За последний год информационная безопасность стала одной из наиболее горячих тем для обсуждения, выйдя далеко за пределы IT-сообщества. Это не удивительно — количество инцидентов ИБ в 2022 году выросло во много раз, заставив многих руководителей всерьёз задуматься о кибербезопасности своих компаний.

Помимо поиска новых технических решений много вопросов возникает по поводу анализа защищённости. И тут начинается самое интересное: с чего начать, что выбрать и в чём разница между тем или иным типом услуг? Самые жаркие споры идут вокруг Red Team и Penetration Testing и стоит ли компании создавать внутренние команды offensive-специалистов.

Меня зовут Александра Антипина, я работаю экспертом в отделе Red Team VK. Кратко расскажу о различиях в анализах защищённости и в каких случаях компании необходимы услуги Red Team. 

Давайте начнём с определений видов анализа защищённости.

Red Team 

Термин «Red Team» впервые возник во времена Холодной войны, когда красный цвет устойчиво ассоциировался с коммунизмом. В этом многолетнем военном противостоянии Запада и Востока США обозначали себя как Blue Team, а СССР и КНР — как Red Team. Оценивая возможные действия противника при атаке и используя критическое мышление, военные моделировали различные угрозы и нештатные ситуации, тем самым добиваясь качественной проработки своих стратегических планов. Со временем этот метод прогнозирования действий противника стал активно применяться во многих областях, которые требуют тщательного анализа систем защиты.

В информационной безопасности Red Team — это команда экспертов, которые имитируют реальную кибератаку, и их цель — мыслить и действовать, как злоумышленник, испытывая все возможные пути проникновения в систему информационной безопасности компании с помощью технических, социальных и даже физических* средств. Поэтому оценка Red Team по сравнению с другими типами анализов защищённости обычно даёт более развёрнутое и реалистичное описание.  

Когда мы только начали планировать создание нашего отдела, мы старались посетить как можно больше профильных мероприятий, чтобы познакомиться с мнениями специалистов других компаний о том, какие функции должна выполнять Red Team. В классических определениях и концепциях Red Team физический метод анализа защищённости является исторически основополагающим. Например, некоторые команды практикуют проникновение на объект с помощью клонированных карт пропусков или внедрения аппаратных закладок. У таких методов существуют категорические  противники, но лично мне этот вид анализа кажется крайне забавным и увлекательным. 

Penetration testing (pentest или пентест)

Пентест, или тестирование на проникновение, — это анализ, который проводят этичные хакеры, чтобы оценить степень защиты компании и выявить уязвимости. Пентестеры сосредоточены на поиске технических изъянов и могут, в частности, сканировать сети, искать и использовать уязвимости в сервисах. Результаты пентеста зачастую представлены в виде отчёта, в котором перечислены обнаруженные недостатки и рекомендации по их устранению. 

А теперь о том, что не является Red Team, или Почему мы не учим SOC (во всяком случае, напрямую)

Хотя стоит отметить, что в разных организациях к прямому обучению SOC относятся по-разному, и Red Team может принимать дополнительное участие в перечисленных далее мероприятиях.

Purple Teaming 

Под Purple Teaming часто подразумевают несколько разных концепций, но они сходятся в определении его основных задач: проверка конфигурации СЗИ и правил для SIEM внутри компании в формате White-Box. В этом процессе участвуют как offensive-, так и defensive-специалисты, что повышает эффективность двух команд (Red Team и Blue Team), а в идеальном мире, — ещё и создаёт постоянное динамическое взаимодействие между ними. Purple Teaming характеризуется моментальной обратной связью от всех сторон и сосредоточен внутри ИБ-отдела компании без привлечения сторонних специалистов.

Киберучения

В самом широком понимании, киберучения — это объединение нескольких компаний, организаций, государственных служб и правоохранительных органов для моделирования совместного противостояния крупной киберугрозе. В менее масштабном представлении — это процесс имитации целевых угроз со стороны offensive-специалистов из Red Team или пентест-команд, проходящий в формате Black/Gray-Box.

