Обзор рынка услуг по оценке киберзащищённости методом Red Team Operations в России и за рубежом

Обзор рынка услуг по оценке киберзащищённости методом Red Team Operations в России и за рубежом

С ростом зрелости систем информационной безопасности крупные российские организации приходят к осознанию недостаточности инструментальных тестов на проникновение и смотрят в сторону активных продолжительных тестов киберзащищённости в реальных условиях и с применением всего возможного арсенала средств нападения. Одним из популярных подходов здесь является метод Red Team Operations, предлагаемый рядом отечественных и зарубежных компаний. В статье проводится обзор основных участников рынка таких услуг.

 

 

  1. Введение
  2. Что такое Red Team Operations?
  3. Мировой рынок: сегмент услуг по поиску уязвимостей
  4. Нужна ли вам услуга Red Team Operations?
  5. Обзор рынка услуг Red Team Operations
    1. 5.1. Российские игроки
      1. 5.1.1. BI.ZONE
      2. 5.1.2. Digital Security
      3. 5.1.3. Group-IB
      4. 5.1.4. Positive Technologies
      5. 5.1.5. «БСС-Безопасность»
      6. 5.1.6. НТЦ «Вулкан»
      7. 5.1.7. «Информзащита»
      8. 5.1.8. «Инфосистемы Джет»
      9. 5.1.9. «Лаборатория Касперского»
      10. 5.1.10. «Ростелеком-Солар»
    2. 5.2. Зарубежные игроки
      1. 5.2.1. Cisco
      2. 5.2.2. FireEye
      3. 5.2.3. IBM
      4. 5.2.4. McAfee
      5. 5.2.5. Rapid7
  6. Выводы

 

Введение

Построенную систему защиты информации нужно проверять. В этой точке, пожалуй, сходятся интересы всех участников процесса: ИБ-специалистам надо убедиться, что нигде не осталось изъянов и слабых мест, а руководство организации хочет удостовериться, что деньги и прочие ресурсы потрачены не зря.

Однако борьба с рисками и угрозами — процесс комплексный и многосторонний, так что протестировать все возможные её аспекты с помощью какого-то одного метода нельзя. В результате появляется разнообразие вариантов проверки, каждый из которых полезен по-своему. Например, поиск уязвимостей помогает устранять сбои и изъяны в программных средствах и конфигурациях, но по его итогам трудно понять, готово ли предприятие бороться с угрозами и устойчиво ли к действиям злоумышленников.

Один из элементов, которые определяют надёжность корпоративной киберзащиты, —   человеческий фактор, т.е. компетентность персонала. Это касается не только людей, которые занимаются борьбой с угрозами и настройкой инфраструктуры, но и вообще всех сотрудников организации: осведомлены ли они об основах кибербезопасности и могут ли сопротивляться приёмам социнжиниринга. Для того чтобы изучить эту сторону защиты информации на предприятии, можно разыграть условное нападение и наблюдать за действиями и реакциями коллег. Однако и в этой узкой области тоже существует вариативность: например, многие методы анализа подразумевают условность происходящего. Где-то специалисты тренируются в виртуальной среде, где-то — заранее знают о том, что их будут проверять. Это тоже сказывается на полезности получаемых данных; соответственно, ряд экспертов считает самыми действенными те формы анализа, которые проводятся в максимально приближённых к «боевым» условиях.

Этот подход к проверке представляет интерес. Мы попробуем оценить состояние и перспективы соответствующего сегмента рынка, а также дать обзор предложений от крупных игроков. Кроме того, полезно будет внести некоторую ясность в сам термин. В зарубежной практике, по нашим наблюдениям, чаще всего говорят «Red Team Operations» или «Red Team Cybersecurity Assessment»; для краткости мы также будем употреблять распространённый вариант «Red Teaming».   

 

Что такое Red Team Operations?

Для сферы ИБ термин относительно нов, и всё ещё нет полной ясности в том, как его толковать. Поэтому прежде чем говорить об услуге и других продуктах такого рода, нужно решить, что мы будем понимать под Red Teaming и как станем соотносить его со смежными терминами.

Само по себе название «Red Team» происходит из военного дела и связано с учениями. Контингент формирует «красную команду», которая будет атаковать, и «синюю команду» обороняющихся. При этом «своими» могут быть и те, и другие: в сценарии А нужно выбить условного противника из важного района, в сценарии Б — удержать стратегически ценные высоты.

Поэтому концепция «красной команды» всегда ассоциируется с нарушителями, против которых нужно бороться. Кроме того, в экспертной среде успели появиться дополнительные термины, описывающие конкретные разновидности киберучений, и далеко не все из них можно соотнести с идеей «редтиминга».

