/ BLOG
Що таке Red Teaming?
Red Teaming — це цілісний тест інформаційної інфраструктури, механізмів та процесів її захисту. На відміну від класичного пентесту, Red Teaming не обмежується тільки пошуком вразливостей, а імітує справжні дії зловмисників.
Це повноцінна перевірка спроможностей з виявлення та реагуванню на загрози всієї системи кібербезпеки: від технічних інструментів до процедур реагування і людського фактора.
Red Team діє за наступним сценарієм: імітувати зловмисника, що скомпрометував підрядника з VPN-доступом до вашої філії або внутрішніх сервісів. Користуючись наявним рівнем доступу та недоліками у конфігурації VPN та внутрішніх сервісів, Red Team проникає у внутрішню мережу, здійснює спроби закріплення на сервері та переходить до тактичного збору інформації. Після цього Red Team виконує горизонтальний рух мережею, досліджуючи інфраструктуру, збираючи облікові дані й вивчаючи внутрішні системи. За необхідності здійснюється вертикальна ескалація привілеїв для отримання доступу до критичних ресурсів. Усі дії спрямовані на досягнення визначеної мети атаки та уникнення потрапляння на «радари» систем захисту.
Ми підходимо до Red Team оцінки як до повноцінного проєкту, в якому кожен етап має стратегічне значення та надає цінні інсайти для подальшого вдосконалення системи безпеки.
1. Обговорення сценаріїв та цілей.
Разом із замовником ми визначаємо:
Приклад результату: погоджений сценарій атаки типу "скомпрометований постачальник із VPN-доступом", із визначеними бізнес-цілями (наприклад, отримати доступ до фінансових систем).
2. Розвідка (пасивна та активна).
Залежно від визначених сценаріїв, етап виконується з метою вивчення цілі. Визначаємо цифрову присутність компанії у відкритих джерелах, вивчаємо структуру домену, збираємо інформацію про співробітників і публічні сервіси, які можуть бути використані для входу в систему.
Результати етапу:
3. Проникнення (точка входу)
Після підготовки Red Team імітує атаку через узгоджений вектор (наприклад, фішинг або злам пароля підрядника). Ми намагаємось отримати початковий доступ без спричинення шкоди, дотримуючись узгоджених меж.
Результати етапу:
4. Розширення привілеїв та реалізація цілей
Маючи базовий доступ, виконується горизонтальний рух мережею, збирається доступна інформація, підвищуються привілеї та визначається можливість досягнення визначених цілей (наприклад, доступ до бухгалтерської БД або внутрішнього SharePoint).
Результати етапу:
5. Звітність та дебрифінг
Після завершення активних дій надається:
Також проводяться зустрічі з технічними фахівцями й керівництвом для комунікації отриманих результатів, обговорюються слабкі місця, формується roadmap з підвищення рівня захисту.
Більше інформації про те, як замовити перевірку, ви знайдете на ресурсі Red Team — проєкті компанії IT Specialist.
IT Specialist – безпечна інтеграція в майбутнє!
Автор: Дмитро Рабчун, Провідний фахівець з тестування систем захисту інформації