Red Teaming operations aneb povolení krást, lhát a podvádět

24. 11. 2022

 

Jakkoli na Západě už je považovaná za standard, v České republice patří služba Red Teaming Operations stále ještě k těm méně běžným. Jedná se o komplexní způsob testování, které dokáže věrně simulovat nebezpečné útoky nejen na technologie a procesy ve firmě, ale i na její zaměstnance a fyzické prostředí. A to za pomoci dost nestandardních metod. Jakkoli na Západě už je považovaná za standard, v České republice patří služba Red Teaming Operations stále ještě k těm méně běžným. Jedná se o komplexní způsob testování, které dokáže věrně simulovat nebezpečné útoky nejen na technologie a procesy ve firmě, ale i na její zaměstnance a fyzické prostředí. A to za pomoci dost nestandardních metod. 

Je čas oběda a kanceláře nejmenované firmy se vylidňují. Jeden ze zaměstnanců si při odchodu všimne, že před zabezpečeným vstupem do datového centra postává doručovatel s rozměrnou krabicí s novým monitorem. Zaměstnanec se rychle vrátí a pouští chlapíka dovnitř. Jakmile je muž z dohledu, odhodí prázdnou krabici a pustí se do „práce“. Firemní server právě mění majitele.

KAŽDÝ ÚSPĚŠNÝ PODRAZ SE POČÍTÁ

Obcházejí ochrany a prolamují kódy. Lidé z Red Teamu se vydávají za řemeslníky, doručovatele nebo obchodní partnery. Během oběda odposlouchávají hovory, aby získané informace následně šikovně využili. Procházejí osobní profily na sociálních sítích, probírají se firemními odpadky, rozbíjejí okénka u aut, aby se dostali k cizímu odloženému notebooku…

Říká se jim Red Teaming Operations a v České republice je umí poskytnout jen pár povolaných včetně cybersecurity týmu Aricomy. Tato služba dokáže velice věrně simulovat útoky, a to nejen na technologie a procesy, ale i na lidi a fyzické prostředí klienta. A je to právě testování fyzického zabezpečení organizace, které ze všeho nejvíc připomíná bojové cvičení.

Proč vlastně jedná Red Team tak extrémně ofenzivně? Na počátku obvykle stojí snaha vedení firmy poctivě nahlédnout reálnou úroveň zabezpečení společnosti.

PROČ PROLAMOVAT KÓDY, KDYŽ MŮŽU UKRÁST SERVER

Většina organizací chápe problematiku zabezpečení svých systémů a dat především jako otázku nasazení odpovídajících technologií a postupů. Zodpovědné firmy tak dnes pravidelně skenují za pomoci automatizovaných nástrojů své zranitelnosti, aby prověřily co nejširší škálu používaných zařízení. Tento přístup však nejde příliš do hloubky, proto se zájemci často obracejí na poskytovatele sofistikovanějších služeb, například penetračních testů.

Jejich smyslem je prostřednictvím simulovaných útoků detekovat co nejvíce zranitelností. Experti při nich cílí na nalezení chyb v aplikacích či v infrastruktuře firmy a kontrolují úroveň jejich zabezpečení. Přesto je třeba mít na paměti, že se jedná o čistě metodický přístup, který nedokáže otestovat absolutní reálnou připravenost a pomoci firmě čelit pokročilým kybernetickým hrozbám.

A proto je tu ještě třetí možnost, ta nejkomplexnější. Totiž přijmout fakt, že bezpečnost firmy ovlivňují vedle technologií a procesů i takové faktory, jako jsou lidé se svými nedostatky nebo fyzické prostředí společnosti. Kyberzločinci nepřemýšlejí výhradně v rovině prolamování kódů a obcházení technologií. Někdy si raději počkají na správnou chvilku, vejdou do místnosti a vyškubnou server.

