Red Teaming adalah simulasi serangan yang kompleks. Metodologi dan alat

Sumber: Acunetix



Red Teaming adalah simulasi kompleks serangan nyata untuk menilai keamanan siber sistem. "Tim merah" adalah sekelompok pentester (spesialis yang melakukan tes penetrasi). Mereka dapat dipekerjakan dari luar atau karyawan organisasi Anda, tetapi dalam semua kasus peran mereka sama - meniru tindakan penyusup dan mencoba menembus sistem Anda.



Selain "tim merah" dalam keamanan siber, ada sejumlah lainnya. Misalnya Tim Biru bekerja sama dengan Tim Merah, namun kegiatannya ditujukan untuk meningkatkan keamanan infrastruktur sistem dari dalam. Tim Ungu adalah penghubung, membantu dua tim lainnya mengembangkan strategi dan pertahanan ofensif. Namun, redtiming adalah salah satu metode manajemen keamanan siber yang paling tidak dipahami, dan banyak organisasi masih enggan menggunakan praktik ini.

Dalam artikel ini, kami akan menjelaskan secara detail apa yang ada di balik konsep Red Teaming, dan bagaimana menerapkan simulasi komprehensif serangan dunia nyata dapat membantu meningkatkan keamanan organisasi Anda. Tujuan artikel ini adalah untuk menunjukkan bagaimana metode ini dapat meningkatkan keamanan sistem informasi Anda secara signifikan.

Tim Merah: ikhtisar

Meskipun saat ini tim "merah" dan "biru" dikaitkan terutama dengan bidang teknologi informasi dan keamanan siber, konsep ini diciptakan oleh militer. Secara umum, di ketentaraan saya pertama kali mendengar tentang konsep ini. Pekerjaan seorang analis keamanan siber pada 1980-an sangat berbeda dari saat ini: akses ke sistem komputer terenkripsi jauh lebih dibatasi daripada sekarang.



Jika tidak, pengalaman pertama saya dengan game perang - memodelkan, mensimulasikan, dan mengatur interaksi - sangat mirip dengan proses simulasi serangan kompleks saat ini, yang telah tersebar luas dalam keamanan siber. Saat ini, perhatian besar telah diberikan pada penggunaan teknik rekayasa sosial untuk membujuk karyawan agar memberikan akses ilegal "musuh" ke sistem militer. Oleh karena itu, meskipun metode teknis untuk simulasi serangan telah berkembang secara signifikan sejak 1980-an, perlu dicatat bahwa banyak alat utama pendekatan permusuhan, dan terutama teknik rekayasa sosial, sebagian besar tidak bergantung pada platform.



Nilai inti dari simulasi serangan dunia nyata yang kompleks juga tetap tidak berubah sejak 1980-an. Dengan mensimulasikan serangan pada sistem Anda, lebih mudah bagi Anda untuk menemukan kerentanan dan memahami bagaimana kerentanan tersebut dapat dieksploitasi. Meskipun dulunya digunakan terutama oleh peretas topi putih dan profesional keamanan siber yang mencari kerentanan melalui pengujian penetrasi, sekarang ia memiliki kegunaan yang lebih luas dalam keamanan siber dan bisnis.



Kunci untuk membentuk kembali tim adalah memahami bahwa pada kenyataannya Anda tidak bisa mendapatkan gambaran tentang keamanan sistem Anda sampai mereka diserang. Dan daripada mengekspos diri Anda pada serangan dari penyerang sungguhan, jauh lebih aman untuk mensimulasikan serangan seperti itu menggunakan "perintah merah".

Kasus Penggunaan Tim Merah

Cara mudah untuk memahami dasar-dasar pengalihan adalah dengan melihat beberapa contoh. Inilah dua di antaranya:

• Skenario 1: Bayangkan bahwa uji penetrasi dilakukan di situs layanan pelanggan dan verifikasi berhasil. Tampaknya ini menunjukkan bahwa semuanya beres. Namun, kemudian, sebagai hasil dari simulasi serangan yang kompleks, tim merah menemukan bahwa meskipun aplikasi layanan pelanggan itu sendiri sudah berfungsi, fungsi obrolan pihak ketiga tidak dapat mengidentifikasi orang secara akurat, dan ini memungkinkan untuk mengelabui perwakilan layanan pelanggan agar mengubah alamat email mereka. di akun (sebagai akibatnya orang baru, penyerang, bisa mendapatkan akses).
• Skenario 2. Pentesting menemukan bahwa semua VPN dan kendali akses jarak jauh aman. Namun, kemudian perwakilan dari "tim merah" dengan bebas berjalan melewati konter check-in dan mengeluarkan laptop salah satu karyawan.

