Как проходят киберучения в формате Red Teaming

Как проходят киберучения в формате Red Teaming

Что такое киберучения в формате редтиминга (Red Teaming, оценка активной защищённости)? Чем это отличается от привычного тестирования на проникновение? Зачем в киберучениях нужны «синяя», «красная» и «белая» команды? Как проходят такие киберучения и каких результатов стоит ожидать? Об этом и многом другом рассказывает Андрей Брызгин, руководитель направления аудита и консалтинга компании Group-IB.

 

 

 

  1. Что такое Red Teaming?
  2. Регулярность киберучений
  3. Непредсказуемость атак
  4. Развитие знаний и информированности
  5. Выводы

 

Что такое Red Teaming?

«Красная» команда нападает, «синяя» — защищается. Простые на первый взгляд правила командно-штабных игр перешли в кибербезопасность и используются в рамках проектов по Red Teaming — регулярной имитации целенаправленных атак на организацию с использованием самых близких к реальности методов и инструментов из арсенала хакерских группировок.

В информационной безопасности есть множество услуг по проверке уровня защищенности — анализ безопасности систем и приложений, тестирование на проникновение, оценка осведомленности персонала в вопросах ИБ и т.д., — но именно киберучения в формате Red Teaming специалисты по защите информации называют наиболее реалистичным и продвинутым подходом к тестированию безопасности. Почему? Об этом расскажет Андрей Брызгин — руководитель направления аудита и консалтинга Group-IB.

«Суть пентеста состоит в поиске способов проникновения в сетевые инфраструктуры и отдельные информационные системы извне или изнутри сетевого периметра. Изначально пентест призван лишь подсвечивать возможные пути «пробива» периметра или повышения привилегий и даже не обязан предлагать решение обнаруженных проблем. Заказчик как бы говорит: «Мы долго работали над укреплением своей системы ИБ и уверены, что нас не взломать. Проверьте, так ли это?». К сожалению или к счастью, в некоторых уголках нашей планеты примерно такое понимание тестирования «на пробой» и сохранилось, но на российском рынке под пентестом понимают существенно больший круг действий, и приятно осознавать, что мы являемся одной из компаний, которые сформировали подобное видение пентестинга в наших широтах. 

«Мы даем развернутый ответ на вопрос о защищённости компаний, предпринимая различные попытки взлома, и подробно описываем ход успешной атаки. Наши пентесты включают поиск альтернативных каналов проникновения, определение предпосылок к возникновению той или иной уязвимости, оценку вероятности нанесения серьёзного вреда злоумышленниками с заданными навыками и изначальными знаниями о системах. По большому счету, в российских реалиях пентестинг очень близок к тому, что на западе называют анализом защищённости». 

Предметом оценки выступают сама система, настройки безопасности, сетевые устройства, поддерживающие сервисы, пользователи, но никак не способность службы ИБ к выявлению и активному противодействию киберугрозам. В процессе реализации тестов исполнитель может попросить отключить те или иные средства защиты, внести свои адреса в «белые списки», и это абсолютно нормально, потому как при пентестинге мы всегда очень ограничены во времени — за 25-30 рабочих дней нам необходимо оценить деструктивные возможности злоумышленника, который потенциально может действовать сколь угодно долго. Глупо тратить деньги заказчика, например, на обходы WAF сторонней разработки, не менее нелепа в этом разрезе ситуация, когда заказчик в рамках пентеста с гордостью блокирует исполнителя на брандмауэре по IP (адреса, с которых работает исполнитель, всегда фиксируются при планировании проекта) и считает, что с достоинством прошёл пентест. Увы, нет, он скорее украл у себя же кусок проектного времени, а значит, и глубины анализа соразмерно периоду блокировки.

«Пентестинг — оценка пассивной защищённости информационных систем, Red Teaming — оценка активной защищённости». 

Несмотря на то, что в Red Teaming и тестировании на проникновение применяются схожие инструменты для кибератак, цели и результаты обоих методов сильно отличаются. Red Teaming сфокусирован на «глубине» исследования. Пентест же направлен на охват наибольшего количества векторов атаки — можно сказать, «вширь».

«Главная задача Red Teaming — проверить и усилить способность организации к обнаружению сложных кибератак, в том числе APT (Advanced Persistent Threat, сложная составная угроза, целевое кибернападение), и реагированию на них.  Проводя Red Teaming и практикуя реагирование на контролируемые атаки, внутренняя команда безопасности может повысить свои навыки по обнаружению ранее не замеченных угроз, чтобы остановить реальных злоумышленников на начальных стадиях атаки (или даже на этапе подготовки к ней) и предотвратить материальный и репутационный ущерб для бизнеса», — отмечает Андрей Брызгин.

Что же нужно добавить к пентесту или анализу защищённости, чтобы они стали «редтимингом»?

