнять друг друга.

Существует много видов процессов наступательной безопасности, и у каждого свои задачи. Здесь и Vulnerability Assessment, и Penetration Testing, и Red Teaming. Чаще всего их отличия заключаются в скоупе, глубине продвижения в процессе анализа защищенности и показателях, которые будут использоваться Blue Team для выработки защитных мер.

Виды наступательных мероприятий и их скоуп (источник — Threatexpress)
Виды наступательных мероприятий и их скоуп (источник — Threatexpress)

Vulnerability Assessment проводится для оценки поверхности атаки и зачастую неплохо выполняется внутренними подразделениями (in-house), например силами Blue Team. В качестве примера категории таких работ можно привести инструментальное сканирование на уязвимости с последующей ручной верификацией обнаруженных проблем.

При этом для точной оценки рисков информации об уязвимостях оказывается недостаточно, так как большое значение имеет контекст, в которых эти уязвимости находятся. Например, уязвимость на рабочей станции сотрудника HR-департамента может привести к утечке нескольких файлов с зарплатами сотрудников, в то время как эта же уязвимость на рабочей станции рядового системного администратора может привести к компрометации доменного контроллера, с последующей установкой бэкдоров и возможностью непрерывной кражи важной для бизнеса информации.

Вопросы, на которые дает ответы Vulnerability Assessment

  • Какие уязвимости и в каком количестве содержит моя инфраструктура?
  • Что требует немедленного исправления (какой приоритет у обнаруженных проблем)?

Penetration Testing часто идет сразу после успешно внедренного процесса VA и может включать его в себя как часть работ. Поверхность атаки, полученная на предыдущем этапе, используется для выявления и проверки возможных сценариев. Соответственно, эта информация используется для более точной оценки бизнес-рисков.

В большинстве случаев на практике пентесты используются для анализа защищенности технической инфраструктуры и реже — для оценки организационных процессов (так называемые социотехнические тесты). Как правило, этот тип проверок ограничен во времени (ежеквартальные пентесты для compliance, пентесты перед аудитами и подобное) и разработан для реализации конкретной задачи — это могут быть закрепление в корпоративной сети, кража определенной информации, компрометация конкретных сотрудников и так далее. В результате пентест демонстрирует конкретные проблемы, которые могут и не дать общей картины эффективности процессов ИБ в компании.

Вопросы, на которые дает ответы Penetration Testing

  • Возможен ли доступ к моей инфраструктуре (моим данным)? Если да, то каким способом?
  • Насколько эффективно справится с проверкой моя служба ИБ?
  • Готов ли я к комплексному аудиту ИБ?

При проведении пентеста бизнесу важно понимать, насколько процессы защиты эффективны в данный момент и насколько хороши те или иные защитные меры. Но поскольку пентесты ограничены и во времени, и по скоупу, они не позволяют получить полную картину.

Red Teaming же — это непрерывный процесс симуляции атак с целью оценки всех существующих процессов защиты организации и повышения осведомленности задействованных в этом процессе лиц. Это определение звучит академически, но зато исчерпывающе.

Красная команда свободна в выборе тактик, техник и процедур (tactics, techniques, and procedures, часто сокращают как TTP) для реализации своих целей.

Можешь посмотреть небольшой документальный фильм издания Tech Insider о Red Team, чтобы понять, как выглядит рабочий процесс эксперта красной команды.

Вопросы, на которые дает ответ Red Teaming

  • Насколько эффективны существующие защитные меры, включая VA и пентесты?
  • Что должна делать Blue Team для повышения своей эффективности и уровня защищенности?

Red Team: задачи

Итак, красная команда имитирует действия злоумышленника, чтобы повысить уровень защищенности инфраструктуры. Вот задачи, которые она должна решать, чтобы достигать своих целей:

  • повышение уровня осведомленности Blue Team за счет непрерывных наступательных мероприятий;
  • проверка эффективности существующих процессов и средств информационной безопасности;
  • разработка и развитие набора инструментов (фреймворка) для улучшения возможностей выявления, прогнозирования угроз и организации сценариев реагирования на появляющиеся угрозы.

Понятно, что решения этих задач не добиться, если не концентрироваться на безопасности и не подходить ответственно к реализации всех проверок. А значит, для красной команды недопустимо нарушение трех постулатов ИБ: конфиденциальности, целости и доступности всех проверяемых ресурсов (только если это «нарушение» заведомо не будет частью проверки).

