Оценить текущее состояние защищённости периметра сети можно с помощью пентеста, оценки уязвимости (vulnerability assessment) или услуг Red Team. «Редтиминг» позволяет значительно укрепить защиту ИТ-инфраструктуры, выявляя актуальные бреши по различным векторам. Но как понять, что компания созрела до уровня работы с Red Team? Когда будет достаточно пентеста? Разбираемся в теме Red Teaming вместе с ведущими ИБ-экспертами.
- Введение
- Предназначение Red Teaming
- Технические и практические особенности Red Teaming
- 3.1. Как выбрать Red Team и опыт для работы в «красной команде»
- 3.2. Как устранить опасения заказчика?
- 3.3. Стоимость: чем отличается дорогой Red Teaming?
- 3.4. Содержание отчёта Red Team
- 3.5. Раскрывают ли «красные команды» свои наработки и инструменты заказчику?
- 3.6. Когда можно проводить повторный Red Teaming?
- Тренды и прогнозы развития рынка Red Team Assessment
- Ответы на вопросы слушателей
- Выводы
Введение
Очередной прямой эфир AM Live прошёл 2 сентября 2021 года. Спикеры обсудили большую интересную тему Red Teaming — максимально правдоподобной имитации многовекторной атаки на контур компании-заказчика, цели которой определяются заблаговременно, перед началом тестирования.
На рынке существует много техник и возможностей оценить защищённость ИТ-инфраструктуры: пентест (тестирование на проникновение), оценка уязвимости (vulnerability assessment), Rеd Teaming.
Что же такое «редтиминг» и чем он отличается от пентеста? Как понять, что компании необходимы услуги Red Team Assessment? Как выбрать подрядчика и не подставить компанию под удар? Какой Red Teaming самый качественный? Разбираемся и получаем ответы на непростые вопросы.
На встречу были приглашены следующие эксперты:
- Александр Зайцев, руководитель центра компетенций по анализу защищённости, «Лаборатория Касперского».
- Омар Ганиев, генеральный директор DeteAct.
- Вячеслав Васин, руководитель отдела технического аудита, Group-IB.
- Вадим Шелест, аудитор ИБ, Digital Security.
- Александр Колесов, руководитель отдела анализа защищённости Solar JSOC, «Ростелеком-Солар».
- Юлия Воронова, директор по консалтингу центра компетенций Positive Technologies.
Модератором выступил Артём Ильин, руководитель отдела инфраструктурной безопасности компании «Тинькофф».
К прямому эфиру подключались слушатели: задавали вопросы в чате, участвовали в опросах, результаты которых формировали текущую картину понимания обсуждаемой темы.
Предлагаем ознакомиться с ключевыми моментами прошедшей встречи.
Предназначение Red Teaming
Что такое Red Teaming?
Первая часть встречи началась с определения предмета беседы. Спикеры обозначили «редтиминг» как симуляцию поведения реального злоумышленника, которая базируется на актуальной информации о релевантных для конкретного заказчика угрозах.
Перед моделированием атаки злоумышленника и применением реальных техник, тактик и процедур ставятся определённые цели — например, повышение привилегий в системе.
В целом Red Teaming — комплексное интерактивное взаимодействие с ИТ-инфраструктурой, задачей которого является совершенствование процессов мониторинга и реагирования на угрозы.
Вячеслав Васин:
— Когда мы мыслим только уязвимостями — это по сути пентест. Не важно, какая именно уязвимость, важно, что происходит после её эксплуатации. Основная задача «редтиминга» заключается в оптимизации времени и обнаружения, а также реагирования.
Пентест или Red Teaming?
Если такой вопрос поднимается в компании, то начать можно с оценки защищённости пентестом. Компании важно созреть, к «редтимингу» прибегают те заказчики, которые уже понимают, что провели пентест отдельных частей инфраструктуры, и хотят оценить защиту более комплексно.
