ПЕНТЕСТИНГ Отличие Red Team от Penetration Testing и что выбрать


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 164
Репутация
8 293
133e7b46e84e8804f49b27e2cb27a1a5.jpg


Интересная статья:

За последний год информационная безопасность стала одной из наиболее горячих тем для обсуждения, выйдя далеко за пределы IT-сообщества. Это не удивительно — количество инцидентов ИБ в 2022 году выросло во много раз, заставив многих руководителей всерьёз задуматься о кибербезопасности своих компаний.

Помимо поиска новых технических решений много вопросов возникает по поводу анализа защищённости. И тут начинается самое интересное: с чего начать, что выбрать и в чём разница между тем или иным типом услуг? Самые жаркие споры идут вокруг Red Team и Penetration Testing и стоит ли компании создавать внутренние команды offensive-специалистов.

Меня зовут Александра Антипина, я работаю экспертом в отделе Red Team VK. Кратко расскажу о различиях в анализах защищённости и в каких случаях компании необходимы услуги Red Team.

Давайте начнём с определений видов анализа защищённости.

Red Team​


Термин «Red Team» впервые возник во времена Холодной войны, когда красный цвет устойчиво ассоциировался с коммунизмом. В этом многолетнем военном противостоянии Запада и Востока США обозначали себя как Blue Team, а СССР и КНР — как Red Team. Оценивая возможные действия противника при атаке и используя критическое мышление, военные моделировали различные угрозы и нештатные ситуации, тем самым добиваясь качественной проработки своих стратегических планов. Со временем этот метод прогнозирования действий противника стал активно применяться во многих областях, которые требуют тщательного анализа систем защиты.

В информационной безопасности Red Team — это команда экспертов, которые имитируют реальную кибератаку, и их цель — мыслить и действовать, как злоумышленник, испытывая все возможные пути проникновения в систему информационной безопасности компании с помощью технических, социальных и даже физических* средств. Поэтому оценка Red Team по сравнению с другими типами анализов защищённости обычно даёт более развёрнутое и реалистичное описание.

Когда мы только начали планировать создание нашего отдела, мы старались посетить как можно больше профильных мероприятий, чтобы познакомиться с мнениями специалистов других компаний о том, какие функции должна выполнять Red Team. В классических определениях и концепциях Red Team физический метод анализа защищённости является исторически основополагающим. Например, некоторые команды практикуют проникновение на объект с помощью клонированных карт пропусков или внедрения аппаратных закладок. У таких методов существуют категорические противники, но лично мне этот вид анализа кажется крайне забавным и увлекательным.

Penetration testing (pentest или пентест)​

Пентест, или тестирование на проникновение, — это анализ, который проводят этичные хакеры, чтобы оценить степень защиты компании и выявить уязвимости. Пентестеры сосредоточены на поиске технических изъянов и могут, в частности, сканировать сети, искать и использовать уязвимости в сервисах. Результаты пентеста зачастую представлены в виде отчёта, в котором перечислены обнаруженные недостатки и рекомендации по их устранению.

Purple Teaming​

Под Purple Teaming часто подразумевают несколько разных концепций, но они сходятся в определении его основных задач: проверка конфигурации СЗИ и правил для SIEM внутри компании в формате White-Box. В этом процессе участвуют как offensive-, так и defensive-специалисты, что повышает эффективность двух команд (Red Team и Blue Team), а в идеальном мире, — ещё и создаёт постоянное динамическое взаимодействие между ними. Purple Teaming характеризуется моментальной обратной связью от всех сторон и сосредоточен внутри ИБ-отдела компании без привлечения сторонних специалистов.

Киберучения​

В самом широком понимании, киберучения — это объединение нескольких компаний, организаций, государственных служб и правоохранительных органов для моделирования совместного противостояния крупной киберугрозе. В менее масштабном представлении — это процесс имитации целевых угроз со стороны offensive-специалистов из Red Team или пентест-команд, проходящий в формате Black/Gray-Box.

