Wykazanie komitetowi wykonawczemu, co cyberatak może spowodować w konkretnym przypadku, to ofensywne podejście do bezpieczeństwa systemów informatycznych, które stało się niezbędne do oceny i poprawy ogólnego systemu bezpieczeństwa.
PENTEST I RED TEAM: JAKIE SĄ RÓŻNICE?
Testy penetracyjne (pentesty) to obecnie najczęściej stosowane podejście ofensywne. Szybko zapewniają konkretną ocenę poziomu bezpieczeństwa ograniczonego perymetru. Umożliwiają wykrycie luk technicznych, ocenę możliwości ich wykorzystania oraz ujawnienie zagrożeń, jakie mogą wywołać.
Ćwiczenia Red Team oferują bardziej kompleksowe podejście: służą do oceny ogólnego bezpieczeństwa podmiotu w celu wykrycia obecności technicznych i nietechnicznych luk, a także do oceny zdolności wykrywania i reagowania zespołów obronnych (Blue Team).
TESTY PENETRACYJNE: JAK DZIAŁAJĄ?
Istnieje wiele sprawdzonych podręczników i wzorców dla testów penetracyjnych. Są one dostosowane do różnych typów istniejących perymetr (OSSTMM, OWASP, NIST, PASSI…). Zaproponowana przez nie metodologia przebiega według podobnego schematu: testy penetracyjne definiowane są w oparciu o konkretny perymetr, który ma być testowany, i realizują jeden lub kilka scenariuszy ataku. Definiuje się różne poziomy warunków wstępnych związanych z tymi scenariuszami w celu uzyskania znaczenia i, w miarę możliwości, lepszego zapewnienia warunków ich realizacji (terminy, zasoby).
Na przykład test może rozpocząć się od fazy „black bo”, w której pentesterzy symulują atakującego bez żadnych informacji na temat celu, a następnie przejść do fazy „grey box”, w której symulują atakującego, któremu udało się uzyskać warunki wstępne, takie jak konto użytkownika z uprawnieniami do dostępu do audytowanego perymetru. Testowanie odbywa się poprzez sekwencję faz badania podatności i faz eksploatacji. Te ostatnie umożliwiają kwalifikację wykrytych usterek oraz, w zależności od przypadku, rozszerzenie dostępnego perymetru.
Należy zaznaczyć, że podczas testu penetracyjnego, w trosce o skuteczność pentesterzy nie tracą czasu na ukrywanie swoich działań i pozostawanie poza zasięgiem radarów, jak zrobiłby to prawdziwy atakujący.
MISJA RED TEAM: JAK TO DZIAŁA?
Bibliografia metodologiczna
Działanie Red Team jest bez wątpienia stosunkowo nowe. Tak samo jak główne publikacje metodologiczne, które muszą dojrzeć. Jedną z pierwszych jest Cyber Red Teaming: Organisation, technical and legal implications in a military context, opublikowana przez Centrum Doskonalenia Cyberobrony NATO w 2015 roku. Przeznaczona jest do użytku wojskowego i trudno ją zastosować w innych kontekstach.
Pod koniec 2017 roku Nederlandsche Bank (Bank Centralny Holandii) opublikował raport TIBER: Threat Intelligence Based Ethical Red teaming, który w 2018 roku został wykorzystany przez EBC (Europejski Bank Centralny) w celu stworzenia TIBER-EU. Ten ostatni staje się głównym punktem odniesienia w tej dziedzinie. Choć początkowo stworzona dla sektora bankowego, metoda ta ma zastosowanie również w innych sektorach działalności. Jest skierowana głównie do dużych klientów.
Jedną z jej cech szczególnych jest z jednej strony nacisk na fazę poszukiwania informacji (Threat Intelligence), a z drugiej strony konieczność powierzenia jej realizacji zespołom zewnętrznym wobec audytowanego podmiotu. Cel: uniknięcie przekierowania informacji lub połączenia, które może mieć wewnętrzny zespół. Metoda TIBER-EU zakłada, że osoby odpowiedzialne za fazy wyszukiwania informacji i osoby odpowiedzialne za fazy ofensywne pochodzą z różnych grup.
Mechanizm ten nie zawsze jest idealny do tego, by zapewnić, że wyszukiwane dane są najbardziej istotne dla wykonania ataku, ani że zespół ofensywny będzie pamiętał o wszystkich informacjach zebranych podczas wykonywania ataku. Metoda obejmuje również konkretne działania, w tym spotkanie repliki scenariusza ćwiczenia, w którym zespół ofensywny (Red Team) i defensywny (Blue Team) wspólnie przeglądają wszystkie działania wykonane przez każdy z nich w całym procesie.
We współpracy z CREST Bank of England opublikował ostatnio CBEST Threat Intelligence-Led Assessments, metodę bardziej zorientowaną na bankowość niż TIBER-EU i szczególnie dostosowaną do prawa brytyjskiego.
