Отличия Red team от Pentest
🥷 Приветствую друзья
И так, продолжаем наш цикл статей о направлениях информационной безопасности и сегодня мы поговорим о разнице между редтимом и пентестом.
В прошлой статье мы обозначили эти два направления родственными, в принципе так оно и есть, ведь и пентест и редтим направлены на выявление слабых мест в инфраструктуре, но давайте более подробно рассмотрим каждое направление.
Начнем с пентеста. Пентест (тестирование на проникновение) - комплекс мер, которые имитируют реальную атаку на сеть или приложение. Пентест выявляет максимальное количество уязвимостей в инфраструктуре и и конфигурационных ошибок за определенное время. Это не всегда поиск уязвимостей нулевого дня (0-day), а чаще всего поиск уже известных уязвимостей. Сюда также относится и эксплуатация найденных уязвимостей. К примеру, пентестер нашел уязвимость, которая подразумевает в конечном счете выполнение удаленного кода (RCE). Хороший пентестер добьется эксплуатации данной уязвимости до конечного результата. На данном этапе развития кибербезопасности в нашей стране компании стали часто нанимать штатного пентестера в ряды сотрудников для проведения таких тестов на проникновение.
Теперь поговорим про редтим. Редтим более направленный, нежели пентест. У редтима нет задачи выявить максимальное количество уязвимостей в компании. Редтимеры ставят задачу получить доступ к чувствительной информации любым доступным способом, даже используя социальную инженерию, а именно, разбрасывая зараженные флешки у офиса компании, в ожидании, что рассеянный администратор подберет флешку, вставит в свой компьютер и редтимер получит доступ к его компьютеру. Редтим более длительный, он может длиться и месяц и полгода, в то время как пентест занимает 1-2 недели. Редтим чаще всего нанимают компании со зрелым уровнем информационной безопасности, встретить штатных редтимеров большая редкость, ведь можно сказать, что редтим полностью имитирует APT – противника, который обладает высоким уровнем знаний в области кибербезопасности, позволяющие ему создавать угрозу различным объектам гражданской и военной инфраструктуре. APT – это не один человек, это целая группа людей, ровно как и редтим.
Хороший редтим состоит из нескольких позиций:
1. Инфраструктурщик – специалист по взломам инфраструктуры, отлично разбирающийся в операционных системах.
2. Web-щик – специалист по взлому web-приложений. Знает уязвимости различных систем управления сайтов, веб-серверов и почтовых сервисов.
3. Социнженер – специалист, обладающий навыком внедрения в доверие посторонним людям.
4. Сетевик – специалист, отлично разбирающийся в сетях, сетевых протокола и связанных с ними уязвимостями.
5. Вирусолог – специалист по написанию вирусов различного вида.
Оба представителя редтима и пентеста обладают высоким уровнем знаний атак на инфраструктуру и на web. Можно сделать предположение, что редтим лучше знаком с навыками социальной инженерии, ведь пентестеру не обязательно (чаще всего не входит в служебные обязанности) контактировать с персоналом для выявления уязвимостей человеческого фактора.
В принципе, как вы могли увидеть из статьи, пентестеры и редтимеры действительно родственники с одинаковыми навыками, но с разными целями.
Актуальная ссылка - @cyber_sq
Главный - Fantom