Разница между red teaming и тестированием на проникновение

Цели тестирования безопасности

В зависимости от программы информационной безопасности, организации может потребоваться использовать различные типы тестирования безопасности для достижения различных целей. Задача пентестера (с англ. pentester – проводящий тестирование на проникновение) состоит в том, чтобы с помощью всех доступных инструментов найти как можно больше уязвимостей за определенное время и на определенной подгруппе активов (обычно это набор IP-адресов). Для максимального охвата большинство пентестеров начинают с автоматизированного сканирования уязвимостей объекта, а затем используют ручные инструменты тестирования для проникновения, чтобы исследовать перспективные слабые места. Если тест останавливается на нахождении уязвимостей, это оценка уязвимостей. Если пентестер пытается использовать и объединить обнаруженные уязвимости для взлома системы и извлечение образцов данных, то это уже тест на проникновение. В обоих случаях целью является выявление и сообщение о слабых местах в системе безопасности, чтобы предотвратить будущие кибератаки.

Проблема реальных атак состоит в том, что они не должны подчиняться правилам и ограничениям программ тестирования безопасности. Злоумышленники будут использовать какие-либо средства, чтобы получить доступ – и им нужна только одна точка входа для успешного проникновения. Пентестирование фокусируется на технических уязвимостях, поэтому оно не указывает непосредственно на то, действительно ли организация уязвима к атаке. Конкретно тут вступает в действие red teaming.

Как производятся оценки red team

Red teaming – это гораздо более широкий подход к тестированию на проникновение, использующий методы реальных злоумышленников, чтобы проверить, возможна ли атака. Такие тесты часто сочетаются с оценкой средств контроля безопасности организации, разведки угроз и процедур реагирования на инциденты. Используя терминологию, взятую из военных игр, это называется упражнением «red team vs blue team», где red team является нападающей, а члены blue team защищают организацию. Членами red team могут быть назначены сотрудники внутренней службы безопасности или (что является лучшим вариантом) внешние эксперты по безопасности, не имеющие предварительных знаний об организации. Их задача состоит в том, чтобы сломать защиту, избежать обнаружения, осуществить атаку и предоставить конфиденциальные данные в качестве доказательства.

В зависимости от уровня зрелости и требований к тестированию организации деятельность red team может ограничиваться только цифровой сферой или охватывать также физическую безопасность. Во время проведения учений red team без ограничений злоумышленники могут прибегать к методам социальной инженерии, таким как фишинг и имитация, а также использовать специальное электронное оборудование для нарушения физической и сетевой безопасности.

В ожидании неожиданного

Участники red teaming получают задачи для атаки, например, угнать интеллектуальную собственность или финансовую информацию из систем компании. В отличие от тестирования на проникновение, операции red team производятся тайно. Это происходит для того, чтобы персонал и системы безопасности организации отреагировали так, как будто это была настоящая атака. Это требует тщательного планирования и поддержки руководства, чтобы сбалансировать реалистичность и безопасность. Атака не должна повлечь за собой перебои в работе, а команда по тестированию должна быть защищена от судебного преследования, если ее поймают. Поскольку red team может технически нарушать закон по нескольким пунктам, обязательным условием является наличие подробных письменных соглашений и предостережений.

При этом всегда существует риск неожиданных инцидентов, поскольку персонал не может быть поставлен в известность об атаке. Следует помнить, что реакция людей может быть непредсказуемой. Что делать, если физической безопасностью занимается внешнее агентство, которое вызывает полицию или даже прибегает к насилию до того, как удастся отключить тревогу? В конце концов, обучение red team может длиться несколько недель, поэтому исполнительный спонсор обучения может быть недоступным именно в этот момент. А что если атака временно выведет из строя сеть компании или систему обнаружения вторжений, оставляя организацию открытой для реальных атак? Симуляция или нет, но все может пойти не так.

Следует ли использовать red teaming?

Если все это звучит чуть-чуть страшно, то только потому, что так оно и есть. В отличие от тестирования на проникновение red teaming подходит далеко не всем. Чтобы безопасно провести оценку с помощью red team и получить от нее максимальную пользу, организация должна иметь надежные меры безопасности и быть хорошо подготовлена ​​к противостоянию разнообразным злоумышленникам. Другими словами, если кажется, что у организации безупречная защита, можно заказать операцию red team, чтобы проверить, действительно ли это так. Если известно, что система безопасности далека от идеала и требует усовершенствования, лучше воспользоваться менее инвазивными методами тестирования. И прежде чем привлекать пентестеров, участников программ bug bounty или red team-специалистов, следует сначала проверить безопасность веб-приложений с помощью качественного и удобного DAST-инструмента. Примером такого инструмента является Invicti, который помогает командам безопасности самостоятельно выявить и устранить многие критические проблемы.

Подписаться на новости