Scenariusze ataków
Ćwiczenia Red Team są więc prowadzone przy użyciu jednej lub kilku z tych metod, w celu dostosowania do potrzeb i specyfikacji klientów. Są one definiowane przez cele krytyczne, podobne do tych, jakie stawiają sobie prawdziwi atakujący celujący w audytowaną jednostkę, takie jak odzyskanie poufnych danych związanych z ważnym projektem, dostęp do krytycznej funkcjonalności lub wdrożenie oprogramowania ransomware.
Obecnie, podobnie jak w przypadku prawdziwego atakującego, misja Red Teamu rozpoczyna się od fazy badania informacji o kliencie, w celu opracowania strategii ataku. Wśród sprawdzanych elementów znajdują się technologie wykorzystywane przez cel oraz interesariusze, którzy mają dostęp do celów, zwłaszcza poprzez techniki OSINT (Open Source Intelligence: Informacje ze źródeł otwartych). W zależności od uzyskanych danych opracowywany jest jeden lub kilka scenariuszy ataku.
Aby lepiej odwzorować rzeczywistość szkodliwych zachowań, scenariusze mogą obejmować fizyczne wtargnięcie, jak również techniki inżynierii społecznej, takie jak phishing. Preferowane są te, które najlepiej reprezentują kompromis pomiędzy efektywnością, złożonością i ryzykiem zlokalizowania. Gdy scenariusz jest przygotowany, rozpoczyna się faza ataku. Zwykle obejmuje jedno lub więcej wstępnych wtargnięć, po których następuje zbieranie informacji, badanie podatności, ruchy boczne i podnoszenie uprawnień. W tej fazie zespół atakujący poświęca tyle czasu, ile potrzeba na ukrycie tych działań, aby pozostać niewidocznym. W zależności od reakcji zespołów obronnych lub podmiotów będących celem ataków, dostosowuje swoje działania, by mimo wszystko spróbować osiągnąć swoje cele.
Aby jak najlepiej dostosować się do życzeń klienta, a także ograniczeń czasowych i budżetowych, niektóre etapy można pominąć. Zespół może np. wyeliminować fazę pozyskiwania informacji, wykorzystując scenariusz ataku dostarczony przez klienta. Istnieje jednak ryzyko przyjęcia strategii zbyt odległej od strategii prawdziwego atakującego. Choć nie jest to idealny scenariusz, możliwe jest również obejście początkowego wtargnięcia, zakładając, że atakujący z zewnątrz już przeniknął do sieci. Scenariusz rozpoczyna się wtedy bezpośrednio z sieci wewnętrznej. W tym przypadku niemożliwe jest jednak przetestowanie obrony perymetrycznej i związanych z nią detekcji.
Alternatywna opcja: zespoły ofensywne i defensywne współpracują w trakcie ćwiczenia. Ta wspólna praca, w którą zaangażowani są członkowie Blue i Red, nazywana jest zwykle Purple Team. Pozwala zespołom defensywnym na szybszy progres, jednak odbywa się to kosztem realizmu ataków, na który zwykle wpływają te interakcje. W tego typu praktyki często zaangażowane są tzw. wewnętrzne zespoły Red Team, szczególnie w przypadku dużych klientów o wysokich wyzwaniach w zakresie cyberbezpieczeństwa, mogą być one prowadzone na bieżąco oprócz ćwiczeń Red Team w ścisłym tego słowa znaczeniu.
Głównym rezultatem testu penetracyjnego jest raport, dzięki któremu klient otrzymuje ocenę poziomu bezpieczeństwa audytowanego perymetru, listę wykrytych podatności, a także zalecenia dotyczące poprawek. Dla każdej usterki pentesterzy przeprowadzają ocenę zgodnie ze standardem CVSSv3. Określa się ich stopień krytyczności oraz ryzyko związane z ich wykorzystaniem. W ten sposób klient jest w stanie określić plan działania, ustalając priorytety poprawek, które należy wprowadzić, aby podnieść swój poziom bezpieczeństwa.
W przypadku ćwiczeń Red Team dostarczony raport zawiera zestaw informacji uznanych za istotne, które mogą być zebrane w fazie wyszukiwania informacji, szczegółowy opis ewolucji ataku zawierający sukcesy i porażki, ewentualne wskaźniki narażenia (IOC), poprzez które atak powinien był zostać wykryty, sekwencje eksploracji według wzorca ATT&CK MITRE, a także listę znalezionych luk, podobnie jak w raportach z testów penetracyjnych. Spotkanie, w którym biorą udział przedstawiciele zespołów ofensywnych i defensywnych, ma na celu przejrzenie wszelkich aspektów, które mogły zostać wykryte lub zablokowane przez zespół defensywny i tym samym wyciągnięcie z nich jak największych wniosków.