К области проверок систем киберзащиты принадлежит целое множество терминов, по-разному соотносящихся между собой: пентестинг, киберучения, анализ защищённости, аудит информационной безопасности и т.п. Мы попытались выстроить их системно, руководствуясь мнениями экспертов.

Условно можно разделить все проверки защищённости на пассивные и активные. В пассивном сценарии аналитик взаимодействует только с объектами информационной системы (скажем, оценивает устойчивость аппаратного обеспечения к внешним воздействиям) и при этом всегда знает, когда нужно остановиться, т.е. не пытается «зайти слишком далеко». Активный сценарий, напротив, подразумевает такие попытки: например, проверяющий находит неактуальную версию программного обеспечения, изучает сведения об ошибках безопасности в ней и подбирает эксплойт, с помощью которого использует какой-либо изъян для взлома защиты. При этом тест проверяет уже не только объекты, но и субъектов — т.е. персонал, который должен как-то отреагировать на происходящее.

 

Таблица 1. Пассивные и активные методы оценки защищённости

Пассивные Активные
Аудит информационной безопасности Киберучения
Симуляция (Breach and Attack Simulation, BAS) Киберполигон (Cyber Range)
Поиск уязвимостей / пентестинг Red Team Operations

 

Второй классификационный фактор — статус персонала, который может быть предупреждён или не предупреждён об активности проверяющего. Как мы уже говорили ранее, в некоторых сценариях сотрудникам организации позволяют быть готовыми к анализу защищённости. Иногда это не имеет определяющего значения (например, при аудите, когда анализируются политики ИБ и нормативные документы), иногда является неизбежным. Характерный образец второго случая — специальные программные среды для повышения квалификации персонала, когда сотрудники проходят обучение на тренажёрах (Cyber Range). Методы вроде пентестинга и «редтиминга» принадлежат к группе, где предварительное уведомление снижает эффективность проверки, потому что они выявляют готовность систем и людей к непредвиденным ситуациям.

Третьим основанием для классификации являются среда и методы, которые могут быть условными (виртуальными) либо реальными. Атаковать настоящую инфраструктуру предприятия опаснее, но итоги такой проверки, конечно, будут более показательными — особенно если аналитики пользовались теми инструментами, к которым обычно прибегают киберпреступники.

На этом фундаменте можно определить следующие отличительные особенности метода Red Team Operations:

  1. Проверяющие действуют активно, эксплуатируют найденные бреши в защите, пытаясь по-настоящему проникнуть в целевую систему и провести разнообразные операции внутри неё. Как правило, «красная команда» имеет конкретную цель, но не ограничена в средствах (включая время — атаки могут развиваться на протяжении многих месяцев).
  2. Атакующая сторона стремится действовать втайне от персонала заказчика и прилагает усилия к тому, чтобы скрыть своё присутствие. При этом оценивается не только и не столько состояние системы безопасности: на передний план выходят умения и навыки защитников, способность службы ИБ отразить непредвиденную атаку, вовремя обнаружив её и правильно отреагировав.
  3. Эксперты «красной команды» работают с реальной инфраструктурой заказчика и применяют подлинные, а не условные инструменты и тактики — настоящий набор злоумышленника, вплоть до специально созданных эксплойтов против уязвимостей нулевого дня, найденных уже в ходе атаки, и средств психологического манипулирования (социальной инженерии).

Отсюда можно выводить отличия «редтиминга» от близких к нему терминов:

  • традиционный пентест или симуляция (BAS) в типовом случае сводятся к поиску известных уязвимостей, т.е. проверяющий не ищет угрозы нулевого дня (0-day) и не пытается использовать изъяны для компрометации исследуемого объекта, ограничиваясь отчётом об их существовании;
  • аудит информационной безопасности обычно ассоциируется с проверкой политик и средств защиты на соответствие каким-либо требованиям, что не имеет прямого отношения к реальным попыткам взлома;
  • на киберучениях персонал заказчика, как правило, осведомлён о происходящем и знает, что это — лишь имитация атаки;
  • использование киберполигона (Cyber Range) связано с применением специальной тестовой программной среды, т.е. продукта, разработанного для учебно-тренировочных целей.

Довольно часто метод Red Teaming сопоставляют с APT — Advanced Persistent Threat, постоянной угрозой повышенной сложности, т. е. длительной целевой атакой злоумышленника, в ходе которой он старается любыми средствами (в том числе разработанными специально для этой операции) проникнуть в информационную инфраструктуру жертвы, закрепиться там и извлечь из её ресурсов как можно больше данных. Такой подход кажется обоснованным, и от него тоже можно отталкиваться — в том числе потому, что «редтиминг» иногда позиционируется именно как проверка на устойчивость к целевым атакам.

