Цілі тестування безпеки
Залежно від програми інформаційної безпеки організації може знадобитися використовувати різні типи тестування безпеки для досягнення різних цілей. Завдання пентестера (з англ. pentester – той, хто проводить тестування на проникнення) полягає в тому, щоб за допомогою всіх доступних інструментів знайти якомога більше вразливостей за певний час і на певній підгрупі активів (зазвичай це набір IP-адрес). Для максимального охоплення більшість пентестерів починають з автоматизованого сканування вразливостей об’єкта, а потім використовують ручні інструменти тестування на проникнення, щоб дослідити перспективні слабкі місця. Якщо тест зупиняється на знаходженні вразливостей, це оцінка вразливостей. Якщо ж пентестер намагається використати й об’єднати виявлені вразливості для злому системи та вилучення зразків даних, то це вже власне тест на проникнення. В обох випадках метою є виявлення та повідомлення про слабкі місця в системі безпеки, щоб запобігти майбутнім кібератакам.
Проблема реальних атак полягає в тому, що вони не повинні підкорятися правилам і обмеженням програм тестування безпеки. Зловмисники будуть використовувати будь-які засоби, щоб отримати доступ – і їм потрібна лише одна точка входу для успішного проникнення. Пентестування фокусується на технічних вразливостях, тому воно не вказує безпосередньо на те, чи дійсно організація є вразливою до атаки. Саме тут вступає в дію red teaming.
Як проводяться оцінки red team
Red teaming – це набагато ширший підхід до тестування на проникнення, який використовує методи реальних зловмисників, щоб перевірити, чи можлива атака. Такі тести часто поєднуються з оцінкою засобів контролю безпеки організації, розвідки загроз і процедур реагування на інциденти. Використовуючи термінологію, запозичену з військових ігор, це називається вправою «red team vs blue team», де red team є нападниками, а члени blue team захищають організацію. Членами red team можуть бути призначені співробітники внутрішньої служби безпеки або (що є кращим варіантом) зовнішні експерти з безпеки, які не мають попередніх знань про організацію. Їхнє завдання полягає в тому, щоб зламати захист, уникнути виявлення, здійснити атаку і надати конфіденційні дані як доказ.
Залежно від рівня зрілості та вимог до тестування організації, діяльність red team може обмежуватися лише цифровою сферою або охоплювати також фізичну безпеку. Під час проведення навчань red team без обмежень “зловмисники” можуть вдаватися до методів соціальної інженерії, таких як фішинг та імітація, а також використовувати спеціальне електронне обладнання для порушення фізичної та мережевої безпеки.
В очікуванні неочікуваного
Учасники red teaming отримують завдання для атаки, наприклад, викрасти інтелектуальну власність або фінансову інформацію з систем компанії. На відміну від тестування на проникнення, операції red team проводяться таємно. Це відбувається для того, щоб персонал і системи безпеки організації відреагували так, ніби це була справжня атака. Це вимагає ретельного планування і підтримки керівництва, щоб збалансувати реалістичність і безпеку – атака не повинна спричинити перебої в роботі, а команда з тестування повинна бути захищена від судового переслідування, якщо її спіймають. Оскільки red team може технічно порушувати закон за кількома пунктами, обов’язковою умовою є наявність детальних письмових угод та застережень.
При цьому завжди існує ризик несподіваних інцидентів, оскільки персонал не може бути повідомлений про атаку. Варто пам’ятати, що реакція людей може бути непередбачуваною. Що робити, якщо фізичною безпекою займається зовнішнє агентство, яке викликає поліцію або навіть вдається до насильства до того, як вдасться відключити тривогу? Зрештою, навчання red team можуть тривати кілька тижнів, тож виконавчий спонсор навчань може бути недоступним саме в цей момент. А що, якщо атака тимчасово виведе з ладу мережу компанії або систему виявлення вторгнень, залишаючи організацію відкритою для реальних атак? Симуляція чи ні, але все може піти не так.
Чи варто використовувати red teaming?
Якщо все це звучить трохи страшно, то лише тому, що так воно і є. На відміну від тестування на проникнення, red teaming підходить далеко не всім. Щоб безпечно провести оцінку за допомогою red team і отримати від неї максимальну користь, організація повинна мати надійні заходи безпеки й бути добре підготовленою до протистояння різноманітним зловмисникам. Іншими словами, якщо здається, що організація неприступна, можна замовити операцію red team, щоб перевірити, чи це справді так. Якщо ж відомо, що система безпеки далека від ідеалу і потребує вдосконалення, краще скористатися менш інвазивними методами тестування. І перш ніж залучати пентестерів, учасників програм bug bounty чи red team-фахівців, варто спершу перевірити безпеку вебзастосунків за допомогою якісного та зручного DAST-інструмента. Приклад такого інструмента є Invicti, який допомагає командам безпеки самостійно виявити й усунути багато критичних проблем.
