Większość ataków na infrastrukturę informatyczną i operacyjną przedsiębiorstwa jest zazwyczaj połączeniem trzech elementów. Pierwszy to naruszenie bezpieczeństwa fizycznego przedsiębiorstwa, drugi - działania socjotechniczne przeprowadzane na pracownikach, natomiast trzecim są włamania do sieci teleinformatycznej. Jednym ze sposobów na weryfikację tych trzech obszarów w firmie jest tzw. red teaming, czyli przeprowadzenie testu ofensywnego, który imituje atak hakerski. Na czym dokładnie polega i czy faktycznie jest przydatnym rozwiązaniem, które pozwala na uzupełnienie cyberochrony firmy?
Symulując niebezpieczeństwo
Red teaming jest jednym z najbardziej zaawansowanych sposobów na weryfikację firmowego cyberbezpieczeństwa. Specjaliści symulują działania prawdziwych atakujących. Mogą one obejmować zarówno próbę przedostania się do pomieszczeń biurowych, jak i cyberataków. Metoda ta odwzorowuje rzeczywiste koncepcje natarć i identyfikuje najsłabsze punkty zabezpieczeń organizacji.
- Symulacje ofensywne polegają na zrozumieniu atakujących poprzez wykorzystanie ich taktyki i techniki do przeprowadzenia kontrolowanego uderzenia. Przygotowujemy i realizujemy scenariusz przedostania się do sieci organizacji. W zależności od tego, jak zaawansowaną grupę cyberprzestępców symulujemy, używamy różnych rozwiązań. Możemy wcielić się w grupę średniozaawansowaną i zwykłego przestępcę, albo strukturę cyberhakerską działającą często na zlecenie rządów państw. Te ostatnie korzystają z zaawansowanych technik, a ich cele są skonkretyzowane i specyficzne, często dotyczą również infrastruktury krytycznej – mówi Piotr Borkowski, prezes zarządu Cyber Arms.
Pole do manewru
Każda organizacja jest unikalna i może być podatna na różne rodzaje cyberataków. Dlatego zakres działań red teamingu obejmuje szerokie spektrum. Począwszy od zbierania informacji o firmie z ogólnodostępnych źródeł, przez uzyskiwanie informacji na temat wykorzystywanych urządzeń, na analizowaniu aktywności pracowników w social mediach kończąc. Specjaliści wykonują operacje dobrze znane hakerom.
- Często zdarza się, że pracownicy firmy publikują informacje o ukończeniu kursu czy zdobyciu certyfikatu. Zakładamy więc, że dana technologia wykorzystywana jest w firmie i automatycznie szukamy podatności, które występują w danym narzędziu. Ponadto dowiadujemy się o zainteresowaniach pracowników, a więc jak spędzają wolny czas i co publikują w sieci na temat siebie i wykonywanej pracy. Często te informacje są przydatne do ataku phisingowego. Symulując kampanie phishingowe, nie robimy ich na masową skalę, ale dla np. pięciu czy 10 pracowników. Chodzi bowiem o to, by sprawdzić ich czujność i przygotować wysokojakościową „pułapkę”. Warto pamiętać, że cyberprzestępcy bardzo często działają, wykorzystując emocje – dodaje Piotr Borkowski.
Specjaliści szukają w sieci także różnego rodzaju publikacji - prezentacji, zdjęć czy innych plików, które dotyczą danego przedsiębiorstwa i pochodzą z jego wnętrza. Z takiego ogólnodostępnego materiału możliwe jest pobranie metadanych, które ułatwią wejście do firmowego systemu. Należy więc z rozwagą umieszczać w internecie treści pochodzące ze środka korporacji, ponieważ każda taka informacja może okazać się przydatna dla przestępców.
Weź udział w konferencji “C-Level Cybersecurity Forum”, 16 kwietnia 2024, Warszawa >>
- Dynamiczne, często zmieniające się środowiska IT w firmie wymagają ciągłego testowania. Pozwala ono na identyfikację słabych punktów, luk w zabezpieczeniach i rozwiązaniach cyfrowych. W małych i średnich organizacjach najlepiej sprawdza się zlecanie testów na zewnątrz. Wyspecjalizowane firmy potrafią skutecznie zasymulować działania przestępców i pokazać obszary wymagające doskonalenia. W dużych organizacjach warto połączyć zlecanie testów z budową własnego zespołu, który będzie potem mógł demonstrować realne skutki ataków innym zespołom w firmie – mówi Robert Tomaka, dyrektor działu IT i cyberbezpieczeństwa w Diagnostyce.
Działając w porozumieniu
Metoda red teamingu nie jest w Polsce zbyt popularna, ale na korzystanie z niej decyduje się coraz więcej firm. Zdarza się, że zarządy firm i szefowie IT proszą o weryfikację szczelności zabezpieczeń w firmie, której są częścią. Co ciekawe, niekiedy praca zespołu red team, trwa – tak jak atak hakerski – nawet kilka miesięcy.
- Sposoby na dostanie się do firmy zazwyczaj ustalamy z klientem. Przedstawiamy także popularne ścieżki cyberprzestępców i te właśnie scenariusze proponujemy wykorzystać. Zazwyczaj o teście wie jedna lub dwie osoby w organizacji, zwykle z wysokiego szczebla. Ustalamy cel, np. przejęcie kontrolera domeny, czyli urządzenia, które zawiaduje całą strukturą w firmie. Ale też klienci często wskazują konkretne obszary czy system biznesowy, który chcieliby zweryfikować. Jaka jest różnica między hakerami a nami? Znacząca - my staramy się pokazywać brakujące elementy w cyberochronie danego przedsiębiorstwa i to, nad czym warto popracować, a po skończonym teście przekazujemy raport wraz z rekomendacjami – wskazuje Piotr Borkowski.
Skorzystanie z tej usługi pokazuje, na jakie elementy w systemie ochrony warto zwrócić uwagę oraz w jaki sposób przestępcy, mimo posiadania przez firmę tarczy cyberbezpieczeństwa, potrafią ją ominąć. Wykorzystanie końcowych rekomendacji i wprowadzenie ich w życie może uchronić firmę przed ewentualnym atakiem prawdziwej grupy hakerskiej.
- Regularnie prowadzimy testy wielu obszarów ekosystemu IT. Przy zlecaniu tego rodzaju usług warto zadbać o szczegółowe określenie zakresu oraz zbadać kompetencje zespołu testerów. Ilość wykrytych podatności nie może być jedynym kryterium sukcesu - powinna być uzupełniona szczegółowym raportem z wykonanych prób przełamania zabezpieczeń, również tych nieudanych. Testy ofensywne są świetną metodą podnoszenia jakości wytwarzanego oprogramowania oraz budowania świadomości zagrożeń – uważa Robert Tamaka.