Ketika datang ke cybersecurity, sebagai suatu peraturan, tidak ada organisasi yang 100% aman. Bahkan dalam organisasi dengan teknologi keamanan canggih, mungkin ada titik masalah dalam elemen kunci - seperti orang, proses bisnis, teknologi, dan titik persimpangan terkait.

Ada banyak layanan untuk memeriksa tingkat keamanan: analisis keamanan sistem dan aplikasi, pengujian penetrasi, penilaian kesadaran personil tentang masalah keamanan informasi, dll. Namun, karena perubahan terus-menerus dalam lanskap ancaman siber, munculnya alat baru dan kelompok kriminal, jenis risiko baru muncul yang sulit diidentifikasi menggunakan metode tradisional analisis keamanan.

Terhadap latar belakang ini, pendekatan yang paling realistis dan canggih untuk pengujian keamanan,
menurut pendapat kami, pesanan dunia maya dalam format Red Teaming adalah penilaian berkelanjutan terhadap keamanan sistem informasi, kesiapan spesialis respons insiden dan ketahanan infrastruktur terhadap jenis serangan baru, termasuk APT (Ancaman Persisten Lanjutan, ancaman persisten kompleks, serangan cyber yang ditargetkan). Dengan melakukan Red Teaming dan mempraktikkan respons terhadap serangan terkendali, tim keamanan internal dapat meningkatkan keterampilannya dalam mendeteksi ancaman yang sebelumnya tidak terdeteksi untuk menghentikan penyerang nyata pada tahap awal serangan dan mencegah kerusakan materi dan reputasi pada bisnis.

Tentang bagaimana pesanan dunia maya dalam format Red Teaming, kata Vyacheslav Vasin ( vas-v ), seorang analis terkemuka di Departemen Audit dan Konsultasi Grup-IB .

Teaming Merah. Apa ini

Red Teaming adalah cara komprehensif dan paling realistis untuk menguji kemampuan organisasi untuk mengusir serangan cyber yang kompleks menggunakan metode dan alat canggih dari gudang kelompok peretas.

Gagasan utama dari latihan ini tidak hanya untuk mengidentifikasi kelemahan potensial yang tidak terdeteksi menggunakan metodologi pengujian standar, tetapi juga untuk menilai kemampuan organisasi untuk mencegah, mendeteksi dan menanggapi serangan cyber.

Red Teaming membantu organisasi memahami:

bagaimana keamanan melindungi aset-aset penting
apakah sistem peringatan dan pemantauan dikonfigurasi dengan benar
peluang apa yang tersedia bagi penyerang di infrastruktur internal jika sumber daya penggunanya terganggu

Oleh karena itu, semuanya harus benar-benar realistis dan maksimal: layanan keamanan Pelanggan (Tim Biru) tidak diberitahu tentang awal pekerjaan sehingga Tim Merah dapat memodelkan tindakan para penyerang nyata berdasarkan analisis ancaman khusus dan mengevaluasi kemungkinan "menghancurkan" infrastruktur.

Cyber-order dalam format Red Teaming paling efektif untuk perusahaan dengan tingkat keamanan informasi yang matang. Mereka sama sekali tidak terbatas dalam waktu paparan dan fokus pada pencapaian tujuan, apakah itu mendapatkan akses ke node jaringan atau informasi sensitif dengan cara apa pun yang tersedia.

Skenario utama dari Red Teaming, yang unik untuk setiap Pelanggan, tergantung pada tujuan yang ditetapkan.

Skenario yang umum digunakan meliputi:

Penangkapan hutan Direktori Aktif
akses ke perangkat manajemen puncak
tiruan dari pencurian data pelanggan sensitif atau kekayaan intelektual

Baca Teaming vs. Pengujian penetrasi

Terlepas dari kenyataan bahwa Red Teaming dan pengujian penetrasi menggunakan alat serangan cyber yang serupa, tujuan dan hasil dari kedua studi ini sangat berbeda.

