Vad är Red Teaming och hur förbättrar det cybersäkerheten?

Red teaming är handlingen att testa, attackera och penetrera datornätverk, applikationer och system. Red teamers är etiska hackare som anlitas av organisationer för att kamptesta deras säkerhetsarkitektur. Det slutliga målet för det röda teamet är att hitta – och ibland framkalla – problem och sårbarheter i en dator och utnyttja dem.

Varför är Red Teaming viktigt?

För en organisation som behöver skydda känslig data och system innebär red teaming anställning cybersäkerhetsoperatörer att testa, attackera och penetrera dess säkerhetsarkitektur innan de är skadliga hackare gör det. Den jämförande kostnaden för att få vänskapsmatcher för att simulera en attack är exponentiellt mindre än om angripare gör det.

Så, röda lagspelare spelar i huvudsak rollen som externa hackare; bara deras avsikter är inte skadliga. Istället använder operatörerna hacktrick, verktyg och tekniker för att hitta och utnyttja sårbarheter. De dokumenterar också processen, så att företaget kan använda lärdomarna för att förbättra sin övergripande säkerhetsarkitektur.

Red teaming är viktigt eftersom företag (och även individer) med hemligheter inte har råd att låta motståndare få nycklarna till kungariket. Åtminstone kan ett brott resultera i intäktsförlust, böter från efterlevnadsbyråer, förlust av kundernas förtroende och offentlig förlägenhet. I värsta fall kan ett kontradiktoriskt brott resultera i konkurs, oåterkallelig kollaps av ett företag och identitetsstöld som drabbar miljontals kunder.

Vad är ett exempel på Red Teaming?

Red teaming är mycket scenariofokuserat. Till exempel ett musikproduktionsbolag får anlita röda lagoperatörer att testa skyddsåtgärder för att förhindra läckage. Operatörer skapar scenarier som involverar människor som har tillgång till dataenheter som innehåller artisters immateriella rättigheter.

Ett mål i det här scenariot kan vara att testa attacker som är mest effektiva för att äventyra åtkomstprivilegier till dessa filer. Ett annat mål kan vara att testa hur lätt en angripare kan röra sig i sidled från en ingångspunkt och exfiltrera stulna masterinspelningar.

Vilka är målen för det röda laget?

Det röda teamet ger sig ut för att hitta och utnyttja så många sårbarheter som möjligt på kort tid, utan att åka fast. Även om de faktiska målen i en cybersäkerhetsövning kommer att variera mellan organisationer, har röda team i allmänhet följande mål:

• Modellera verkliga hot.
• Identifiera svagheter i nätverk och mjukvara.
• Identifiera områden att förbättra.
• Betygsätt effektiviteten hos säkerhetsprotokoll.

Hur fungerar Red Teaming?

Red teaming börjar när ett företag (eller individ) anlitar cybersäkerhetsoperatörer för att testa och utvärdera deras försvar. Efter anställningen går jobbet igenom fyra engagemangsstadier: planering, utförande, sanering och rapportering.

Planeringsstadiet

I planeringsstadiet definierar kunden och det röda teamet målen och omfattningen av engagemanget. Det är här de definierar auktoriserade mål (såväl som tillgångar som uteslutits från träningen), miljön (fysisk och digital), engagemangets varaktighet, kostnader och annan logistik. Båda sidor skapar också reglerna för engagemang som kommer att styra övningen.

Utförandestadiet

Exekveringsstadiet är där de röda teamoperatörerna använder allt de kan för att hitta och utnyttja sårbarheter. De måste göra detta i hemlighet och undvika att bli överkörda av sina måls befintliga motåtgärder eller säkerhetsprotokoll. Röda lagspelare använder olika taktiker i matrisen motstridande taktik, tekniker och allmän kunskap (ATT&CK).

ATT&CK-matrisen innehåller ramverk som angripare använder för att komma åt, bevara och röra sig genom säkerhetsarkitekturer också som hur de samlar in data och upprätthåller kommunikationen med den komprometterade arkitekturen efter en ge sig på.

Vissa tekniker kan de använda inkluderar krigsattacker, social ingenjörskonst, nätfiske, nätverkssnuffning, referensdumpning, och portskanning.

Saneringsstadiet

Detta är saneringsperioden. Här binder röda teamoperatörer ihop lösa ändar och raderar spår av deras attack. Till exempel kan tillgång till vissa kataloger lämna loggar och metadata. Det röda lagets mål i saneringsstadiet är att rensa dessa loggar och skrubba metadata.

Dessutom vänder de även om ändringar de gjorde i säkerhetsarkitekturen under exekveringsskedet. Det inkluderar att återställa säkerhetskontroller, återkalla åtkomstprivilegier, stänga förbikopplingar eller bakdörrar, ta bort skadlig programvara och återställa ändringar av filer eller skript.

Konst imiterar ofta livet. Sanering är viktigt eftersom röda teamoperatörer vill undvika att bana väg för illvilliga hackare innan försvarsteamet kan fixa till saker.

Rapporteringsstadiet

I detta skede förbereder det röda teamet ett dokument som beskriver deras handlingar och resultat. Rapporten innehåller vidare observationer, empiriska rön och rekommendationer för att korrigera sårbarheter. Den kan också innehålla direktiv för att säkra utnyttjad arkitektur och protokoll.

Formatet för röda lagrapporter följer vanligtvis en mall. De flesta rapporter beskriver målen, omfattningen och reglerna för engagemang; loggar över åtgärder och resultat; resultat; förhållanden som gjorde dessa resultat möjliga; och attackdiagrammet. Det finns vanligtvis ett avsnitt för att klassificera säkerhetsriskerna för auktoriserade mål och säkerhetstillgångar också.

Vad kommer härnäst efter det röda laget?

Företag anställer ofta röda team för att stridstesta säkerhetssystem inom ett definierat omfång eller scenario. Efter ett engagemang i det röda laget använder försvarsteamet (dvs. det blå laget) lärdomarna för att förbättra sina säkerhetsförmåga mot kända hot och nolldagshot. Men angripare väntar inte. Med tanke på det föränderliga tillståndet för cybersäkerhet och snabbt utvecklande hot är arbetet med att testa och förbättra säkerhetsarkitekturen aldrig riktigt avslutat.