Служба Red Team — это служба моделирования атак, которая проверяет, насколько хорошо организации подготовлены к любой реальной атаке со всеми возможными сценариями. Хорошо зарекомендовавшая себя методология Red Teaming; выявит риски, связанные с технологической инфраструктурой, человеческим фактором и физической безопасностью. Он определяется как организация предварительно спроектированного моделирования атак с целью повышения архитектурной и конфигурационной эффективности физической, операционной и кибербезопасной инфраструктур организаций.   

Этот термин, разработанный Министерством обороны США (DoD), также используется организациями государственного и частного секторов, которые с течением времени придают большое значение критической инфраструктуре и безопасности. Моделирование атак, организованное группами независимых экспертов по безопасности (RED Team), может охватывать следующие темы; 

  • Кража данных
  • Не авторизованный доступ
  • Обслуживание / прерывание обслуживания
  • Саботаж
  • шпионаж

Самая важная особенность, которая отличает RED Teaming от тестов на проникновение, - отсутствие ограничений. Это комплексный сервис, в котором комбинируются и применяются разные векторы атак. В то время как подробные тесты проводятся во всех системах учреждений, возможные уязвимости стараются обнаруживать и использовать, исследуя деловые манеры учреждения в течение времени, проведенного в местах.  

Количество экспертов увеличивается согласно размеру проектов RED Team. Члены команды со ссылками на клиентов, выбранные из всемирно признанных сертифицированных экспертов, таких как CEH, OSCP, OSWP, обладают опытом более чем в одном предмете. Эти специализации включают, но не ограничиваются следующим:  

  • Системы LAN
  • Беспроводные сетевые системы
  • Системы ИТ-безопасности
  • Системы, которые выходят в Интернет и управляют трафиком (включая Traffic Shaper и т. Д.)
  • Промышленные системы управления
  • Встроенные системы
  • Коммутационные системы
  • Системы физической безопасности
  • Системы VoIP
  • Облачные системы
  • Системы автоматизации
  • Системы, характерные для центров обработки данных
  • Системы мониторинга и анализа
  • Веб и мобильные приложения
  • Индивидуальные инфраструктуры, такие как SAP
  • Цели социальной инженерии
  • Системы управления беспроводным подключением

Обучение и развитие членов команды RED поддерживается и мотивируется UITSEC Technology. По этой причине проводятся различные вспомогательные мероприятия, такие как внутренние и международные тренинги и программы сертификации. Постоянные исследования и разработки являются одними из приоритетных целей, чтобы раздвинуть границы воображения и разработать различные сценарии в подразделении, где необходимо постоянно отслеживать текущие киберугрозы.  

В тестах, проводимых RED Team, поиск уязвимостей в физических, операционных и киберсистемах выполняется одна за другой. Привести примеры этих уязвимостей; 

- Физические уязвимости        

  • Плохо защищенные входные / выходные двери и окна для персонала
  • Области с недостаточным персоналом
  • Доступные телефонные линии и линии передачи данных

- Операционные уязвимости        

  • Отправка посылок с недостаточным контролем
  • Сотрудники без знаний в области социальной инженерии
  • Сотрудники, которые не заботятся о безопасности своих ID-карт
  • Вынужденное разглашение конфиденциальной информации
  • Вредоносное ПО, создающее бэкдор в приложении
  • Попытки злоумышленника украсть данные из системы

- Кибер-уязвимости        

  • Неверно настроенные системы ИТ-безопасности (FW, WAF, SIEM и т. Д.)
  • Копируемые RFID-карты
  • Подверженность атакам с целью выкупа с помощью фишинга
  • Системы с отсутствующими обновлениями
  • Неправильно разработанные веб-приложения
  • Слабые стороны бессессионных веб-приложений в алгоритмах инкапсуляции данных (Пример: JWT)
  • Возможность обхода недавно выпущенных уязвимостей и сигнатур IPS

В основе кибератак на сеть в определенный момент лежат физические атаки Red Team. Методология атаки начинается с кабельных или беспроводных сетей. Анонимные атаки осуществляются на беспроводные сети изнутри учреждения или над местами, близкими к учреждению, если не приняты меры для атаки на беспроводные сети, вместе с подготовкой условий атаки в соответствии с требованиями учреждения. При атаках на проводные сети пытаются обойти меры безопасности (изоляцию) в сети, подключив кабели к пустым портам в учреждении.   

Многие инструменты и технологии могут быть использованы при выполнении подготовленных симуляций. Хотя это не ограничивается нижеследующим, многие инструменты и технологии могут использоваться по мере необходимости во время выполнения тестов. 

Список устройств, которые можно использовать для связи с инфраструктурой, представлен ниже.

  • Скелетный ключ
  • Программно-определяемое радио (SDR)
  • Считыватель / писатель RFID
  • глушилка
  • Секретная камера
  • Диктофоны
  • Набор инструментов для тестирования пентеста Wi-Fi
  • Тестовый ключ Bluetooth

Судя по характеру тестов, существует множество инфраструктур, используемых для кибератак. Эти инфраструктуры, инструменты или технологии будут включены в эти исследования. 

Рабочий метод / методология

Целью Red Teaming является получение реалистичной информации о рисках и угрозах, связанных с технологиями, человеческими и физическими активами.

  • Технологии : сети, приложения, маршрутизаторы, коммутаторы, устройства и т. Д. 
  • Человек: сотрудники, отделы, деловые партнеры и т. Д. 
  • Физические : офисы, склады, подстанции, центры обработки данных, здания и т. Д. 

Команда UITSEC Red использует комплексный подход, основанный на оценке рисков, для ручного определения критических уязвимостей, обнаруженных во всех рассматриваемых приложениях во время физического и цифрового тестирования.

В рамках услуги RED Teaming исследования проводятся по следующему порядку. Работа Red Team в основном проходит в 7 шагов. 

 

Основа физических атак Красной команды - разведка. Чтобы собрать как можно больше информации об учреждении, где будет совершена атака, и преодолеть физическую безопасность, пытаются собрать больше данных, затем определяются необходимые сценарии проникновения и разрабатывается моделирование в соответствии с обнаруженной уязвимостью. (отсутствие процедуры безопасности, неправильно настроенная система визуализации, несоответствие системы контроля личности и т. д.). После разработки моделирования планы составляются и переходят к этапу реализации. Выполняя атаку, выявляются бреши в системе. В случае успеха после атаки он перейдет к точке, запрошенной учреждением. Отчетность обо всем процессе направлена ​​на то, чтобы учреждение получило от работы максимальную эффективность.