 

Мировой рынок: сегмент услуг по поиску уязвимостей

Существующих исследований рынка, которые были бы сфокусированы именно на Red Team Operations, насколько нам известно, пока нет. Имеются данные по сегменту поиска уязвимостей, т. е. пентесту; с учетом терминологических неясностей, о которых упоминалось ранее, можно условно считать, что интересующая нас услуга является частью этого сегмента. Действительно, хотя ряд крупных участников рынка занимается только традиционным пентестом, есть и те, кто готов предложить клиентам «редтиминг».

Организация Markets and Markets оценила рынок Penetration Testing в 594,7 млн долларов США по состоянию на 2016 год и предсказала, что к 2021 году он достигнет объёма примерно в 1,7 млрд долларов, возрастая в среднем на 23-24 процента ежегодно. Аналитики считают, что рост обусловлен развитием интернета вещей (IoT), концепции BYOD (Bring Your Own Device, использование личных мобильных устройств в корпоративной сети), а также бизнес-продуктов, работающих в публичной инфраструктуре (веб-приложения и облачные технологии).

Ожидается, что наиболее распространённой целью применения пентеста окажутся беспроводные сети, а востребован он будет в первую очередь государственными и военными заказчиками. Географически наибольшую часть сегмента занимали компании из Северной Америки, но ожидалось увеличение показателей Азиатско-Тихоокеанского региона.

 

Рисунок 1. Прогноз Markets and Markets по объёму рынка проверок безопасности к 2021 году в разных регионах

Прогноз Markets and Markets по объёму рынка проверок безопасности к 2021 году в разных регионах

 

Компания Market Research Future предположила вероятный среднегодовой рост рынка на 26% в период с 2017 по 2023 годы. По мнению аналитиков, к концу периода сегмент достигнет объёма в 2,8 млрд долларов США.

 

Рисунок 2. Прогноз Market Research Future по росту рынка пентестинга к 2023 году

 Прогноз Market Research Future по росту рынка пентестинга к 2023 году

 

Обе аналитические компании выделили следующих крупных игроков: Hewlett-Packard Enterprise, IBM Corporation, Rapid7 Inc., Qualys Inc., Veracode, Trustwave Holdings, Cigital Inc., WhiteHat Security (все перечисленные — из США), Acunetix (Мальта) и Checkmarx (Израиль).

Большинство названных организаций, как мы отметили выше, предлагает только традиционный поиск уязвимостей, однако, например, в каталогах IBM, Rapid7 и Trustwave присутствуют услуги Red Teaming.

В 2019 году ещё один аналитический прогноз опубликовала компания Market Insights Reports. Эксперты отмечают, что в 2018 году рынок пентеста имел объём в 920 млн долларов США, и ожидают дальнейшего среднегодового роста на 14-15%, приводящего в итоге ко взятию планки в 2,4 млрд долларов по состоянию на конец 2025 года.

Если сравнить эти оценки с прогнозами по рынку ИБ в целом, то можно отметить, что аналитики считают данное направление перспективным. При условии, что сегмент оправдает оптимизм экспертов по экономике, он будет расти быстрее: среднегодовой прогресс всего рынка защиты информации на ближайшую половину десятилетия оценивают где-то в 10-11%. Впрочем, доля сегмента в общем объёме всё равно будет относительно невелика — около одного процента (2-3 млрд долларов из 200-300).

 

Нужна ли вам услуга Red Team Operations?

Выбирая услугу, нужно убедиться, что она даст эффект, соразмерный затратам. Для «редтиминга» это весьма актуально, поскольку такая работа, исполненная специалистами высокой квалификации, может оказаться дорогостоящей — при том, что не каждое предприятие извлечёт из неё пользу.

Например, в отечественной практике есть мнение, что в большинстве случаев организация-клиент может обойтись традиционным пентестом, который вполне удовлетворит её потребности. Согласно такому подходу, Red Teaming — это средство проверки не столько защиты как таковой, сколько корпоративной команды реагирования на инциденты и её умений обнаруживать подозрительную активность и принимать меры. Эта идеология соответствует традиционной военной схеме, в которой подобные учения понимаются именно как противостояние двух команд, «красной» и «синей».

Похожие идеи можно встретить и в зарубежных источниках, чьи авторы подчёркивают, что тестирование по методу Red Team оправданно в первую очередь для сложных и комплексных информационных систем, где риски неопределённо высоки, а потенциальные злоумышленники непредсказуемы. Напротив, для простых систем с низкими рисками и хорошо известными проблемами применение метода не имеет большого смысла: можно обойтись, например, аудитом ИБ и подтверждением соответствия требованиям (compliance).

