Термин Red Teaming слышали все, кто связан с информационной безопасностью напрямую или косвенно. Но не все до конца понимают, что это такое: зачем нужна оценка эффективности команды реагирования на инциденты? Что это за форма обучения команды защитников? Часто Red Teaming выдают за комплексное тестирование на проникновение: предоставляют классическое, хоть и расширенное тестирование на проникновение по цене в несколько раз выше. Некоторые крупные компании ищут своих собственных специалистов по Red Teaming и, скорей всего, тоже не до конца понимают, какие задачи будут решать с их помощью. Что же такое Red Teaming как услуга и что Red Teaming'ом не является? Об этом ниже.

Историческая справка


Как и многие другие вещи в нашей повседневной жизни (клейкая лента, микроволновая печь, консервы и т.д.), термин Red Teaming пришел из военно-промышленного комплекса. Во время вьетнамской войны американские военные летчики отрабатывали навыки ведения воздушного боя и изучали собственные ошибки, тем самым повышая свой уровень мастерства без реальной потери пилотов и самолетов. А вот название «красная команда», скорей всего, появилось в ходе противоборства с Советским Союзом. Исторически сложилось, что «красные» нападают, а «синие» обороняются.


Охранникам в Будапеште тоже приглянулся этот термин;)

Что такое Red Teaming


Миф № 1. Red Teaming – это комплексное тестирование на проникновение или аудит


Существует три основных типа работ по проверке уровня защищенности компании.

  1. Оценка уязвимостей (Vulnerability Assessment) – анализ информационных систем на выявление недостатков и уязвимостей, проверки могут быть ручными и с помощью сканеров уязвимостей. В данном случае производится поиск уязвимостей, чаще всего без эксплуатации этих уязвимостей или простой выборочной проверки. Является частью процесса управления уязвимостями.
  2. Тестирование на проникновение (Penetrating Test) – поиск и эксплуатация уязвимостей для достижения цели (получения доступа) и демонстрации влияния на бизнес-процессы. Может выполняться в полуавтоматическом и ручном режиме. Также тестирование на проникновение можно рассматривать как поиск возможных путей атак с целью уменьшить поверхности атак. Чаще всего во время работ нет противодействия со стороны службы информационной безопасности, услуга предоставляется в рамках заранее обговоренных границ (подсети, хосты) и методик (например, заказчик может запретить использовать социальную инженерию).
  3. Red Teaming – услуга, основной целью которой является тренировка и оценка эффективности людей, процессов и технологий защиты. В классическом варианте работы по Red Teaming выполняются в условиях секретности – без предупреждения специалистов службы ИБ. Услуга реализуется полностью вручную (утилиты используются, но не ставятся во главу угла). Также команда атакующих должна контролировать IOC используемых утилит (название утилит, название функций, кэшируемые данные и др.), чтобы не выдать себя раньше времени. Уязвимости могут искаться и эксплуатироваться, но исключительно для достижения поставленной цели.

Red Teaming – это процесс использования Тактик, Техник и Процедур (TTP) для имитации действий реального противника с целью тренировки и оценки эффективности людей, процессов и технологий, которые используются для защиты инфраструктуры и окружения организации.
Имитация действий злоумышленников командой атакующих тренирует автоматизм реагирования на инциденты и дает защитникам ситуационную осведомленность об инструментах и тактике атакующих.

Red Teaming фокусируется на операциях по обеспечению комплексной безопасности, включающей в себя людей, процессы и технологии. Red Teaming уделяет прямое внимание обучению команды защитников и оценке того, как служба безопасности может противодействовать реальным действиям противника. Технические недостатки и уязвимости в данном случае второстепенны – ключевой же вопрос: как с их помощью нарушитель может влиять на деятельность организации.

В основе Red Teaming лежит сценарий действий противника. Сценарии отличают Red Teaming от тестирования на проникновение, и они же определяют ход проекта. Сценарии позволяют моделировать действия определенного противника (конкретной APT-группы) или имитировать действия предполагаемого злоумышленника.

Red Teaming использует методы и техники наступательной (offensive) безопасности, но по своей природе является частью защитной (defensive) безопасности и частью SOС, поэтому не может существовать без Blue Team.

Команда атакующих – это независимая группа профессионалов, которая смотрит на безопасность организации с позиции противника. Команда находит альтернативные способы достижения поставленных целей и бросает вызов защитникам организации, чтобы проверить их готовность к реальным угрозам. Независимость помогает атакующим точно и непредвзято оценивать уровень безопасности, избегая многих предубеждений.

Миф № 2. В организации может быть свой собственный внутренний Red Teaming


Именно для сохранения независимости команда атакующих должна быть внешней. И отсутствие каких-либо знаний об атакуемой системе и ее защите (кроме той информации, которая была получена на раннем этапе проекта) позволит лучше подготовиться и разработать правильную стратегию проведения проекта. Внутренний Red Teaming может быть только в ограниченном виде, и лучше его называть термином «Purple Teaming» (смешение красного и синего цветов) или Threat Hunt. Это группа специалистов внутри компании, которая может провести различные атаки на инфраструктуру и одновременно с этим настроить контроли для обнаружения таких атак. Но оценивать эффективность должна внешняя группа.

