УДК 004.056

Подход Red Team как способ обеспечения безопасности информации

Кузьмина Ульяна Владимировна – кандидат технических наук, доцент кафедры Информатики и информационной безопасности Магнитогорского государственного технического университета им. Г.И. Носова.

Мирская Софья Дмитриевна – студент Магнитогорского государственного технического университета им. Г.И. Носова.

Корнещук Роман Кириллович – студент Магнитогорского государственного технического университета им. Г.И. Носова.

Аннотация: В современном мире информационной безопасности, киберпреступники постоянно находят новые способы атак на корпоративные сети и системы. По статистике МВД РФ количество киберпреступлений за 2022 год достигло отметки в 522 тысячи, что превышает число киберпреступлений за аналогичный период предыдущего года. Для организаций и компаний необходимо иметь на своей стороне экспертов, которые могут воспроизводить такие атаки, чтобы выявлять уязвимости и обеспечивать надежную защиту. Именно здесь на сцену выходит RedTeam. В данной статье будут рассмотрены методы работы RedTeam, его роль в современной информационной безопасности и основные принципы, которые помогают команде проводить эффективные атаки и защищать корпоративные сети и системы от киберугроз.

Ключевые слова: информационная безопасность, Red Team, пентест, тестирование на проникновение, имитация кибератаки, редтиминг.

В мире информационных технологий существует такая практика, как тестирование на проникновение. Это процесс проверки безопасности информационной системы путем имитации атаки со стороны злоумышленников. В рамках этой практики существует подход, называемый RedTeam.

RedTeam – это команда специалистов, чья задача заключается в том, чтобы провести имитацию атаки на систему, чтобы проверить ее уязвимости и недостатки. Цель RedTeam - найти все возможные способы проникновения в систему.

RedTeam использует различные методы для проверки безопасности системы. Они могут использовать социальную инженерию, чтобы получить доступ к информации изнутри или отправить фишинговые письма, чтобы получить доступ к системе. Они также могут использовать различные инструменты для сканирования портов и уязвимостей, чтобы определить, какие уязвимости могут быть использованы для атаки, и многое другое.

RedTeam помогают организациям проверить свою защиту, выявить уязвимости и недостатки в системе и понять, какие виды атак могут быть использованы для проникновения именно в их систему. Это позволяет организациям закрыть эти уязвимости и повысить уровень безопасности своей информационной системы, создав более эффективные стратегии защиты и разработав планы действий в случае какой-либо из атак.

Регулярность проведения редтиминга зависит от конкретной организации и ее потребностей в области безопасности информации. Обычно редтиминг проводят не менее одного раза в год. Кроме того, редтиминг следует проводить при любых изменениях в инфраструктуре, приложениях, политиках безопасности или персонале. Это поможет обнаружить и устранить возможные уязвимости и предотвратить потенциальные кибератаки. [1]

Подход Red Team часто путают с пентестом - процессом проверки безопасности информационной системы или приложения. Эти два понятия схожи, но имеют некоторые различия.

Основное отличие между пентестом и редтимингом заключается в том, что в пентесте тестирование проводится с целью нахождения уязвимостей, а в редтиминге - с целью проверки эффективности защиты системы, т.е. ее реакции на реальную атаку в реальных условиях. В таблице 1 представлены отличия этих двух подходов. [2]

Таблица 1. Отличия Pentest и Red Team.

 

Pentest

Red Team

Цель

Поиск уязвимостей

Оценка эффективности защиты системы

Основная задача

Найти слабые места и предложить рекомендации по улучшению безопасности

Проникнуть в систему и получить доступ к ценным данным

Подход

Работа в рамках ограниченных условий и договоренностей

Работа без ограничений, как настоящий злоумышленник

Методы

Используются известные уязвимости и атаки

Используются неизвестные уязвимости и новые методы атак

Результаты

Отчет о найденных уязвимостях и рекомендации по улучшению безопасности

Отчет о том, как удалось проникнуть в систему и какие данные были получены

Цена

Обычно дешевле, чем Red Team

Обычно дороже, чем Pentest

Еще одним отличием можно назвать то, что пентестеры следуют определенной методологии, их подход более структурирован. Red Team же используют комбинацию нескольких методологий, таких как MITRE ATT&CK, которая представляет собой ценный инструмент для создания реалистичных и эффективных сценариев атаки. Она позволяет создать полный план атаки, который включает в себя этапы начиная от фазы получения доступа и заканчивая обходом системы защиты. Также существует стандарт PTES, который может использоваться как методология, которая помогает команде Red Team организовать свою работу и обеспечить ее эффективность, а также может помочь команде определить, какие инструменты и технологии использовать в каждом шаге процесса тестирования на проникновение. Еще одна методология это OWASP. Red Team, в свою очередь, использует OWASP как методологическую основу для проведения тестирования на проникновение веб-приложений. Они могут использовать инструменты OWASP, такие как Burp Suite, для обнаружения уязвимостей веб-приложений и других систем [3].

Проведение редтиминга (red teaming) - это сложный процесс, который требует тщательной подготовки и планирования. Вот некоторые шаги, которые могут помочь в проведении редтиминга [4]:

  1. Определение целей и задач;
  2. Сбор информации о целевой организации, ее инфраструктуре, системах и процессах;
  3. Разработка плана атаки;
  4. Проведение атаки;
  5. Анализ результатов;
  6. Подготовка отчета.

