Red teaming

Při red teamingu tým specialistů simuluje všechny fáze útoku na organizaci. Cílem testu je co nejvěrněji napodobit skutečný útok kontrolovaným způsobem. Je tak testována celková obranyschopnost organizace včetně schopnosti probíhající útok detekovat a zareagovat na něj.

Přínosy

Red teaming odhaluje nejen technické zranitelnosti, ale také nedostatky v procesech a reakcích na incidenty. Tento přístup umožňuje organizacím lépe pochopit, jak se mohou bránit proti skutečným hrozbám, a poskytuje cenné informace pro zlepšení jejich bezpečnostních strategií a postupů.

Podobně jako zálohy nelze považovat za funkční bez testů jejich obnovování, pracně vyvinutý systém obrany proti kybernetickým útokům není vhodné ověřovat až při skutečném incidentu. Používané techniky jsou sice reálné, na rozdíl od opravdových útočníků red team otevřeně komunikuje a respektuje domluvená omezení, protože má za cíl poskytnout Vám co nejvíce užitečných poznatků o zlepšení Vašeho zabezpečení. Klíčovou součástí testů bývá i spolupráce s obránci (blue teamem) v rámci aktivit purple team, kdy jsou vzájemně sdíleny úspěšné i neúspěšné aktivity a laděny detekční mechanismy.

Red teaming je vždy postaven na míru konkrétní organizaci a při vytváření scénářů zohledňuje její aktuální úroveň vyspělosti, schopnost akceptovat rizika dopadů na produkčních systémech i případné další omezující požadavky. Vždy se však jedná o komplexní test pro vyspělé organizace. Je vhodný pro prostředí, kde již proběhly klasické penetrační testy, včetně testů typu interní útočník.

Průběh testů

Testování vychází z frameworku MITRE ATT&CK, doplněného o individualizované poznatky o zákazníkovi a zkušenosti red teamu. Před testem jsou určeny testovací scénáře, zejména pak vstupní bod a cíle. Používané techniky vždy vychází z těchto scénářů.

Za těchto podmínek probíhají například následující testy:

• Je-li test zahajován mimo perimetr, jsou prováděny úkony vedoucí k získání počátečního přístupu: rekognoskace cílů (reconnaissance), tvorba prostředků pro úspěšný útok, útoky na externí systémy, sociální inženýrství, testy fyzického zabezpečení, atd.

• Na všech dosažených systémech, kde útočník disponuje omezenými právy, dochází ke snaze o eskalaci oprávnění (privilege escalation).

• Z ovládnutých systémů jsou získávány přístupové údaje pro další systémy, což umožňuje pohyb v síti (lateral movement). Zároveň jsou z nich exfiltrována data.

• Na ovládnutých systémech je řešeno udržení přístupu (persistence) a jejich vzdálené ovládání (command and control).

Všechny provedené techniky a učiněné závěry spolu s navrhovanými doporučeními jsou uvedeny v závěrečné zprávě.

Další typy testů

Penetrační test – interní útočník také simuluje útočníka v interní síti, věnuje se však systematickému odhalování a zneužívání nedostatků. Počáteční přístup je v tomto testu předpokládán a test nezahrnuje taktiky jako udržení přístupu, utajení před detekčními mechanismy nebo vzdálené ovládání. Tyto faktory značně snižují časovou dotaci potřebnou pro test.

Red teaming v závislosti na testovaném scénáři kombinuje techniky napříč mnoha typy penetračních testů. Ty poskytujeme i jako samostatné služby – viz Penetrační testování – přehled.

Závěrečná zpráva

Výstupem red teamingu je závěrečná zpráva, která obsahuje detailní podrobnosti o průběhu testu včetně časových razítek všech provedených technik. Dále obsahuje popis a klasifikaci nalezených zranitelností a doporučení ke snížení rizika. Zprávu předáváme bezpečně ve formátech MS Word a PDF a výsledky lze prezentovat formou manažerské prezentace nebo technického workshopu.

Tento typ testu bývá také nazýván Adversary Simulation.