Quando se trata de segurança cibernética, geralmente nenhuma organização é 100% segura. Mesmo em organizações com tecnologias avançadas de segurança, pode haver pontos problemáticos em elementos-chave - como pessoas, processos de negócios, tecnologias e pontos de interseção associados.

Existem muitos serviços para verificar o nível de segurança: análise da segurança de sistemas e aplicativos, teste de penetração, avaliação da conscientização do pessoal sobre questões de segurança da informação, etc. No entanto, devido à constante mudança no cenário de ameaças cibernéticas, ao surgimento de novas ferramentas e grupos criminosos, surgem novos tipos de riscos que são difíceis de identificar usando métodos tradicionais de análise de segurança.

Nesse contexto, a abordagem mais realista e avançada para testes de segurança,
em nossa opinião, as instruções cibernéticas no formato Red Teaming são uma avaliação contínua da segurança dos sistemas de informação, a preparação dos especialistas em resposta a incidentes e a resistência da infraestrutura a novos tipos de ataques, incluindo APT (Ameaça persistente avançada, ameaça persistente complexa, ameaça persistente complexa, ataque cibernético direcionado). Ao conduzir o Red Teaming e praticar a resposta a ataques controlados, a equipe de segurança interna pode aprimorar suas habilidades na detecção de ameaças não detectadas anteriormente para impedir invasores reais nos estágios iniciais do ataque e impedir danos materiais e à reputação dos negócios.

Sobre como vão as ordens cibernéticas no formato Red Teaming, diz Vyacheslav Vasin ( vas-v ), analista líder do Departamento de Auditoria e Consultoria do Grupo-IB .

Teaming vermelho. O que é isso

O Red Teaming é uma maneira abrangente e mais realista de testar a capacidade de uma organização de repelir ataques cibernéticos complexos usando métodos e ferramentas avançadas do arsenal de grupos de hackers.

A idéia principal deste exercício não é apenas identificar possíveis pontos fracos que não foram detectados usando metodologias de teste padrão, mas também avaliar a capacidade da organização de prevenir, detectar e responder a ataques cibernéticos.

O Red Teaming ajuda uma organização a entender:

como a segurança protege ativos importantes
se o sistema de aviso e monitoramento está configurado corretamente
quais oportunidades estão disponíveis para um invasor na infraestrutura interna se os recursos do usuário estiverem comprometidos

Portanto, tudo deve ser realista e máxima: o serviço de segurança do Cliente (Equipe Azul) não é informado sobre o início do trabalho, para que a Equipe Vermelha possa modelar as ações de atacantes reais com base em uma análise especial de ameaças e avaliar a possibilidade de "quebrar" a infraestrutura.

Os pedidos cibernéticos no formato Red Teaming são mais eficazes para empresas com um nível maduro de segurança da informação. Eles não são de forma alguma limitados no tempo de exposição e estão focados em alcançar objetivos, seja obtendo acesso a nós da rede ou informações confidenciais por qualquer meio disponível.

Os principais cenários do Red Teaming, exclusivos para cada cliente, dependem das metas estabelecidas.

Os cenários mais usados incluem:

Captura de floresta do Active Directory
acesso aos principais dispositivos de gerenciamento
imitação de roubo de dados confidenciais de clientes ou propriedade intelectual

Leia Agrupamento vs. Teste de penetração

Apesar do Red Teaming e do teste de penetração usarem ferramentas semelhantes de ataque cibernético, os objetivos e resultados de ambos os estudos são muito diferentes.

Teaming vermelho

O processo do Red Teaming simula ataques reais e direcionados a uma organização inteira. A vantagem dessa abordagem é a pesquisa contínua de sistemas de informação para atingir objetivos. Essa verificação profunda fornece uma compreensão abrangente de quão segura é a infraestrutura, os funcionários estão cientes e os processos internos da organização são eficazes quando expostos a um ataque real.

Teste de penetração

No decorrer deste estudo, os especialistas em testes de penetração tentam explorar as vulnerabilidades detectadas e aumentar seus privilégios para avaliar o possível risco desses impactos. Este teste não testa a prontidão para detecção e resposta a incidentes de segurança da informação.