К киберучениям могут привлекаться как внутренние, так и внешние специалисты. Их цель — протестировать и улучшить согласованность действий, а также сотрудничество между компаниями или командами при отражении киберугроз. Либо, как и в случае с Purple Teaming, — усилить системы защиты и Blue Team. После киберучений атакующие предоставляют для дальнейшего изучения отчёт с журналом своих действий и информацию, необходимую для сравнения с логами систем безопасности Blue Team.

Киберполигоны​

На случай, если вы ещё не потерялись в количестве киберопределений и понятий, затронем и киберполигоны. Это специализированные тренировочные площадки для симуляции кибератак на «тренировочной» инфраструктуре. Киберполигоны обычно включают в себя различные сети и компьютерные системы, которые предназначены для имитации реальных сред, что позволяет Red Team и Blue Team оттачивать свои навыки в контролируемой среде.

А теперь немного о различиях​

В целом, Purple Teaming, киберучения и киберполигоны похожи тем, что они включают в себя моделирование киберугроз для тестирования систем защиты компании. Однако они отличаются по охвату и фокусу: Purple Teaming нацелен на тестирование средств защиты, киберучения сосредоточены на тестировании координации между сотрудниками компании, а киберполигоны представляют собой контролируемую среду для оттачивания навыков Red Team и Blue Team.

Различия между Red Team и пентестерами​

Методы и цели​

Подход Red Team зачастую более широкий и гибкий, состоящий из комбинаций различных методологий (MITRE ATT&CK, OWASP, PTES), у пентестеров же он более структурированный и следует определённой методологии. Цель команды Red Team — выявить уязвимости и слабые места в системах защиты компании, предоставив рекомендаций по их улучшению. Действия её обычно более скрытные и могут включать в себя такие методы, как социальная инженерия*. Пентестеры же сосредоточены на поиске и использовании технических уязвимостей в системах и сетях компании.

Red Team будет использовать методы социальной инженерии в виде целевой атаки, например, фишинга с вредоносным вложением. Пентестеры и ИБ-специалисты внутри компании также могут проводить фишинговые рассылки, но они будут массового характера и предназначены для проверки осведомлённости пользователей.

TTP (Tactics, Techniques, and Procedures)​

Red Team использует тактики, техники и процедуры (TTP) злоумышленников, причём несколькими способами:
  • Исследует и анализирует TTP различных хакеров и организованных киберпреступных групп и на их основе разворачивает специфический софт или разрабатывает, например, специфические методы коммуникации с С2.
  • Использует TTP для моделирования последовательности действий атакующих. Например, может провести фишинговую кампанию для получения первоначального доступа к сети организации, а затем применить TTP, используемые конкретной APT, для перемещения по сети и повышения привилегий.
  • Наконец, Red Team может использовать TTP для оценки эффективности мер безопасности и планов реагирования на конкретные угрозы или акторов.

Риски и бизнес-риски​

Помимо использования различных методологий и TTP, у Red Team есть ещё одна крайне важная задача: проверять на практике вероятности реализации нежелательных для бизнеса событий. Если простыми словами, то это про критичные с точки зрения информационной безопасности активы компании и связанные с этим риски.

Например, если взять финансовую компанию, то будет логично предположить, что наиболее критичными её активами будут системы, связанные с приёмом и обработкой платежей, а также системы, содержащие информацию о пользователях. Зная о таких активах, их расположении в корпоративной сети, внешних точках доступа и стеках технологий, использованных при создании информационных систем, можно оценить вероятности наступления нежелательных событий, просчитать потенциальные потери организации и даже спрогнозировать частоту наступления этих событий. Именно для этого и существуют специалисты по оценке рисков, наборы метрик и фреймворков. С помощью собранной аналитики и исследований рисков можно договориться о применении TTP конкретных хакерских организаций. В случае с финансовой компанией можно эмулировать APT-группы, специализирующиеся на таких организациях, например Carbanak.

Red Team может помочь в подтверждении или опровержении гипотезы о наступлении того или иного нежелательного события, чтобы скорректировать используемую в конкретной компании методологию или фреймворк по оценке рисков.

