Geekly articles weekly

Simulation gezielter Angriffe als Sicherheitsbewertung. Rote Teaming Cyber-Anweisungen



Wenn es um Cybersicherheit geht, ist normalerweise keine Organisation 100% sicher. Selbst in Organisationen mit fortschrittlichen Sicherheitstechnologien können Problempunkte in Schlüsselelementen auftreten, z. B. Personen, Geschäftsprozesse, Technologien und zugehörige Schnittpunkte.


Es gibt viele Dienste zur Überprüfung des Sicherheitsniveaus: Analyse der Sicherheit von Systemen und Anwendungen, Penetrationstests, Bewertung des Bewusstseins des Personals für Informationssicherheitsprobleme usw. Aufgrund des ständigen Wandels in der Landschaft der Cyber-Bedrohungen, der Entstehung neuer Tools und krimineller Gruppen entstehen jedoch neue Arten von Risiken, die mit herkömmlichen Methoden der Sicherheitsanalyse nur schwer zu identifizieren sind.


Vor diesem Hintergrund der realistischste und fortschrittlichste Ansatz für Sicherheitstests,
Nach unserer Meinung sind Cyber-Aufträge im Red Teaming- Format eine kontinuierliche Bewertung der Sicherheit von Informationssystemen, der Bereitschaft von Spezialisten für die Reaktion auf Vorfälle und des Widerstands der Infrastruktur gegen neue Arten von Angriffen, einschließlich APT (Advanced Persistent Threat, komplexe persistente Bedrohung, gezielter Cyber-Angriff). Durch die Durchführung von Red Teaming und das Üben der Reaktion auf kontrollierte Angriffe kann das interne Sicherheitsteam seine Fähigkeiten verbessern, zuvor unentdeckte Bedrohungen zu erkennen, um echte Angreifer in den frühen Phasen des Angriffs zu stoppen und Material- und Reputationsschäden für das Unternehmen zu verhindern.


Über den Verlauf von Cyber-Bestellungen im Red Teaming-Format sagt Vyacheslav Vasin ( vas-v ), ein führender Analyst in der Audit- und Beratungsabteilung von Group-IB .


Rotes Teaming. Was ist das?


Red Teaming ist eine umfassende und realistische Methode, um die Fähigkeit eines Unternehmens zu testen, komplexe Cyber-Angriffe mit fortschrittlichen Methoden und Tools aus dem Arsenal von Hacker-Gruppen abzuwehren.


Die Hauptidee dieser Übung besteht nicht nur darin, potenzielle Schwachstellen zu identifizieren, die nicht mithilfe von Standardtestmethoden entdeckt wurden, sondern auch die Fähigkeit des Unternehmens zu bewerten, Cyber-Angriffe zu verhindern, zu erkennen und darauf zu reagieren.


Red Teaming hilft einer Organisation zu verstehen:

  • wie Sicherheit wichtige Vermögenswerte schützt
  • ob das Warn- und Überwachungssystem richtig konfiguriert ist
  • Welche Möglichkeiten stehen einem Angreifer in der internen Infrastruktur zur Verfügung, wenn die Ressourcen seines Benutzers gefährdet sind?

Daher sollte alles wirklich und maximal realistisch sein: Der Sicherheitsdienst des Kunden (Blue Team) wird nicht über den Beginn der Arbeit informiert, sodass das Red Team die Aktionen realer Angreifer anhand einer speziellen Bedrohungsanalyse modellieren und die Möglichkeit eines „Ausfalls“ der Infrastruktur bewerten kann.


Cyber-Bestellungen im Red Teaming-Format sind am effektivsten für Unternehmen mit einem ausgereiften Maß an Informationssicherheit. Sie sind in keiner Weise zeitlich begrenzt und konzentrieren sich auf das Erreichen von Zielen, unabhängig davon, ob sie mit verfügbaren Mitteln Zugang zu Netzwerkknoten oder vertraulichen Informationen erhalten.


Die wichtigsten Szenarien von Red Teaming, die für jeden Kunden einzigartig sind, hängen von den festgelegten Zielen ab.


Zu den häufig verwendeten Szenarien gehören:

  • Active Directory-Gesamtstrukturerfassung
  • Zugriff auf Top-Management-Geräte
  • Nachahmung des Diebstahls sensibler Kundendaten oder geistigen Eigentums

Lesen Sie Teaming vs. Penetrationstests


Trotz der Tatsache, dass Red Teaming und Penetrationstests ähnliche Cyber-Angriffstools verwenden, sind die Ziele und Ergebnisse beider Studien sehr unterschiedlich.