A seguir, estão algumas das diferenças entre o Red Teaming e o Penetration Testing:

	Teaming vermelho	Teste de penetração
Métodos de ataque	Todos os métodos aprovados, incluindo os destrutivos, se aprovados, são aprovados pelo Cliente. O objetivo é atingir um objetivo acordado, demonstrar a possibilidade de impactos críticos na organização e testar pessoas, processos e tecnologias.	Métodos técnicos para atacar uma lista acordada de objetos, com exceção dos destrutivos. Engenharia social, se seu uso tiver sido autorizado pelo Cliente. Cobertura limitada, destinada à verificação técnica de ativos específicos da organização.
Bypass de detecção	É importante ignorar os sistemas de detecção de intrusão, pois as regras do jogo mudam ao usá-los.	É importante identificar as vulnerabilidades técnicas do sistema e não fugir dos sistemas de detecção de intrusões.
Atividade pós-operacional	Explorar vulnerabilidades para capturar os dados necessários e desenvolver ainda mais o ataque.	Se o acesso aos dados for obtido, o teste será concluído.
Resultados	Um relatório detalhado descrevendo todas as ações tomadas e como alcançar os objetivos. Informações detalhadas sobre todos os ativos comprometidos e avaliação da capacidade do Cliente de detectar e responder corretamente a um ataque cibernético a tempo.	Um relatório detalhado descrevendo todas as vulnerabilidades detectadas e seus níveis de risco. Informações detalhadas sobre as verificações e os resultados de sua passagem.

A experiência do Grupo-IB mostra que o Red Teaming e o Penetration Testing se complementam perfeitamente. Cada estudo é importante e útil para a organização à sua maneira, porque no decorrer de um teste combinado é possível avaliar a segurança passiva dos sistemas e a segurança ativa da empresa como um todo.

O Red Teaming complementa várias formas de teste (por exemplo, análise de código, teste de penetração etc.) e é incluído no plano de verificação de segurança das informações à medida que a organização cresce.

A seguir, é apresentada uma comparação de metas e resultados de pesquisa semelhantes ao Red Teaming:

Nossa abordagem

Atividades do projeto

A pesquisa no formato Red Teaming é dividida em várias etapas sucessivas. Para aumentar a eficiência, algumas ações nos estágios principais podem começar mais cedo ou ser executadas em paralelo com outras, levando em consideração o tempo limitado. Portanto, na prática, o processo do Red Teaming não é uma sequência linear clara de etapas.

A seguir, estão os principais estágios do trabalho do Red Teaming:

Mais informações sobre cada estágio podem ser encontradas no spoiler:

1. A fase preparatória

Duração: 4 a 6 semanas

Avalia as necessidades atuais de uma organização específica e a quantidade de trabalho

Nesta fase, os pontos principais para a realização do Red Teaming são especificados e o lançamento oficial do projeto é anunciado:

um grupo de trabalho é criado a partir de representantes do Cliente e do Empreiteiro
o escopo do trabalho é determinado (duração, volume, ações proibidas etc.)
protocolos e formatos de interação são consistentes
Equipe vermelha é formada de acordo com as necessidades do projeto atual

2. Fase do Red Teaming

Duração: a partir de 12 semanas

Nesta fase, a equipe vermelha:

produz inteligência no formato Threat Intelligence
desenvolve cenários com base em funções críticas do sistema e modelos de ameaças
forma um plano e tenta atacar as metas acordadas (ativos, sistemas e serviços que contêm uma ou mais funções críticas)

O estágio é dividido em dois estágios principais - inteligência cibernética e desenvolvimento de cenários, além de testes no formato Red Teaming.

Estágio número 1.
Inteligência cibernética e cenários

A equipe vermelha está conduzindo inteligência cibernética. O Cliente também pode entrar em contato com um fornecedor terceirizado de Threat Intelligence (TI) para uma análise de ameaças direcionada (Relatório TTI) para o objeto sob investigação, o que complementará outros cenários de teste e fornecerá informações úteis sobre o Cliente.

A principal tarefa é estudar o perfil, a estrutura e a direção das atividades da organização, determinar as ameaças, nós principais e objetivos mais adequados do ponto de vista do invasor.

Com base no trabalho realizado, são compilados um plano de teste e uma lista de cenários práticos de possíveis ataques para posterior verificação. Os cenários desenvolvidos levam em conta não apenas as abordagens aplicadas anteriormente, mas também novos métodos dos atores de ameaças relevantes.

Estágio número 2.
Teste de formação de equipes vermelho

Com base no plano e nos cenários gerados, a Equipe Vermelha realiza ataques secretos a funções ou ativos críticos identificados dos sistemas de destino. Quando surgem obstáculos, métodos alternativos para alcançar objetivos são desenvolvidos usando as táticas de atacantes avançados.

Todas as atividades de trabalho e equipe são registradas para preparar um relatório.

