RED Team (Редтиминг)

Red Team в информационной безопасности

Red Team тестирование (или «Редтиминг») — комплекс мероприятий, направленный на симуляцию реальной компьютерной атаки на организацию и её информационное пространство с целью всесторонней оценки реализованных мер защиты информации, зрелости процессов управления уязвимостями и патч-менеджмента, привлекательности компании для взлома со стороны потенциальных злоумышленников («хакеров»), эффективности и квалификации службы безопасности, а также процессов и процедур реагирования на инциденты информационной безопасности.

«Редтиминг» включает в себя следующие этапы: планирование и разведка, получение первичного доступа в информационную систему, захват смежных систем и критических активов, эксплуатация уязвимостей, фиксирование и документирование полученных результатов, помощь в устранении всех выявленных недостатков и повышении киберустойчивости.

В отличии от пентеста, на атакующую «красную команду» не накладываются ограничения в способах, инструментах и подходах к проведению разведки и атак: сбор информации из открытых источников (цифровая разведка, OSINT), социальная инженерия (включая попытки подкупа сотрудников), использование любых уязвимостей и их эксплуатация, физическое проникновение на защищаемую территорию, взлом СКУД и систем видеонаблюдения, взлом беспроводных сетей.

Участники «красной команды» выявляют не просто перечень уязвимостей, а существующие векторы атаки и угрозы для защищенности важных информационных активов организации.

Конечная цель услуги red team — проверить и улучшить безопасность организации, эмулируя реальные атаки на ее системы и ресурсы. Чтобы достигнуть этой цели, команда red team будет использовать различные методы и техники, аналогичные тем, что используются реальными злоумышленниками.

Вот основные компоненты услуги red team:

• Подготовительная фаза

Команда red team проведет анализ систем и инфраструктуры организации, чтобы определить уязвимости и потенциальные точки входа для атакующих. На этом этапе команда составит список возможных целей и выберет соответствующие техники атаки (1-4 недели).

• Фаза атаки

После того, как команда определила цели и подготовилась, специалисты начнут попытки проникновения в системы и ресурсы организации. Они могут использовать различные методы, такие как социальная инженерия, фишинг-атаки, эксплойты уязвимостей в системах и др. (5-20 недель).

• Фаза реакции на blue team

На этом этапе команда red team проверит, насколько успешна оборона организации справляется с атаками. Команда может использовать техники, которые помогают обнаружить и пресечь атаки, такие как системы мониторинга и реагирования на инциденты (5-20 недель).

• Отчет и рекомендации

После завершения процесса команда red team предоставит детальный отчет о проведенных атаках и оценку уровня безопасности организации. Они также предложат конкретные рекомендации по улучшению безопасности и защите от различных типов атак (1-4 недели).

Этапы атаки

В зависимости от поставленных целей и задач, фаза атаки может состоять из нескольких этапов:

• Получение первоначального доступа:

a. Поиск и использование уязвимостей в системе для получения первоначального доступа;
b. Использование социальных инженерных методов для обмана персонала компании и получения доступа к системе.

• Расширение доступа:

a. Получение дополнительных привилегий для расширения доступа в систему;
b. Обход механизмов защиты, таких как брандмауэры, системы обнаружения вторжений и другие;

• Установка и использование вредоносных программ:

a. Установка вредоносных программ (malware) для получения доступа к системе после завершения атаки;
b. Создание «задней двери» (backdoor), которая позволит сохранить доступ к системе и удаленно контролировать ее работу.

• Поддержание доступа:

a. Поддержание доступа к системе и ее ресурсам через созданную заранее «заднюю дверь»;
b. Проведение дополнительных атак на систему, используя полученные привилегии.

Весь процесс атаки происходит в условиях максимальной секретности и конфиденциальности. Команда Red Team активно использует методы маскировки своей деятельности и подделки идентификационных данных для уменьшения вероятности обнаружения и попадания в список подозреваемых.

• Реакция на ответные меры blue team;
• Анализ реакции blue team;
• Изменение плана атаки;
• Новая фаза атаки;
• Фаза отчет и рекомендации.

Результаты выполнения услуги Red Team

Результатом работы будет:

• перечень общедоступной чувствительной информации о компании;
• оценка уровня защищенности по 10-ти балльной шкале;
• перечень слабостей и уязвимостей, недостатков мер защиты, а также рекомендации по их устранению;
• оценка готовности вашей службы безопасности реагировать на инциденты информационной безопасности и предотвращать их;
• персональная оценка подготовленности неблагонадежных сотрудников, которые не защищают свои данные в сети Интернет;
• перечень существующих «слабых мест» в компании, которые может использовать хакер для нарушения защищенности значимых активов и ресурсов;
• отчет, содержащий детальный перечень действий наших экспертов и результатов их выполнения;
• план по повышению киберустойчивости компании, модернизации систем защиты информации, обучению сотрудников.

Итого, мы сделаем следующее:

• проверим, что злоумышленник может узнать о вашей компании;
• разработаем сценарии взлома ваших систем, основываясь на общедоступной (и не только) информации о вашей организации, сформируем план действий, определим возможности и действия потенциального нарушителя, найдем «слабые места» для атак;
• попытаемся физически проникнуть в контролируемую зону;
• попробуем взломать точки беспроводного доступа (Wi-FI);
• проведем социальную инженерию: фишинг, «троянские кони», подбрасывание «зараженных» USB-носителей, телефонные звонки с подменой номера и другие сценарии;
• детально изучим внешний сетевой периметр: найдем сервисы и службы, их слабости и уязвимости;
• попробуем взломать и захватить управление над важными элементами инфраструктуры: контролер домена, почта, системы защиты, базы данных, системы резервного копирования и т.п.;
• задокументируем каждый свой шаг, векторы атак, воздействия и результаты.

Это позволит вам:

• повысить защищенность ваших информационных активов;
• выявить слабые места в реализованных мерах защиты и процессах управления информационной безопасностью;
• понять, соответствует ли квалификация сотрудников службы безопасности требованиям к защите ваших ресурсов;
• понять, насколько привлекательна ваша организация для компьютерных атак со стороны хакеров, какие существуют векторы и пути проникновения извне есть;
• проверить, кто из ваших сотрудников недостаточно осведомлен в вопросах информационной безопасности и не обеспечивает необходимый уровень защищенности важных данных;
• модернизировать информационное пространство компании для оперативного выявления и противодействия даже направленным хакерским атакам (APT).