Rotes Teaming

Der Red Teaming-Prozess simuliert reale und gezielte Angriffe auf eine gesamte Organisation. Der Vorteil dieses Ansatzes ist die kontinuierliche Erforschung von Informationssystemen, um Ziele zu erreichen. Eine solch gründliche Überprüfung bietet ein umfassendes Verständnis dafür, wie sicher die Infrastruktur ist, die Mitarbeiter sich dessen bewusst sind und die internen Prozesse des Unternehmens effektiv sind, wenn sie einem echten Angriff ausgesetzt sind.


Penetrationstests

Im Verlauf dieser Studie versuchen Penetrationstestspezialisten, erkannte Schwachstellen auszunutzen und ihre Berechtigungen zu erhöhen, um das mögliche Risiko dieser Auswirkungen zu bewerten. Dieser Test testet nicht die Bereitschaft zur Erkennung und Reaktion auf Informationssicherheitsvorfälle.


Im Folgenden sind einige der Unterschiede zwischen Red Teaming und Penetrationstests aufgeführt:
Rotes TeamingPenetrationstests
AngriffsmethodenAlle genehmigten Methoden, einschließlich destruktiver, falls genehmigt, werden vom Kunden genehmigt.

Ziel ist es, ein vereinbartes Ziel zu erreichen, die Möglichkeit kritischer Auswirkungen auf die Organisation aufzuzeigen und Menschen, Prozesse und Technologien zu testen.		Technische Methoden zum Angriff auf eine vereinbarte Liste von Objekten, mit Ausnahme von destruktiven.

Social Engineering, wenn seine Verwendung vom Kunden genehmigt wurde.
Begrenzte Abdeckung, die auf die technische Überprüfung bestimmter Vermögenswerte der Organisation abzielt.
ErkennungsumgehungEs ist wichtig, Intrusion Detection-Systeme zu umgehen, da sich die Spielregeln bei deren Verwendung ändern.Es ist wichtig, die technischen Schwachstellen des Systems zu identifizieren und Intrusion Detection-Systemen nicht auszuweichen.
Postoperative AktivitätAusnutzen von Sicherheitslücken, um die erforderlichen Daten zu erfassen und den Angriff weiterzuentwickeln.Wenn Zugriff auf die Daten erhalten wird, ist der Test abgeschlossen.
ErgebnisseEin detaillierter Bericht, in dem alle ergriffenen Maßnahmen und die Erreichung der Ziele beschrieben werden.
Detaillierte Informationen zu allen gefährdeten Assets und Bewertung der Fähigkeit des Kunden, einen Cyberangriff rechtzeitig zu erkennen und korrekt darauf zu reagieren.		Ein detaillierter Bericht, in dem alle erkannten Schwachstellen und ihre Risikostufen beschrieben werden.
Detaillierte Informationen zu den Kontrollen und den Ergebnissen ihrer Übergabe.

Die Erfahrung von Group-IB zeigt, dass sich Red Teaming und Penetration Testing perfekt ergänzen. Jede Studie ist auf ihre Weise wichtig und nützlich für das Unternehmen, da im Rahmen eines solchen kombinierten Tests sowohl die passive Sicherheit der Systeme als auch die aktive Sicherheit des gesamten Unternehmens bewertet werden können.


Red Teaming ergänzt verschiedene Testformen (z. B. Codeanalyse, Penetrationstests usw.) und ist im Plan zur Überprüfung der Informationssicherheit enthalten, wenn das Unternehmen wächst.


Das Folgende ist ein Vergleich von Zielen und Forschungsergebnissen ähnlich wie bei Red Teaming:




Unser Ansatz


Projektaktivitäten


Die Forschung im Red Teaming-Format ist in mehrere aufeinanderfolgende Phasen unterteilt. Um die Effizienz zu steigern, können einige Aktionen in den Hauptphasen früher beginnen oder parallel zu anderen ausgeführt werden, wobei die begrenzte Zeit berücksichtigt wird. Daher ist der Red Teaming-Prozess in der Praxis keine so klare lineare Abfolge von Schritten.