3. A fase final

Duração: 2 a 4 semanas

O teste do Red Teaming foi concluído e vai para esse estágio após todas as etapas terem sido concluídas com êxito ou o tempo alocado para o trabalho expirar

Nesta fase:

A Equipe Vermelha prepara um relatório descrevendo o trabalho, conclusões e observações sobre a detecção e resposta de ameaças e passa para a Equipe Azul
A equipe azul prepara seu próprio relatório descrevendo as ações executadas com base na cronologia do relatório da equipe vermelha
Os participantes do processo trocam resultados, analisam-nos e planejam outras etapas para melhorar a estabilidade cibernética da organização

As partes diretas envolvidas no processo do Red Teaming são:

A equipe branca é o gerente responsável, os representantes necessários das unidades de negócios do Cliente e o número necessário de especialistas em segurança que conhecerão o trabalho
Blue Team - Serviço de segurança do cliente para detecção e resposta a incidentes de segurança da informação
A equipe vermelha é um gerente responsável e especialistas simulando ataques direcionados

Um exemplo de equipe vermelha em um projeto é apresentado sob um spoiler

Metodologia

Para simular ataques a um objetivo definido, os especialistas do Grupo-IB usam uma metodologia comprovada que inclui práticas internacionais e se adapta a um Cliente específico para levar em conta as características da organização e não atrapalhar a continuidade de processos críticos de negócios.

O ciclo de vida dos testes no formato Red Teaming segue o modelo da The Cyber Kill Chain e possui as seguintes etapas generalizadas: reconhecimento, armamento, entrega, operação, instalação, obtenção de controle e execução de ações em relação ao alvo.

Um dos grupos de casos de formação de equipes vermelhos-IB

Acessando o Active Directory

O cliente era um grupo de empresas no segmento de produção.

O objetivo é obter acesso administrativo ao controlador de domínio do Active Directory na sede da empresa.

No decorrer do trabalho, verificou-se que o Cliente utiliza autenticação multifatorial (cartões inteligentes) para todos os tipos de acesso na sede, incluindo serviços Web remotos e externos. É proibido o uso de engenharia social.

Infraestrutura generalizada de uma empresa industrial:

Ações e Resultados do Grupo IB

Os especialistas do Grupo-IB conduziram um reconhecimento completo e determinaram que a sede havia adquirido 14 empresas e as reorganizado em suas subsidiárias durante as operações do Red Teaming. A Equipe Vermelha conseguiu permissão para realizar um ataque a todas as empresas do grupo. Em seguida, uma subsidiária com proteção fraca, incluindo os controladores de domínio branch1.domain.com, foi "invadida" e uma VPN foi descoberta entre as redes locais da filial (VPN de malha completa site a site).

O cliente tinha uma floresta de domínio do Active Directory semi-construída para todas as filiais, mas não conseguiu fortalecer a rede externa (veja a figura abaixo).

A conexão de rede estava bem protegida. Os mecanismos de confiança entre os domínios de floresta do Active Directory não funcionaram para controladores no domínio branch1.domain.com. O ataque foi distribuído para branch2.domain.com, ganhando direitos de administrador de domínio.

Tentativa inicial de "hackear" o Active Directory:

Usando o ataque "bilhete dourado" do Kerberos, a Equipe Vermelha contornou a proteção usando cartões inteligentes no "nível baixo" devido aos recursos de implementação do próprio protocolo Kerberos. Ao operar o mecanismo de confiança entre domínios do Active Directory, a equipe conseguiu obter direitos administrativos na matriz.

Acessando o Active Directory na matriz:

Assim, os controladores de domínio na sede foram "hackeados".
Os especialistas do Grupo-IB alcançaram a meta do projeto Red Teaming.

Resumir

Depois de ler todo o material, a questão ainda pode surgir: por que "ordens cibernéticas"? Repito, conduzindo o Red Teaming e praticando a resposta a ataques controlados, a equipe de segurança interna pode melhorar suas habilidades na detecção de ameaças não detectadas anteriormente, a fim de impedir invasores reais nos estágios iniciais do ataque e evitar danos materiais e à reputação dos negócios. Além disso, como parte do treinamento, um evento pode ser realizado para reproduzir conjuntamente os ataques e combatê-los.

Os testes no formato Red Teaming dão à organização uma idéia dos pontos fortes e fracos da segurança cibernética e também permitem definir um plano de melhoria nessa área para a continuidade dos processos de negócios e a proteção de dados valiosos.

Ao adicionar o Red Teaming como parte de sua estratégia de segurança, uma empresa pode medir as melhorias de segurança ao longo do tempo. Tais resultados mensuráveis podem ser usados para a viabilidade econômica de projetos adicionais de segurança da informação e a introdução dos meios técnicos de proteção necessários.

A análise completa da análise do Group-IB Red Teaming pode ser encontrada aqui .

Simulação de ataques direcionados como uma avaliação de segurança. Instruções de Cyber do Teaming vermelho

Teaming vermelho. O que é isso

Leia Agrupamento vs. Teste de penetração