Цели


Как и любая деятельность, Red Teaming имеет цель. Цели атакующих могут быть различными (главное, чтобы они не нарушали законодательство и коммерческую тайну), например:

  • захват и закрепление в сети;
  • возможность свободно перемещаться в сети;
  • получение доступа к приложению или данными;
  • получение доступа к серверу или рабочей станции;
  • возможность извлекать критичные данные и обходить защиту от утечек (DLP);
  • возможность оставаться незамеченными определенный промежуток времени;
  • возможность выполнять эксплуатационное воздействие.

Миф № 3. Red Teaming – это по сути соревнование, в котором выявляются победители и побежденные


В Red Teaming нет ни победителей, ни проигравших. У атакующих нет цели тихо и незаметно захватить сервер или сеть организации. На начальном этапе команда атакующих будет действовать бесшумно, но, как только приблизится к цели на «расстояние вытянутой руки», начнет «шуметь», чтобы привлечь внимание защитников. Если они обнаружат и заблокируют атакующих на раннем этапе, то не смогут узнать, как противник может действовать дальше. Но если нет победителей и проигравших, как определить успех?

Успех


Успех Red Teaming определяется не тем, как хорошо команда атакующих захватывает сеть. Проект Red Teaming успешен, когда команда атакующих выполняет свои цели, а команда защитников способна обучаться и улучшать уровень безопасности организации.

Успех также можно определять ответами на следующие вопросы:

  • За какое время команда защиты обнаруживает атакующих?
  • Позволяют ли имеющиеся инструменты обнаружить атакующих?
  • Следует ли команда защиты своим TTP, когда действия атакующей команды поднимают тревогу?
  • Может ли команда защиты обнаружить каналы связи с командным центром (С2) атакующих?
  • Могут ли защитники составить профиль атакующих на основе индикаторов компрометации (IOC) в сети и на хостах?

Попались!


Как определить, что проект Red Teaming на стадии завершения (и пора писать отчет)? Этот пункт обсуждается и утверждается ещё на старте. В целом есть несколько вариантов:

  • Время проекта подошло к концу. Любой проект имеет ограничения по времени. Конечно, Red Teaming длится дольше, чем тестирование на проникновение, но не бесконечно. В данном случае команда атакующих начнет готовить отчет по выполненным работам несмотря на то, были ли достигнуты цели или нет.
  • Команда атакующих выполнила поставленную перед ней цель. Если команда атакующих «шумела» в сетевом окружении организации достаточно громко, но никто не отреагировал на этот «шум», она завершит проект выполнением поставленной цели.
  • Команда защитников обнаружила действия команды атакующих. Вот здесь есть подводный камень. Если команда защитников на раннем этапе обнаружила атаку, например, фишинговую атаку или установку канала связи с командным центром (C2), и крикнула «ага, попались!», она правильно среагировала – цель достигнута. На этот случай стоит заранее обговорить возможность для защитников наблюдать за дальнейшими действиями атакующих. Здесь уже можно следить до определенного момента и тем самым проверять, какие контроли безопасности срабатывают, а какие нет и требуют дополнительных настроек. Защитники в любой момент смогут отключить каналы связи и сказать «попались!», однако перед этим они успеют познакомиться с новыми техниками.

Польза


В чем ключевая польза от Red Teaming? В возможности изменить угол обзора ИБ в компании:

  • увидеть реальное состояние безопасности и слабые точки в ней (до того, как это сделает извне кто-то особо «одаренный»);
  • определить пробелы в процессах, процедурах и техниках (и устранить, понятное дело);
  • узнать, хорошо ли служба ИБ выполняет свою работу, без последствий реального инцидента;
  • лучше понять тактики, методы, процедуры противника и эффективнее расходовать бюджет на ИБ;
  • повысить осведомленность сотрудников службы ИБ, руководителей и персонала.

Если проект по Red Teaming не будет улучшать уровень безопасности, то нет смысла его проводить.

Миф № 4. Только организации со зрелой безопасностью может потребоваться услуга Red Teaming


Red Teaming могут использовать организации с любым уровнем зрелости ИБ. Необходимое условие – это наличие команды защитников и процессов реагирования на инциденты и угрозы.

Организациям с начальным и средним уровнем зрелости Red Teaming поможет оценить свою способность противостоять опытному противнику: понять, в какую сторону расти, какие контроли безопасности внедрить. А также выработать автоматизм правильного реагирования на инциденты.

Для организации со зрелым уровнем безопасности это будет тренировка и отработка своих навыков. Но кроме этого, они смогут увидеть новые техники и тактики, с которыми еще не сталкивались.

Организационная структура


В проекте участвуют следующие команды:

  • Красная команда (Red Team) – атакующие. Специалисты, проводящие имитацию атак на организацию.
  • Синяя команда (Blue Team) – защитники. Специалисты, которые защищают инфраструктуру и должны обнаружить действия красной команды.
  • Белая команда (White Team) – руководитель проекта. В этой роли может выступать руководитель службы информационной безопасности, CISO. Менеджер, который координирует и контролирует проведение работ: он знает все, что происходит в данный момент по проекту, что делает команда атакующих и как на это реагирует команда защитников. Есть условия для этой роли. Руководитель проекта может, например, дать подсказки команде атакующих (стоит ли усилить или ослабить атаку) или подбросить индикаторы компрометации (IOC), но при этом не может давать подсказки команде защитников. Вариант с подсказками встречается нечасто, так как заказчики стремятся к «реалистичности» происходящего. Однако тут надо понимать, что у команды Red Team, в отличие от реальных хакеров, есть временной лимит на изучение поведения Blue Team. По этой причине в некоторых случаях подсказки бывают вполне целесообразны.

Часто White Team путают с Purple Team.

Миф № 5. Очень высокая стоимость проекта Red Teaming


Пожалуй, самый важный вопрос, который интересует любого заказчика, — это цена. Заоблачная стоимость Red Teaming — это уловка маркетинга. Непонятное название, новый тренд в индустрии ИБ – все это нередко побуждает к необоснованному взвинчиванию цены на услугу.

Стоимость Red Teaming рассчитывается исходя из продолжительности проекта, которая в свою очередь зависит от выбранного сценария. Чем сложнее сценарий, тем больше работ по нему.
Длительность проекта Red Teaming обусловлена тем, что команде атакующих требуется действовать скрытно, чтобы не обнаружить себя раньше времени. Средняя продолжительность проекта – около 12 недель. Для сравнения: комплексное тестирование на проникновение, включающее внешний периметр, внутреннюю инфраструктуру, социальную инженерию и анализ беспроводных сетей, в среднем длится 7 недель (может быть закончен быстрее, если подрядчик проводит этапы параллельно).

Еще до старта основной части команда атакующих проводит пассивную разведку и сбор данных, подготовку инфраструктуры и доработку или разработку собственных инструментов в соответствии с полученной информацией. А по завершении проекта организуется дополнительная консультация сотрудников заказчика. Все эти трудозатраты учитываются в итоговой стоимости.

Отсюда вполне логично следует, что цена за Red Teaming будет выше комплексного тестирования на проникновение. Но при этом, конечно, не будет превышать его стоимость в десятки раз.

Завершение работ


Отчет является формой доказательства проведения работ. Однако, главная его ценность в том, что он может (и должен) быть проанализирован и использован для улучшения безопасности в компании. Поэтому крайне важно его качество.

Отчет по Red Teaming может довольно сильно отличаться от отчетов по тестированию на проникновение и анализа защищенности. Так как работы в значительной степени сфокусированы на сценарии, то и отчет основан на истории действий.

Отчет будет содержать следующую информацию:

  • Высокоуровневый вывод о состоянии безопасности и готовности защитников противостоять реальным угрозам
  • Риски, выявленные в результате анализа выполнения проекта и реагирования защитников
  • Хронология действий атакующей команды от начала до завершения проекта. Команда защитников сможет сравнить их со своими журналами событий, чтобы выявить дополнительные индикаторы компрометации (IOC)
  • Технические детали с пошаговой информацией, которая позволит повторить шаги и обнаружить найденные недостатки
  • Технические рекомендации для немедленного применения, для закрытия обнаруженных критичных уязвимостей
  • Стратегические рекомендации для долгосрочной перспективы повышения уровня безопасности.

По окончании проекта возможно проведение нескольких встреч с представителями обеих сторон. Одна – для руководства организации, с фокусом на общей картине проекта. Результаты Red Teaming могут повлиять на дальнейшую работу организации: потребовать финансирования для устранения найденных недостатков или изменения штатного расписания. Если результаты Red Teaming будут использоваться для повышения безопасности организации (а в ином случае такие работы не имеют смысла), то осведомленность и заинтересованность руководства очень важны.

Другая встреча – техническая. Это двусторонний обмен информацией между атакующими, защитниками и координатором проекта на стороне заказчика. Включает подробный высокотехнический обзор действий команды атакующих и защитников, предпринятых во время проекта. Позволяет обеим сторонам задать вопросы в контексте реализованных атак и реагирования на них, получить рекомендации по улучшению и идеи для новых методологий. Тем самым дает возможность улучшить способности как защитников, так и команды атакующих. Подобные встречи являются частью проекта, и польза от них может быть бесценна.

Заключение


Тема Red Teaming очень обширна и ее нельзя полностью рассмотреть в одной статье. Тем не менее из описанного выше можно сделать некоторые основные короткие выводы:

  • Основная польза от Red Teaming – это обучение и обмен знаниями
  • Red Teaming помогает оценить общий уровень защищенности и готовность организации противостоять реальному противнику
  • Основное отличие Red Teaming от других типов работ – это сценарии (их мы рассмотрим в следующей статье)
  • Нельзя назвать Red Teaming тестированием на проникновение и наоборот – это две разные задачи, два разных подхода, две разные цели, не заменяющие одна другую.

Автор: Дмитрий Неверов, эксперт по анализу защищенности, «Ростелеком-Солар»