Руслан Рахметов, Security Vision
Современный ландшафт киберугроз набирает сложность, скорость и адаптивность, словно вирус, эволюционирующий из года в год. Если в 2019 году атакующим для реализации махинаций с использованием программ-вымогателей требовалось в среднем 68 дней, в 2023 году им нужно было менее 4 дней, а сейчас с учетом развития ИИ-технологий и агентов – даже страшно представить. Поэтому и на стороне защиты появились инструменты, которые проверяют не отдельные элементы ИТ-инфраструктуры, а всю систему защиты организации в целом, включая людей, процессы и технологии. В этой статье мы поговорим про комплексный анализ защищенности с помощью Red Team (отличного варианта проверки готовности компании к противостоянию реальным угрозам).
Оглавление
1) Эволюция безопасности и появление процесса Red Team Assessment
2) Концепция Ред Тиминга, философия, цели и инструменты
3) Анатомия реальной атаки: тактики, техники и процедуры (TTPs) и цепочки атак (Kill Chain)
5) Как работает SOC: игра в кошки-мышки с Blue и Red командами
1) Эволюция безопасности и появление процесса Red Team Assessment
В основе стратегической кибербезопасности лежит процесс оценки, адаптации и улучшения. Исторически организации полагаются на сканирование уязвимостей (vulnerability scanning, VS) и управление исправлениями (vulnerability management, VM), а сам процесс непрерывен, и развивался этапами.
1) Самые первые системы проводили базовое сканировании среды на наличие известных сетевых уязвимостей и ошибок в приложениях, которые еще не были исправлены, с последующим управлением процессом их устранения. Такой процесс можно сгруппировать в whitebox-группу и дополнить харденингом (как в модуле Security Vision SPC).
2) По мере роста зрелости ИТ-инфраструктур возникла потребность в практической эксплуатации этих уязвимостей, что привело к популяризации тестирования на проникновение (пентеста). Пентест делает шаг вперед, эксплуатируя выявленные уязвимости в контролируемых условиях, он имитирует действия атакующих (например, перебирает пароли и слабые алгоритмы шифрования, как в модуле Security Vision VS). Так процесс дополнился сканированиями группы blackbox.
3) Следующим, наиболее критичным этапом развития становится Red Teaming – подход, ориентированный не на поиск технических недостатков, а на проверку устойчивости бизнес-процессов к атакам продвинутых нарушителей. Тут используются средства автоматизации для whitebox-, blackbox- и greybox-сканирований, знания экспертов, слаженная командная работа и данные аналитических сервисов.
Пентест можно сравнить с техническим аудитом систем безопасности банковского хранилища: аудиторы (пентестеры) открыто проверяют толщину стен, тестируют датчики движения, пытаются взломать замки на сейфах и проверяют работоспособность камер видеонаблюдения. В результате они предоставляют управляющему отчет со списком неисправностей.
Red Team же – это симуляция реального ограбления банка: группе экспертов совершенно не важно, сколько всего уязвимых замков установлено в здании, им достаточно найти одного доверчивого охранника, украсть его бейдж, проникнуть в здание под видом службы доставки, обойти камеры в слепых зонах и вынести содержимое конкретной ячейки в хранилище. Они концентрируются на достижении цели любыми доступными средствами, преодолевая защиту на стыке людей, физического мира и технологий.
2) Концепция Ред Тиминга, философия, цели и инструменты
Red Team – это независимая группа высококвалифицированных специалистов, обладающих разнообразным опытом и навыками, которые имитируют тактики, методы и образ мышления реальных злоумышленников. Эта группа проводит комплексную оценку способности организации обнаруживать угрозы, реагировать на них и восстанавливать нормальную работу. Проведение Red Team учений направлено на стресс-тестирование всей оборонительной экосистемы компании: людей, процессов и технологий.
В то время как классический пентест останавливается, зафиксировав максимальное количество брешей в заданном периметре, Red Team Assessment нацелен на выполнение конкретной, критичной для бизнеса задачи: например, «похищение базы клиентов», «перевод средств через платежный шлюз» или «получение доступа к системам управления технологическими процессами». Для достижения этой цели «красная команда» ищет любой доступный путь, обходя системы обнаружения и средства защиты информации (СЗИ).