Dalam kedua kasus di atas, "tim merah" tidak hanya memeriksa keandalan masing-masing sistem, tetapi juga keseluruhan sistem secara keseluruhan untuk mengetahui adanya kelemahan.

Siapa yang butuh simulasi serangan kompleks?

Singkatnya, hampir semua perusahaan bisa mendapatkan keuntungan dari pengalihan. Seperti yang diperlihatkan dalam Laporan Risiko Data Global 2019 kami , sejumlah besar organisasi berada di bawah kepercayaan yang salah bahwa mereka memiliki kendali penuh atas data mereka. Kami menemukan, misalnya, bahwa, rata-rata, 22% folder perusahaan tersedia untuk setiap karyawan, dan 87% perusahaan memiliki lebih dari 1.000 file rahasia usang di sistem mereka.



Jika perusahaan Anda tidak berada dalam industri teknologi, sepertinya pengalihan tidak akan banyak membantu Anda. Tapi bukan ini masalahnya. Keamanan siber tidak hanya tentang melindungi informasi rahasia.



Penyerang sama-sama mencoba untuk mengambil alih teknologi terlepas dari industri perusahaannya. Misalnya, mereka mungkin berusaha mendapatkan akses ke jaringan Anda untuk menyembunyikan tindakan mereka untuk mengambil alih sistem atau jaringan lain di tempat lain di dunia. Dalam jenis serangan ini, data Anda tidak dibutuhkan oleh penyerang. Mereka ingin menginfeksi komputer Anda dengan malware untuk menggunakannya untuk mengubah sistem Anda menjadi sekelompok botnet.



Untuk perusahaan kecil, mungkin sulit menemukan sumber daya untuk melakukan pengalihan. Dalam kasus ini, masuk akal untuk melakukan outsourcing proses tersebut ke kontraktor eksternal.

Rekomendasi Tim Merah

Waktu dan frekuensi pengalihan yang optimal bergantung pada sektor tempat Anda bekerja dan kecanggihan alat keamanan siber Anda.



Secara khusus, Anda harus memiliki aktivitas otomatis seperti eksplorasi aset dan analisis kerentanan. Organisasi Anda juga harus menggabungkan teknologi otomatis dengan kendali manusia dengan melakukan pengujian penetrasi yang kuat secara teratur.

Setelah menyelesaikan beberapa siklus bisnis pengujian penetrasi dan mencari kerentanan, Anda dapat memulai simulasi komprehensif dari serangan nyata. Pada tahap ini, pengalihan akan memberi Anda manfaat yang nyata. Namun, mencoba melakukannya sebelum Anda menerapkan dasar-dasar keamanan siber tidak akan membuahkan hasil.



Sebuah tim peretas topi putih kemungkinan akan dapat menyusupi sistem yang tidak siap dengan begitu cepat dan mudah sehingga Anda memiliki terlalu sedikit informasi untuk mengambil tindakan lebih lanjut. Untuk mencapai dampak nyata, informasi yang diperoleh oleh "tim merah" harus dibandingkan dengan pengujian penetrasi dan kerentanan sebelumnya.

Apa itu Penetration Testing?

Simulasi kompleks dari serangan nyata (Red Teaming) sering disalahartikan dengan pengujian penetrasi (pengujian penetrasi) , tetapi kedua metode tersebut sedikit berbeda. Lebih tepatnya, pengujian penetrasi hanyalah salah satu metode pengalihan.



Peran pentester didefinisikan dengan cukup baik . Pekerjaan Pentester dibagi menjadi empat fase utama: perencanaan, penemuan informasi, serangan, dan pelaporan. Seperti yang Anda lihat, pentester melakukan lebih dari sekadar mencari kerentanan perangkat lunak. Mereka mencoba menempatkan diri pada posisi peretas, dan setelah mereka masuk ke sistem Anda, pekerjaan mereka yang sebenarnya dimulai.



Mereka menemukan kerentanan dan kemudian meluncurkan serangan baru berdasarkan informasi yang mereka terima, menavigasi melalui hierarki folder. Ini adalah perbedaan profesional pengujian penetrasi dari mereka yang dipekerjakan hanya untuk mencari kerentanan menggunakan perangkat lunak pemindaian port atau deteksi virus. Seorang pentester berpengalaman dapat menentukan:

• di mana peretas dapat mengarahkan serangan mereka;
• cara peretas akan menyerang;
• bagaimana pertahanan Anda akan berperilaku;
• skala kemungkinan pelanggaran.

Pengujian penetrasi berupaya mengidentifikasi kekurangan pada tingkat aplikasi dan jaringan, serta peluang untuk mengatasi hambatan keamanan fisik. Meskipun pengujian otomatis dapat mengungkap beberapa masalah keamanan siber, pengujian penetrasi manual juga memperhitungkan kerentanan bisnis terhadap serangan.

Tim Merah vs. pengujian penetrasi

Pengujian penetrasi tentu saja penting, tetapi ini hanya satu bagian dari keseluruhan aktivitas redtiming. Aktivitas "tim merah" memiliki tujuan yang jauh lebih luas daripada aktivitas pentester, yang sering kali sekadar mencari akses ke jaringan. Pengurangan sering kali melibatkan lebih banyak orang, sumber daya, dan waktu, karena Tim Merah menggali lebih dalam untuk sepenuhnya memahami tingkat sebenarnya dari risiko dan kerentanan dalam teknologi dan aset manusia dan fisik suatu organisasi.



Selain itu, ada perbedaan lainnya. Redteaming biasanya digunakan oleh organisasi dengan tindakan keamanan siber yang lebih matang dan canggih (meskipun dalam praktiknya tidak selalu demikian).



Biasanya, ini adalah perusahaan yang telah melakukan pengujian penetrasi dan memperbaiki sebagian besar kerentanan yang ditemukan, dan sekarang sedang mencari seseorang yang dapat kembali mencoba mengakses informasi rahasia atau membobol keamanan dengan cara apa pun.

Inilah mengapa redtiming bergantung pada tim ahli keamanan yang berfokus pada tujuan tertentu. Mereka menargetkan kerentanan internal dan menggunakan teknik rekayasa sosial elektronik dan fisik terhadap karyawan organisasi. Tidak seperti pentester, tim merah meluangkan waktu mereka selama serangan mereka, ingin menghindari deteksi, seperti yang dilakukan penjahat dunia maya sungguhan.

Keunggulan Tim Merah

Ada banyak keuntungan untuk mensimulasikan serangan dunia nyata secara komprehensif, tetapi yang terpenting, pendekatan ini memberikan gambaran yang komprehensif tentang tingkat keamanan siber organisasi. Proses simulasi serangan ujung-ke-ujung yang khas akan mencakup pengujian penetrasi (jaringan, aplikasi, ponsel, dan perangkat lain), manipulasi psikologis (komunikasi langsung di tempat, panggilan telepon, email, atau pesan teks dan obrolan), dan gangguan fisik ( memilih kunci, mendeteksi zona mati kamera keamanan, melewati sistem peringatan). Jika ada kerentanan dalam salah satu aspek sistem Anda ini, mereka akan terdeteksi.



Setelah kerentanan ditemukan, mereka dapat diperbaiki. Prosedur simulasi serangan yang efektif tidak berakhir saat kerentanan ditemukan. Setelah kelemahan keamanan teridentifikasi dengan jelas, Anda akan bekerja untuk memperbaikinya dan mengujinya kembali. Faktanya, pekerjaan sebenarnya biasanya dimulai setelah invasi Tim Merah, ketika Anda melakukan analisis forensik serangan dan mencoba mengurangi kerentanan yang ditemukan.