Red Team: ключевые показатели эффективности

Мы разобрались с высокоуровневыми и бизнес-задачами Red Team. Теперь погружаемся непосредственно в особенности функционирования красной команды.

Формулировка низкоуровневых (технических) целей для команды может различаться в зависимости от характеристик бизнеса. Размер организации, виды ее активов, особенности внутренней структуры службы безопасности, бюджет на ИБ — все это влияет на формулировку. Например, перед командой могут стоять следующие задачи:

  • закрепление в домене с последующей демонстрацией доступа;
  • компрометация основных систем (например, внутреннего сервера Git, баз данных);
  • компрометация имеющихся систем защиты (получение административного доступа к панели управления, изменение конфигурационных файлов и так далее);
  • получение доступа с последующим закреплением на рабочих станциях топ-менеджеров.

Все поставленные цели так или иначе сводятся к реализации Attack Kill Chain. О жизненном цикле атаки я уже рассказывал в своей предыдущей колонке в контексте таргетированных атак. Именно эти стадии используются в ходе работ Red Team как «дорожная карта» для продвижения к цели.

Жизненный цикл таргетированной атаки (Attack Kill Chain) и road map для красной команды
Жизненный цикл таргетированной атаки (Attack Kill Chain) и road map для Red Team

Среди многообразия иллюстраций Kill Chain наиболее пригодна для использования экспертами Red Team матрица MITRE ATT&CK, которая содержит в себе актуальный набор TTP атакующих.

Матрица MITRE ATT&CK
Матрица MITRE ATT&CK

Описанные в этом документе TTP понятны не только команде атакующих, они могут использоваться и Blue Team. Например, современные «отчеты об угрозах», которые Blue Team получает в рамках услуг Threat Intelligence, часто содержат не только технические особенности работы вредоносного кода, но и TTP, которые APT-группы используют для его доставки и продвижения к цели.

Получается, что эта матрица может стать своеобразным словарем для общения красной и синей команд.

Управление командой и доставка результатов

Если бы задача Red Team заключалась исключительно в компрометации сети, то процесс выглядел бы примерно так: лидер команды согласует низкоуровневые цели, затем уходит куда-то на несколько месяцев и возвращается с отчетом «Мы вас поломали вот таким вот образом». К счастью, это не так.

Тимлид (менеджер команды) фиксирует ключевые цели — так называемые crown jewels — королевские бриллианты, ну или «флаги» в терминах CTF. Затем он, исходя из этих целей, планирует детальную дорожную карту проекта, особенностей объекта атаки и ресурсов команды. Ниже пример дорожной карты красной команды французского CERT.

Пример дорожной карты проекта для Red Team
Пример дорожной карты проекта для Red Team

Как видишь, проект делится на стадии атак с учетом примерных сроков реализации каждой из них, отмечены ключевые этапы (milestones). На тех или иных ключевых этапах тимлид должен давать обратную связь всем заинтересованным сторонам (в первую очередь Blue Team) и сообщать об успешности выполнения этапа и готовности переходить на следующий.

Также тимлид может демонстрировать промежуточные результаты в виде небольших отчетов на каждой стадии. К примеру, при завершении этапа «доставка полезной нагрузки» (delivery) Red Team может отработать вектор spear-phishing и отправить пейлоад (имплант) сотрудникам организации в виде вложения в фишинговое письмо. По результатам доставки тимлид готовит отчет о статистике открытия писем с перечислением конкретных лиц, запустивших имплант, а также прикладывает пример фишингового письма.

Эти результаты Blue Team может использовать для повышения осведомленности сотрудников, запустивших имплант, для тонкой настройки спам-фильтров и компонентов антифишинга.

Выводы

Проект Red Team — это практически стартап внутри организации. Или даже стартап вне организации, который может обслуживать несколько крупных компаний в параллельном режиме.

В этом материале мы рассмотрели цели и задачи красной команды, изучили ключевые особенности ее работы. Надеюсь, ты все же понял главную мысль: наступательная безопасность может быть использована не только как инструмент, позволяющий доказать всем, что «все плохо», а как инструмент, который в непрерывном режиме повышает безопасность бизнеса.

Да, не каждая организация готова к внедрению процессов Red Teaming — для этого должны быть зрелыми определенные процессы ИБ. Но когда компания становится готова к созданию своей красной команды, она принимает ту «философию», которую прекрасно описал Сунь-Цзы: «Держи друзей близко к себе, а врагов еще ближе».

Leave a Comment

You may also like