Заметную роль здесь играет самооценка компаний (или, если точнее, степень её соответствия действительности). Некоторые из них знают, что «редтиминг» рекомендуется для зрелых структур с развитой системой ИБ, и думают, будто таких организаций очень мало, скромно исключая себя из их числа. Отчасти поэтому услуги активной оценки защищённости пока не слишком востребованны.

Попутно стоит заметить, что крупные организации иногда предпочитают создавать свои собственные «красные команды» вместо того, чтобы заказывать услугу у внешних специалистов. Например, группа сотрудников Microsoft занимается всесторонней проверкой устойчивости облачной платформы Azure. Появлялись сведения о создании такого подразделения и в Google. В начале 2019 года мы видели вакансию в «красной команде» McAfee, а сейчас такое объявление можно найти на сайте компании Tesla.

В целом, на наш взгляд, следует помнить, что Red Team — это главным образом проверка компетентности персонала (в том числе и в первую очередь — сотрудников, отвечающих за безопасность), и исходить именно из такого понимания услуги. Это поможет определиться с тем, полезно ли организации подобное тестирование.

 

Обзор рынка услуг Red Team Operations

Далее приведено перечисление предложений 14 игроков мирового и российского рынка с краткой характеристикой их услуг «редтиминга».

 

Российские игроки

 

BI.ZONE

Компания BI.ZONE предлагает несколько услуг, из числа которых ближе всего к Red Teaming — сервис анализа защищённости инфраструктуры. В описании указано, что эксперты имитируют действия реальных злоумышленников с целью обнаружить изъяны в системе защиты организации-клиента. Помимо внешнего исследования можно заказать и внутреннее, оценив способность службы ИБ бороться с инсайдерами. Имеется также тест для персонала на предмет устойчивости сотрудников к фишинговым атакам и другим методам манипулирования.

По мнению компании, анализ будет полезен заказчику в том случае, если он готовится к изменениям в информационной инфраструктуре или уже произвёл их — например, открыл новый офис. Кроме того, отчёт о результатах позволит понять, готовы ли работники организации ко встрече с киберпреступником. В качестве отдельной услуги BI.ZONE предлагает длительный пентест (Continuous Penetration Testing).

Подробнее с услугой можно ознакомиться на сайте компании.

 

 Digital Security

Digital Security

Отечественная компания Digital Security предоставляет услуги пентеста и аудита информационной безопасности. Клиент может заказать проверку инфраструктуры извне или изнутри, проанализировать используемые или разрабатываемые приложения на предмет изъянов либо подтвердить соответствие требованиям стандартов.

Предложения компании сближаются с «редтимингом» в области тестирования на проникновение с помощью социальной инженерии. Психологическое манипулирование, фишинг и прочие подобные методы часто оказываются отправной точкой для целевых атак, поэтому они обычно входят в состав проверок Red Team — в той их части, которая посвящена человеческому фактору, т.е. анализу персонала. Digital Security подчёркивает, что конечная цель этих тестов заключается в повышении осведомлённости и квалификации сотрудников. Кроме того, одной из заявленных конечных целей данной услуги является поиск недочётов в работе служб ИБ, что также роднит её с классическим противостоянием «красных» и «синих».

Подробнее с услугой можно ознакомиться на сайте компании.

 

 Group-IB

Group-IB

Компания Group-IB помимо классического пентеста и аудита информационной безопасности также предлагает обособленную услугу Red Teaming. В отдельных случаях проверку проводят единоразово, но в целом этот сервис позиционируется как регулярная имитация целевых атак на компанию-клиента с использованием сложных методов и инструментов из арсенала хакерских групп. После согласования целей, тактики и инструментария с заказчиком команда Group-IB проводит имитацию нападений на протяжении нескольких месяцев, не ставя в известность о времени активных действий никого, кроме офицера безопасности (т.е. атака может начаться ночью, ранним утром, в разгар рабочего дня или в выходной). При этом ведётся постоянный мониторинг изменений инфраструктуры, которые создают новые цели; если открывается новая «поверхность» для атак, то команда Red Team использует её. Такой подход позволяет быстро обнаруживать новые бреши в защите.

В Group-IB считают, что проверки в формате Red Teaming не должны иметь каких либо временных ограничений в рамках оговорённого периода работ: реальный киберпреступник может очень долго планировать атаку и проводить её точечно в неожиданный момент времени, а одна из основных задач «редтиминга» состоит как раз в том, чтобы максимально точно воспроизвести действия злоумышленника. В целом прослеживается основная идея регулярной имитации нападений, позволяющей проверять не только технические средства защиты и их конфигурацию, но и готовность персонала постоянно выявлять инциденты и грамотно реагировать на них. Таким образом, Red Teaming помогает натренировать собственную службу ИБ и развить её навыки по выявлению подозрительных действий, устранению уязвимостей и эффективному противостоянию реальным угрозам. Этот аспект выделен особо: первое, что видит посетитель в описании сервиса, — фраза «Регулярная имитация целевых атак для усиления вашей службы безопасности».

