Kaikki hakkerit eivät ole huonoja uutisia! Punaisen tiimin hakkerit yrittävät päästä tietoihisi, mutta altruistisissa tarkoituksissa...
Red teaming on tietokoneverkkojen, sovellusten ja järjestelmien testaamista, hyökkäämistä ja tunkeutumista niihin. Red teamers ovat eettisiä hakkereita, jotka organisaatiot palkkaavat testaamaan tietoturva-arkkitehtuuriaan. Punaisen tiimin perimmäinen tavoite on löytää – ja joskus aiheuttaa – ongelmia ja haavoittuvuuksia tietokoneesta ja hyödyntää niitä.
Miksi Red Teaming on tärkeää?
Organisaatiolle, jonka on suojeltava arkaluonteisia tietoja ja järjestelmiä, red teaming sisältää palkkaamisen kyberturvallisuusoperaattorit testaamaan, hyökkäämään ja tunkeutumaan sen tietoturva-arkkitehtuuriin ennen haittaohjelmia hakkerit tekevät. Suhteelliset kustannukset ystävyysotteluista hyökkäyksen simuloimiseksi ovat eksponentiaalisesti pienemmät kuin jos hyökkääjät tekevät.
Joten punaiset tiimiläiset näyttelevät pääasiassa ulkopuolisia hakkereita; vain heidän tarkoituksensa eivät ole ilkeitä. Sen sijaan operaattorit käyttävät hakkerointitemppuja, työkaluja ja tekniikoita haavoittuvuuksien löytämiseen ja hyödyntämiseen. He myös dokumentoivat prosessin, jotta yritys voi hyödyntää saatuja kokemuksia parantaakseen yleistä tietoturva-arkkitehtuuriaan.
Red Teaming on tärkeää, koska yrityksillä (ja jopa yksityishenkilöillä), joilla on salaisuuksia, ei ole varaa antaa vastustajille avaimet valtakuntaan. Ainakin rikkominen voi johtaa tulojen menetyksiin, noudattamisvirastojen sakkoihin, asiakkaiden luottamuksen menettämiseen ja julkiseen häpeään. Pahimmillaan kontradiktorinen rikkominen voi johtaa konkurssiin, yrityksen peruuttamattomaan romahtamiseen ja identiteettivarkaudet, jotka vaikuttavat miljooniin asiakkaisiin.
Mikä on esimerkki punaisesta tiimityöstä?
Red teaming on erittäin skenaariokeskeinen. Esimerkiksi musiikkituotantoyhtiö voi palkata punaisen joukkueen operaattoreita testata turvatoimia vuotojen estämiseksi. Operaattorit luovat skenaarioita, joissa on mukana ihmisiä, joilla on pääsy taiteilijoiden immateriaalioikeuksia sisältäviin tietolevyihin.
Tämän skenaarion tavoitteena voi olla sellaisten hyökkäysten testaaminen, jotka ovat tehokkaimmin vaarantaneet kyseisten tiedostojen käyttöoikeudet. Toinen tavoite voisi olla testata, kuinka helposti hyökkääjä voi liikkua sivusuunnassa yhdestä sisääntulokohdasta ja suodattaa varastettujen päätallenteiden ulkopuolelle.
Mitkä ovat punaisen joukkueen tavoitteet?
Punainen tiimi pyrkii löytämään ja hyödyntämään mahdollisimman monia haavoittuvuuksia lyhyessä ajassa jäämättä kiinni. Vaikka kyberturvallisuusharjoituksen todelliset tavoitteet vaihtelevat organisaatioittain, punaisilla tiimeillä on yleensä seuraavat tavoitteet:
- Mallina todellisia uhkia.
- Tunnista verkon ja ohjelmiston heikkoudet.
- Tunnista parannettavat alueet.
- Arvioi suojausprotokollien tehokkuus.
Miten Red Teaming toimii?
Red teaming alkaa, kun yritys (tai henkilö) palkkaa kyberturvallisuusoperaattoreita testaamaan ja arvioimaan heidän puolustustaan. Kun työ on palkattu, se käy läpi neljä sitoutumisvaihetta: suunnittelu, toteutus, desinfiointi ja raportointi.
