Вся правда о Red Team

Привет, аноним. Сегодня я расскажу тебе о том, что такое Red Teaming. Почему компании так заинтересованы в этой услуге и готовы платить до 2 миллионов рублей. Также поговорим о противостоянии Red Team VS Blue Team и кто круче.

Введение в Red Teaming

Все больше и больше компаний попадают под хакерские атаки. Заводы, фабрики, магазины, интернет-сайты и целые государства. Где-то результатом успешной атаки был уязвимый сайт, непропатченная инфраструктура или сотрудник компании перешел по ссылке и ввел свои данные учетной записи. На самом деле причин может быть много, а последствия всегда одинаковые — финансовые и репутационные убытки. И такие атаки не редкость, можно вспомнить недавнюю ситуацию с Twitter или Garmin. Казалось бы, крупные компании с мировым именем, но были взломаны по тем или иным причинам.

И многие компании задумываются, как можно проверить себя, имитируя действия реальных хакеров. Как можно проверить свою компанию, но так, чтобы в результате был отчет со слабыми местами и уязвимостями, а не зашифрованные данные и остановки работы. Как раз под эти цели существует Red Teaming, который позволяет решить эту проблему и показать реальное положение дел компании в реальном мире.

Особенности работы Red Team

Red Teaming — это имитация целенаправленных атак на компанию с использованием всех возможных хакерских инструментов и техник для проверки защиты. Может ли компания вообще противостоять таким атакам, готова ли система к таким событиям, а также умеют ли сотрудники компании правильно реагировать на те или другие инциденты.

При проведении Red Teaming нет каких-либо ограничений по скоупу. Тестирование не ограничивается сайтом или мобильным приложением. Зачастую красная команда пробирается в офис под видом курьера и оставляет свою "закладку" для удаленного сканирования и поиска незащищенных сетей, принтеров, камер и других устройств. Также это могут быть различные вариации создания подставных WiFI-сетей, социальная инженерия, фишинговые атаки и т.д.

Атаки в этом случае имеют очень индивидуальный подход. Как-то раз для директора компании отправили большой букет роз и мишку c вшитым Raspberry PI и внешней антенной. Пока женщина любовалась подарком и перечитывала записку от анонима, был успешно перехвачен и сбручен хендшейк от внутренней WiFi сети. И это далеко не самый сложный изощренный пример.

Сколько стоят услуги Red Teaming?

Не все компании на рынке готовы открыто светить цены на эту услугу. Все продажники отбиваются индивидуальностью подхода и просят прислать вводную информацию, после чего смогут назвать примерную цену. Но несколько компаний имеют открытый прайс и ценник начинается в диапазоне 0.5-2 млн рублей. Конечно, это не значит, что Миша с Васей не могут открыть свою предприятие и предлагать услуги по 50 тыс рублей. Red Teaming требует опытных профессионалов своего дела, которые имеют опыт и владеют последними эксплоитами для использования их на практике. Поэтому хорошая Red Team обойдётся в среднем в 1,5 млн рублей.

Кто-то скажет, что это достаточная большая сумма. И лучше купить несколько платных решений для компаний, обставить периметр и это будет лучше, чем нанимать каких-то ребят. Но если посчитать, то регулярный Red Teaming будет окупаться. Например, можно упомянуть недавнюю ситуацию с Garmin. По данных из многих СМИ, чтобы расшифровать свои данные после атаки, компания заплатила многомиллионный выкуп. Никто не сообщает точной суммы, но несколько раз появлялась приблизительная сумма в 10 млн долларов. Это без учета возможных штрафов и репутационных последствий для компании. И если подсчитать все расходы, то компания могла бы заказывать Red Teaming несколько раз в год и избежать такой катастрофической ситуации.

Red Team VS Blue Team

Такое условное противостояние команд существует давно. Красная команда — нападает, синяя — защищается. Но далеко не все так просто, как кажется. Синяя команда имеет очень большой скоуп работ и задач в компании. Это и поддержка инфраструктуры, настройка сети, разработка процессов и внутренних политик, проведения обучений для сотрудников, обновление и работа с существующими уязвимостями и т.д.. Это команда отвечает за все и вся, если так можно сказать. Но в ходе своей работы сталкивается с большими трудностями.

Во-первых, достаточно много компаний остаются незрелыми в вопросах информационной безопасности. Они живут с мыслью о том, что нас "пронесет" и все будет хорошо. И пока не случилась какая-то критическая ситуация ресурсы на это направление минимальное. Поэтому Blue Team нужно постоянно доводить до руководства необходимость тех или других действий, а также получения ресурсов. Часто такие просьбы либо полностью отсекаются, либо частично. Поэтому очень часто защита находиться на достаточно слабом уровне, а сотрудники работают с ограниченным ресурсом.

Красная команда, как правило, это группа внешних сотрудников, которых периодично нанимает компания. Это профессионалы своего дела, которые имеют огромный опыт. У них в арсенале собственные наработки, эксплоиты для Zero-day уязвимостей, свои ловкости и хитрости. Они получили заказ на оценку защищенности компании, начали работу, проломились в сеть, закрепились, получили всю возможную информацию, сделали отчет и показали клиенту, какие векторы они использовали и как смогли добраться до цели. Может быть и наоборот, красная команда не смогла пройти защиту и об этом написала отчет. Но главное различие в том, что Red Team переходит с проекта на проект, а представителям Blue Team может "влететь по шапке", за наличие критических уязвимостей в периметре компании.

Заключение

Red Teaming — это востребованная услуга среди компаний. Выполнить ее могут только профессионалы своего дела. Это максимальная имитация возможных атак, которая может показать насколько компания готова к существованию в реальном мире. Разнообразие инструментов и техник при проведении атак поражает. Зачастую это больше похоже на искусство, чем на технический подход.