 

Регулярность киберучений

Мы все помним, что безопасность — это не состояние, а процесс, который подразумевает постоянные изменения на сетевом периметре компании и внутри её сетей. Отдел ИТ добавляет и меняет сервисы, зачастую тестируя их функциональность без ведома ИБ. Топ-менеджмент требует упрощения удалённых подключений к корпоративным системам, что также идёт вразрез с безопасностью и приводит к появлению новых сетевых сущностей. Наконец, рыночные слияния и поглощения, подключение партнёров и контрагентов к корпоративным сервисам, многие другие подобные процессы приводят к тому, что инфраструктура, описанная полгода назад, становится совсем непохожей на свой прежний «портрет». Чтобы контролировать защищённость реальной системы, необходимо регулярно оценивать ее. Раз в год — неплохо, чаще — лучше. Но если два пентеста в год — хорошо, то три — уже перебор, а Red Team-активность позволяет без перезапуска полной проверки отслеживать изменения поверхности потенциальной атаки.

Для крупных и динамично развивающихся компаний проверки раз в 3 месяца — не предел. При регулярной инвентаризации изменений сети и приложений накапливается очень много материала для проверок. На местах же инвентаризация проводится крайне редко и недостаточно тщательно, участники процесса обычно воспринимают ее как рутину, направленную сугубо на документирование сетей и сервисов.

 

Непредсказуемость атак

Когда проблема внезапных смен сетевого ландшафта (а значит, и появления новых векторов атак) выявляется в ходе регулярных проверок, когда ИТ и ИБ всё же договариваются о подконтрольности изменений, когда новые пентесты и анализы приложений дают всё меньше новых (и тем более старых) находок, а сотрудники отдела ИБ фиксируют все или почти все воздействия в рамках оценок защищённости, — тогда и наступает черед «редтиминга». Тут акцент смещается на контроль «боеспособности» ИБ-подразделения, команда оценки переходит от поиска уязвимостей к имитации целевых атак, появляется больше социнженерных воздействий, технических мероприятий «в полях», периодичность уступает место длительности цикла, а сдача проекта в обязательном порядке включает сравнение «таймлайна» имитаций атак с последовательностью действий по реагированию со стороны службы ИБ. В рамках «редтиминга» не фиксируются адреса, с которых работают эксперты, а безопасники не оповещаются о том, что и когда планируется делать.

В рамках постоянного Red Teaming-проекта реагирование на внезапные атаки становится для безопасников привычным делом. И вот тут-то можно говорить о защищённости как таковой.

 

Развитие знаний и информированности

В Group-IB отмечают, что цель красной команды — не унизить синюю, а достичь поставленных на начальном этапе целей, максимально подробно задокументировать процесс их достижения и рассказать обороняющейся стороне о допущенных ошибках и способах их избежать в будущем. Таким образом, в каждой из итераций проекта навыки и знания участника синей команды растут. Красная же команда с каждым новым периодом всё лучше изучает целевые системы, обеспечивая всё более высокий уровень атак, поскольку в общем случае использованные ранее методики уже обнаруживаются и нейтрализуются обороняющейся стороной. Таким образом формируется самоподдерживающаяся система практического обучения.

Услугу Group-IB анонсировала в октябре 2017 года, а конец ноября был временем старта первого официального проекта. До этого момента случались «особые» пентесты, когда заказчик хотел больше обычного, разрастался блок социотехнических операций, или же часть действий необходимо было проводить вне пределов рабочего времени и внезапно для представителей службы ИБ заказчика. 

«В какой-то момент мы поняли, что, по сути, осуществляем редтим-активности, и решили, что если на рынке есть спрос, то следует выступить с предложением. А учитывая, что многие активности из состава комплексной услуги уже были проделаны не по разу, на формирование финального видения нашего редтима у нас ушло не очень много времени. Между идеей и готовой концепцией оказания новой комплексной услуги прошло всего чуть более 3-х месяцев», комментирует Андрей Брызгин. 

«Мы знаем, — продолжает эксперт, — что у некоторых конкурентов есть опыт участия в подобных проектах по запросу «синей команды» внутри заказчика (вероятно, успешный, но не очень публичный), и были удивлены, когда поняли, что никто на российском рынке не предлагает редтиминга в качестве отдельной услуги. Конечно же, глупо было бы не стать первыми». 

Исследование в формате Red Teaming можно разделить на несколько последовательных стадий, среди которых самыми важными определённо являются проработка сценариев Threat Intelligence (киберразведки) и их реализация, то есть собственно активная фаза тестирования в формате Red Team.

На первом этапе «красная команда» Group-IB использует собственную технологию Threat Hunting Intelligence, которая содержит более 100 000 профилей злоумышленников и  является одним из лучших решений по версии ведущих аналитических агентств — Gartner, Forrester и IDC. С помощью Threat Intelligence проводится целевой анализ угроз (TTI Report) для исследуемого объекта, что дополняет сценарии дальнейшего тестирования и предоставляет полезную информацию о заказчике.

При этом можно приобрести Threat Intelligence и самостоятельно провести Red Teaming. Для этого нужно вырастить техническую ИБ-команду из 6-12 человек (пентестеры и технические аудиторы), сформировать SOC, закупить TI-фиды от нескольких крупных игроков рынка из разных регионов их активного присутствия — и готово, можно «редтимить» самостоятельно. Это будет даже более канонический редтиминг, хоть и не более эффективный. 

«К сожалению, на пути к этой идеальной картине мира возникают преграды вроде бюджетов, целесообразности и здравого смысла: далеко не у каждой организации есть необходимость так серьезно вкладываться в собственную безопасность, даже если это крупная финансовая структура. Приходится искать компромиссы, которые позволяют существенно сэкономить без значительного ущерба для уровня защищённости. Безопасников-технарей может быть и пять, главное — чтобы оставалась возможность контроля инцидентов вне рабочего времени. SOC вполне можно аутсорсить без потери качества, а то и с его увеличением: подрядчик, который ежедневно сталкивается с инцидентами, вероятно, будет куда компетентнее вашего аналитика, которого необходимость отреагировать на серьёзную атаку может вогнать в ступор», — говорит Андрей Брызгин. 

Длительность Red Teaming-тестирования зависит от количества согласованных сценариев, наличия физических векторов проникновения. В среднем срок проекта составляет от 3 до 6 месяцев, но есть и годовые, и пятилетние контракты. Конечно же, самый полезный редтим-проект — тот, что никогда не заканчивается.

В отчетах Group-IB подробно описываются предпринятые действия и способы достижения целей. Туда же попадает детальная информация обо всех скомпрометированных активах с подтверждениями доступа. Дается и оценка способности заказчика вовремя обнаружить кибератаку и правильно среагировать на неё.

В практике Group-IB никогда не случалось такого, чтобы цель «редтиминг»-проекта не была достигнута. В компании объясняют это тем, что в самом начале правильно определяют цель согласно особенностям того или иного заказчика и тщательно проводят разведку. 

Стоит отметить, что при правильной совместной проработке проекта вред системе (поломка сервера или пропажа базы данных) исключен. Резервные копии решают огромное количество проблем. Если же уверенности в том, что системы способны выдержать атакующее воздействие, нет, а пределы их устойчивости неизвестны, то, вероятно, организация ещё не готова к обсуждаемому формату оценки ИБ.

В практике «редтиминга» Group-IB использует социальную инженерию. Ведь не зря говорят, что как ни усиливай защиту на всех уровнях, самым слабым местом всегда останется человек. 

«Мы используем элементы социальной инженерии как при пентестинге, так и в ходе Red Teaming-проекта, если это не запрещено заказчиком. Применяются различные способы социотехнических воздействий, начиная от адресной рассылки фишинговых писем и заканчивая нетривиальными сценариями физического проникновения на территорию, в серверные помещения, переговорные комнаты — все зависит от индивидуальных особенностей проекта и договоренностей с заказчиком», — комментирует Андрей Брызгин.

Обычно о предстоящих киберучениях предупреждено минимально необходимое число людей со стороны заказчика, с которыми согласуются цель и сценарии «редтиминга». Это — так называемая «белая команда». Как правило, в нее входят представитель бизнеса, оценивающий эффективность службы ИБ, и руководитель последней (как самое заинтересованное в практике своих сотрудников лицо).

В Group-IB не фиксировали случаев «слива» информации о Red Teaming подчиненным ИБ-службы. «Мы изначально правильно доносим до заказчика мысль, что задача проекта — совместно проработать проблемные моменты в способности организации к обнаружению сложных кибератак и реагированию на них, а не «напугать» руководство. Если человек склонен к таким «маневрам», то он скорее не будет заказывать подобную услугу, так как просто-напросто к ней не готов», — говорит эксперт.

 

Выводы

Услуга в первую очередь интересна среднему бизнесу. Как правило, в компаниях среднего размера нет многочисленных отделов информационной безопасности, но, например, в организациях из финансово-технического сектора и сферы электронной коммерции могут вращаться очень существенные денежные средства. Поэтому они являются желанной мишенью для злоумышленников. Таким образом, сотрудникам, отвечающим за информационную безопасность, нужно быть готовыми отражать кибератаки самого разного уровня. Стоит упомянуть и о том, что средний бизнес в последнее время склонен аутсорсить ИБ, и закономерно его желание проверить качество работы своих аутсорсеров.

Компаниям с начальными уровнями зрелости информационной безопасности «редтиминг» не нужен. Им стоит начинать с классических услуг вроде пентестов и технических аудитов безопасности систем. 

Чтобы обратиться за услугой Red Teaming от Group-IB, можно написать на [email protected]. Подробнее о Red Teaming можно узнать здесь.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru