Bez obaw nie będzie o polityce, tym razem skupimy się na tym czym jest Red Team w organizacji.
W świecie bezpieczeństwa kolorem czerwonym określa się tych złych, tych których musimy się obawiać, z którymi musimy walczyć, czy też których działania musimy blokować.
Red Team w organizacji odgrywa rolę naszych wrogów. Tych którzy próbują wykradać nasze informacje, czy też paraliżować jej pracę. Ich praca mimo, iż mało znana i często powodująca napięcia wewnątrz organizacji jest jednak bardzo potrzebna.
W obecnych czasach bardzo często Red Team kojarzy się z działaniami cyber, a pomijane są inne aspekty jego działaności.
Dlatego w tym wpisie skupimy się na tych "innych" działaniach zespołu Red Team.
Na początku podzielę się własnymi spostrzeżeniami. W branży jestem ponad 20 lat, pracowałem dla wielu najwiekszych korporacji świata, jednak na palcach jednej ręki mogę policzyć, te które mają profesjonalny program Red Team.
Jak wyglada taki kompleksowy program Red Team?
Są dwa modele budowy tego programu:
- wewnętrzny
- zewnętrzny
Model wewnętrzny charakteryzuje się tym, iż cały zespół Red Team budowany jest w oparciu o własne zasoby organizacji.
Plusem tego rozwiązania jest, iż całe know how, a także ryzyka związane z działaniami Red Team zostają wewnątrz organizacji. Minusem natomiast są koszty związane z istnieniem tego zespołu, zwłaszcza jeżeli mówimy o organizacji, która działa globalnie mając biura na całym świecie.
W tym modelu, roboczo nazwijmy to "od pomysłu do wykonania" działania są podejmowane przez zespół security, jaki pracuje wewnątrz organizacji.
Model zewnętrzny natomiast charakteryzuje się tym, iż część operacyjna w terenie jest wykonywana przez autoryzowanego partnera security. Wspomniany parter realizuje wcześniej zatwierdzone działania i zawsze po ich wykonaniu przesyła do organizacji pełen raport z wykonanej pracy.
Jakie są najczęstsze cele działań Red Team:
- Testy penetracyjne, to testy mające na celu przedostanie się niepostrzeżenie do naszych kluczowych lokalizacji, czy też miejsc ważnych z punktu widzenia bezpieczeństwa organizacji (serwerownie, biura, magazyny, itp)
- Zbieranie informacji, informacja to waluta XXI wieku, nikogo nie trzeba o tym przekonywać. Każda organizacja strzeże starannie swoich sekretów, które konkurencja chce wykraść.
- Ataki socjotechniczne, ten punkt jest ściśle powiązany z poprzednim. Phishing czy spoofing, to tylko mała część tego co jest stosowane. Tutaj ogranicza nas tylko wyobraźnia.
- Kontrola jakości, wbrew pozorom to ważna część działań Red Team. Członkowie zespołów mogą realnie kontrolować jakość działań w organizacji.
Teraz trochę o procedurach i strukturze.
- Procedury:
Nawet Red Team musi działać w oparciu o jasne wytyczne, tak by nie powodować szkód i nie narażać się (a co ważniejsze organizacji, dla której wykonuje zadania) na konsekwencje prawne.
Musimy pamiętać, iż zespoły Red Team pracują w różnych systemach ustawodawczych, więc znajomość krajowego prawa jest kluczowa.
Nie ma większej katastrofy niż wyciąganie z aresztu członków Red Team w świetle kamer.
Takie działania nie tylko świadczą o słabym przygotowaniu zespołu, ale także narażają na szkody wizerunkowe organizację, dla której pracują.
To wszystko sprawia, iż dział Red Team powinien mieć ścisłe procedury, których muszą bezwzględnie przestrzegać.
Oczywiście zawsze istnieje zagrożenie tzw. wpadki i na taką okoliczność także należy być przygotowanym, ale po to właśnie są procedury ratunkowe.
- Struktura
Jakie specjalności możemy spotkać w profesjonalnym dziale Red Team:
- profilerów
- hakerów
- prawników
- ludzi z doświadczeniem w pracy w terenie (obserwacja, łatwość nawiązywania znajomości)
- analityków (analiza zdjęć, map, dokumentów)
- osoby tworzące scenariusze działań oraz procedury
- socjotechników
- techników (odpowiedzialni za przygotowanie naszego sprzętu specjalnego)
- inne (w zależności od profilu organizacji)
Jak widzimy dział Red Team jest jednym z najbardziej zróżnicowanych w całej organizacji, dysponujący zespołem o wielorakich, a jednocześnie unikalnych umiejętnościach.
Omówiliśmy modele budowy, cele, procedury, strukturę, czas teraz na przykładowy scenariusz.
Specjalnie nie opiszę go dokładnie, a tylko wskażę najważniejsze etapy operacji:
- Zdefiniowanie celu ataku (miejsce, co chcemy osiągnąć, co jest sukcesem a co porażką).
- Rozpoznanie celu (zebranie kluczowych informacji o celu).
- Przygotowanie kilku/kilkunastu scenariuszy ataku na cel zgodnych z założeniami.
- Analiza scenariuszy (pod kątem ryzyk reputacyjnych oraz szans na sukces).
- Wybór scenariusza/scenariuszy ataku i zgodna na niego.
- Przygotowania/logistyka
- Atak/ataki na wybrany cel.
- Raport końcowy zawierający szczegółowy opis ataku, co udało się uzyskać w przypadku sukcesu lub dlaczego doszło do porażki.
Jak widzimy praca Red Team jest skomplikowana i kosztowna.
Jednak duże i odpowiedzialne organizacje od lat budują i rozwijają swoje kompetencje w zakresie wspomnianych działań.
Na zakończenie wyjaśnienie po co to wszystko, i czy warto.
Zawsze twierdzę, iż każdy system bezpieczeństwa jest tak dobry, jak jego najsłabsze ogniwo.
Jeśli ono zawiedzie to nasza organizacja będzie narażona na utratę tego co najcenniejsze, a co daje jej przewagę nad konkurencją.
Zadanie Red Team to wyszukiwać te najsłabsze części naszego systemu bezpieczeństwa poprzez realne działania.
To dzięki pracy Red Team mamy szanse stale doskonalić i rozwijać system bezpieczeństwa w naszej organizacji, tak by ona niczym statek pokonywała wszelkie niebezpieczne burze.
Czy warto to robić?
Odpowiem cytatem nawiązując do powyższego porównania.
"Stojący w porcie statek jest bezpieczny, ale statków nie buduje się po to by stały w portach"
Grace Hopper
PS Osoby zainteresowane pracą Red Team zapraszam do dyskusji.