Подход Red Team является обширным, поэтому помимо проведения тестирования сети и веб-приложений на проникновение также проводятся проверка физической безопасности на проникновение и проверка сотрудников. Ниже приведены сценарии некоторых атак:

Сценарий 1:

Атакующий начинает сбор информации о веб-приложении и его инфраструктуре, используя открытые источники информации, такие как поиск доменных имён, сканирование портов и т.д. Далее пытается найти уязвимости приложения, используя автоматические инструменты сканирования уязвимостей, такие как Burp Suite или OWASP ZAP. После обнаружения уязвимости, атакующий пытается использовать ее для получения доступа к приложению. Например, если приложение уязвимо к SQL-инъекциям, атакующий может использовать эту уязвимость для выполнения злонамеренного SQL-кода, чтобы получить доступ к базе данных приложения или взять под контроль веб-сервер. После получения доступа атакующий может установить вредоносное ПО на сервере приложения или использовать свои привилегии для дальнейшей эксплуатации системы. Атакующий старается не оставлять следов своей деятельности, таких как IP-адреса, логи, история командной строки, и т.д., чтобы оставаться незамеченным.

Это только один из многих возможных сценариев атаки, и каждый случай может иметь свои особенности в зависимости от приложения и инфраструктуры.

Сценарий 2:

Допустим, что цель - физический доступ к серверной комнате в офисе компании. Команда Red Team может использовать следующий сценарий атаки:

  1. Фишинг-атака на сотрудников компании: можно отправить электронное письмо от имени вымышленного сотрудника компании, содержащее вредоносную ссылку или вложение. Если сотрудник щелкнет по ссылке или откроет вложение, мы сможем получить доступ к его системе и использовать его учетные данные для получения доступа к другим системам в офисе.
  2. Подделка доступной метки доступа: если в компании используются метки доступа, можно попытаться подделать доступную метку, чтобы получить доступ к офису. Можно использовать фальшивую метку с помощью RFID-сканера, чтобы пройти через систему контроля доступа.
  3. Физический взлом замка: можно использовать инструменты для взлома замков, чтобы получить доступ к серверной комнате.
  4. Социальная инженерия: можно попытаться обмануть сотрудников компании, чтобы они позволили получить доступ к серверной комнате. Например, представиться технической поддержкой и попросить доступ к серверной комнате для проведения обслуживания.

Это только несколько примеров того, что может сделать команда Red Team при атаке на физический контур организации. Каждая организация имеет свои собственные уязвимости и риски, поэтому каждый сценарий атаки должен быть индивидуально разработан и адаптирован к конкретной организации.

Стоит отметить, что вместо использования стандартных инструментов для автоматизации тестирования на уязвимости, эксперты Red Team зачастую создают собственные инструменты или используют профессиональные инструменты, для того чтобы проверить сетевые области и приложения. Они также могут использовать техники социальной инженерии для тестирования пользовательской безопасности и обмана работников информационной безопасности. В таблице 2 были собраны утилиты, которыми злоумышленники пользуются в реальной жизни [5]:

Таблица 2. Утилиты для проведения Red Teaming.

Утилита

Описание

Nmap

Сканер портов и сетевых служб. Может быть использован для обнаружения уязвимостей в сети.

Metasploit

Фреймворк для тестирования на проникновение. Позволяет использовать известные уязвимости для получения доступа к системам.

Burp Suite

Инструмент для тестирования безопасности веб-приложений. Позволяет перехватывать и изменять трафик между браузером и сервером.

Wireshark

Анализатор сетевого трафика. Позволяет перехватывать и анализировать трафик для обнаружения уязвимостей.

Hydra

Инструмент для перебора паролей. Может использоваться для атак на SSH, FTP, Telnet и другие службы.

John the Ripper

Инструмент для взлома паролей. Может использоваться для взлома хэшей паролей различных форматов.

Social Engineering Toolkit (SET)

Инструмент с открытым исходным кодом, который объединяет множество заранее рассчитанных атак и техник для целей социальной инженерии.

Gophish

Набор инструментов для борьбы с фишингом с открытым исходным кодом, который позволяет организовать и провести фишинговые атаки и тренинги по повышению осведомленности о безопасности.

В целом, исследование подхода Red Team подтверждает, что использование таких методов является эффективным способом проверки безопасности корпоративных сетей и инфраструктуры. Сравнив данный подход с другими, можно сделать вывод, что Red Team обладает возможностью получения реалистичных результатов, что позволяет оценить реальный уровень защиты системы и принять меры по улучшению безопасности.

В заключение, тестирование Red Team является важным инструментом для оценки уровня безопасности системы и выявления уязвимостей. Все это делает Red Team необходимым инструментом для любой организации, которая ценит свою безопасность и хочет защититься от внешних угроз.

Список литературы

  1. Баранкова И.И., Михайлова У.В., Быкова Т.В. Сложности, возникающие при проведении аудита информационной безопасности на предприятии Вестник УрФО. Безопасность в информационной сфере. 2019. № 1 (31). С. 53-56.
  2. Тестирование на проникновение [Электронный ресурс]. Режим доступа: https://www.ptsecurity.com/ru-ru/services/pentest.
  3. Пентест VS Аудит безопасности [Электронный ресурс]. Режим доступа: https://habr.com/ru/articles/663280.
  4. Скабцов Н. Аудит безопасности информационных систем. – СПб.: Питер, 2018. – 272 с.
  5. Обзор инструментов для RedTeam [Электронный ресурс]. Режим доступа: https://itsecforu.ru/2022/09/13/red-team-tools.

Интересная статья? Поделись ей с другими: