Pull to refresh

Red Team: командное взаимодействие при проведении тестирования на проникновение

Information Security *


В данной статье будет рассмотрено командное взаимодействие, инструментарий и методологии проведения Red Team операций. Операции Red Team позволяют максимально натуралистично имитировать атаку группы профессиональных внешних нарушителей для выявления уязвимостей инфраструктуры.

Red Team vs Blue Team


Термин Red Team пришел из военной среды и определяет «дружественную» атакующую команду. В противовес ей существует команда защитников — Blue Team.

Отличие Red Team операций от классического пентеста в первую очередь в регламенте действий и упреждении защищаемой стороны. Также, при «классическом» пентесте зачастую используются «белые списки», ограничение по времени проводимых работ, уровню взаимодействия с системой. При проведении Red Team операций нет практически никаких ограничений, производится реальная атака на инфраструктуру: от атак внешнего периметра, до попыток физического доступа, «жестких» социотехнических техник (не фиксация перехода по ссылке, а, к примеру, полноценный реверс-шелл).

Задача Blue Team — обеспечивать защиту инфраструктуры вслепую: команду защитников не предупреждают о проведении атаки или ее отличиях от реальных злоумышленников — это один из лучших факторов проверить как защитные системы, так и способность специалистов выявлять и блокировать атаки, а впоследствии проводить расследование инцидентов. После завершения операции необходимо сравнить отработанные векторы атак с зафиксированными инцидентами для улучшения системы защиты инфраструктуры.

Подход Red Team ближе всего соотносится с таргетированной атакой — APT (Advanced Persistent Threat). Команда Red Team должна состоять из опытных профессионалов, с богатым опытом как построения ИТ/ИБ инфраструктуры, так и опытом компрометации систем.

Что отличает Red Team операции:

  • Длительность. Атаки могут проводится на протяжении нескольких месяцев.
  • Хардкорность. Атакующие могут довольно жестко воздействовать на инфраструктуру, что может привести к выходу части компонентов инфраструктуры из строя.
  • Отсутствие привычных шаблонов тестирования на проникновение. (Кейс из практики — во время обхода СКУД системы на одном из объектов аудита командой был осуществлен вынос оргтехники, содержащий критичные данные за пределы компании — естественно при согласовании с руководителем работ).


Red Team — это попытки получить доступ к системе любыми способами, включающими в себя тестирование на проникновение; физический доступ; тестирование линий связи, беспроводных и радиочастотных систем; тестирование сотрудников посредством сценариев социальной инженерии.

Концепция Red Team операций позволяет провести работы по тестированию на проникновение максимально реалистично.

Командный подход


Red Team схож с войсковой операцией: определяются цели или объекты атаки, зоны ответственности и роли членов команды. Нередко в Red Team команде может выступать инсайдер, передающий данные изнутри компании, либо выполняющий вспомогательные функции.

Четкое распределение ролей, системы оперативного взаимодействия и анализа данных обуславливают несколько ролей снайпер, медик:

  • лидер команды — руководство;
  • оперативники — активная фаза атаки;
  • инсайдеры — эта роль может отсутствовать;
  • аналитики — анализ и нормализация полученных данных.

Инструментарий


Использование конкретного инструментария в частном случае может быть обусловлено спецификой того или иного приложения или сервиса и слабо отличается от обычного тестирования на проникновение. При проведении Red Team операций встает вопрос командного взаимодействия и систематизации полученных результатов — это и отчеты различных инструментальных средств анализа и уязвимости выявленные в ручном режиме — все это представляет из себя огромный объем информации, в котором без должного порядка и системного подхода можно упустить что-то важное или «разгребать» возможные дубли. Также существует необходимость сведения отчетов и их нормализация и приведение к единому виду.

Обычно Red Team операции покрывают довольно объемные инфраструктуры, которые требуют применения специализированного инструментария:

  • Сканеры и утилиты для проведения инвентаризации периметра, с возможностью разделения рабочих зон и сведения результатов.
  • Системы обработки данных при проведении тестирования на проникновение.
  • Использование средств анализа и управления уязвимостями.
  • Системы проведения социотехнических кампаний.

Специализированное программное обеспечение:


Внимание
Представлены версии дистрибутивов, у которых есть условно-бесплатные или бесплатные версии. Часть дистрибутивов могут быть недоступны в том или ином регионе в связи с ограничением экспортной политики.

Cobalt Strike
Cobalt Strike — это фреймворк для проведения тестов на проникновение. Это продвинутый аналог Armitage, который в свою очередь является GUI надстройкой над Metasploit Framework. Продвинутая система встроенного скриптового языка позволяет проводить наиболее эффективные атаки.

Dradis
Dradis Framework является платформой с открытым исходным кодом для упрощения совместной работы и отчетности в области информационной безопасности. Dradis является автономным веб-приложением, которое обеспечивает централизованное хранение информации. Существуют две версии — Community Edition (бесплатная) и Professional Edition (от $59). В про версии больше функционала, в том числе в возможностях интеграции, системе отчетов, поддержке (в том числе и приоритетной), доступных методологиях и т.д. Возможно расширение функционала в виде плагинов/аддонов.

Faraday IDE
Faraday — самая мощная среда для совместной работы, true multiplayer penetration testing. Поддерживает работу в ArchAssault, Archlinux, Debian, Kali, OSX, Debian. Работает в режиме реального времени, моментально обрабатывая результаты, присланные тем или иным пентестером. В этом фреймворке заложен концепт геймификации, специалистам дается возможность померяться скиллами по количеству и качеству зарепорченных уязвимостей.

Nessus
Один из самых популярных сканеров уязвимостей, разработанный компанией Tenable Network Security. До 2005 года это было свободное программное обеспечение с открытым исходным кодом, а в 2008 году вышла платная версия продукта.

OpenVAS
OpenVAS (Open Vulnerability Assessment System, Открытая Система Оценки Уязвимости, первоначальное название GNessUs) фреймворк состоящий из нескольких сервисов и утилит, позволяющий производить сканирование узлов сети на наличие уязвимостей и управление уязвимостями.

SE Toolkit
Social Engineering Toolkit (набор для социальной инженерии), классический мультиинструмент, для проведения социотехнических атак.

GoPhish
OpenSource фреймворк для фишинга. Позволяет проводить массированные фишинговые атаки.

Logstash/Elasticsearch/Kibana
Решения для широкого спектра задач по сбору, анализу и хранению данных.



В комментариях я готов ответить на ваши вопросы, как по представленному программному обеспечению, так и по проведению Red Team операций.
Tags:
Hubs:
Total votes 33: ↑32 and ↓1 +31
Views 28K
Comments Comments 2