Selain dua manfaat utama ini, redtiming juga menawarkan sejumlah manfaat lainnya. Dengan demikian, "tim merah" dapat:

• mengidentifikasi risiko dan kerentanan terhadap serangan dalam aset informasi bisnis utama;
• mensimulasikan metode, taktik, dan prosedur penyerang nyata di lingkungan dengan risiko terbatas dan terkontrol;
• Menilai kemampuan organisasi Anda untuk mendeteksi, menanggapi, dan mencegah ancaman target yang kompleks
• merangsang interaksi yang erat dengan departemen keamanan informasi dan "tim biru" untuk memastikan mitigasi yang signifikan dan mengadakan seminar praktis yang komprehensif berdasarkan kerentanan yang ditemukan.

Bagaimana cara kerja Red Teaming?

Cara terbaik untuk memahami cara kerja pengalihan adalah dengan melihat bagaimana hal itu biasanya terjadi. Proses simulasi serangan kompleks yang khas terdiri dari beberapa tahap:

• Organisasi akan setuju dengan "tim merah" (internal atau eksternal) tujuan serangan. Misalnya, tujuan tersebut mungkin untuk mengambil informasi rahasia dari server tertentu.
• « » . , , - . .
• , XSS-. .
• , « » . .
• « » . .
• .

Nyatanya, seorang praktisi Tim Merah yang berpengalaman akan menggunakan berbagai metode berbeda untuk menyelesaikan setiap langkah ini. Namun, kesimpulan utama dari contoh di atas adalah bahwa kerentanan kecil dalam sistem individu dapat meningkat menjadi kegagalan yang dahsyat jika dirangkai bersama.

Apa yang harus diperhatikan saat merujuk pada "tim merah"?

Untuk mendapatkan hasil maksimal dari pengalihan Anda, Anda perlu mempersiapkan dengan hati-hati. Sistem dan proses yang digunakan oleh setiap organisasi berbeda, dan tingkat kualitas pengalihan dicapai bila ditujukan untuk menemukan kerentanan dalam sistem Anda. Untuk alasan ini, penting untuk mempertimbangkan sejumlah faktor:

Ketahui apa yang Anda cari

Pertama-tama, penting untuk memahami sistem dan proses apa yang ingin Anda uji. Anda mungkin tahu bahwa Anda ingin menguji aplikasi web, tetapi Anda tidak terlalu menyadari apa artinya ini sebenarnya dan apa sistem lain yang terintegrasi dengan aplikasi web Anda. Oleh karena itu, penting bagi Anda untuk memiliki pemahaman yang baik tentang sistem Anda sendiri dan memperbaiki kerentanan yang terlihat sebelum memulai simulasi komprehensif dari serangan nyata.

Ketahui jaringan Anda

Ini terkait dengan rekomendasi sebelumnya, tetapi lebih banyak tentang spesifikasi teknis jaringan Anda. Semakin baik Anda mengukur lingkungan pengujian, semakin akurat dan spesifik Tim Merah Anda.

Ketahui anggaran Anda

Pengaturan waktu merah dapat dilakukan pada level yang berbeda, tetapi simulasi berbagai serangan di jaringan Anda, termasuk rekayasa sosial dan gangguan fisik, bisa jadi mahal. Untuk alasan ini, penting untuk memahami berapa banyak yang dapat Anda belanjakan untuk cek semacam itu dan, karenanya, menguraikan cakupannya.

Ketahui tingkat risiko Anda

Beberapa organisasi mungkin mentolerir tingkat risiko yang cukup tinggi sebagai bagian dari prosedur bisnis standar mereka. Yang lain perlu membatasi tingkat risiko mereka ke tingkat yang lebih besar, terutama jika perusahaan beroperasi di industri yang diatur dengan ketat. Oleh karena itu, penting untuk fokus pada risiko yang benar-benar menjadi ancaman bagi bisnis Anda saat melakukan red-temp.

