За последний год информационная безопасность стала одной из наиболее горячих тем для обсуждения, выйдя далеко за пределы IT-сообщества. Это не удивительно — количество инцидентов ИБ в 2022 году выросло во много раз, заставив многих руководителей всерьёз задуматься о кибербезопасности своих компаний.
Помимо поиска новых технических решений много вопросов возникает по поводу анализа защищённости. И тут начинается самое интересное: с чего начать, что выбрать и в чём разница между тем или иным типом услуг? Самые жаркие споры идут вокруг Red Team и Penetration Testing и стоит ли компании создавать внутренние команды offensive-специалистов.
Меня зовут Александра Антипина, я работаю экспертом в отделе Red Team VK. Кратко расскажу о различиях в анализах защищённости и в каких случаях компании необходимы услуги Red Team.
Давайте начнём с определений видов анализа защищённости.
Red Team
Термин «Red Team» впервые возник во времена Холодной войны, когда красный цвет устойчиво ассоциировался с коммунизмом. В этом многолетнем военном противостоянии Запада и Востока США обозначали себя как Blue Team, а СССР и КНР — как Red Team. Оценивая возможные действия противника при атаке и используя критическое мышление, военные моделировали различные угрозы и нештатные ситуации, тем самым добиваясь качественной проработки своих стратегических планов. Со временем этот метод прогнозирования действий противника стал активно применяться во многих областях, которые требуют тщательного анализа систем защиты.
В информационной безопасности Red Team — это команда экспертов, которые имитируют реальную кибератаку, и их цель — мыслить и действовать, как злоумышленник, испытывая все возможные пути проникновения в систему информационной безопасности компании с помощью технических, социальных и даже физических* средств. Поэтому оценка Red Team по сравнению с другими типами анализов защищённости обычно даёт более развёрнутое и реалистичное описание.
Когда мы только начали планировать создание нашего отдела, мы старались посетить как можно больше профильных мероприятий, чтобы познакомиться с мнениями специалистов других компаний о том, какие функции должна выполнять Red Team. В классических определениях и концепциях Red Team физический метод анализа защищённости является исторически основополагающим. Например, некоторые команды практикуют проникновение на объект с помощью клонированных карт пропусков или внедрения аппаратных закладок. У таких методов существуют категорические противники, но лично мне этот вид анализа кажется крайне забавным и увлекательным.
Penetration testing (pentest или пентест)
Пентест, или тестирование на проникновение, — это анализ, который проводят этичные хакеры, чтобы оценить степень защиты компании и выявить уязвимости. Пентестеры сосредоточены на поиске технических изъянов и могут, в частности, сканировать сети, искать и использовать уязвимости в сервисах. Результаты пентеста зачастую представлены в виде отчёта, в котором перечислены обнаруженные недостатки и рекомендации по их устранению.
А теперь о том, что не является Red Team, или Почему мы не учим SOC (во всяком случае, напрямую)
Хотя стоит отметить, что в разных организациях к прямому обучению SOC относятся по-разному, и Red Team может принимать дополнительное участие в перечисленных далее мероприятиях.
Purple Teaming
Под Purple Teaming часто подразумевают несколько разных концепций, но они сходятся в определении его основных задач: проверка конфигурации СЗИ и правил для SIEM внутри компании в формате White-Box. В этом процессе участвуют как offensive-, так и defensive-специалисты, что повышает эффективность двух команд (Red Team и Blue Team), а в идеальном мире, — ещё и создаёт постоянное динамическое взаимодействие между ними. Purple Teaming характеризуется моментальной обратной связью от всех сторон и сосредоточен внутри ИБ-отдела компании без привлечения сторонних специалистов.
Киберучения
В самом широком понимании, киберучения — это объединение нескольких компаний, организаций, государственных служб и правоохранительных органов для моделирования совместного противостояния крупной киберугрозе. В менее масштабном представлении — это процесс имитации целевых угроз со стороны offensive-специалистов из Red Team или пентест-команд, проходящий в формате Black/Gray-Box.
К киберучениям могут привлекаться как внутренние, так и внешние специалисты. Их цель — протестировать и улучшить согласованность действий, а также сотрудничество между компаниями или командами при отражении киберугроз. Либо, как и в случае с Purple Teaming, — усилить системы защиты и Blue Team. После киберучений атакующие предоставляют для дальнейшего изучения отчёт с журналом своих действий и информацию, необходимую для сравнения с логами систем безопасности Blue Team.
Киберполигоны
На случай, если вы ещё не потерялись в количестве киберопределений и понятий, затронем и киберполигоны. Это специализированные тренировочные площадки для симуляции кибератак на «тренировочной» инфраструктуре. Киберполигоны обычно включают в себя различные сети и компьютерные системы, которые предназначены для имитации реальных сред, что позволяет Red Team и Blue Team оттачивать свои навыки в контролируемой среде.
А теперь немного о различиях
В целом, Purple Teaming, киберучения и киберполигоны похожи тем, что они включают в себя моделирование киберугроз для тестирования систем защиты компании. Однако они отличаются по охвату и фокусу: Purple Teaming нацелен на тестирование средств защиты, киберучения сосредоточены на тестировании координации между сотрудниками компании, а киберполигоны представляют собой контролируемую среду для оттачивания навыков Red Team и Blue Team.
Различия между Red Team и пентестерами
Методы и цели
Подход Red Team зачастую более широкий и гибкий, состоящий из комбинаций различных методологий (MITRE ATT&CK, OWASP, PTES), у пентестеров же он более структурированный и следует определённой методологии. Цель команды Red Team — выявить уязвимости и слабые места в системах защиты компании, предоставив рекомендаций по их улучшению. Действия её обычно более скрытные и могут включать в себя такие методы, как социальная инженерия*. Пентестеры же сосредоточены на поиске и использовании технических уязвимостей в системах и сетях компании.
Red Team будет использовать методы социальной инженерии в виде целевой атаки, например, фишинга с вредоносным вложением. Пентестеры и ИБ-специалисты внутри компании также могут проводить фишинговые рассылки, но они будут массового характера и предназначены для проверки осведомлённости пользователей.
TTP (Tactics, Techniques, and Procedures)
Red Team использует тактики, техники и процедуры (TTP) злоумышленников, причём несколькими способами:
Исследует и анализирует TTP различных хакеров и организованных киберпреступных групп и на их основе разворачивает специфический софт или разрабатывает, например, специфические методы коммуникации с С2.
Использует TTP для моделирования последовательности действий атакующих. Например, может провести фишинговую кампанию для получения первоначального доступа к сети организации, а затем применить TTP, используемые конкретной APT, для перемещения по сети и повышения привилегий.
Наконец, Red Team может использовать TTP для оценки эффективности мер безопасности и планов реагирования на конкретные угрозы или акторов.
Риски и бизнес-риски
Помимо использования различных методологий и TTP, у Red Team есть ещё одна крайне важная задача: проверять на практике вероятности реализации нежелательных для бизнеса событий. Если простыми словами, то это про критичные с точки зрения информационной безопасности активы компании и связанные с этим риски.
Например, если взять финансовую компанию, то будет логично предположить, что наиболее критичными её активами будут системы, связанные с приёмом и обработкой платежей, а также системы, содержащие информацию о пользователях. Зная о таких активах, их расположении в корпоративной сети, внешних точках доступа и стеках технологий, использованных при создании информационных систем, можно оценить вероятности наступления нежелательных событий, просчитать потенциальные потери организации и даже спрогнозировать частоту наступления этих событий. Именно для этого и существуют специалисты по оценке рисков, наборы метрик и фреймворков. С помощью собранной аналитики и исследований рисков можно договориться о применении TTP конкретных хакерских организаций. В случае с финансовой компанией можно эмулировать APT-группы, специализирующиеся на таких организациях, например Carbanak.
Red Team может помочь в подтверждении или опровержении гипотезы о наступлении того или иного нежелательного события, чтобы скорректировать используемую в конкретной компании методологию или фреймворк по оценке рисков.
Сроки
Во время проведения пентестов практикуется отключение средств защиты и добавление IP-адресов пентестеров в белые списки, чтобы они успели идентифицировать как можно больше уязвимостей в заданные сроки. Для работы команды Red Team, как правило, отводится от нескольких месяцев до года, и средства защиты не отключают.
