Имитация кибератаки: как проверить защищенность своей компании

12 December 2019

Просто выстроить «броню» из ИБ-решений сегодня недостаточно. Даже самая навороченная система защиты окажется бесполезной, если сотрудники не смогут выявить кибератаку. Выход есть — натренировать. Например, организовать скрытую атаку на собственную компанию. 

Один из таких способов — киберучения в формате RedTeaming, о котором рассказал Александр Борисов, эксперт оператора сервисов киберзащиты CyberART.

Что такое Red Team

В начале стоит сказать, что главная цель Red Team — улучшить работу Blue Team, понять, как в условиях атаки команда принимает решения и использует имеющиеся средства.

  • Red Team — в большинстве случаев нанятая команда экспертов, перед которой стоит задача имитировать действия киберпреступников и работать скрыто, чтобы атака проходила так, как будто ее проводит настоящий злоумышленник. 
  • Blue Team — это служба безопасности на стороне заказчика, которая должна понять, что компанию атакуют, и защитить ее. 

Чаще всего, Blue Team — это внутренний SOC или SOC на аутсорсе, которые занимаются мониторингом и обеспечением безопасности ИТ-инфраструктуры.

Проведение таких киберучений позволяют закрыть сразу несколько задач:

  • тестирование готовности ИБ-сотрудников к реальным угрозам, проверка их способности обнаружить потенциально опасную активность за привычными процессами; 
  • проверка эффективности использования самого комплекса ИБ-решений;
  • предоставление рекомендации по улучшению процесса обеспечения ИБ после завершения мероприятий. 

Как работает Red Team

У заказчика должна быть конкретная цель. Например, обойти сетевую защиту периметра компании. Под нее создается рабочая группа, включающая специалистов со стороны клиента и организаторов киберучений. Они определяют сроки, способы и критерии достижения цели (чаще всего — ограничений на технические работы). 

Затем Red Team проводит разведку компании, прямо как потенциальный злоумышленник. Она продумывает комплекс действий и сценарии проведения атаки, которые потом обязательно согласовывает с заказчиком. 

С разрешения клиента Red Team может использовать даже такие методы, которые способны вызвать нарушение в работе ИТ-инфраструктуры (например, проведение контролируемой DoS-атаки на ресурс). 

В результате «Красная команда» реализует сценарий, который может длиться несколько месяцев, до тех пор, пока она достигнет или не достигнет поставленной цели. Например, при обходе сетевой защиты периметра организации, Red Team могла бы применить следующие действия.

Преодоление периметра и продвижение внутрь инфраструктуры.

Сетевые проверки:

  • эксплуатация уязвимостей сетевых сервисов;
  • эксплуатация уязвимостей web-сервисов.

Социально-технические работы: 

  • фишинговые рассылки с получением учетных данных;
  • фишинговые рассылки для запуска исполняемого файла на рабочем устройстве;
  • разбрасывание флэш-носителей на территории организации или около КПП с исполняемыми файлами;
  • прозвон сотрудников заказчиков и представление иным сотрудником.

Атакующий — внутри локально вычислительной сети, проверка горизонтального и вертикального продвижения.

  • Атакующий имеет доступную сетевую розетку в один из сетевых сегментов;
  • атакующий имеет скомпрометированную рабочую станцию с пользовательским доступом.

Поиск доступных беспроводных сетей и попытка подключения к ним.

Попытки физического проникновения в контролируемую зону.

«Красная команда» действует так, чтобы атака не была обнаружена максимально долго. В идеале Blue Team должна засечь опасное действие, проанализировать произошедшие за последнее время события и понять, что это не ложное срабатывание, а целый сценарий, который может нанести значительный урон компании. 

По итогам кампании Red Team предоставляет отчет о кибератаках, задействованных средствах, а также анализ сильных и слабых сторон в защите компании и свои подробные рекомендации. 

На этой основе заказчик сможет совершенствовать работу своей ИБ-команды. И вот тут есть подводный камень: работа по отчету. Зачастую при необходимости проведения каких-то работ с уже настроенной системой у специалистов возникают трудности, с которыми могут помочь участники Red Team. 

Когда же дело доходит до усовершенствования процесса реагирования на инциденты, вопросов становится еще больше. Тогда на помощь приходит связующее звено между командами — Purple Team. Это сотрудник, чья задача — обеспечить легкое взаимодействие между Blue Team и Red Team на этапе работы по рекомендациям. 

Почему нельзя путать Red Team с пентестом

Зачастую под видом новой, быстро набирающей популярности технологии Red Team клиенту на его запросы могут предложить очень схожий, на первый взгляд, продукт — пентест (тестирование на проникновение). Но компаниям нужно понимать разницу между этими инструментами:

  • стоимость;
  • назначение. 

Безусловно, трудно держать в голове технологические особенности каждого решения, когда на рынке так много предложений, и при этом помнить о выходе новинок. 

Поэтому, чтобы не столкнуться с последствиями услуг от недобросовестных сервис-провайдеров, компания должна четко понимать, для чего им необходим тот или иной инструмент:

  • чтобы проверить способность своих сотрудников обнаружить скрытую целенаправленную атаку;
  • чтобы оценить уровень защищенности ИТ-инфраструктуры и применяемые средства защиты информации. 

Главное отличие пентеста — о его проведении ИБ-служба знает заранее. Кроме того, этот инструмент испытывает именно техническую часть — IT-инфраструктуру и средства защиты во всем своем многообразии.

RedTeaming в свою очередь может довольствоваться всего одной уязвимостью, позволяющей достичь цели. Также с помощью этого инструмента выявляются креативные подходы сотрудников и процессы реагирования в случае кибератаки.

Важно понимать, насколько грамотно специалисты смогут себя реализовать в условиях кризисной ситуации. Такие тренировки позволят организации в перспективе «нарастить мышцы» и быть готовым к реальным атакам. Однако при проведении тренировок узким горлышком остается взаимодействие Red Team и Blue Team. 

Поэтому при организации работ по RedTeaming нужно заранее продумать формат взаимодействия и определить, как будет проходить работа над ошибками. Эти две команды работают на одной стороне и результатом совместной работы должен стать более высокий уровень защищенности, чем был раньше.

Source
Related news
Game software working group to be established in Russia — expert
Sberbank has no critical dependencies on Western suppliers — CEO
Number of Russia’s IT industry employees rises by 12% in 2022