Подробнее с услугой и аналитическим обзором можно ознакомиться на сайте компании.

 

 Positive Technologies

Positive Technologies

В Positive Technologies традиционную идею Red Teaming преобразовали в концепцию непрерывного повышения защищённости бизнеса от киберугроз, где сочетаются сервисы моделирования сложных атак, выявления угроз и противодействия им. В основе подхода, предложенного компанией, лежит продолжительная (от года и более) эмуляция АРТ-атак, выполняемая последовательно несколькими не пересекающимися между собой подразделениями Red Team. Для того чтобы максимально расширить поверхность атаки, эксперты выполняют комплекс из внешнего и внутреннего тестирования на проникновение, анализа защищённости беспроводных сетей, исследования конфигурации сетевого оборудования и социотехнического тестирования различного уровня сложности. Дополнительным усилением служат анализ защищённости приложений и необходимый отраслевой «тюнинг». Под каждую конкретную компанию разрабатывается уникальное ПО, эмулирующее работу APT-инструментов, детально исследуются возможности уязвимостей (в том числе — нулевого дня), выявленных в инфраструктуре.

Наряду с «редтимингом», фактически превращённым в длительное тестирование на «АРТ-устойчивость» конкретной компании, концепция Positive Technologies содержит элементы для повышения мастерства защитников (Blue Team) и для их подготовки к самостоятельной борьбе с кибератаками. Основная цель — оперативно определить источник угрозы, локализовать следы присутствия злоумышленника в системах компании, восстановить нарушенный бизнес-процесс, а также отработать эту методологию вместе с ИБ-командой организации в ходе моделирования АРТ-атак.

Подробнее с услугами можно ознакомиться на сайте компании.

 

 БСС-Безопасность

«БСС-Безопасность»

Профильное предприятие, входящее в состав группы компаний BSS, предоставляет услуги по оценке уровня защищённости корпоративной инфраструктуры, в том числе и путём проведения Red Team Operations. Специалисты компании без ограничений по времени и использованию ресурсов проводят реальные атаки, позволяющие точно оценить, насколько хорошо заказчик услуги может защититься от настоящих киберпреступников. Например, среди методов проникновения во внутренний сегмент информационной инфраструктуры есть взлом сетей Wi-Fi с использованием беспилотных летательных аппаратов, целенаправленные атаки на сотрудников заказчика через социальные сети.

«БСС-Безопасность» преимущественно специализируется на оценке защищённости организаций финансового сектора.

Подробнее с услугой можно ознакомиться на сайте компании.

 

 НТЦ «Вулкан»

НТЦ «Вулкан»

В НТЦ «Вулкан» предлагают линейку услуг, направленных на выявление существующих и потенциальных рисков в сфере информационной безопасности. В составе этой линейки присутствуют как «классический аудит ИБ», так и анализ уязвимостей информационных инфраструктур с применением разных методов: тестирования на проникновение, киберучений и Red Teaming. Заказчик получит объективные сведения о защищённости организации и о качестве выполнения внутренних регламентов по ИБ. 

По результатам пентестов, киберучений, «редтиминга» НТЦ «Вулкан» передаёт подробный отчёт, включающий описание выполняемых действий, указание на выявленные проблемные зоны и рекомендации по совершенствованию защиты.

Подробнее с услугой можно ознакомиться на сайте компании.

 

 

«Информзащита»

В «Информзащите» тоже пользуются термином «киберучения», чтобы эту услугу проще было отличить от работы штатной «красной команды» (когда организация сама нанимает специалистов по тестированию для работы на постоянной основе). Однако содержание остаётся прежним: проверяющие разыгрывают близкую к реальности атаку, направленную на то, чтобы изучить готовность служб информационной безопасности к инцидентам и качество настроек аппаратно-программных решений, в том числе — специализированных разработок класса anti-APT (в случае проведения целевой, растянутой во времени комплексной атаки).

Интегратор готов предложить несколько вариантов услуги: разовую проверку с согласованием планируемых сценариев атаки, периодическое тестирование, симуляцию нападения без предварительного оповещения. В последнем случае специалисты «Информзащиты» могут как применять технические атаки и социальную инженерию, так и осуществлять «физические» действия, направленные на проникновение в офис тестируемой компании — например, чтобы оставить аппаратную закладку в её сети. Кроме того, доступны программы обучающего характера для специалистов отделов ИБ и ИТ, предполагающие совместный разбор осуществлённых при тестировании действий, а также анализ смоделированных типовых атак.

