Je čas oběda a kanceláře nejmenované firmy se vylidňují. Jeden ze zaměstnanců si při odchodu všimne, že před zabezpečeným vstupem do datového centra postává doručovatel s rozměrnou krabicí s novým monitorem. Zaměstnanec se rychle vrátí a pouští chlapíka dovnitř. Jakmile je muž z dohledu, odhodí prázdnou krabici a pustí se do „práce“. Firemní server právě mění majitele.

KAŽDÝ ÚSPĚŠNÝ PODRAZ SE POČÍTÁ

Obcházejí ochrany a prolamují kódy. Lidé z Red Teamu se vydávají za řemeslníky, doručovatele nebo obchodní partnery. Během oběda odposlouchávají hovory, aby získané informace následně šikovně využili. Procházejí osobní profily na sociálních sítích, probírají se firemními odpadky, rozbíjejí okénka u aut, aby se dostali k cizímu odloženému notebooku…

Říká se jim Red Teaming Operations a v České republice je umí poskytnout jen pár povolaných včetně cybersecurity týmu Aricomy. Tato služba dokáže velice věrně simulovat útoky, a to nejen na technologie a procesy, ale i na lidi a fyzické prostředí klienta. A je to právě testování fyzického zabezpečení organizace, které ze všeho nejvíc připomíná bojové cvičení.

Proč vlastně jedná Red Team tak extrémně ofenzivně? Na počátku obvykle stojí snaha vedení firmy poctivě nahlédnout reálnou úroveň zabezpečení společnosti.

PROČ PROLAMOVAT KÓDY, KDYŽ MŮŽU UKRÁST SERVER

Většina organizací chápe problematiku zabezpečení svých systémů a dat především jako otázku nasazení odpovídajících technologií a postupů. Zodpovědné firmy tak dnes pravidelně skenují za pomoci automatizovaných nástrojů své zranitelnosti, aby prověřily co nejširší škálu používaných zařízení. Tento přístup však nejde příliš do hloubky, proto se zájemci často obracejí na poskytovatele sofistikovanějších služeb, například penetračních testů.

Jejich smyslem je prostřednictvím simulovaných útoků detekovat co nejvíce zranitelností. Experti při nich cílí na nalezení chyb v aplikacích či v infrastruktuře firmy a kontrolují úroveň jejich zabezpečení. Přesto je třeba mít na paměti, že se jedná o čistě metodický přístup, který nedokáže otestovat absolutní reálnou připravenost a pomoci firmě čelit pokročilým kybernetickým hrozbám.

A proto je tu ještě třetí možnost, ta nejkomplexnější. Totiž přijmout fakt, že bezpečnost firmy ovlivňují vedle technologií a procesů i takové faktory, jako jsou lidé se svými nedostatky nebo fyzické prostředí společnosti. Kyberzločinci nepřemýšlejí výhradně v rovině prolamování kódů a obcházení technologií. Někdy si raději počkají na správnou chvilku, vejdou do místnosti a vyškubnou server.

VZDĚLÁNÍ? PH.D. PRACOVNÍ NÁPLŇ? DUMSTER DIVING

Na začátku red teamingové spolupráce stojí na jedné straně zájem firmy a na druhé straně seriózní poskytovatel odpovídajících služeb. Díky tomu, že Aricoma dokáže red teamingové operace přizpůsobit na míru každé společnosti bez ohledu na její velikost či odvětví, není problém ujasnit si hned na počátku základní podmínky, včetně povolených postupů, a celý rozsah cvičení.

Za schválením akce stojí White Team, který tvoří úzká skupinka zasvěcených členů managementu společnosti. Simulovaný útok Red Teamu má za úkol prověřit jak kybernetickou a fyzickou bezpečnost, tak interní procesy a komunikaci Blue Teamu. To může být celá firma nebo jen nic netušící skupina security specialistů společnosti, jejichž pracovní náplní je detekovat útoky a provádět nutná protiopatření. 

Nastavení rámce toho, jaké postupy jsou při red teamingové operaci ještě přijatelné, je citlivá věc. Po dohodě s White Teamem lze rozbít okno u auta a ukrást z něj notebook, běžný je dumster diving, tedy přehrabování se v odpadu firmy. Právně, respektive eticky spornější případy red teamingových operací mohou zahrnovat dokonce i únos nebo snahu o navázání poměru s vytipovanou osobou za účelem přístupu k citlivým firemním informacím.

REÁLNÍ ÚTOČNÍCI KAŠLOU NA PRAVIDLA HRY

Ať už však White Team svolí k jakýmkoli postupům, může Red Team poté, co jsou vymezeny cíle, třeba infiltrace do budovy, kompromitace serverů, zcizení citlivých e-mailů a podobně, přistoupit k plánování akce. Ta začíná pečlivou přípravou, sběrem a vyhodnocováním informací, na jejichž základě jsou vypracovány finální vektory útoků.

V den D Red Team udeří, často na několika frontách, aby odvedl pozornost od útoku na hlavní cíle. Součástí této fáze je i detailní dokumentování a záznam všech aktivit. Hlavním smyslem operace není někoho nachytat, ale poskytnout cennou zpětnou vazbu, což se provádí jak prostřednictvím následného rozboru s Blue Teamem, tak podrobným souhrnným reportem.

Celý zhruba tříměsíční projekt končí prezentací výsledků operace pro management a předáním dokumentace v podobě odborné analýzy aktuálního stavu zabezpečení společnosti, včetně detailního výpisu všech aktivit umožňujících překonání stávajících obranných mechanismů. Stále častěji se totiž ukazuje, že jedna věc je disponovat špičkovými technologiemi určenými k zabezpečení infrastruktury firmy, jiná pak to, zda je společnost schopná adaptovat se na stále zákeřnější metody a taktiky útočníků.