Tim Merah: alat dan taktik

Jika diterapkan dengan benar, tim merah akan meluncurkan serangan skala penuh di jaringan Anda menggunakan semua alat dan teknik yang digunakan oleh peretas. Ini termasuk antara lain:

• Pengujian Penetrasi Aplikasi - Bertujuan untuk mengidentifikasi kekurangan tingkat aplikasi seperti pemalsuan permintaan lintas situs, kekurangan entri data, manajemen sesi yang lemah, dan banyak lainnya.
• Pengujian Penetrasi Jaringan - Ditujukan untuk mengidentifikasi kelemahan pada jaringan dan tingkat sistem, termasuk kesalahan konfigurasi, kerentanan nirkabel, layanan tidak sah, dan banyak lagi.
• Pengujian Penetrasi Fisik - Menguji keefektifan dan kekuatan dan kelemahan kontrol keamanan fisik dalam kehidupan nyata.
• Rekayasa Sosial - bertujuan untuk mengeksploitasi kelemahan manusia dan sifat manusia, menguji kerentanan orang terhadap penipuan, persuasi, dan manipulasi melalui email phishing, panggilan telepon dan pesan teks, serta kontak fisik saat itu juga.

Semua hal di atas adalah komponen pengalihan. Ini adalah simulasi serangan multi-lapis yang dirancang untuk menentukan seberapa baik orang, jaringan, aplikasi, dan kontrol keamanan fisik Anda dapat menahan serangan dari penyerang nyata.

Pengembangan berkelanjutan dari metode Tim Merah

Sifat simulasi kompleks serangan dunia nyata, di mana tim merah mencoba menemukan kerentanan keamanan baru dan tim biru mencoba memperbaikinya, mengarah pada pengembangan metode yang konstan untuk pemeriksaan tersebut. Untuk alasan ini, sulit untuk menyusun daftar teknik redtiming modern yang mutakhir karena dengan cepat menjadi usang.



Oleh karena itu, sebagian besar pemarah akan menghabiskan setidaknya sebagian waktu mereka untuk meneliti kerentanan baru dan cara mengeksploitasinya, menggunakan banyak sumber daya yang disediakan oleh komunitas Tim Merah. Yang paling populer dari komunitas ini adalah:

• Pentester Academy — , -, , , , , .
• (Vincent Yiu) — « », .
• Twitter — , . #redteam #redteaming.
• (Daniel Miessler) — , , - « ». : « , » « , , ».
• Daily Swig -— -, PortSwigger Web Security. , — , , , - .
• (Florian Hansemann) — « » , « » .
• MWR labs — , . , Twitter , .
• (Emad Shanab) — « ». Twitter , « », SQL- OAuth.
• Mitre's Adversarial Tactics, Techniques and Common Knowledge (ATT & CK) — . , .
• The Hacker Playbook — , , , , . (Peter Kim) Twitter, .
• SANS Institute — . Twitter-, , SANS -.
• Red Team Journal. , , Red Teaming , , « ».
• , Awesome Red Teaming — GitHub, , Red Teaming. « », , .

« » — ?

Dengan begitu banyak tim warna-warni, mungkin sulit untuk menentukan jenis yang dibutuhkan organisasi Anda.



Salah satu alternatif tim merah, atau lebih tepatnya jenis tim lain yang dapat digunakan bersama dengan tim merah, adalah tim biru. Tim Biru juga menilai keamanan jaringan dan mengidentifikasi potensi kerentanan dalam infrastruktur. Namun, tujuannya berbeda. Tim jenis ini diperlukan untuk menemukan cara untuk mempertahankan, mengubah, dan menyusun kembali pertahanan untuk membuat respons insiden jauh lebih efektif.



Seperti tim merah, biru harus memiliki pengetahuan yang sama tentang taktik, teknik, dan prosedur penyerang untuk membuat strategi respons berdasarkan pada mereka. Namun, tanggung jawab Tim Biru tidak hanya sebatas bertahan dari serangan. Ini juga terlibat dalam memperkuat seluruh infrastruktur keamanan dengan menggunakan, misalnya, Sistem Deteksi Intrusi (IDS), yang menyediakan analisis berkelanjutan atas aktivitas yang tidak biasa dan mencurigakan.



Berikut beberapa langkah yang diambil oleh Tim Biru:

• audit keamanan, khususnya audit DNS;
• analisis log dan memori;
• analisis paket data jaringan;
• analisis data risiko;
• analisis jejak digital;
• rekayasa balik;
• Pengujian DDoS;
• pengembangan skenario untuk penerapan risiko.