Das Folgende sind die Hauptphasen der Red Teaming-Arbeit:



Weitere Informationen zu jeder Stufe finden Sie unter dem Spoiler:


1. Die Vorbereitungsphase

Dauer: 4 bis 6 Wochen


Bewertet die aktuellen Bedürfnisse einer bestimmten Organisation und den Arbeitsaufwand


In dieser Phase werden die wichtigsten Punkte für die Durchführung von Red Teaming festgelegt und der offizielle Start des Projekts bekannt gegeben:


  • Aus Vertretern des Kunden und des Auftragnehmers wird eine Arbeitsgruppe gebildet
  • Der Arbeitsumfang wird festgelegt (Dauer, Umfang, verbotene Handlungen usw.)
  • Interaktionsprotokolle und -formate sind konsistent
  • Das rote Team wird entsprechend den Anforderungen des aktuellen Projekts gebildet

2. Phase des roten Teams

Dauer: ab 12 Wochen


Zu diesem Zeitpunkt hat das Rote Team:


  • erzeugt Intelligenz im Threat Intelligence-Format
  • entwickelt Szenarien basierend auf kritischen Systemfunktionen und Bedrohungsmodellen
  • bildet einen Plan und versucht, vereinbarte Ziele anzugreifen (Assets, Systeme und Dienste, die eine oder mehrere kritische Funktionen enthalten)

Die Phase ist in zwei Hauptphasen unterteilt: Cyber ​​Intelligence und Szenarioentwicklung sowie Tests im Red Teaming-Format.
Etappe Nummer 1.
Cyber ​​Intelligence und Szenarien		Das rote Team führt Cyber ​​Intelligence durch. Der Kunde kann sich auch an einen Drittanbieter von Threat Intelligence (TI) wenden, um eine gezielte Bedrohungsanalyse (TTI-Bericht) für das untersuchte Objekt zu erhalten, die weitere Testszenarien ergänzt und nützliche Informationen über den Kunden liefert.

Die Hauptaufgabe besteht darin, das Profil, die Struktur und die Richtung der Aktivitäten des Unternehmens zu untersuchen und die aus Sicht des Angreifers am besten geeigneten Bedrohungen, Schlüsselknoten und Ziele zu ermitteln.

Basierend auf den durchgeführten Arbeiten werden ein Testplan und eine Liste praktischer Szenarien potenzieller Angriffe zur weiteren Überprüfung erstellt. Die entwickelten Szenarien berücksichtigen nicht nur die zuvor angewandten Ansätze, sondern auch neue Methoden der relevanten Bedrohungsakteure.
Etappe Nummer 2.
Rote Teaming-Tests		Basierend auf dem generierten Plan und den Szenarien führt das Rote Team verdeckte Angriffe auf identifizierte kritische Funktionen oder Vermögenswerte von Zielsystemen durch. Wenn Hindernisse auftreten, werden alternative Methoden zur Erreichung von Zielen unter Verwendung der Taktik fortgeschrittener Angreifer entwickelt.

Alle Arbeits- und Teamaktivitäten werden aufgezeichnet, um einen Bericht zu erstellen.


3. Die letzte Stufe

Dauer: 2 bis 4 Wochen


Der Red Teaming-Test ist abgeschlossen und geht in diese Phase, nachdem alle Schritte erfolgreich abgeschlossen wurden oder die für die Arbeit vorgesehene Zeit abgelaufen ist


Zu diesem Zeitpunkt:


  • Das Rote Team erstellt einen Bericht, in dem die Arbeit, Schlussfolgerungen und Beobachtungen zur Erkennung und Reaktion von Bedrohungen beschrieben werden, und leitet ihn an das Blaue Team weiter
  • Das blaue Team erstellt einen eigenen Bericht, in dem die ergriffenen Maßnahmen anhand der Chronologie des Berichts des roten Teams beschrieben werden
  • Die Prozessteilnehmer tauschen Ergebnisse aus, analysieren sie und planen weitere Schritte zur Verbesserung der Cyberstabilität des Unternehmens

Die direkten Parteien, die am Red Teaming-Prozess beteiligt sind, sind:


  • Das weiße Team ist der verantwortliche Manager, die erforderlichen Vertreter der Geschäftsbereiche des Kunden und die erforderliche Anzahl von Sicherheitsexperten, die über die Arbeit Bescheid wissen
  • Blue Team - Kundendienst für die Erkennung und Reaktion von Vorfällen im Bereich Informationssicherheit
  • Das rote Team ist ein verantwortungsbewusster Manager und Experten, die gezielte Angriffe simulieren

Ein Beispiel eines roten Teams für ein Projekt wird unter einem Spoiler vorgestellt


Methodik


Um Angriffe auf ein festgelegtes Ziel zu simulieren, verwenden Group-IB-Experten eine bewährte Methode, die internationale Praktiken umfasst und sich an einen bestimmten Kunden anpasst, um die Merkmale der Organisation zu berücksichtigen und die Kontinuität kritischer Geschäftsprozesse nicht zu stören.