К киберучениям могут привлекаться как внутренние, так и внешние специалисты. Их цель — протестировать и улучшить согласованность действий, а также сотрудничество между компаниями или командами при отражении киберугроз. Либо, как и в случае с Purple Teaming, — усилить системы защиты и Blue Team. После киберучений атакующие предоставляют для дальнейшего изучения отчёт с журналом своих действий и информацию, необходимую для сравнения с логами систем безопасности Blue Team. 

Киберполигоны

На случай, если вы ещё не потерялись в количестве киберопределений и понятий, затронем и киберполигоны. Это специализированные тренировочные площадки для симуляции кибератак на «тренировочной» инфраструктуре. Киберполигоны обычно включают в себя различные сети и компьютерные системы, которые предназначены для имитации реальных сред, что позволяет Red Team и Blue Team оттачивать свои навыки в контролируемой среде.

А теперь немного о различиях

В целом, Purple Teaming, киберучения и киберполигоны похожи тем, что они включают в себя моделирование киберугроз для тестирования систем защиты компании. Однако они отличаются по охвату и фокусу: Purple Teaming нацелен на тестирование средств защиты, киберучения сосредоточены на тестировании координации между сотрудниками компании, а киберполигоны представляют собой контролируемую среду для оттачивания навыков Red Team и Blue Team. 

Различия между Red Team и пентестерами

Методы и цели

Подход Red Team зачастую более широкий и гибкий, состоящий из комбинаций различных методологий (MITRE ATT&CK, OWASP, PTES), у пентестеров же он более структурированный и следует определённой методологии. Цель команды Red Team — выявить уязвимости и слабые места в системах защиты компании, предоставив рекомендаций по их улучшению. Действия её обычно более скрытные и могут включать в себя такие методы, как социальная инженерия*. Пентестеры же сосредоточены на поиске и использовании технических уязвимостей в системах и сетях компании. 

Red Team будет использовать методы социальной инженерии в виде целевой атаки, например, фишинга с вредоносным вложением. Пентестеры и ИБ-специалисты внутри компании также могут проводить фишинговые рассылки, но они будут массового характера и предназначены для проверки осведомлённости пользователей.

TTP (Tactics, Techniques, and Procedures)

Red Team использует тактики, техники и процедуры (TTP) злоумышленников, причём несколькими способами:

• Исследует и анализирует TTP различных хакеров и организованных киберпреступных групп и на их основе разворачивает специфический софт или разрабатывает, например, специфические методы коммуникации с С2. 

• Использует TTP для моделирования последовательности действий атакующих. Например, может провести фишинговую кампанию для получения первоначального доступа к сети организации, а затем применить TTP, используемые конкретной APT, для перемещения по сети и повышения привилегий. 

• Наконец, Red Team может использовать TTP для оценки эффективности мер безопасности и планов реагирования на конкретные угрозы или акторов. 

Риски и бизнес-риски

Помимо использования различных методологий и TTP, у Red Team есть ещё одна крайне важная задача: проверять на практике вероятности реализации нежелательных для бизнеса событий. Если простыми словами, то это про критичные с точки зрения информационной безопасности активы компании и связанные с этим риски. 

Например, если взять финансовую компанию, то будет логично предположить, что наиболее критичными её активами будут системы, связанные с приёмом и обработкой платежей, а также системы, содержащие информацию о пользователях. Зная о таких активах, их расположении в корпоративной сети, внешних точках доступа и стеках технологий, использованных при создании информационных систем, можно оценить вероятности наступления нежелательных событий, просчитать потенциальные потери организации и даже спрогнозировать частоту наступления этих событий. Именно для этого и существуют специалисты по оценке рисков, наборы метрик и фреймворков. С помощью собранной аналитики и исследований рисков можно договориться о применении TTP конкретных хакерских организаций. В случае с финансовой компанией можно эмулировать APT-группы, специализирующиеся на таких организациях, например Carbanak.

Red Team может помочь в подтверждении или опровержении гипотезы о наступлении того или иного нежелательного события, чтобы скорректировать используемую в конкретной компании методологию или фреймворк по оценке рисков.

Сроки

Во время проведения пентестов практикуется отключение средств защиты и добавление IP-адресов пентестеров в белые списки, чтобы они успели идентифицировать как можно больше уязвимостей в заданные сроки. Для работы команды Red Team, как правило, отводится от нескольких месяцев до года, и средства защиты не отключают.

