Red Team — это группа, которая притворяется злоумышленником, пытается совершить физическое или цифровое вторжение в организацию по указанию этой организации, а затем отчитывается, чтобы организация могла улучшить свою защиту. Действия «красной команды» связаны с наступательными учениями по обеспечению безопасности, например, с попыткой получить доступ к организации, сети, системе и т.д. Это делается с помощью ряда способов, но те, о которых вы, вероятно, слышали, включают в себя: сканирование уязвимостей, тестирование на проникновение, тестирование на физическое проникновение, red teaming. Все они почти наверняка будут использовать, в той или иной степени, Open Source Intelligence (OSINT), который включает в себя сбор информации о цели из бесплатных источников, таких как аккаунты в социальных сетях, новостные сообщения и публичные записи (взгляните на нашу статью в блоге о социальной инженерии для получения дополнительной информации). Это может быть достигнуто с помощью физической разведки или поиска в Интернете данных о цели, которые затем могут быть использованы для выявления уязвимостей, чтобы попытаться получить доступ.
Давайте немного углубимся в то, что включают в себя эти методы, чтобы вы могли увидеть, какую пользу они могут принести вашей организации.
Что такое сканирование уязвимостей?
Сканирование уязвимостей (оценка уязвимостей) — это тест очень высокого уровня, который не вдается так подробно, как тест на проникновение. Это эквивалентно тому, как если бы грабитель попробовал двери и окна в доме, чтобы проверить, открыты ли они, а затем не вошел в дом (что было бы тестом на проникновение).
Этот тип сканирования определяет, насколько уязвимо приложение, веб-сайт или другая система, но не сообщает вам, что вы могли бы сделать, если бы воспользовались этой уязвимостью.
Что такое тестирование на проникновение?
Распространенным способом тестирования веб-сайтов и веб-приложений является проведение теста на проникновение. Именно здесь пентестеры, то есть люди с предварительного письменного разрешения от организации, проводят тесты на проникновение, чтобы увидеть, могут ли они найти уязвимости, и выяснить, что произойдет, если эти уязвимости будут использованы.
Тестирование на проникновение может принимать различные формы:
Внешние: Эти тесты проводятся извне сети для установления рисков для организации от атаки со стороны людей, находящихся за пределами сети вашей организации.
Внутренние: Эти тесты проводятся внутри сети, как правило, для того, чтобы выяснить, к чему можно получить доступ изнутри организации.
Веб-приложения: Эти тесты специально ищут уязвимости в любых общедоступных или внутренних веб-приложениях.
Мобильные приложения: В этом случае тесты ищут уязвимости в официальных мобильных приложениях организации.
Как правило, пентестеры предоставляют отчет, в котором документируют свои выводы, а тестируемая организация затем устраняет любые проблемы, обнаруженные тестировщиками.
Подобно тому, как автомобиль проходит техосмотр и сервисное обслуживание, тесты на проникновение должны проводиться на регулярной основе, потому что постоянно обнаруживаются новые уязвимости, в том числе угрозы нулевого дня.
Что такое физическое тестирование на проникновение?
«Атакующая» команда будет использовать социальную инженерию (в контексте информационной безопасности это психологическое манипулирование людьми с целью совершения действий или разглашения конфиденциальной информации) в рамках получения доступа к зданию или помещению.
Физическое тестирование обычно проводится высшим руководством для оценки процессов, таких как регистрация посетителей, вход в систему, проверка персоналом лиц, не имеющих пропусков, и т. д., чтобы увидеть, как далеко потенциальный злоумышленник может проникнуть в здание.
Эти тесты могут иметь конкретную цель, например, получить доступ к определенному серверу в центре обработки данных, или разместить кейлоггер на настольном ПК для перехвата паролей, или установить несанкционированный доступ Wi-Fi для точки перехвата сетевого трафика.
Цель этих тестов состоит в том, чтобы выявить слабые места в политике, процессах, процедурах и обучении, чтобы их можно было устранить и улучшить.
Что такое Red Team?
Red Team часто считается самым высоким стандартом эмуляции угроз и подходит для организаций, которые имеют активную программу безопасности и стремятся проверить эффективность своего подхода и бдительность своего защитного решения.
По сути, для выполнения конкретной задачи привлекается команда профессионалов по наступательной безопасности; Будь то компрометация сети, доступ к определенному файлу и получение копии или получение доступа к деловой электронной почте человека. Как правило, конкретизируется цель и раскрывается творческий потенциал команды (в определенных пределах, конечно). Это более точно имитирует то, что сделал бы настоящий злоумышленник — исследовал и искал самый простой путь к цели, используя свои навыки для создания возможностей, когда их в настоящее время нет.
Независимо от того, соответствует ли команда поставленной цели, эксперты CleanTalk объяснят, что они сделали и как это было достигнуто. Это можно сравнить с любыми обнаруженными действиями, чтобы обеспечить достаточный уровень ведения журнала и мониторинга, а также идентифицировать происходящую атаку, предотвращая подобный подход со стороны настоящего злоумышленника.
Какую пользу эти оценки могут принести вашей организации?
Действия Red Team могут выявить слабые места и уязвимости в физических процессах и защитных механизмах управления для защиты вашей ИТ-инфраструктуре. Лучше найти эти слабые места самостоятельно, чем злоумышленнику, потому что в этом случае вы сможете создать более эффективные средства защиты, улучшив контроль и защитив свои данные.
Тип угрозы регулярно меняется, постоянно разрабатываются новые методы атаки, поэтому важно, чтобы вы регулярно тестировали свои системы.
Для получения дополнительной информации о том, как CleanTalk может помочь вам найти уязвимости, свяжитесь с нами.
ООО "Клинтолк", Россия, г. Челябинск, ул. Труда, д. 174, оф №3