Suunnitteluvaihe
Suunnitteluvaiheessa asiakas ja punainen tiimi määrittelevät toimeksiannon tavoitteet ja laajuuden. Täällä he määrittelevät valtuutetut kohteet (sekä harjoituksen ulkopuolelle jätetyt varat), ympäristön (fyysinen ja digitaalinen), toimeksiannon keston, kustannukset ja muun logistiikan. Molemmat osapuolet luovat myös harjoitusta ohjaavat sitoutumissäännöt.
Toteutusvaihe
Suoritusvaiheessa punaisen tiimin operaattorit käyttävät kaikkensa löytääkseen ja hyödyntääkseen haavoittuvuuksia. Heidän on tehtävä tämä salaisesti ja vältettävä joutumasta jumiutumaan kohteidensa olemassa oleviin vastatoimiin tai turvaprotokolliin. Punaiset tiimiläiset käyttävät erilaisia taktiikoita ATT&CK-matriisissa.
ATT&CK-matriisi sisältää puitteet, joita hyökkääjät käyttävät suojausarkkitehtuurien pääsyyn, pysymiseen ja läpikulkuun miten he keräävät tietoja ja ylläpitävät viestintää vaarantuneen arkkitehtuurin kanssa hyökkäys.
Joitakin tekniikoita he voivat käyttää sisältävät vartiohyökkäykset, sosiaalinen manipulointi, tietojenkalastelu, verkon nuuskiminen, valtuustietojen tyhjentäminen, ja portin skannaus.
Desinfiointivaihe
Tämä on siivousaika. Täällä punaisen joukkueen operaattorit sitovat löysät päät ja poistavat hyökkäyksensä jälkiä. Esimerkiksi tiettyjen hakemistojen käyttö voi jättää lokeja ja metatietoja. Punaisen joukkueen tavoitteena desinfiointivaiheessa on tyhjentää nämä lokit ja hankaa metatietoja.
Lisäksi ne myös kumoavat toteutusvaiheessa turvallisuusarkkitehtuuriin tekemänsä muutokset. Tämä sisältää suojausasetusten nollauksen, käyttöoikeuksien peruutuksen, ohitusten tai takaovien sulkemisen, haittaohjelmien poistamisen ja tiedostojen tai komentosarjojen muutosten palauttamisen.
Taide usein jäljittelee elämää. Desinfiointi on tärkeää, koska punaisen tiimin operaattorit haluavat välttää tietä haitallisille hakkereille ennen kuin puolustustiimi voi korjata asioita.
Raportointivaihe
Tässä vaiheessa punainen tiimi laatii asiakirjan, jossa kuvataan heidän toimiaan ja tuloksiaan. Raportti sisältää lisäksi havaintoja, empiirisiä havaintoja ja suosituksia haavoittuvuuksien korjaamisesta. Se voi myös sisältää ohjeita hyödynnetyn arkkitehtuurin ja protokollien turvaamiseksi.
Punaisen tiimin raporttien muoto noudattaa yleensä mallia. Useimmat raportit määrittelevät sitoumuksen tavoitteet, laajuuden ja säännöt; toimien ja tulosten lokit; tulokset; olosuhteet, jotka mahdollistivat nämä tulokset; ja hyökkäyskaavio. Siellä on yleensä osio, jossa arvioidaan myös valtuutettujen kohteiden turvallisuusriskejä ja suojausomaisuutta.
Mitä tapahtuu Red Teamin jälkeen?
Yritykset palkkaavat usein punaisia ryhmiä testaamaan turvajärjestelmiä tietyssä laajuudessa tai skenaariossa. Punaisen joukkueen toimeksiannon jälkeen puolustustiimi (eli sininen joukkue) käyttää oppituntejaan parantaakseen tietoturvakykyään tunnettuja ja nollapäivän uhkia vastaan. Mutta hyökkääjät eivät odota. Kyberturvallisuuden muuttuvan tilan ja nopeasti kehittyvien uhkien vuoksi turvallisuusarkkitehtuurin testaus- ja parantamistyö ei ole koskaan täysin valmis.