Teaming merah

Proses Tim Merah mensimulasikan serangan nyata dan tertarget pada seluruh organisasi. Keuntungan dari pendekatan ini adalah penelitian sistem informasi yang berkelanjutan untuk mencapai tujuan. Pemeriksaan mendalam seperti itu memberikan pemahaman komprehensif tentang seberapa aman infrastruktur itu, karyawan sadar dan proses internal organisasi efektif ketika terkena serangan nyata.

Pengujian penetrasi

Dalam perjalanan studi ini, spesialis pengujian penetrasi berupaya untuk mengeksploitasi kerentanan yang terdeteksi dan meningkatkan hak istimewa mereka untuk menilai risiko yang mungkin timbul dari dampak ini. Tes ini tidak menguji kesiapan untuk deteksi dan respons terhadap insiden keamanan informasi.

Berikut ini adalah beberapa perbedaan antara Red Teaming dan Pengujian Penetration:

	Teaming merah	Pengujian penetrasi
Metode serangan	Semua metode yang disetujui, termasuk yang merusak, jika disetujui, disetujui oleh Pelanggan. Ini bertujuan untuk mencapai tujuan yang disepakati, untuk menunjukkan kemungkinan dampak kritis terhadap organisasi dan pada pengujian orang, proses dan teknologi.	Metode teknis untuk menyerang daftar objek yang disepakati, dengan pengecualian yang merusak. Rekayasa sosial, jika penggunaannya telah disahkan oleh Pelanggan. Cakupan terbatas, ditujukan untuk verifikasi teknis aset spesifik organisasi.
Deteksi Bypass	Penting untuk mem-bypass sistem deteksi intrusi, karena aturan permainan berubah saat menggunakannya.	Penting untuk mengidentifikasi kerentanan teknis sistem, dan tidak menghindari sistem deteksi intrusi.
Kegiatan pasca-operasional	Memanfaatkan kerentanan untuk menangkap data yang diperlukan dan selanjutnya mengembangkan serangan.	Jika akses ke data diperoleh, pengujian selesai.
Hasil	Laporan terperinci yang menjelaskan semua tindakan yang diambil dan cara mencapai tujuan. Informasi terperinci tentang semua aset yang dikompromikan dan penilaian kemampuan Pelanggan untuk mendeteksi dan merespons dengan tepat terhadap serangan dunia maya pada waktunya.	Laporan terperinci yang menggambarkan semua kerentanan yang terdeteksi dan tingkat risikonya. Informasi terperinci tentang cek dan hasil bagian mereka.

Pengalaman Group-IB menunjukkan bahwa Red Teaming dan Penetration Testing saling melengkapi dengan sempurna. Setiap studi penting dan bermanfaat bagi organisasi dengan caranya sendiri, karena selama pengujian gabungan semacam itu dimungkinkan untuk mengevaluasi baik keamanan pasif sistem dan keamanan aktif perusahaan secara keseluruhan.

Red Teaming melengkapi berbagai bentuk pengujian (misalnya, analisis kode, pengujian penetrasi, dll.) Dan dimasukkan dalam rencana verifikasi keamanan informasi ketika organisasi tumbuh.

Berikut ini adalah perbandingan tujuan dan hasil penelitian yang mirip dengan Red Teaming:

Pendekatan kami

Kegiatan proyek

Penelitian dalam format Teaming Merah dibagi menjadi beberapa tahap berturut-turut. Untuk meningkatkan efisiensi, beberapa tindakan dalam tahap utama dapat dimulai lebih awal atau dilakukan secara paralel dengan yang lain, dengan mempertimbangkan waktu yang terbatas. Oleh karena itu, dalam praktiknya, proses Red Teaming bukanlah urutan langkah linear yang jelas.

