About Teletype
Join
Penetration Tester
@fnay_offensive
obuchenie_post
April 7

День 14. Основы “RED TEAM”


1. Введение

Кибербезопасность — это постоянная гонка между белыми и черными хакерами. По мере развития угроз в кибермире растет и потребность в более специализированных услугах, которые позволяют компаниям максимально подготовиться к реальным атакам.

Хотя традиционные меры безопасности, такие как оценка уязвимости и тесты на проникновение, могут предоставить превосходный обзор состояния технической безопасности компании, они могут упустить из виду некоторые другие аспекты, которые может использовать настоящий злоумышленник. В этом смысле можно сказать, что традиционные тесты на проникновение хороши для выявления уязвимостей, чтобы вы могли принять упреждающие меры, но они не могут научить вас, как реагировать на реальную продолжающуюся атаку мотивированного противника.

Цели комнаты

  • Узнайте об основах взаимодействия с красной командой
  • Определите основные компоненты и заинтересованные стороны, участвующие в работе красной команды.
  • Понять основные различия между Red Teaming и другими типами мероприятий по кибербезопасности.


2. Ограничения оценки уязвимости и тестов на проникновение

Оценка уязвимости

Это самая простая форма оценки безопасности, и ее главная цель — выявить как можно больше уязвимостей в как можно большем количестве систем в сети. С этой целью могут быть сделаны уступки для эффективного достижения этой цели. Например, машина злоумышленника может быть внесена в список разрешенных доступных решений безопасности, чтобы не мешать процессу обнаружения уязвимостей. Это имеет смысл, поскольку цель — рассмотреть каждый хост в сети и оценить его состояние безопасности индивидуально, предоставляя при этом компании как можно больше информации о том, на чем следует сосредоточить усилия по исправлению.

Подводя итог, можно сказать, что оценка уязвимости фокусируется на сканировании хостов на предмет уязвимостей как отдельных объектов, чтобы можно было выявить недостатки безопасности и применить эффективные меры безопасности для защиты сети в приоритетном порядке. Большая часть работы может быть выполнена с помощью автоматизированных инструментов и выполняться операторами без необходимости в особых технических знаниях.

Например, если бы вы проводили оценку уязвимости в сети, вы бы обычно попытались просканировать как можно больше хостов, но на самом деле не пытались бы эксплуатировать какие-либо уязвимости:

Тесты на проникновение

Помимо сканирования каждого отдельного хоста на предмет уязвимостей, нам часто нужно понимать, как они влияют на нашу сеть в целом. Тесты на проникновение дополняют оценку уязвимости, позволяя пентестеру исследовать влияние злоумышленника на всю сеть, выполняя дополнительные шаги, которые включают:

  • Попытайтесь использовать уязвимости, обнаруженные в каждой системе. Это важно, поскольку иногда уязвимость может существовать в системе, но компенсаторные элементы управления эффективно предотвращают ее использование. Это также позволяет нам проверить, можем ли мы использовать обнаруженные уязвимости для компрометации данного хоста.
  • Выполнение задач по постэксплуатации на любом скомпрометированном хосте, что позволяет нам выяснить, можем ли мы извлечь из них какую-либо полезную информацию или можем ли мы использовать их для перехода на другие хосты, которые ранее не были доступны с того места, где мы находимся.

Тесты на проникновение могут начинаться со сканирования уязвимостей, как и обычная оценка уязвимости, но предоставлять дополнительную информацию о том, как злоумышленник может объединять уязвимости в цепочку для достижения определенных целей. Хотя его фокус остается на выявлении уязвимостей и установлении мер по защите сети, он также рассматривает сеть как целостную экосистему и то, как злоумышленник может получить выгоду от взаимодействия между ее компонентами.