Der Lebenszyklus von Tests im Red Teaming-Format folgt dem Modell der Cyber ​​Kill Chain und umfasst die folgenden allgemeinen Schritte: Aufklärung, Bewaffnung, Lieferung, Betrieb, Installation, Erlangung der Kontrolle und Durchführung von Aktionen in Bezug auf das Ziel.



Einer der Red Teaming Case Group-IB


Zugriff auf Active Directory


Kunde war eine Unternehmensgruppe im Produktionssegment.


Ziel ist es, Administratorzugriff auf den Active Directory-Domänencontroller am Hauptsitz des Unternehmens zu erhalten.


Im Verlauf der Arbeiten wurde festgestellt, dass der Kunde die Multi-Faktor-Authentifizierung (Smartcards) für alle Arten des Zugriffs in der Zentrale verwendet, einschließlich Remote- und externer Webdienste. Der Einsatz von Social Engineering ist verboten.


Generalisierte Infrastruktur eines Industrieunternehmens:



Aktionen und Ergebnisse der Gruppe IB

Group-IB-Experten führten eine gründliche Aufklärung durch und stellten fest, dass der Hauptsitz 14 Unternehmen erworben und diese während des Red Teaming-Betriebs in ihre Tochtergesellschaften umstrukturiert hatte. Dem Roten Team gelang es, die Erlaubnis zu erhalten, einen Angriff auf alle Unternehmen der Gruppe durchzuführen. Als nächstes wurde eine Tochtergesellschaft mit schwachem Schutz, einschließlich der Domänencontroller branch1.domain.com, „gehackt“ und ein VPN zwischen den lokalen Netzwerken der Zweigstelle entdeckt (Site-to-Site-Full-Mesh-VPN).


Der Kunde hatte eine halb erstellte Active Directory-Domänengesamtstruktur für alle Zweige, konnte das externe Netzwerk jedoch nicht gut stärken (siehe Abbildung unten).


Die Netzwerkverbindung war gut geschützt. Vertrauensmechanismen zwischen Active Directory-Gesamtstrukturdomänen funktionierten für Controller in der Domäne branch1.domain.com nicht. Der Angriff wurde an branch2.domain.com verteilt und erhielt dort Domänenadministratorrechte.


Erster Versuch, Active Directory zu "hacken":



Mit dem Kerberos-Angriff „Golden Ticket“ hat das Rote Team den Schutz mithilfe von Smartcards auf „niedriger Ebene“ aufgrund der Implementierungsfunktionen des Kerberos-Protokolls selbst umgangen. Durch den Betrieb des Vertrauensmechanismus zwischen Active Directory-Domänen gelang es dem Team, Administratorrechte in der Zentrale zu erhalten.


Zugriff auf Active Directory in der Zentrale:



Daher wurden die Domänencontroller in der Zentrale „gehackt“.
Group-IB-Experten haben das Ziel des Red Teaming-Projekts erreicht.


Zusammenfassend


Nach dem Lesen des gesamten Materials kann sich immer noch die Frage stellen, warum "Cyber-Bestellungen"? Ich wiederhole, durch die Durchführung von Red Teaming und das Üben der Reaktion auf kontrollierte Angriffe kann das interne Sicherheitsteam seine Fähigkeiten zur Erkennung zuvor unentdeckter Bedrohungen verbessern, um echte Angreifer in den frühen Phasen des Angriffs zu stoppen und Material- und Reputationsschäden für das Unternehmen zu verhindern. Im Rahmen des Trainings kann auch eine Veranstaltung abgehalten werden, um Angriffe gemeinsam zu reproduzieren und ihnen entgegenzuwirken.


Durch Tests im Red Teaming-Format erhält das Unternehmen eine Vorstellung von den Stärken und Schwächen der Cybersicherheit und kann in diesem Bereich einen Verbesserungsplan für die Kontinuität der Geschäftsprozesse und den Schutz wertvoller Daten definieren.


Durch Hinzufügen von Red Teaming als Teil seiner Sicherheitsstrategie kann ein Unternehmen Sicherheitsverbesserungen im Laufe der Zeit messen. Solche messbaren Ergebnisse können für die wirtschaftliche Durchführbarkeit zusätzlicher Informationssicherheitsprojekte und die Einführung der erforderlichen technischen Schutzmittel verwendet werden.


Die vollständige Überprüfung der Group-IB Red Teaming-Analyse finden Sie hier .

Source: https://habr.com/ru/post/de460461/

More articles:


All Articles