Проект Red Team: организация, управление, скоуп. Колонка Дениса Макрушина

Содержание статьи

Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем защитник. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.

Именно для того, чтобы сгладить эту асимметрию, индустрия разделила ИБ-процессы на два полюса: оборонительные и наступательные. И раскрасила их в разные цвета — красный для атакующей стороны, синий — для защищающейся.

В этой статье на примере Red Team я расскажу об основных формальных и фактических различиях между командами, рассмотрю, с какими задачами сталкиваются их участники, и, возможно, даже помогу тебе определиться с «цветом», если ты только начинаешь свою карьеру в информационной безопасности или чувствуешь себя не на том месте.

Красная, синяя и пурпурная команды

Понятия Red Team и Blue Team пришли из традиционного военного ремесла, и суть этих терминов нисколько не изменилась. Blue Team в контексте кибербезопасности означает команду экспертов, задача которых — обеспечивать защиту инфраструктуры.

В предложенной информационным агентством Gartner архитектуре адаптивной безопасности задачи Blue Team делятся на следующие области:

  • Prevent — выстраивать систему защиты от уже известных атак;
  • Detect — выявлять новые (в том числе и ранее неизвестные) атаки и оперативно приоритизировать и обрабатывать инциденты;
  • Respond — вырабатывать ответные меры и политики реагирования на выявленные инциденты (на этом этапе крайне желательно, чтобы выявленные инциденты целой категорией отправлялись в блок Prevent);
  • Predict — прогнозировать появление новых атак с учетом меняющегося ландшафта угроз.

Последний пункт с технической точки зрения и привносит настоящий челлендж в работу защитников («Какое там прогнозирование, когда SIEM завален событиями и инциденты еще не разобраны?»). К этому блоку относятся мероприятия для оценки уровня защищенности, однако они же позволяют оценить эффективность процессов и на других стадиях.

Таким образом, задача Red Team сводится не к тому, чтобы «разнести» корпоративную инфраструктуру и доказать всем, что все плохо; суть ее — использовать анализ защищенности в качестве конструктивной меры для оценки процессов и помощи Blue Team в их улучшении.

Во многих организациях, где процессы ИБ еще недостаточно зрелые либо бюджеты не позволяют расширять штат безопасников, задачи оценки защищенности решают специалисты Blue Team. А вот в крупных компаниях наступательные мероприятия передали Red Team. Это разделение, в частности, позволяет бизнесу эффективно оценивать бюджеты на информационную безопасность.

Изредка встречаются крупные компании, которые добавляют еще и команду Purple Team. Ее основная задача — в повышении эффективности взаимодействия синей и красной команд. «Пурпурные» эксперты помогают другим командам дружить, позволяя синей команде разрабатывать стратегию и технические меры для защиты инфраструктуры на основе обнаруженных красной командой уязвимостей и недостатков. Однако, если между Blue Team и Red Team налажена эффективная коммуникация, необходимость в Purple Team вызывает сомнения.

Еще раз подчеркну. Цель всех этих команд — повышение уровня защищенности инфраструктуры. При этом:

  • Blue Team занята защитой инфраструктуры за счет реализации процессов адаптивной безопасности;
  • Red Team занимается эмуляцией действий атакующего, а также вырабатывает и реализует стратегии для оценки эффективности процессов защиты и непрерывно доставляет результаты команде Blue Team;
  • Purple Team, если она есть, вырабатывает эффективные меры для Blue Team с учетом экспертизы Red Team.

Выбирай свою пилюлю, исходя из личных интересов, но помни, что Red Team не означает «игры в хакеров» и какую-либо романтику. Более того, на мой взгляд, в задачах Blue Team куда больше реальных вызовов, потому что экспертам этой команды, в отличие от Red Team, надо быть начеку в режиме 24/7.

Выбери свою пилюлю, Нео, но помни, что результат должен быть одинВыбери свою пилюлю, Нео, но помни, что результат должен быть один

Виды наступательной безопасности

Разобравшись с высокоуровневыми целями команд, представляем себе, что выбрали красную пилюлю. Рассмотрим задачи Red Team в контексте всех мероприятий, связанных с наступательной безопасностью.

Хайп вокруг услуг Red Teaming, который одно время наблюдался в индустрии, постепенно проходит. Считалось, что красные команды якобы намного эффективнее и дороже пентестов, а их работа сложнее. Не ведись! Эти процессы преследуют разные цели в рамках одной общей задачи — повышения уровня защищенности. Они решают разные технические задачи и, соответственно, не взаимозаменяемы. Напротив, эти активности должны на определенных этапах дополнять друг друга.

Существует много видов процессов наступательной безопасности, и у каждого свои задачи. Здесь и Vulnerability Assessment, и Penetration Testing, и Red Teaming. Чаще всего их отличия заключаются в скоупе, глубине продвижения при анализе защищенности и показателях, которые будут использоваться Blue Team для выработки защитных мер.

Виды наступательных мероприятий и их скоуп (источник — Threatexpress)Виды наступательных мероприятий и их скоуп (источник — Threatexpress)

Vulnerability Assessment проводится для оценки поверхности атаки и зачастую неплохо выполняется внутренними подразделениями (in-house), например силами Blue Team. В качестве примера категории таких работ можно привести инструментальное сканирование на уязвимости с последующей ручной верификацией обнаруженных проблем.

При этом для точной оценки рисков информации об уязвимостях оказывается недостаточно, так как большое значение имеет контекст, в которых эти уязвимости находятся. Например, уязвимость на рабочей станции сотрудника HR-департамента может привести к утечке нескольких файлов с зарплатами сотрудников, в то время как эта же уязвимость на рабочей станции рядового системного администратора грозит компрометацией доменного контроллера, с последующей установкой бэкдоров и возможностью непрерывной кражи важной для бизнеса информации.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Читать новость в источнике Xakep

0