Сроки​

Во время проведения пентестов практикуется отключение средств защиты и добавление IP-адресов пентестеров в белые списки, чтобы они успели идентифицировать как можно больше уязвимостей в заданные сроки. Для работы команды Red Team, как правило, отводится от нескольких месяцев до года, и средства защиты не отключают.

Уровень скрытности​

Подход Red Team более скрытный, потому что для проведения подобного анализа системы защиты не отключаются. В такой ситуации каждый шаг может стать последним и придётся начинать цепочку эксплуатации с начала. При проведении пентеста компания-заказчик и служба информационной безопасности проинформированы о сроках начала и окончания тестов, и они проводятся по чётко прописанным в ТЗ условиям.

Внутренние и внешние команды​

Главное преимущество специалистов Red Team внутри компании в том, что они знают устройство её систем и процессов. Это делает их более эффективными при имитации угроз. С доступом к конфиденциальной информации и системам они легче находят и используют уязвимости.

Внешние команды могут посмотреть на всё свежим взглядом и предоставить непредвзятые оценки безопасности компании. Они не знакомы с внутренними системами и процессами, поэтому им будет проще думать, как настоящий злоумышленник, и выявлять уязвимости, которые внутренняя команда Red Team может упустить.

Выбор между внутренней или внешней командой зависит от конкретных потребностей и целей компании. В целом, оба варианта Red Team будут ценным инструментом по анализу защищённости, и даже с возможностью дополнять друг друга.

Когда лучше использовать пентест, а когда Red Team?​

Пробуем на себе кибератаку​

Если вы хотите узнать:
  • выдержит ли ваша организация настоящую целевую кибератаку;
  • проверить, как поведут себя сотрудники информационной безопасности и SOC;
  • определить эффективность используемых вами средств защиты;
  • узнать реальную вероятность нанесения ущерба бизнесу от кибератаки.
В таком случае вам необходим анализ защищённости силами Red Team. К тому же, регулярное проведение таких проверок поможет вашей организации выявить новые риски безопасности и подготовиться к реальным угрозам.

Ищем баги​


Если вас беспокоит:
  • Сколько уязвимостей на внешнем и внутреннем периметре организации?
  • Как много багов попадает в эксплуатацию и правильно ли работает SSDLC?
  • Ошибаются ли администраторы в конфигурации систем и сетей?
  • Нужно ли внедрить дополнительные системы безопасности?
На эти вопросы сможет ответить пентест. Он сосредоточен на поиске и устранении конкретных уязвимостей, поможет определить слабые места и направление для дальнейшего улучшения безопасности.

Когда есть кому противостоять​

Как я уже говорила, Red Team полезен для организаций, которые хотят проверить эффективность своего реагирования на инциденты ИБ. Но как понять, что вы можете полноценно реагировать на инциденты?
  • У вас есть SOC, и он функционирует 24/7; вы уверены, что в любой момент дня и ночи оповещение системы безопасности будет рассмотрено сотрудником ИБ, а не дежурным системным администратором.
  • У вас достаточное покрытие средствами мониторинга и уже есть наборы правил — события ИБ фиксируются.
  • Вы регулярно проводите пентесты и знаете, что защита внешнего и внутреннего периметра вашей организации оценивается как средняя или высокая.
  • Сотрудники вашей компании в большинстве своём понимают, что такое фишинг, и опасаются его, сообщая о подозрительных событиях в ИБ.
Если вы уверены, что этот список применим к вам, то Red Team станет для вас свежим взглядом со стороны и новым полезным опытом.

Когда не знаете, с чего начать​

Пентест — это вид анализа защищённости, подходящий для организаций любого размера. Для малых и средних организаций пентест поможет быстро находить и устранять уязвимости. Такие организации могут не иметь ресурсов или центров реагирования для полноценных комплексных оценок безопасности. Для крупных компаний со «зрелой» информационной безопасностью желательно использовать Red Team вместе с пентестам.

Подведу итог:
  • Red Team и пентест позволяют компании оценивать информационную безопасность и выявлять слабые места.
  • Red Team и пентест дополняют друг друга и могут быть использованы вместе для получения полного представления об информационной безопасности компании.
  • Выбор правильного подхода зависит от конкретных потребностей и целей компании.
  • При усилении информационной безопасности компании необходимо увеличивать количество методов её оценки.
P.S. При формулировании тезисов, несмотря на жаркие споры, ни один offensive-специалист не пострадал.
 

naftaki

Пользователь
Форумчанин
Регистрация
05.12.2022
Сообщения
3
Репутация
2
как-то все неоднозначно...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 164
Репутация
8 293
как-то все неоднозначно...
Ну как я понял...

Пентестинг - Это больше исследование на уязвимости в технической части.

ReadTeam - Это по сути настоящая атака, тут может быть и попытка подкупа сотрудников, социальная инженерия и т.д.
Т.е. необязательно что-то техническое.

А-так да очень похожие практики.
 

naftaki

Пользователь
Форумчанин
Регистрация
05.12.2022
Сообщения
3
Репутация
2
Ну как я понял...

Пентестинг - Это больше исследование на уязвимости в технической части.

ReadTeam - Это по сути настоящая атака, тут может быть и попытка подкупа сотрудников, социальная инженерия и т.д.
Т.е. необязательно что-то техническое.

А-так да очень похожие практики.
для меня любое исследование должно заканчиваться практическим воплощением. Пентестер нашел слабые места, исправил и потом проверил как описывается выше: и атакой, и подкупом, и возможно физической неисправностью... Потому что теория и рекомендации пентестера к исправлению без практики - это ни очем. Или скажем так. Пентестер проверил и позвал ReadTeam для проверки. Вот это будет надежно и правильно.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 164
Репутация
8 293
Пентестер нашел слабые места, исправил и потом проверил как описывается выше: и атакой, и подкупом, и возможно физической неисправностью...
Но это в идеале согласен.)

На практики так что пентестер что-то нашёл, все посмотрели, а потом да-блин сложно исправлять давайте оставим как есть.)

Особенно в разработке так, есть какой-то баг в части безопасности продукта, ну например повышение привелегий, или там например вероятность в юзермоде использовать какие-то небезопасные функции.

Пентестер это указал, все-такие да круто, но исправлять мы это не будем, т.к. долго, дорого и т.д.
А потом все логти кусают, в случае успешной атаки.)))

В общем на практики пентестер просто указывает на проблемные места, так-же как и ReadTeam, но сами баги обычно не устраняют и не проверяют устранены-ли баги.

Но это моё понимание, возможно всё зависит от команды, какие у команды требования от заказчиков и как команда в целом работает.)
 

naftaki

Пользователь
Форумчанин
Регистрация
05.12.2022
Сообщения
3
Репутация
2
Но это в идеале согласен.)

На практики так что пентестер что-то нашёл, все посмотрели, а потом да-блин сложно исправлять давайте оставим как есть.)

Особенно в разработке так, есть какой-то баг в части безопасности продукта, ну например повышение привелегий, или там например вероятность в юзермоде использовать какие-то небезопасные функции.

Пентестер это указал, все-такие да круто, но исправлять мы это не будем, т.к. долго, дорого и т.д.
А потом все логти кусают, в случае успешной атаки.)))

В общем на практики пентестер просто указывает на проблемные места, так-же как и ReadTeam, но сами баги обычно не устраняют и не проверяют устранены-ли баги.

Но это моё понимание, возможно всё зависит от команды, какие у команды требования от заказчиков и как команда в целом работает.)
Согласен во всем! Как правило "...долго, дорого и т.д" это решение руководства. А с ним особо не поспоришь. Но самое главное во всех этих делах оставлять след, типа докладной, служебной запиской ибо потом не говорили что об этом ничего не знали, и не делали крайними безопасников.
 

advalex

Уважаемый пользователь
Форумчанин
Регистрация
01.01.2021
Сообщения
31
Репутация
11
Хорошо и самое главное кратко
 
Верх Низ