Berikut ini adalah tahapan utama pekerjaan Red Teaming:

Informasi lebih lanjut tentang setiap tahap dapat ditemukan di bawah spoiler:

1. Tahap persiapan

Durasi: 4 hingga 6 minggu

Menilai kebutuhan saat ini dari organisasi tertentu dan jumlah pekerjaan

Pada tahap ini, poin utama untuk melakukan Red Teaming ditentukan dan peluncuran resmi proyek diumumkan:

sebuah kelompok kerja dibentuk dari perwakilan Pelanggan dan Kontraktor
lingkup pekerjaan ditentukan (durasi, volume, tindakan yang dilarang, dll.)
protokol dan format interaksi konsisten
Tim merah dibentuk sesuai dengan kebutuhan proyek saat ini

2. Tahap Tim Merah

Durasi: mulai 12 minggu atau lebih

Pada tahap ini, Tim Merah:

menghasilkan kecerdasan dalam format Kecerdasan Ancaman
mengembangkan skenario berdasarkan fungsi sistem kritis dan model ancaman
membentuk rencana dan upaya untuk menyerang sasaran yang disepakati (aset, sistem, dan layanan yang mengandung satu atau lebih fungsi kritis)

Tahap ini dibagi menjadi dua tahap utama - intelijen cyber dan pengembangan skenario, serta pengujian dalam format Red Teaming.

Tahap nomor 1.
Kecerdasan dan Skenario Cyber

Tim merah sedang melakukan intelijen cyber. Pelanggan juga dapat menghubungi pemasok pihak ketiga Threat Intelligence (TI) untuk analisis ancaman yang ditargetkan (Laporan TTI) untuk objek yang sedang diselidiki, yang akan melengkapi skenario pengujian lebih lanjut dan memberikan informasi yang berguna tentang Pelanggan.

Tugas utama adalah mempelajari profil, struktur, dan arah kegiatan organisasi, menentukan ancaman, simpul utama, dan tujuan yang paling tepat dari sudut pandang penyerang.

Berdasarkan pekerjaan yang dilakukan, rencana pengujian dan daftar skenario praktis dari serangan potensial untuk verifikasi lebih lanjut disusun. Skenario yang dikembangkan memperhitungkan tidak hanya pendekatan yang diterapkan sebelumnya, tetapi juga metode baru dari aktor ancaman yang relevan.

Tahap nomor 2.
Pengujian tim merah

Berdasarkan rencana dan skenario yang dihasilkan, Tim Merah melakukan serangan rahasia pada fungsi kritis yang diidentifikasi atau aset sistem target. Ketika rintangan muncul, metode alternatif untuk mencapai tujuan dikembangkan menggunakan taktik penyerang tingkat lanjut.

Semua kegiatan kerja dan tim dicatat untuk menyiapkan laporan.

3. Tahap terakhir

Durasi: 2 hingga 4 minggu

Pengujian Tim Merah selesai dan pergi ke tahap ini setelah semua langkah berhasil diselesaikan, atau waktu yang diberikan untuk pekerjaan telah berakhir

Pada tahap ini:

Tim Merah menyiapkan laporan yang menggambarkan pekerjaan, kesimpulan dan pengamatan tentang deteksi dan respons ancaman dan meneruskannya ke Tim Biru
Tim biru menyiapkan laporannya sendiri yang menggambarkan tindakan yang diambil berdasarkan kronologi laporan tim Merah
proses peserta bertukar hasil, menganalisisnya dan merencanakan langkah lebih lanjut untuk meningkatkan stabilitas cyber organisasi

Pihak langsung yang terlibat dalam proses Red Teaming adalah:

Tim putih adalah manajer yang bertanggung jawab, perwakilan yang diperlukan dari unit bisnis Pelanggan dan jumlah pakar keamanan yang diperlukan yang akan mengetahui tentang pekerjaan tersebut.
Tim Biru - Layanan Keamanan Pelanggan untuk Deteksi dan Respons Insiden Keamanan Informasi
Tim merah adalah manajer yang bertanggung jawab dan ahli yang mensimulasikan serangan yang ditargetkan

Contoh tim Merah pada proyek disajikan di bawah spoiler

Metodologi

Untuk mensimulasikan serangan terhadap target yang ditetapkan, para ahli Grup-IB menggunakan metodologi yang telah terbukti yang mencakup praktik internasional dan beradaptasi dengan Pelanggan tertentu untuk memperhitungkan karakteristik organisasi dan tidak mengganggu kelangsungan proses bisnis yang kritis.

