Niet alle hackers zijn slecht nieuws! Red team hackers zullen proberen toegang te krijgen tot uw gegevens, maar voor altruïstische doeleinden...
Red teaming is het testen, aanvallen en binnendringen van computernetwerken, applicaties en systemen. Red teamers zijn ethische hackers die door organisaties worden ingehuurd om hun beveiligingsarchitectuur te testen. Het uiteindelijke doel van het rode team is om problemen en kwetsbaarheden in een computer te vinden - en soms te veroorzaken - en deze uit te buiten.
Waarom is Red Teaming belangrijk?
Voor een organisatie die gevoelige gegevens en systemen moet beschermen, betekent red teaming personeel aannemen cyberbeveiligingsoperators om de beveiligingsarchitectuur te testen, aan te vallen en binnen te dringen voordat kwaadwillende hackers doen. De relatieve kosten om vriendschappelijke wedstrijden een aanval te laten simuleren, zijn exponentieel lager dan wanneer aanvallers dat doen.
Red teamers spelen dus in wezen de rol van externe hackers; alleen hun bedoelingen zijn niet kwaadaardig. In plaats daarvan gebruiken de operators hacktrucs, tools en technieken om kwetsbaarheden te vinden en te exploiteren. Ze documenteren ook het proces, zodat het bedrijf de geleerde lessen kan gebruiken om de algehele beveiligingsarchitectuur te verbeteren.
Red teaming is belangrijk omdat bedrijven (en zelfs individuen) met geheimen het zich niet kunnen veroorloven om tegenstanders de sleutels van het koninkrijk te geven. Een inbreuk kan op zijn minst leiden tot inkomstenderving, boetes van nalevingsinstanties, verlies van vertrouwen van klanten en publieke verlegenheid. In het slechtste geval kan een vijandige inbreuk leiden tot een faillissement, de onherstelbare ineenstorting van een bedrijf, en identiteitsdiefstal die miljoenen klanten treft.
Wat is een voorbeeld van Red Teaming?
Red teaming is sterk scenariogericht. Bijvoorbeeld een muziekproductiebedrijf mogen operators van het rode team inhuren beveiligingen testen om lekken te voorkomen. Operators maken scenario's waarbij mensen betrokken zijn die toegang hebben tot datadrives die het intellectuele eigendom van artiesten bevatten.
Een doel in dit scenario kan zijn om aanvallen te testen die het meest effectief zijn in het compromitteren van toegangsprivileges tot die bestanden. Een ander doel zou kunnen zijn om te testen hoe gemakkelijk een aanvaller zich lateraal kan verplaatsen vanaf het ene toegangspunt en gestolen master-opnamen kan exfiltreren.
Wat zijn de doelstellingen van het rode team?
Het rode team probeert in korte tijd zoveel mogelijk kwetsbaarheden te vinden en uit te buiten, zonder gepakt te worden. Hoewel de daadwerkelijke doelstellingen van een cyberbeveiligingsoefening van organisatie tot organisatie verschillen, hebben rode teams over het algemeen de volgende doelstellingen:
- Modelleer bedreigingen uit de echte wereld.
- Identificeer netwerk- en softwarezwakheden.
- Identificeer verbeterpunten.
- Beoordeel de effectiviteit van beveiligingsprotocollen.
Hoe werkt Red Teaming?
Red teaming begint wanneer een bedrijf (of individu) cyberbeveiligingsoperators inhuurt om hun verdediging te testen en te evalueren. Eenmaal aangenomen, doorloopt de taak vier betrokkenheidsfasen: planning, uitvoering, opschoning en rapportage.
Planningsfase
In de planningsfase definiëren de klant en het rode team de doelen en reikwijdte van de opdracht. Hier definiëren ze geautoriseerde doelen (evenals activa die zijn uitgesloten van de oefening), de omgeving (fysiek en digitaal), duur van betrokkenheid, kosten en andere logistiek. Beide partijen creëren ook de regels van betrokkenheid die de oefening zullen leiden.
Uitvoeringsfase
In de uitvoeringsfase gebruiken de operators van het rode team alles wat ze kunnen om kwetsbaarheden te vinden en te exploiteren. Ze moeten dit in het geheim doen en voorkomen dat ze worden gepakt door de bestaande tegenmaatregelen of beveiligingsprotocollen van hun doelwitten. Rode teamers gebruiken verschillende tactieken in de Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) matrix.
De ATT&CK-matrix omvat ook frameworks die aanvallers gebruiken om toegang te krijgen tot beveiligingsarchitecturen, deze te handhaven en te doorlopen zoals hoe ze gegevens verzamelen en communiceren met de gecompromitteerde architectuur na een aanval.
Sommige technieken die ze kunnen gebruiken omvatten afweeraanvallen, social engineering, phishing, netwerksnuffelen, inloggegevens dumpen, en poortscanning.
Ontsmettingsfase
Dit is de opruimperiode. Hier leggen operators van het rode team de losse eindjes vast en wissen ze de sporen van hun aanval. Bij toegang tot bepaalde mappen kunnen bijvoorbeeld logs en metadata worden achtergelaten. Het doel van het rode team in de ontsmettingsfase is om deze logboeken te wissen en scrub-metadata.
Bovendien keren ze ook wijzigingen terug die ze tijdens de uitvoeringsfase in de beveiligingsarchitectuur hebben aangebracht. Dat omvat het resetten van beveiligingscontroles, het intrekken van toegangsrechten, het sluiten van bypasses of backdoors, het verwijderen van malware en het herstellen van wijzigingen in bestanden of scripts.
Kunst imiteert vaak het leven. Opschonen is belangrijk omdat operators van het rode team willen voorkomen dat ze de weg vrijmaken voor kwaadwillende hackers voordat het verdedigingsteam de boel kan oplappen.
Rapportage fase
In deze fase stelt het rode team een document op waarin hun acties en resultaten worden beschreven. Het rapport bevat verder observaties, empirische bevindingen en aanbevelingen voor het patchen van kwetsbaarheden. Het kan ook richtlijnen bevatten voor het beveiligen van uitgebuite architectuur en protocollen.
Het formaat van rode teamrapporten volgt meestal een sjabloon. De meeste rapporten schetsen de doelen, reikwijdte en regels voor betrokkenheid; logboeken van acties en resultaten; resultaten; omstandigheden die deze resultaten mogelijk maakten; en het aanvalsschema. Er is meestal ook een sectie voor het beoordelen van de beveiligingsrisico's van geautoriseerde doelen en beveiligingsactiva.
Wat komt er na het rode team?
Bedrijven huren vaak rode teams in om beveiligingssystemen binnen een bepaald bereik of scenario te testen. Na een inzet van het rode team gebruikt het verdedigingsteam (d.w.z. het blauwe team) de geleerde lessen om hun beveiligingscapaciteiten tegen bekende en zero-day bedreigingen te verbeteren. Maar aanvallers wachten niet af. Gezien de veranderende staat van cyberbeveiliging en snel evoluerende bedreigingen, is het werk van het testen en verbeteren van de beveiligingsarchitectuur nooit echt af.