Perbedaan antara tim merah dan biru

Pertanyaan umum bagi banyak organisasi adalah tim mana yang harus mereka gunakan - merah atau biru. Pertanyaan ini juga sering disertai dengan permusuhan persahabatan antara orang-orang yang bekerja "di sisi berlawanan dari barikade." Pada kenyataannya, tidak ada perintah yang berarti tanpa yang lain. Jadi jawaban yang benar untuk pertanyaan ini adalah kedua tim itu penting.



Serangan "tim merah" dan digunakan untuk menguji kesiapan "tim biru" untuk pertahanan. Terkadang tim merah dapat menemukan kerentanan yang sepenuhnya diabaikan oleh tim biru, dalam hal ini tim merah harus menunjukkan bagaimana kerentanan ini dapat diperbaiki.



Kedua tim harus bekerja sama melawan penjahat dunia maya untuk memperkuat keamanan informasi.



Untuk alasan ini, tidak masuk akal untuk memilih hanya satu sisi atau berinvestasi hanya dalam satu jenis tim. Penting untuk diingat bahwa tujuan kedua belah pihak adalah untuk mencegah kejahatan dunia maya.

Dengan kata lain, perusahaan perlu menjalin kerjasama timbal balik antara kedua tim untuk menyediakan audit yang komprehensif - dengan log semua serangan dan pemeriksaan yang dilakukan, catatan fitur yang ditemukan.



Tim merah memberikan informasi tentang operasi yang mereka lakukan selama simulasi serangan, dan tim biru tentang tindakan yang mereka ambil untuk mengisi celah dan memperbaiki kerentanan yang ditemukan.



Pentingnya kedua tim tidak bisa dianggap remeh. Tanpa audit keamanan yang berkelanjutan, pengujian penetrasi, dan peningkatan infrastruktur, perusahaan tidak akan mengetahui status keamanan mereka sendiri. Setidaknya sampai kebocoran data terjadi dan menjadi sangat jelas bahwa tindakan keamanan tidak cukup.

Apa itu Tim Ungu?

Tim Ungu adalah hasil dari upaya untuk menggabungkan tim Merah dan Biru. Tim Ungu adalah sebuah konsep dan bukan jenis tim yang terpisah. Paling baik dilihat sebagai kombinasi dari tim merah dan biru. Dia melibatkan kedua tim, membantu mereka bekerja sama.



Team Purple dapat membantu organisasi keamanan meningkatkan deteksi kerentanan, pemindaian ancaman, dan pemantauan jaringan dengan membuat model skenario ancaman umum secara akurat dan membantu menciptakan metode baru untuk mendeteksi dan mencegah ancaman.



Beberapa organisasi menggunakan "tim ungu" untuk satu kegiatan bertarget yang dengan jelas mendefinisikan tujuan keselamatan, jadwal, dan hasil utama. Ini termasuk mengenali kekurangan dalam serangan dan pertahanan, dan menentukan kebutuhan pelatihan dan teknologi di masa depan.



Pendekatan alternatif yang sekarang mendapatkan daya tarik adalah dengan melihat Tim Ungu sebagai model konseptual yang bekerja di seluruh organisasi untuk mendorong budaya keamanan siber dan peningkatan berkelanjutan.

Kesimpulan

Red Teaming, atau Comprehensive Attack Simulation, adalah metode yang ampuh untuk menguji kerentanan keamanan organisasi, tetapi harus digunakan dengan hati-hati. Secara khusus, untuk menggunakannya, Anda harus memiliki sarana perlindungan keamanan informasi yang cukup berkembang , jika tidak maka mungkin tidak memenuhi harapan yang ditempatkan padanya.

Red-temping dapat mengungkapkan kerentanan di sistem Anda yang tidak pernah Anda bayangkan, dan membantu memperbaikinya. Dengan mengadopsi pendekatan permusuhan antara tim biru dan merah, Anda dapat mensimulasikan tindakan peretas sejati jika dia ingin mencuri data Anda atau merusak aset Anda.