 Уровень скрытности

Подход Red Team более скрытный, потому что для проведения подобного анализа системы защиты не отключаются. В такой ситуации каждый шаг может стать последним и придётся начинать цепочку эксплуатации с начала. При проведении пентеста компания-заказчик и служба информационной безопасности проинформированы о сроках начала и окончания тестов, и они проводятся по чётко прописанным в ТЗ условиям. 

Внутренние и внешние команды

Главное преимущество специалистов Red Team внутри компании в том, что они знают устройство её систем и процессов. Это делает их более эффективными при имитации угроз. С доступом к конфиденциальной информации и системам они легче находят и используют уязвимости. 

Внешние команды могут посмотреть на всё свежим взглядом и предоставить непредвзятые оценки безопасности компании. Они не знакомы с внутренними системами и процессами, поэтому им будет проще думать, как настоящий злоумышленник, и выявлять уязвимости, которые внутренняя команда Red Team может упустить. 

Выбор между внутренней или внешней командой зависит от конкретных потребностей и целей компании. В целом, оба варианта Red Team будут ценным инструментом по анализу защищённости, и даже с возможностью дополнять друг друга. 

Когда лучше использовать пентест, а когда Red Team?

Пробуем на себе кибератаку

Если вы хотите узнать:

• выдержит ли ваша организация настоящую целевую кибератаку;

• проверить, как поведут себя сотрудники информационной безопасности и SOC;

• определить эффективность используемых вами средств защиты;

• узнать реальную вероятность нанесения ущерба бизнесу от кибератаки.

В таком случае вам необходим анализ защищённости силами Red Team. К тому же, регулярное проведение таких проверок поможет вашей организации выявить новые риски безопасности и подготовиться к реальным угрозам.

Ищем баги

Если вас беспокоит:

• Сколько уязвимостей на внешнем и внутреннем периметре организации?

• Как много багов попадает в эксплуатацию и правильно ли работает SSDLC?

• Ошибаются ли администраторы в конфигурации систем и сетей?

• Нужно ли внедрить дополнительные системы безопасности?

На эти вопросы сможет ответить пентест. Он сосредоточен на поиске и устранении конкретных уязвимостей, поможет определить слабые места и направление для дальнейшего улучшения безопасности. 

Когда есть кому противостоять

Как я уже говорила, Red Team полезен для организаций, которые хотят проверить эффективность своего реагирования на инциденты ИБ. Но как понять, что вы можете полноценно реагировать на инциденты?

• У вас есть SOC, и он функционирует 24/7; вы уверены, что в любой момент дня и ночи оповещение системы безопасности будет рассмотрено сотрудником ИБ, а не дежурным системным администратором.

• У вас достаточное покрытие средствами мониторинга и уже есть наборы правил — события ИБ фиксируются.

• Вы регулярно проводите пентесты и знаете, что защита внешнего и внутреннего периметра вашей организации оценивается как средняя или высокая.

• Сотрудники вашей компании в большинстве своём понимают, что такое фишинг, и опасаются его, сообщая о подозрительных событиях в ИБ. 

Если вы уверены, что этот список применим к вам, то Red Team станет для вас свежим взглядом со стороны и новым полезным опытом. 

Когда не знаете, с чего начать

Пентест — это вид анализа защищённости, подходящий для организаций любого размера. Для малых и средних организаций пентест поможет быстро находить и устранять уязвимости. Такие организации могут не иметь ресурсов или центров реагирования для полноценных комплексных оценок безопасности. Для крупных компаний со «зрелой» информационной безопасностью желательно использовать Red Team вместе с пентестам.

 Подведу итог:

• Red Team и пентест позволяют компании оценивать информационную безопасность и выявлять слабые места. 

• Red Team и пентест дополняют друг друга и могут быть использованы вместе для получения полного представления об информационной безопасности компании. 

• Выбор правильного подхода зависит от конкретных потребностей и целей компании.

• При усилении информационной безопасности компании необходимо увеличивать количество методов её оценки.  

P.S. При формулировании тезисов, несмотря на жаркие споры, ни один offensive-специалист не пострадал.