Siklus hidup pengujian dalam format Red Teaming mengikuti model The Cyber Kill Chain dan memiliki langkah-langkah umum berikut: pengintaian, persenjataan, pengiriman, operasi, instalasi, mendapatkan kontrol dan melakukan tindakan dalam kaitannya dengan target.

Salah satu dari Red Teaming Case Group-IB

Mengakses Direktori Aktif

Pelanggan adalah sekelompok perusahaan di segmen produksi.

Tujuannya adalah untuk mendapatkan akses administratif ke pengontrol domain Active Directory di kantor pusat perusahaan.

Selama pekerjaan, ditemukan bahwa Pelanggan menggunakan otentikasi multi-faktor (kartu pintar) untuk semua jenis akses di kantor pusat, termasuk layanan web jarak jauh dan eksternal. Penggunaan rekayasa sosial dilarang.

Infrastruktur umum perusahaan industri:

Tindakan dan Hasil Kelompok-IB

Pakar Group-IB melakukan pengintaian menyeluruh dan menentukan bahwa kantor pusat telah mengakuisisi 14 perusahaan dan menata ulang mereka menjadi anak perusahaan mereka selama operasi Red Teaming. Tim Merah berhasil mendapatkan izin untuk melakukan serangan terhadap semua perusahaan dalam grup. Berikutnya, anak perusahaan dengan perlindungan yang lemah, termasuk pengontrol domain branch1.domain.com, "diretas" dan VPN ditemukan antara jaringan lokal kantor cabang (VPN full-mesh situs-ke-situs).

Pelanggan memiliki hutan domain Direktori Aktif setengah jadi untuk semua cabang, tetapi ia tidak dapat memperkuat jaringan eksternal dengan baik (lihat gambar di bawah).

Koneksi jaringan terlindungi dengan baik. Mekanisme kepercayaan antara domain hutan Direktori Aktif tidak berfungsi untuk pengontrol di domain branch1.domain.com. Serangan itu didistribusikan ke branch2.domain.com, mendapatkan hak administrator domain di sana.

Upaya awal untuk "meretas" Direktori Aktif:

Menggunakan serangan “tiket emas” Kerberos, Tim Merah melewati perlindungan menggunakan kartu pintar pada “level rendah” karena fitur implementasi protokol Kerberos itu sendiri. Dengan mengoperasikan mekanisme kepercayaan antara domain Active Directory, tim berhasil mendapatkan hak administratif di kantor pusat.

Mengakses Direktori Aktif di kantor pusat:

Dengan demikian, pengontrol domain di kantor pusat "diretas".
Pakar Group-IB telah mencapai tujuan proyek Red Teaming.

Untuk meringkas

Setelah membaca semua materi, mungkin masih timbul pertanyaan, mengapa "cyber-order"? Saya ulangi, dengan melakukan Red Teaming dan mempraktikkan respons terhadap serangan terkendali, tim keamanan internal dapat meningkatkan keterampilannya dalam mendeteksi ancaman yang sebelumnya tidak terdeteksi untuk menghentikan penyerang nyata pada tahap awal serangan dan mencegah kerusakan materi dan reputasi pada bisnis. Juga, sebagai bagian dari pelatihan, sebuah acara dapat diadakan untuk bersama-sama mereproduksi serangan dan melawannya.

Pengujian dalam format Red Teaming memberi organisasi gagasan tentang kekuatan dan kelemahan keamanan siber, dan juga memungkinkan Anda menentukan rencana perbaikan di bidang ini untuk kesinambungan proses bisnis dan perlindungan data yang berharga.

Dengan menambahkan Red Teaming sebagai bagian dari strategi keamanannya, sebuah perusahaan dapat mengukur peningkatan keamanan dari waktu ke waktu. Hasil yang dapat diukur tersebut dapat digunakan untuk kelayakan ekonomi dari proyek keamanan informasi tambahan dan pengenalan sarana teknis perlindungan yang diperlukan.

Tinjauan analitik Tim Merah Kelompok-IB dapat ditemukan di sini .

Simulasi serangan yang ditargetkan sebagai penilaian keamanan. Instruksi Cyber Teaming Merah

Teaming Merah. Apa ini

Baca Teaming vs. Pengujian penetrasi