Red Team: атака под знаком «плюс»
Фото: Tom Roberts
Хотите провести аудит IT-инфраструктуры? А вы что-то слышали об этичных хакерах? Так называют специалистов, которые мониторят уязвимости системы, сайта, сети, Интернета вещей, отслеживают слабые места и прогнозируют, куда может ударить настоящий хакер. Часто, тестируя систему, профессионалы предлагают ролевую игру – «красная» команда нападающих против «синей» группы защитников. Первых в местном сообществе называют Red Team, вторые известны под именем Blue Team.
Red Team: как все начиналось
Начнем сначала. Вы – хозяин крупной компании, где служба безопасности работает на высоком уровне. Проверяете работников, мониторите видеокамеры. Вас охраняет крутое агентство. Казалось бы, застрахованы со всех сторон. Но откуда еще ждать удара?
Представьте, что к вам в двери постучали. Хакер обнаружил ваш сайт, сервер либо сеть и прощупывает слабые места. И, как показывает практика, если вы кого-то заинтересовали, преступники найдут, как вас взломать, и даже стандартный IT-отдел не справится с кибератакой.
Компания Deloitte рассказывает, что концепция «красной команды» пришла из военной практики немецких военных стратегов XIX века. Уже тогда люди понимали: чтобы отразить атаку, нужно мыслить, как противник. Учитывать форс-мажор: погоду, проблемы с передвижением, человеческий фактор, словом, все, что может повлиять на план военных действий. Поэтому в немецком замке Шарлоттенбург проводили ролевую игру: двое игроков осуществляли операцию шаг за шагом. На каждое действие приходилось две минуты – именно столько обычно длится артиллерийский огонь, отражающий атаку. Третий игрок бросал кубик – и решал, какое непредвиденное обстоятельство прервет изначальный план бойцов. Каждые две минуты участникам игры приходилось менять тактику, с учетом выбранной ситуации.
С тех немало воды утекло, и теперь и мелкий бизнес, и корпорации обращаются к «красным командам», чтобы оценить свой потенциал с критической точки зрения, учитывая всевозможные проблемы. В 2018 году Европейский центральный банк создал платформу с целью урегулировать принципы работы этичного Red Teaming, основанного на борьбе с цифровыми угрозами. Threat Intelligence-Based Ethical Red Teaming (сокращенно – TIBER-EU) предназначен для общеевропейских и национальный институций в финансовом секторе для тестирования систем на предмет наличия уязвимостей и повышения устойчивости по отношению к продвинутым кибератака с помощью «красной команды». На сегодняшний день «красная команда» нападающих пользуется успехом не только в банках, но и организациях любого профиля.
Как происходит атака «красной команды»?
Red Team проходит несколько стадий.
- На этапе подготовки команда проводит тестирование и выбирает ответственных лиц. Инструменты и тесты утверждаются заказчиком.
- Рекогносцировка — сбор информации о системе клиента – совершается при помощи таких публичных инструментов, как Maltego, Google, LinkedIn, Facebook, Twitter, Google Earth. Специалисты стремятся узнать как можно больше о сотрудниках компании, технологиях, потенциальных проблемах. Здесь происходит имитация подготовки хакерской атаки. «Красная команда» смотрит, насколько сотрудники готовы отразить нападение.
- Активная рекогносцировка – сбор данных об IT-инфраструктуре. На этом этапе исследуют техническую сферу – безопасность аппаратного обеспечения и логистики, конверсию пользователей, возможность проникновения в систему.
- Планирование атаки включает моделирование угроз, составление изначального плана, предлог, который вынудит жертву открыть доступ к системе, альтернативные стратегии, закупку вирусного программного обеспечение, подготовку бейджей RFID-системы, конфигурацию «троянских коней», разработку методов социальной инженерии, создание фейковых личностей или даже компаний.
- Эксплуатация – достижение цели посредством «инфицирования» серверов, приложений, сети, прохождения физического контроля (например, замков, радаров или камер), введения в заблуждения персонала фирмы методами социальной инженерии, фишингом. На этой стадии «красная команда» анализирует уязвимости и бэкдоры в области кибербезопасности. Red Team вычисляет, удастся ли «заразить» систему при помощи удаленного вторжения в сеть. Этичные хакеры говорят, что на этой стадии любые средства хороши. Профессионалы «красной команды» довольно креативны, в ход идут всевозможные киберинструменты.
- Пост-эксплуатация – финальная стадия работы «красной команды». Здесь Red Team завершает миссию, «заметает» следы – после этого приводит систему в исходное состояние, следит, чтобы в процессе работы не произошло утечки данных. В конце профессионалы составляют отчет о том, какие уязвимости найдены и что с этим делать.
По сути, этичный (или «белый») хакинг – это способность взглянуть на проблему кибербезопасности глазами преступника. Сегодня все больше компаний заказывают подобные сервисы — и в итоге выигрывает от мониторинга в режиме геймификации.