VZDĚLÁNÍ? PH.D. PRACOVNÍ NÁPLŇ? DUMSTER DIVING

Na začátku red teamingové spolupráce stojí na jedné straně zájem firmy a na druhé straně seriózní poskytovatel odpovídajících služeb. Díky tomu, že Aricoma dokáže red teamingové operace přizpůsobit na míru každé společnosti bez ohledu na její velikost či odvětví, není problém ujasnit si hned na počátku základní podmínky, včetně povolených postupů, a celý rozsah cvičení.

Za schválením akce stojí White Team, který tvoří úzká skupinka zasvěcených členů managementu společnosti. Simulovaný útok Red Teamu má za úkol prověřit jak kybernetickou a fyzickou bezpečnost, tak interní procesy a komunikaci Blue Teamu. To může být celá firma nebo jen nic netušící skupina security specialistů společnosti, jejichž pracovní náplní je detekovat útoky a provádět nutná protiopatření. 

Nastavení rámce toho, jaké postupy jsou při red teamingové operaci ještě přijatelné, je citlivá věc. Po dohodě s White Teamem lze rozbít okno u auta a ukrást z něj notebook, běžný je dumster diving, tedy přehrabování se v odpadu firmy. Právně, respektive eticky spornější případy red teamingových operací mohou zahrnovat dokonce i únos nebo snahu o navázání poměru s vytipovanou osobou za účelem přístupu k citlivým firemním informacím.

REÁLNÍ ÚTOČNÍCI KAŠLOU NA PRAVIDLA HRY

Ať už však White Team svolí k jakýmkoli postupům, může Red Team poté, co jsou vymezeny cíle, třeba infiltrace do budovy, kompromitace serverů, zcizení citlivých e-mailů a podobně, přistoupit k plánování akce. Ta začíná pečlivou přípravou, sběrem a vyhodnocováním informací, na jejichž základě jsou vypracovány finální vektory útoků.

V den D Red Team udeří, často na několika frontách, aby odvedl pozornost od útoku na hlavní cíle. Součástí této fáze je i detailní dokumentování a záznam všech aktivit. Hlavním smyslem operace není někoho nachytat, ale poskytnout cennou zpětnou vazbu, což se provádí jak prostřednictvím následného rozboru s Blue Teamem, tak podrobným souhrnným reportem.

Celý zhruba tříměsíční projekt končí prezentací výsledků operace pro management a předáním dokumentace v podobě odborné analýzy aktuálního stavu zabezpečení společnosti, včetně detailního výpisu všech aktivit umožňujících překonání stávajících obranných mechanismů. Stále častěji se totiž ukazuje, že jedna věc je disponovat špičkovými technologiemi určenými k zabezpečení infrastruktury firmy, jiná pak to, zda je společnost schopná adaptovat se na stále zákeřnější metody a taktiky útočníků.

Výroby čipů jsme se v Evropě zbavovali, teď ji těžko dostáváme zpět. Ale má to smysl

17. 9. 2024

„Čipový dluh si neseme už někdy od 70. let, Evropa se jejich výroby ráda zbavovala, protože je náročná na vodu i elektřinu. A teď to jen pomalu a těžko doháníme. Přitom čipů, a ještě těch sofistikovanějších než dnes, budeme potřebovat čím dál víc,“ říká Tomáš Pitner, profesor Fakulty informatiky Masarykovy univerzity a šéf výzkumného centra k situaci, v níž se ocitlo Česko i Evropa. Pomoct v tom mají mimo jiné nedávno avizované investice amerického Onsemi do výroby v Rožnově pod Radhoštěm. Ale v čem přesně?

Paula Januskiewicz: Rozumět infrastruktuře není totéž jako na ni umět útočit

31. 7. 2024

Množství kybernetických útoků nebude menší. Smiřme se s tím a braňme se. I tak by se dala shrnout slova Pauly Januszkiewicz, polské kyberbezpečnostní expertky, která na jaře vystoupila na Security 2024, výroční konferenci Aricomy věnované právě trendům v oblasti IT bezpečnosti. Januskiewicz, jejíž společnost CQURE už má po světě čtyři pobočky, mluvila o tom, proč firmy a instituce neumí útokům odolávat, jak získat víc odborníků i kam obor směřuje.