Если бы мы проводили тест на проникновение, используя тот же пример сети, что и раньше, то помимо сканирования всех хостов в сети на наличие уязвимостей мы бы попытались подтвердить, можно ли их использовать, чтобы продемонстрировать влияние, которое злоумышленник может оказать на сеть:

Расширенные постоянные угрозы и почему регулярного тестирования на проникновение недостаточно

Хотя упомянутые нами традиционные мероприятия по безопасности охватывают поиск большинства технических уязвимостей, существуют ограничения на такие процессы и на степень, в которой они могут эффективно подготовить компанию к реальному злоумышленнику. К таким ограничениям относятся:

С другой стороны, настоящие злоумышленники не будут следовать этическому кодексу и в основном не ограничены в своих действиях. В настоящее время наиболее известные субъекты угроз известны как Advanced Persistent Threats ( APT ) , которые представляют собой высококвалифицированные группы злоумышленников, обычно спонсируемые странами или организованными преступными группами. Они в первую очередь нацелены на критическую инфраструктуру, финансовые организации и государственные учреждения. Их называют постоянными, потому что операции этих групп могут оставаться незамеченными в скомпрометированных сетях в течение длительного времени.

Если компания подверглась воздействию APT , будет ли она готова эффективно отреагировать? Смогут ли они обнаружить методы, используемые для получения и сохранения доступа к своим сетям, если злоумышленник находится там в течение нескольких месяцев? Что, если первоначальный доступ был получен, потому что Джон из бухгалтерии открыл подозрительное вложение к электронному письму? Что, если был задействован эксплойт нулевого дня? Готовят ли нас к этому предыдущие тесты на проникновение?

Для обеспечения более реалистичного подхода к безопасности были созданы специальные группы.


3. Действия Красной команды

Чтобы идти в ногу с новыми угрозами, были разработаны мероприятия Red Team, чтобы сместить фокус с обычных тестов на проникновение на процесс, который позволяет нам четко видеть возможности нашей оборонительной команды по обнаружению и реагированию на реального субъекта угрозы. Они не заменяют традиционные тесты на проникновение, а дополняют их, фокусируясь на обнаружении и реагировании, а не на предотвращении.

Red teaming — термин, заимствованный из военных. В военных учениях группа берет на себя роль красной команды, чтобы имитировать методы атаки, чтобы проверить возможности реакции обороняющейся команды, обычно известной как синяя команда , против известных стратегий противника. В переводе на язык кибербезопасности, сражения красной команды состоят из имитации тактик, методов и процедур (TTP) реального субъекта угрозы, чтобы мы могли измерить, насколько хорошо наша синяя команда реагирует на них, и в конечном итоге улучшить любые имеющиеся средства контроля безопасности.

Каждое взаимодействие красной команды начинается с определения четких целей, часто называемых драгоценностями короны или флагами , начиная от компрометации определенного критического хоста до кражи некоторой конфиденциальной информации у цели. Обычно синяя команда не будет проинформирована о таких упражнениях, чтобы избежать внесения каких-либо предубеждений в свой анализ. Красная команда сделает все возможное, чтобы достичь целей, оставаясь незамеченной и обходя любые существующие механизмы безопасности, такие как брандмауэры, антивирусы, EDR , IPS и другие. Обратите внимание, что при взаимодействии красной команды не все хосты в сети будут проверены на уязвимости. Реальному злоумышленнику нужно будет найти только один путь к своей цели, и он не заинтересован в выполнении шумных сканирований, которые может обнаружить синяя команда .

Взяв ту же сеть, что и раньше, в сражении красной команды, где цель состоит в том, чтобы скомпрометировать сервер интрасети, мы бы спланировали способ достижения нашей цели, взаимодействуя как можно меньше с другими хостами. Между тем, способность синей команды обнаруживать и соответствующим образом реагировать на атаку может быть оценена:

Важно отметить, что конечной целью таких учений никогда не должно быть «победа» красной команды над синей командой , а скорее имитация достаточного количества TTP для того, чтобы синяя команда научилась адекватно реагировать на реальную текущую угрозу. При необходимости они могли бы подправить или добавить элементы управления безопасностью, которые помогут улучшить их возможности обнаружения.

Бои Красной команды также улучшают результаты обычных тестов на проникновение, учитывая несколько поверхностей атаки:

  • Техническая инфраструктура: как и в обычном тесте на проникновение, красная команда попытается обнаружить технические уязвимости, уделяя гораздо больше внимания скрытности и уклонению.
  • Социальная инженерия : воздействие на людей с помощью фишинговых кампаний, телефонных звонков или социальных сетей с целью заставить их раскрыть информацию, которая должна быть конфиденциальной.
  • Физическое проникновение: использование таких методов, как взлом замков, клонирование RFID-меток, использование уязвимостей электронных устройств контроля доступа для доступа к закрытым зонам объектов.

В зависимости от имеющихся ресурсов учения красной команды могут проводиться несколькими способами:

  • Полное взаимодействие: смоделируйте весь рабочий процесс злоумышленника, от первоначального взлома до достижения конечных целей.
  • Предполагаемое нарушение: Начните с предположения, что злоумышленник уже получил контроль над некоторыми активами, и попытайтесь достичь целей оттуда. Например, красная команда может получить доступ к учетным данным некоторых пользователей или даже к рабочей станции во внутренней сети.
  • Table-top Exercise: Моделирование за столом, где сценарии обсуждаются красной и синей командами, чтобы оценить, как они теоретически отреагируют на определенные угрозы. Идеально подходит для ситуаций, когда проведение реальных симуляций может быть сложным.


4. Команды и функции проекта

В красной команде задействовано несколько факторов и людей. У каждого будет свой образ мышления и методология подхода к персоналу, участвующему в команде; однако, каждая команда может быть разбита на три команды или ячейки. Ниже приведена краткая таблица, иллюстрирующая каждую из команд, и краткое объяснение их обязанностей.

5. Структура взаимодействия

Основная функция красной команды — эмуляция противника. Хотя это и не обязательно, но обычно используется для оценки того, что реальный противник будет делать в среде, используя свои инструменты и методологии. Красная команда может использовать различные цепочки киберубийств для обобщения и оценки шагов и процедур взаимодействия.

Синяя команда обычно использует киберцепочки убийств для картирования поведения и разбивки движения противника. Красная команда может адаптировать эту идею для картирования TTP противника ( тактики , приемы и процедуры ) к компонентам взаимодействия.

Многие органы регулирования и стандартизации выпустили свои цепочки киберубийств. Каждая цепочка киллов следует примерно одной и той же структуре, некоторые из них углубляются или определяют цели по-другому. Ниже приведен небольшой список стандартных цепочек киберубийств.

Компоненты цепочки уничтожения представлены в таблице ниже.

6. Обзор взаимодействия с Красной командой

Обратите внимание, как Cyber ​​Kill Chain естественным образом соответствует упражнению: мы начинаем с фазы разведки , на которой собираем как можно больше информации о нашей цели, затем следуют этапы использования уязвимости и доставки путем отправки фишингового письма с вредоносным вложением, затем следуют этапы эксплуатации и установки , когда используются локальные эксплойты для повышения привилегий на BOB-PC, а затем устанавливаются инструменты на скомпрометированных хостах для сброса хэшей паролей и выполнения горизонтального перемещения, и заканчиваются действиями по целям , на которых наконец устанавливается соединение с нашей целью.

7. Заключение

В этой комнате представлен упрощенный обзор Red Team Engagements. Основные концепции, компоненты и заинтересованные стороны были представлены для получения первого понимания таких упражнений. В следующих комнатах вы узнаете все о планировании, стоящем за реальным взаимодействием, а также о множестве интересных приемов, которые настоящий злоумышленник мог бы использовать по ходу дела, включая то, как использовать разведданные об угрозах в своих интересах, обходить механизмы безопасности, присутствующие в любом современном хосте, выполнять боковое перемещение и пытаться избежать обнаружения любой ценой.

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Penetration Tester
April 7, 04:59
0 views
0 reactions
0 replies
0 reposts