Подробнее с услугой можно ознакомиться на сайте компании.

 

 Инфосистемы Джет

«Инфосистемы Джет»

Авторитетный отечественный интегратор оказывает комплекс услуг по ИБ-консалтингу, в составе которого есть блок мероприятий по оценке практической безопасности. Помимо различных видов тестирования на проникновение как такового (внешнее, внутреннее, веб-тестирование, исследование Wi-Fi, проверка мобильных приложений, эмуляция DDoS), заказчик может получить комплексную проверку разных аспектов защиты от угроз, включая воздействие на персонал с помощью методов социальной инженерии. Отчёт, формируемый по результатам исследования, используется для дальнейшего анализа и планирования мероприятий по защите информации. Такое сочетание анализа уязвимостей и технического пентеста с социнжиниринговым воздействием и другими формами испытаний, проводимых в скрытом режиме, может в целом считаться подходящим под определение «редтиминга», и, например, в мае 2019 года эксперты «Инфосистем Джет» заявили о применении именно этого метода для оценки защищённости инфраструктуры ГК «Новотранс». 

В компании отмечают, что классический «редтиминг» со всеми его атрибутами (работа по всей поверхности атаки организации, максимально возможное количество векторов атак, минимальные ограничения, действия в скрытом от Blue Team режиме и т.д.) — не только самостоятельная услуга, но и часть комплекса мероприятий по непрерывному анализу защищённости, дополненному постоянным взаимодействием со службами ИБ и ИТ заказчика. В этом случае компания — клиент интегратора получает информацию об имеющихся уязвимостях в режиме, близком к реальному времени, а особо значимые случаи и способы защиты разбираются на совместных практикумах (workshop).

Подробнее с услугой можно ознакомиться на сайте компании.

 

 Лаборатория Касперского

«Лаборатория Касперского»

Сервис Red Teaming, оказываемый «Лабораторией Касперского», позволяет оценить эффективность процессов обнаружения инцидентов ИБ и реагирования на них. Проверка начинается с построения «ландшафта» угроз организации и выявления уязвимых мест в защите. В качестве источника информации используются OSINT, экспертные системы и базы данных «Лаборатории Касперского», а также сведения о подпольных преступных сетях. На основе собранных данных разрабатываются сценарии атаки, подготавливается или создаётся «с нуля» инструментарий под конкретные задачи проекта с учётом используемых в организации средств защиты.

После согласования сценариев с заказчиком начинается активная фаза симуляции атаки, в рамках которой могут быть задействованы внешнее инструментальное сканирование, направленное на выявление изъянов в доступных сетевых службах, анализ безопасности веб-приложений, «ручной» анализ уязвимостей с поиском важной информации в открытом доступе и недостатков аутентификации либо контроля доступа, подбор учётных данных, эксплуатация выявленных уязвимостей и повышение привилегий, методы социальной инженерии, отправка «вредоносных» ссылок и небезопасных вложений в почтовых сообщениях. Далее происходит развитие атаки с использованием полученных привилегий и перечисленных выше методов, вплоть до получения доступа к ЛВС либо до исчерпания всех доступных на момент тестирования методов атак. В ходе оказания услуги применяются специальные методики, позволяющие избегать обнаружения действий «красной команды». По результатам проверки эксперты готовят отчёт, содержащий детальное описание атак (включая временные метки и индикаторы компрометации), а также рекомендации относительно того, как улучшить процессы обнаружения инцидентов ИБ и реагирования на них.

Сервис Red Teaming подробно описан в англоязычном обзоре группы услуг Kaspersky Security Assessment. Любопытно, что в разделе «Подход и методология» (Approach and Methodology) есть даже конкретные наименования инструментов, используемых для проверок. По-видимому, это — часть глобальной стратегии открытости, которую «Лаборатория Касперского» реализовывает в последние годы. Там же названы стандарты и комплексы требований (фреймворки), которым соответствуют выполняемые операции — например, PTES, OWASP, CVSS.

Подробнее с услугой можно ознакомиться на сайте компании.

 

 

«Ростелеком-Солар»

«Ростелеком-Солар» – провайдер сервисов и технологий кибербезопасности – по запросам ключевых клиентов оказывает услуги Red Teaming с 2018 года. В 2020 г. ИБ-провайдер объявил об официальном запуске услуги для всех желающих. Как отмечают в компании, за это время заказчиками Red Teaming стали представители нескольких секторов бизнеса, также были получены положительные отзывы (в частности, от Центра финансовых технологий – ЦФТ).

Эксперты компании подчеркивают, что, в отличие от классического пентеста, который нацелен только на выявление уязвимостей, целью Red Teaming является проверка и тренировка готовности службы ИБ заказчика к реагированию на реальные кибератаки. Для этого производится имитация кибератак на инфраструктуру заказчика с последующим анализом эффективности используемых процессов и технологий защиты.

Команда Red Team «Ростелеком-Солар» работает совместно с аналитиками центра мониторинга и реагирования на киберугрозы Solar JSOC, получая от них информацию о новых атаках и методах злоумышленников. Все это позволяет команде Red Team максимально точно имитировать действия реальных кибергруппировок, в том числе с учетом отраслевой специфики.

В ходе Red Teaming специалисты «Ростелеком-Солар» применяют специальные методики, используемые злоумышленниками при APT-атаках, а также собственные наработки создаваемые «с нуля» под конкретные задачи заказчика.

Клиентам предлагаются два варианта проведения Red Teaming. Первый – в формате киберучений, когда команда атакующих работает открыто и на каждом из этапов атаки совместно со службой безопасности заказчика прорабатывает варианты реагирования. В результате этих работ заказчик получает данные о том, как служба безопасности или центр мониторинга могут противодействовать определенным векторам угроз. По завершении киберучений заказчик получает подробный отчет, который помогает внести необходимые корректировки как в настройки средств защиты, так и в процессы выявления и реагирования на инциденты.

Второй вариант Red Teaming проводится в формате киберопераций, когда служба безопасности не знает о проверке и таким образом оказывается в условиях, максимально приближенных к реальности. Это позволяет протестировать возможности реагирования и противодействия неизвестной угрозе, выявить «бреши» в обеспечении безопасности организации.

Разовые киберучения длятся в среднем 1-2 месяца, кибероперации – порядка 3-6 месяцев. Также возможны варианты подписки на услугу. Подробнее об услуге на сайте компании.

 

Зарубежные игроки

Участники глобального рынка не являются для нас основным предметом рассмотрения, но в справочном порядке мы назовем самых известных игроков с интересными предложениями. В целом зарубежный рынок Red Team состоит из целого множества компаний разной величины, названия которых часто ничего не говорят отечественному читателю. Мы решили не приводить длинного перечня организаций, для многих из которых услуга «редтиминга» является единственной — наподобие, скажем, компании RedTeam Security, которая позиционирует себя как «находящийся в невыгодном положении малый бизнес, принадлежащий женщине из числа меньшинств» (Small Disadvantaged Business, Woman-owned and Minority-owned business).

 

 Cisco

Cisco

В реестре услуг по консультированию в области безопасности (Security Advisory Services) компании Cisco есть раздел «Assessments and penetration» («Аудит и проникновение»), в котором среди прочих предложений присутствует и строка «Red teaming». «Мы симулируем угрозы с высоким уровнем риска, чтобы протестировать обнаружение инцидентов и возможности реагирования на них», — сообщается в кратком пояснении. Поставщик услуги обещает подстроить проверку индивидуально под каждого клиента, с учётом специфики конкретной организации.

На официальном сайте Cisco есть статья, в которой руководитель консультативной группы Security Advisory Services по макрорегиону EMEAR рассказывает о случае из практики: по заявке компании, воспользовавшейся их услугами, проводилась проверка по методу Red Team, целью которой было добраться до базы данных клиентов предприятия. Описывается классический «редтиминг», в ходе которого специалисты пытались проникнуть как можно глубже, прежде чем их обнаружит «синяя команда». Используя только те данные, которые были доступны любому сотруднику организации-клиента, специалисты Cisco скомпрометировали более миллиона кредитных карт, незаметно вывели из сетевой инфраструктуры персональные данные и смогли получить полное представление о финансовых операциях фирмы. При этом группа, ответственная за безопасность корпоративной информации, так и не заметила их действий.

Подробнее с услугой можно ознакомиться на сайте компании.

 

 FireEye

FireEye

Принадлежащая FireEye компания Mandiant готова предложить проверку по методу Red Team в двух вариантах: обычном и для SOC (Security Operations Center, оперативный центр безопасности). Первый вариант проверяет способность специалистов по ИБ защитить ключевые информационные активы (например, переписку топ-менеджеров или клиентскую БД) и имитирует реальную целевую атаку с применением всего, что может помочь достигнуть поставленной цели; служба безопасности при этом просто откликается на угрозу, если замечает её. Во втором варианте оценивается способность предотвращать инциденты, выявлять их и реагировать на угрозы, а сотрудников SOC в процессе проверки сопровождает консультант, который помогает им и обучает их (т. е. эта версия сервиса по сути является разновидностью тренинга).

Подробнее с услугой можно ознакомиться на сайте компании.

 

 IBM

IBM

Услуга IBM X-Force Red позиционируется как работа «автономной команды хакеров-ветеранов», чьи служебные обязанности — «взламывать организации и раскрывать опасные уязвимости». В описании услуги подчёркивается, что команда «способна делать всё то же, что и преступники», однако с целью помочь службам безопасности укрепить защиту. Специалисты готовы подвергнуть проверке приложения (в том числе мобильные), сетевую инфраструктуру вплоть до SCADA-систем, персонал и аппаратные конфигурации — например, относящиеся к интернету вещей или банковским устройствам самообслуживания. Интересной опцией является тестирование автомобилей, которые, как справедливо отмечается в аннотации, вполне можно считать компьютерами на колёсах — с учётом того, какое объёмное и сложное программное обеспечение в них используется. Строго говоря, предложение IBM стоит ближе к классическому пентесту, но «агрессивное» описание позволяет предполагать, что в нём есть и элементы Red Team.

Подробнее с услугой можно ознакомиться на сайте компании.

 

 McAfee

McAfee

Группа услуг Foundstone, предлагаемая известным зарубежным вендором, нацелена на защиту инфраструктуры заказчика. В её состав входит и сервис Red Team. Характеризуя услугу, компания отмечает, что это — не просто пентест: традиционный поиск уязвимостей сочетается с применением фишинговых приёмов, социальной инженерии и других — в том числе нестандартных — средств. Заказчик имеет возможность выбрать вариант проверки, в котором об атаке будут знать лишь некоторые ответственные лица; при этом McAfee может разыграть нападение по нескольким сценариям разной сложности: от DDoS до APT.

Подробнее с услугой можно ознакомиться на сайте компании.

 

 Rapid7

Rapid7

Портфолио услуг Rapid7 в области пентеста также содержит позицию Red Team Attack Simulation. Согласно аннотации, в том случае, если корпоративный клиент желает сосредоточиться не только на защите, но и на детектировании угроз вкупе с ответом на них, компания готова разработать для него индивидуальную модель атаки, чтобы точно сымитировать актуальные проблемы и риски. Поставщик услуги обещает, что его специалисты задействуют реальные методы и средства, которые могут быть использованы настоящими злоумышленниками — такие, например, как специально разработанные инструменты, вредоносные программы и новейшие приёмы проникновения. По желанию клиента исследование может быть расширено аудитом «синей команды», который проверит качество и надёжность протоколов и инструментов, применяемых для реагирования на инциденты; такой комбинированный подход иногда называют Purple Team Assessment (оценка по методу «фиолетовая команда» — именно этот цвет получается при смешении красного с синим).

Подробнее с услугой можно ознакомиться на сайте компании.

 

Выводы

На российском рынке работают компании, предлагающие услуги Red Team Operations в классическом «военном» понимании термина: атакующие соревнуются с защитниками, и в результате открывается обзор не только качества самой обороны, но и степени компетентности людей, за неё ответственных. Также существует весьма много поставщиков, продающих «продвинутый пентест» — техническую проверку на проникновение, которая расширена за счет методов социнжиниринга, применяемых против персонала. Нельзя сказать, что такой подход непременно хуже — напротив, в ряде случаев он будет даже полезнее для заказчика с недостаточно высоким уровнем зрелости информационной безопасности, привлечённого модным термином Red Teaming, но не полностью понимающего его специфику.

В глобальном масштабе большинство компаний, однако, сосредоточено на традиционном пентесте, и финансовые аналитики ещё не выделяют особо тот сегмент рынка, который связан именно с «редтимингом». Вряд ли мы сильно ошибёмся, если скажем, что он пока находится на стадии зарождения. Трудно ожидать, что он будет массовым, поскольку, как мы отмечали выше, проведение тестов по методу Red Team Operations имеет смысл для относительно крупных организаций, у которых уже сформировалась комплексная система защиты и есть своя служба реагирования на киберинциденты; таких потребителей сравнительно немного. К тому же, «редтиминг» является в значительной мере индивидуальной услугой, которую почти невозможно оказать без учёта конкретных особенностей определённого заказчика. Ещё один фактор — затратность: работа высококвалифицированных специалистов стоит дорого.

Тем не менее сегмент пентеста в целом, по оценкам маркетологов, должен расти, поскольку административные и деловые процессы продолжают цифровизироваться, хакерская активность сохраняется, и услуги по проверке защищённости инфраструктуры будут востребованными. Вполне вероятно, что и «редтиминг» как часть этого сегмента продемонстрирует рост — например, большее количество компаний, уже присутствующих на рынке, решит расширить своё портфолио за счёт таких услуг.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru