Комментарии 3
Спасибо за статью, но у меня сложилось впечатление, что все описанное — слишком «творческое» видение теории проведения red team мероприятий. По крайней мере «table top red teaming и „имитация симуляции модели атакующих“ в соответствии с заранее согласованным сценарием очень уж напоминает армейские учения времен СССР, когда противник атакует „неожиданно“ в 5.48 утра с юго-востока, как в прошлом году) А „сценарий для банка или софтверной компании“ это вообще из серии APT Attribution по IP адресу. Просто у заказчиков складывается неверное понимание ценности этой услуги, когда получается зрелищно, но дорого и бестолково. Тем более что APT действуют не по playbooks, скоупом, моделью злоумышленника и MITRE TTPs совсем не ограниченны и от недостатка творчества тоже не страдают. А если заказчику нужен „table top red teaming“, то скорее всего он сам не понимает зачем и соответственно скорее всего будет не доволен результатом. Не сочтите за offensive комментарий, не хотел никого обидеть, это просто мнение по-поводу видения и подхода к проведению Red teaming.
Спасибо за комментарий. Жаль, что вам так показалось, но вы сделали не вполне верные выводы по статье.
Red Teaming — это и есть учения и пришли они из военной области, поэтому и методы будут как на учениях.
Сценарий нужен больше для старта проекта и он будет изменяться в зависимости от ситуации. И согласованный сценарий, конечно, может иметь общие признаки с «армейскими учениями времен СССР».
Сценарий должен согласовываться ответственными людьми, а Blue Team не должна знать о проводимых работах. Тогда ситуации, когда все знают, откуда атакуют, не возникает (если мы говорим про классический Red Teaming).
По поводу того, что APT действуют не по playbook, — спорный вопрос.
Если рассматривать разборы атак различных APT, то они имеют общие тактики, в которых могут меняться техники, но часто даже техники повторяются.
Главная задача Red Teaming'а — это тренировка и оценка эффективности применяемых TTP Blue Team и исходя из того, что заказчик хочет получить, подбираются и методики, и сценарии и т.д.
Red Teaming — это и есть учения и пришли они из военной области, поэтому и методы будут как на учениях.
Сценарий нужен больше для старта проекта и он будет изменяться в зависимости от ситуации. И согласованный сценарий, конечно, может иметь общие признаки с «армейскими учениями времен СССР».
Сценарий должен согласовываться ответственными людьми, а Blue Team не должна знать о проводимых работах. Тогда ситуации, когда все знают, откуда атакуют, не возникает (если мы говорим про классический Red Teaming).
По поводу того, что APT действуют не по playbook, — спорный вопрос.
Если рассматривать разборы атак различных APT, то они имеют общие тактики, в которых могут меняться техники, но часто даже техники повторяются.
Главная задача Red Teaming'а — это тренировка и оценка эффективности применяемых TTP Blue Team и исходя из того, что заказчик хочет получить, подбираются и методики, и сценарии и т.д.
Мне кажется, что «xорошая» APT — это никому не известная APT, для которой не существует отчетов описывающих TTPs и IOCs. А если серьезно, неужели вы думаете, что у них нет интернета и они не читают отчеты и не совершенствуют свой tradecraft?
Описанное в статье, больше подходит, в качестве свободной интерпретации определения формата Purple Team, только при условии что взаимодействие с Blue Team происходит на практике, когда действительно берется определенный сценарий, на его основе составляется killchain план атаки, далее этот план реализуется с возможными вариантами импровизации, а потом обсуждается с защитниками по каждому пункту с рекомендациями относительно мониторинга, противодействия, deception и prevention методик, а потом все это повторяется на другом сценарии)
И на определенном этапе развития организации, когда модель угроз включает даже «нашествие марсиан», IR playbooks отрепетированы и заучены наизусть, Threat Hunting не просто смешное словосочетание, перечень сертификатов CISO не помещается на визитке, SOC имеет постоянный штат и может перечислить всех китайских APT названных в честь панды по убыванию, пентесты и security awarness проводятся регулярно, а во время Purple Team assessments многократно отработана на практике вся матрица MITRE, настроен и проверен мониторинг, реализованы deception методологии. Только тогда имеет смысл проводит Red Team чтобы проверить и убедится что все перечисленное выше эффективно работает.
Red Team на практике — никаких сценариев, никаких правил и ограничений, за исключением разве что заранее оговоренных границ за которые нельзя переходить (например не использовать эмоционально негативные SE pretexts и тд.) Существуют только цели, отражающие модель угроз, которые необходимо выполнить «любыми средствами» в определенный срок, именно как military training как вы правильно отметили.
Описанное в статье, больше подходит, в качестве свободной интерпретации определения формата Purple Team, только при условии что взаимодействие с Blue Team происходит на практике, когда действительно берется определенный сценарий, на его основе составляется killchain план атаки, далее этот план реализуется с возможными вариантами импровизации, а потом обсуждается с защитниками по каждому пункту с рекомендациями относительно мониторинга, противодействия, deception и prevention методик, а потом все это повторяется на другом сценарии)
И на определенном этапе развития организации, когда модель угроз включает даже «нашествие марсиан», IR playbooks отрепетированы и заучены наизусть, Threat Hunting не просто смешное словосочетание, перечень сертификатов CISO не помещается на визитке, SOC имеет постоянный штат и может перечислить всех китайских APT названных в честь панды по убыванию, пентесты и security awarness проводятся регулярно, а во время Purple Team assessments многократно отработана на практике вся матрица MITRE, настроен и проверен мониторинг, реализованы deception методологии. Только тогда имеет смысл проводит Red Team чтобы проверить и убедится что все перечисленное выше эффективно работает.
Red Team на практике — никаких сценариев, никаких правил и ограничений, за исключением разве что заранее оговоренных границ за которые нельзя переходить (например не использовать эмоционально негативные SE pretexts и тд.) Существуют только цели, отражающие модель угроз, которые необходимо выполнить «любыми средствами» в определенный срок, именно как military training как вы правильно отметили.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Red Teaming: планирование проекта, модели и сценарии