Уровень скрытности
Подход Red Team более скрытный, потому что для проведения подобного анализа системы защиты не отключаются. В такой ситуации каждый шаг может стать последним и придётся начинать цепочку эксплуатации с начала. При проведении пентеста компания-заказчик и служба информационной безопасности проинформированы о сроках начала и окончания тестов, и они проводятся по чётко прописанным в ТЗ условиям.
Внутренние и внешние команды
Главное преимущество специалистов Red Team внутри компании в том, что они знают устройство её систем и процессов. Это делает их более эффективными при имитации угроз. С доступом к конфиденциальной информации и системам они легче находят и используют уязвимости.
Внешние команды могут посмотреть на всё свежим взглядом и предоставить непредвзятые оценки безопасности компании. Они не знакомы с внутренними системами и процессами, поэтому им будет проще думать, как настоящий злоумышленник, и выявлять уязвимости, которые внутренняя команда Red Team может упустить.
Выбор между внутренней или внешней командой зависит от конкретных потребностей и целей компании. В целом, оба варианта Red Team будут ценным инструментом по анализу защищённости, и даже с возможностью дополнять друг друга.
Когда лучше использовать пентест, а когда Red Team?
Пробуем на себе кибератаку
Если вы хотите узнать:
выдержит ли ваша организация настоящую целевую кибератаку;
проверить, как поведут себя сотрудники информационной безопасности и SOC;
определить эффективность используемых вами средств защиты;
узнать реальную вероятность нанесения ущерба бизнесу от кибератаки.
В таком случае вам необходим анализ защищённости силами Red Team. К тому же, регулярное проведение таких проверок поможет вашей организации выявить новые риски безопасности и подготовиться к реальным угрозам.
Ищем баги
Если вас беспокоит:
Сколько уязвимостей на внешнем и внутреннем периметре организации?
Как много багов попадает в эксплуатацию и правильно ли работает SSDLC?
Ошибаются ли администраторы в конфигурации систем и сетей?
Нужно ли внедрить дополнительные системы безопасности?
На эти вопросы сможет ответить пентест. Он сосредоточен на поиске и устранении конкретных уязвимостей, поможет определить слабые места и направление для дальнейшего улучшения безопасности.
Когда есть кому противостоять
Как я уже говорила, Red Team полезен для организаций, которые хотят проверить эффективность своего реагирования на инциденты ИБ. Но как понять, что вы можете полноценно реагировать на инциденты?
У вас есть SOC, и он функционирует 24/7; вы уверены, что в любой момент дня и ночи оповещение системы безопасности будет рассмотрено сотрудником ИБ, а не дежурным системным администратором.
У вас достаточное покрытие средствами мониторинга и уже есть наборы правил — события ИБ фиксируются.
Вы регулярно проводите пентесты и знаете, что защита внешнего и внутреннего периметра вашей организации оценивается как средняя или высокая.
Сотрудники вашей компании в большинстве своём понимают, что такое фишинг, и опасаются его, сообщая о подозрительных событиях в ИБ.
Если вы уверены, что этот список применим к вам, то Red Team станет для вас свежим взглядом со стороны и новым полезным опытом.
Когда не знаете, с чего начать
Пентест — это вид анализа защищённости, подходящий для организаций любого размера. Для малых и средних организаций пентест поможет быстро находить и устранять уязвимости. Такие организации могут не иметь ресурсов или центров реагирования для полноценных комплексных оценок безопасности. Для крупных компаний со «зрелой» информационной безопасностью желательно использовать Red Team вместе с пентестам.
Подведу итог:
Red Team и пентест позволяют компании оценивать информационную безопасность и выявлять слабые места.
Red Team и пентест дополняют друг друга и могут быть использованы вместе для получения полного представления об информационной безопасности компании.
Выбор правильного подхода зависит от конкретных потребностей и целей компании.
При усилении информационной безопасности компании необходимо увеличивать количество методов её оценки.
P.S. При формулировании тезисов, несмотря на жаркие споры, ни один offensive-специалист не пострадал.