Блог CleanTalk

Что такое Red Team?

Red Team — это группа, которая притворяется злоумышленником, пытается совершить физическое или цифровое вторжение в организацию по указанию этой организации, а затем отчитывается, чтобы организация могла улучшить свою защиту.
Действия «красной команды» связаны с наступательными учениями по обеспечению безопасности, например, с попыткой получить доступ к организации, сети, системе и т.д. Это делается с помощью ряда способов, но те, о которых вы, вероятно, слышали, включают в себя: сканирование уязвимостей, тестирование на проникновение, тестирование на физическое проникновение, red teaming.
Все они почти наверняка будут использовать, в той или иной степени, Open Source Intelligence (OSINT), который включает в себя сбор информации о цели из бесплатных источников, таких как аккаунты в социальных сетях, новостные сообщения и публичные записи (взгляните на нашу статью в блоге о социальной инженерии для получения дополнительной информации). Это может быть достигнуто с помощью физической разведки или поиска в Интернете данных о цели, которые затем могут быть использованы для выявления уязвимостей, чтобы попытаться получить доступ.

Давайте немного углубимся в то, что включают в себя эти методы, чтобы вы могли увидеть, какую пользу они могут принести вашей организации.

Что такое сканирование уязвимостей?

Сканирование уязвимостей (оценка уязвимостей) — это тест очень высокого уровня, который не вдается так подробно, как тест на проникновение. Это эквивалентно тому, как если бы грабитель попробовал двери и окна в доме, чтобы проверить, открыты ли они, а затем не вошел в дом (что было бы тестом на проникновение).

Этот тип сканирования определяет, насколько уязвимо приложение, веб-сайт или другая система, но не сообщает вам, что вы могли бы сделать, если бы воспользовались этой уязвимостью.

Что такое тестирование на проникновение?

Распространенным способом тестирования веб-сайтов и веб-приложений является проведение теста на проникновение. Именно здесь пентестеры, то есть люди с предварительного письменного разрешения от организации, проводят тесты на проникновение, чтобы увидеть, могут ли они найти уязвимости, и выяснить, что произойдет, если эти уязвимости будут использованы.

Тестирование на проникновение может принимать различные формы:

  • Внешние: Эти тесты проводятся извне сети для установления рисков для организации от атаки со стороны людей, находящихся за пределами сети вашей организации.
  • Внутренние: Эти тесты проводятся внутри сети, как правило, для того, чтобы выяснить, к чему можно получить доступ изнутри организации.
  • Веб-приложения: Эти тесты специально ищут уязвимости в любых общедоступных или внутренних веб-приложениях.
  • Мобильные приложения: В этом случае тесты ищут уязвимости в официальных мобильных приложениях организации.

Как правило, пентестеры предоставляют отчет, в котором документируют свои выводы, а тестируемая организация затем устраняет любые проблемы, обнаруженные тестировщиками.

Подобно тому, как автомобиль проходит техосмотр и сервисное обслуживание, тесты на проникновение должны проводиться на регулярной основе, потому что постоянно обнаруживаются новые уязвимости, в том числе угрозы нулевого дня.

Что такое физическое тестирование на проникновение?

«Атакующая» команда будет использовать социальную инженерию (в контексте информационной безопасности это психологическое манипулирование людьми с целью совершения действий или разглашения конфиденциальной информации) в рамках получения доступа к зданию или помещению.

Физическое тестирование обычно проводится высшим руководством для оценки процессов, таких как регистрация посетителей, вход в систему, проверка персоналом лиц, не имеющих пропусков, и т. д., чтобы увидеть, как далеко потенциальный злоумышленник может проникнуть в здание.

Эти тесты могут иметь конкретную цель, например, получить доступ к определенному серверу в центре обработки данных, или разместить кейлоггер на настольном ПК для перехвата паролей, или установить несанкционированный доступ Wi-Fi для точки перехвата сетевого трафика.

Цель этих тестов состоит в том, чтобы выявить слабые места в политике, процессах, процедурах и обучении, чтобы их можно было устранить и улучшить.

Что такое Red Team?

Red Team часто считается самым высоким стандартом эмуляции угроз и подходит для организаций, которые имеют активную программу безопасности и стремятся проверить эффективность своего подхода и бдительность своего защитного решения.

По сути, для выполнения конкретной задачи привлекается команда профессионалов по наступательной безопасности; Будь то компрометация сети, доступ к определенному файлу и получение копии или получение доступа к деловой электронной почте человека. Как правило, конкретизируется цель и раскрывается творческий потенциал команды (в определенных пределах, конечно). Это более точно имитирует то, что сделал бы настоящий злоумышленник — исследовал и искал самый простой путь к цели, используя свои навыки для создания возможностей, когда их в настоящее время нет.

Независимо от того, соответствует ли команда поставленной цели, эксперты CleanTalk объяснят, что они сделали и как это было достигнуто. Это можно сравнить с любыми обнаруженными действиями, чтобы обеспечить достаточный уровень ведения журнала и мониторинга, а также идентифицировать происходящую атаку, предотвращая подобный подход со стороны настоящего злоумышленника.

Какую пользу эти оценки могут принести вашей организации?

Действия Red Team могут выявить слабые места и уязвимости в физических процессах и защитных механизмах управления для защиты вашей ИТ-инфраструктуре. Лучше найти эти слабые места самостоятельно, чем злоумышленнику, потому что в этом случае вы сможете создать более эффективные средства защиты, улучшив контроль и защитив свои данные.

Тип угрозы регулярно меняется, постоянно разрабатываются новые методы атаки, поэтому важно, чтобы вы регулярно тестировали свои системы.

Для получения дополнительной информации о том, как CleanTalk может помочь вам найти уязвимости, свяжитесь с нами.
Designed by Freepik