Для успешной реальной атаки злоумышленника спикеры выделили несколько факторов, которые должны сложиться воедино:
- наличие уязвимости на контуре;
- неправильная работа средств защиты или некомпетентная реакция команды ИБ.
Red Teaming помогает не только выявить актуальные релевантные угрозы, но и показать реальные бреши в защите периметра. С другой стороны, Blue Team («синяя команда» защищающихся, команда заказчика) получает качественное повышение уровня специалистов, растёт эффективность обнаружения атак и реагирования на инциденты.
Чем именно пентест отличается от Red Teaming?
Спикеры отметили, что у каждой команды, которая проводит «редтиминг», будет своё видение и понимание процесса. В целом Red Teaming — это более глубокая и масштабная работа, если сравнивать её с пентестом.
Юлия Воронова:
— Моделирование APT-атак (смотрите наш эфир или читайте обзор эфира по защите от APT-атак. — Прим. ред.) чаще всего понимается под Red Teaming, когда проводится масштабная работа по оценке недопустимых для бизнеса событий.
Омар Ганиев:
— При пентесте заказчик даёт конкретную систему или конкретную сеть, где необходимо только найти уязвимости. Red Teaming позволяет выбирать, какими путями будут достигнуты поставленные цели.
Рисунок 1. Насколько вы знакомы с Red Teaming?
Только 15 % респондентов ничего не слышали о Red Teaming. Остальные знакомы (42 %), изучали (27 %) и уже применяют на практике (16 %).
Сколько времени занимает Red Teaming?
Вопрос заключается в том, чего заказчик ожидает на выходе. Red Teaming — это не демонстрация скорости, это качество, сложная работа и высокая ценность результатов. Надо понимать, что процесс будет длиться долго по сравнению с тем же пентестом. Это — скрытность, это многовекторные подходы к достижению цели. Работа «красной команды» может длиться неделю, месяц, полгода.
Александр Зайцев:
— Если у нас есть какой-то большой правильный Red Team, есть цели и сценарии, то это — шесть месяцев. На практике же крайне редко кто-то готов пустить к себе в инфраструктуру команду Red Team на полгода, в том числе и в России.
Эксперты ещё раз выделили зрелость заказчика, который должен понимать, зачем это необходимо и как именно работать с Red Team.
Также может проводиться ротация команд для повышения эффективности через определённое время. Если Red Teaming длится долго (несколько месяцев), заказчик получает промежуточные отчёты.
Вадим Шелест:
— Три-четыре месяца может занимать одна итерация, один цикл, но может и больше, качество для нас важнее количества.
Компаний, которые доросли до Red Team Assessment, становится больше, спрос растёт, формируется понимание того, зачем необходима такая услуга. Как правило, самый популярный запрос — протестировать работоспособность SOC, проверить, как работает обнаружение атаки и принятие ответных мер. Заказчиками выступают банки, энергетический комплекс, государственные структуры, бизнес.
Технические и практические особенности Red Teaming
Во второй части беседы эксперты перешли к обсуждению технических и практических особенностей комплексной оценки защищённости контура заказчика.
Как выбрать Red Team и опыт для работы в «красной команде»
Можно сначала взять специалиста в пентест и посмотреть на его работу: насколько его действия отражаются в логах SOC, например. Обычно в Red Team не берут новых сотрудников, такие люди вырастают внутри компании — из пентестеров, специалистов по защите приложений (application security) и т. д. В любом случае внимательно изучается прошлое кандидата — на наличие преступлений в сфере ИБ.
В Red Team состоят разные специалисты. Как правило, формируется команда под конкретный проект, исходя из задач заказчика. Например, если в ходе работ необходимо провести реверс-инжиниринг (исследование безопасности без доступа к исходному коду), этот специалист добавляется в команду и вносит свой вклад. Принимается во внимание уровень необходимой квалификации.
Спикеры выделили несколько факторов, которые рекомендуется учитывать при выборе Red Team:
- менеджмент качества (наличие оценки сторонних компаний);
- внутренняя оценка службы безопасности;
- отсутствие криминального прошлого сотрудников Red Team;
- референсы (с кем взаимодействует компания на рынке).
Вячеслав Васин подчеркнул, что по сути это — обычный рынок, здесь работают квалификация и опыт, который могут подтвердить другие заказчики со стороны.
Учитываются также публикации, активность в сообществах, доклады на конференциях и прочий релевантный опыт. В некоторых случаях актуально и личное знакомство со специалистами Red Team.
Как устранить опасения заказчика?
Как быть, если заказчик боится, что кто-то из «красной команды» будет действовать против его интересов? Мнения экспертов различаются.
Омар Ганиев:
— Если специалист известный, публичный, то это будет накладывать ограничения и ответственность в случае, когда в его руки попадёт чувствительная информация. В целом от этого никак не защититься. Можно выявить уязвимость и не доложить об этом в отчёте.
Юлия Воронова:
— Это наша ответственность — построить работу Red Team таким образом, чтобы всё было безопасно для клиента и чтобы команда чувствовала себя комфортно.
Александр Зайцев:
— Очень многие тонкие моменты решаются на уровне коммуникации между обеими сторонами, в том числе и подобные опасения.
Рисунок 2. Что повлияло на ваш интерес к Red Teaming?
Оценка реальной защищённости (23 %), желание «быть в тонусе» (25 %) и другие факторы (38 %) формируют основной интерес к Red Teaming.
Стоимость: чем отличается дорогой Red Teaming?
Помимо цены как таковой эксперты отметили риски. Могут быть выбраны и поставлены совершенно разные цели.
Цена проведения «редтиминга» формируется исходя из трудоёмкости и потраченных ресурсов: какие именно риски, какие векторы необходимо отработать? Каждый проект будет индивидуален по стоимости, по целям, по команде. Это исключительно индивидуальная работа, подчеркнули спикеры.
Большая компания может создать команду и поддерживать её работу в течение года, к примеру. Малая группа скорее всего будет ограничена в ресурсах, на одного специалиста будет ложиться больше задач, что, конечно, отразится на качестве.
Малая команда может быть очень талантливой, но если говорить о большом покрытии, о масштабировании, то здесь они проигрывают компаниям. Тут же — и вопрос поддержки: если малая команда распадётся, то дальнейшая поддержка заказчика окажется под вопросом. В компании подобное исключено: заказчик всегда может рассчитывать на долгосрочное профессиональное сотрудничество.
Содержание отчёта Red Team
Отчёт — это не только рекомендации по усилению защиты. В отчёте указывается, какие цели были достигнуты и каким образом, сколько времени было заложено и сколько реально потрачено. Прописываются уязвимости, время и способы их эксплуатации, все основные точки для трейсинга (отслеживания шагов).
Вячеслав Васин:
— На первичных встречах обсуждается общий формат отчёта или заказчик предоставляет ту форму, которая ему необходима. Фиксируется, какой команде и что именно требуется отразить, чтобы потом сложилось понимание, какие заводить тикеты, какие оптимизировать процессы.
Предоставляется и подробная информация об атаке: какие сложности возникли, где заблокировали, где удалось обойти и т. д. Всё это обговаривается перед запуском.
После всех работ обе команды собираются вместе и обсуждают результаты, которые отражены в отчётах Red Team. В зарубежном сегменте практикуется отчётность и со стороны Blue Team, в России это происходит не всегда.
Омар Ганиев:
— В отчёте пентестеров технической единицей считается обнаруженная уязвимость, описанная в деталях. В отчёте Red Team описываются цепочки действий, которые привели к реализации такого-то риска.
Рисунок 3. Что является основным сдерживающим фактором в вашей компании для использования Red Teaming?
Ответ «не хватает внутренних ресурсов» выбрали 25 % респондентов. Прочие факторы удерживают от использования Red Team Assessment почти половину опрошенных: 44 %.
Раскрывают ли «красные команды» свои наработки и инструменты заказчику?
У команды, которая занимается «редтимингом» на высоком уровне, должен быть свой CI / CD, свои заготовленные инструменты, активы. Если заказчик обращается с вопросом по найденному артефакту, то Red Team может быстро подтвердить авторство, проверив подготовленный перечень.
В случае применения уязвимости «нулевого дня» предоставлять непосредственно эксплойт нет необходимости, достаточно проинформировать заказчика.
Когда можно проводить повторный Red Teaming?
Сначала необходимо провести анализ защищённости отдельных узлов — своими силами или заказав пентест, — то есть провести подготовительные работы. Когда все процессы по безопасности будут построены, компания созреет и сможет сформулировать риски для проведения «редтиминга».
Эксперты отметили, что заказчики возвращаются и проводят вторые и последующие проверки. Red Teaming как атрибут ИБ — непрерывный процесс.
Рисунок 4. Кому вы готовы поручить проведение Red Teaming?
Только доверенному поставщику услуг готовы поручить проведение Red Teaming 60 % опрошенных. 11 % доверяют внутренней команде. 19 % не доверяют никому.
Тренды и прогнозы развития рынка Red Team Assessment
Пентест — это производная от ИБ, а Red Teaming — производная от пентеста. Сейчас пентест растёт и развивается, поэтому «редтиминг» будет расти и развиваться ещё быстрее. Компании, которые проводят пентесты, будут приходить к нему, повышать свою квалификацию, созревать. Будут развиваться и международные стандарты. Экспертам интересен обмен опытом, которого не хватает по теме Red Team Assessment: это могли бы быть конференции, встречи, мероприятия и т. д.
Омар Ганиев:
— Нас ждёт более чёткое понимание, что такое Red Team и как работать лучше.
Отвечая на вопрос о том, какие требования регулятора будут стимулировать рынок пентеста, Вадим Шелест сказал, что такие требования должны как минимум появиться, чтобы что-то стимулировать. Экспертное мнение, мнение сообщества будут играть важную роль, помогут всё реализовать максимально эффективно.
Юлия Воронова, комментируя возможное превращение «редтиминга» в киберполигон, указала, что это — по сути очень разные вещи. Какие-то технические моменты, конечно, пересекаются, но киберполигон — это возможность потренироваться, отработать слаженность, это открытая площадка для специалистов с разным уровнем, а Red Teaming — это внутренние закрытые рабочие процессы и персонально сформированная команда высокого класса.
Александр Колесов высказал мнение по важному вопросу: заменят ли системы BAS «редтиминг». Ответ эксперта был отрицательным: нет, не заменят. BAS — это по сути комплексный сканер, но не человек. BAS эффективен для внутреннего применения, оценить внешние угрозы с его помощью невозможно. Red Team может атаковать физические уязвимости, применять социальную инженерию — любые векторы, которые позволят достичь поставленной цели. BAS полезен, но не заменит человека.
Рисунок 5. Каково ваше мнение относительно Red Teaming после эфира?
40 % считают Red Teaming избыточным для себя решением на данный момент. 20 % так ничего и не поняли. 19 % считают, что экспертам не удалось доказать необходимость проведения Red Teaming. Только 12 % заинтересовались и готовы тестировать. 9 % респондентов уже пользуются услугами Red Teaming.
Ответы на вопросы слушателей
Как отличить хороший Red Teaming от плохого?
Всё, что связано с услугами, предоставлением метрик, — это всегда тонкая грань. Насколько был полезен Red Teaming компании? Когда заказчик приходит с пониманием своей проблемы и поставщик услуги понимает, куда двигаться, чтобы решить эту проблему, они слышат друг друга и прилагают усилия с обеих сторон — это и есть эффективное взаимодействие. Работают обе команды по обе стороны вместе, без этого добиться качественных ценных результатов будет сложно.
Уменьшение времени детектирования и реагирования может являться метрикой и показателем результата, это можно измерить, отметил Вячеслав Васин. Метрик для «редтиминга» много. Регулярное взаимодействие с командой «синих» это показывает.
Как создать техническое задание для Red Team?
Заказчик описывает бизнес-риски. ТЗ может быть массивным документом, который может состоять из других документов и приложений. ТЗ необходимо, но не стоит зацикливаться на нём, если с обеих сторон — специалисты высокого класса. В этом случае все понимают, что именно будет происходить, куда будут целиться, куда — нет, куда следует смотреть, что видно и не видно в мониторинге.
Корректно ли считать Red Teаming разновидностью киберучений?
По своей сути это — разные задачи и направления. Это требует несколько больше опыта и знаний, чем киберучения.
Вячеслав Васин:
— Киберполигоны набирают популярность в своей области: научить безопасников, попрактиковаться на более простых кейсах. Red Teaming проводится не для того, чтобы научить, а для того, чтобы усилить защиту, снизить риски. Также это — реальный кейс, а не полигон: всё происходит на реальной инфраструктуре.
Обнаружена уязвимость, которая при эксплуатации нарушает работоспособность инфраструктуры заказчика. Что будет делать команда?
Можно выделить два пути. Первый — на старте договориться, что при проведении «редтиминга» не будут предприниматься никакие деструктивные действия. Второй — описать заказчику возможные последствия и позволить ему принять решение (в исключительных случаях). Такие вещи прописываются в ТЗ, в исходном документе, всё это решается в диалоге, в коммуникациях.
Александр Колесов:
— Red Team работает скрытно, но обе команды работают вместе так или иначе. Можно выделить по одному человеку с обеих сторон, которые будут согласовывать подобные тонкие моменты, но не передавать командам рабочую информацию.
Если Red Team не может обойти WAF, корректно ли просить заказчика отключить его?
Специалисты единогласно ответили отрицательно. Подобные просьбы — это не Red Teaming. Вариант действия в подобной ситуации — Red Team будет ожидать «падения» WAF.
С другой стороны, цель Red Teaming — оптимизация, усиление защиты, и если для компании будет выгодно отключить WAF для достижения поставленной цели, то все могут сэкономить время. Об этом тоже договариваются перед проведением оценки защищённости.
Каковы подготовительные меры Red Team перед началом работ?
Проводятся разведка и актуализация угроз, создаётся карта сценариев. Цели обозначаются в сценарии. Сценарий в деталях сложно прописать, так как на практике всегда будут отклонения. Заказчик может прийти уже с конкретной проблемой, обратиться с готовыми сценариями, которые обсуждаются и согласовываются в диалоге.
В каком количестве случаев Red Teaming заказывает бизнес, а в каком — другие подразделения компании?
Вячеслав Васин:
— В нашей практике 60 % — это бизнес, а 40 % — это специалисты, которые преследуют цель оценки рисков.
Выводы
Red Teaming позволяет оценить реальный уровень защищённости ИТ-инфраструктуры заказчика. По сравнению с пентестом «редтиминг» предоставляет более масштабный и глубокий анализ, который выявляет актуальные релевантные для заказчика угрозы, показывает бреши в защите периметра. Повышается уровень специалистов Blue Team, защита компании укрепляется. Это комплексный и всегда уникальный процесс, постоянно требующий активных коммуникаций между обеими командами.
Важно, чтобы в компании созрели процессы ИБ, чтобы компания могла сформулировать цели для Red Team. «Красная команда» формируется индивидуально под каждый проект и состоит из специалистов разного класса и разных специализаций. Сотрудники Red Team вырастают внутри компании, со стороны в такую команду попасть крайне трудно.
По длительности Red Teaming может занимать неделю, месяц, полгода. Время и стоимость проверки рассчитываются индивидуально, исходя из задач заказчика.
В будущем нас ждут активный рост сервисов Red Team Assessment, повышение качества, более чёткое определение «редтиминга» и формирование стандартов проведения глубокой оценки защищённости.
Подписывайтесь на наш канал, участвуйте в наших опросах и дискуссиях, задавайте вопросы спикерам в чате, получайте актуальную информацию по самым современным направлениям в информационной безопасности на AM Live!