Red Team действует скрытно, предоставляя руководству реалистичные метрики эффективности: специалисты используют передовые методы обхода систем антивирусной защиты и EDR, индивидуально разработанное вредоносное ПО, эксплойты нулевого дня, зашифрованные каналы управления и методы антифорензики (заметания следов). Такой продвинутый «арсенал» позволяет выявлять системные риски, которые невозможно обнаружить при изолированном тестировании отдельных приложений.
3) Анатомия реальной атаки: тактики, техники и процедуры (TTPs) и цепочки атак (Kill Chain)
Чтобы симуляция атаки была максимально реалистичной и имела практическую ценность, Red Team использует тактики, техники и процедуры (TTPs) реальных киберпреступников и хакерских группировок. Термин TTPs описывает поведение злоумышленника на макро- и микроуровне: какую стратегию он выбирает (тактика), какие методы использует для ее реализации (техника) и какие конкретные инструменты или последовательности команд применяет (процедура). Применение TTPs гарантирует, что средства защиты проверяются не на абстрактных моделях, а на алгоритмах, которые используются в атаках «в дикой природе».
Современные, детализированные матрицы, вроде MITRE ATT&CK и БДУ ФСТЭК предлагают адаптивность и глубокое понимание действий злоумышленников, широко используются «красными» командами и СЗИ (например, в модулях Security Vision SIEM и SOAR).
Также в индустрии безопасности широко используется фреймворк Cyber Security Kill Chain (Цепочка атаки), изначально разработанный корпорацией Lockheed Martin на основе военных моделей, но адаптированный для цифрового мира. О нем мы уже рассказывали отдельно, а также используем его в разработке средств автоматизации управления инцидентами.
MITRE ATT&CK можно представить, как современный GPS-навигатор: он дает подробные указания по каждому повороту, сообщает о ямах, пробках и подсказывает конкретные хитрости (например, объездные пути) на каждом этапе маршрута.
В то же время фреймворк Cyber Kill Chain работает, как общая бумажная карта вашего автопутешествия. Она показывает стратегию: «выехать из города, проехать по шоссе, прибыть в пункт назначения», разделяя все на 7 понятных этапов.
4) Отличия Red Team и Pentest
Подавляющее большинство разрушительных киберинцидентов в реальном мире начинается не с эксплуатации сложной, неизвестной технической уязвимости «нулевого дня» на периметре сети, а с успешного обмана человека. Также могут работать и команды пентеста и Red Teams, которые в отличие от классических пентестов (которые ограничены рамками ИТ-инфраструктуры и заранее предоставленных IP-адресов), активно используют социальную инженерию, фишинг и физическое проникновение для достижения цели, так как именно эти векторы предпочитают реальные преступники.
Пентестер, найдя уязвимость на периметре, часто просто документирует этот факт (Proof of Concept) и переходит к поиску других независимых брешей, но для «красной команды» первоначальный взлом (например, ноутбука рядового менеджера по продажам) – это лишь плацдарм. Далее они работают по концепции латерального движения (Lateral Movement). Это своего рода навигация по сети по горизонтали, перемещение от одной скомпрометированной системы к другой с целью поиска критически важных активов, эскалации привилегий и расширения своего присутствия в инфраструктуре. Цель злоумышленника редко заключается в том, чтобы остановиться на устройстве случайного пользователя: ему нужны базы данных, финансовые системы или права администратора домена Active Directory. Поэтому и для защиты важно строить ресурсно-сервисную модель и карту сети (как в модуле Security Vision AM), а для анализа инцидентов наши разработки используют ИИ-ассистентов для анализа путей до критических систем и маршрутов нарушителей. Применяя эти технологии можно противостоять действиям Red Team и реальных злоумышленников, вовремя «отрубая» части сети друг от друга, блокируя учетные записи и закрывая права пользователей.
5) Как работает SOC: игра в кошки-мышки с Blue и Red командами
Финалом работы процессов, описанных в этой статье, является проверка готовности SOC (Security Operations Center, Центра мониторинга ИБ) к отражению атаки в реальном времени. В терминологии киберучений внутренние или аутсорсинговые защитники называются Blue Team (Синей командой), которая играет в «догонялки» с Red Team.
Пока одна из главных задач наступательной команды – скрытые действия, чтобы не оставлять очевидных индикаторов компрометации (IoC, вроде хеш-сумм известных вредоносных файлов, коммуникаций с публично известными подозрительными IP-адресами или нестандартных записей в системном реестре), команда защитников работает на аналитике:
- Способны ли установленные системы классов SIEM, EDR, XDR и SOAR корректно собирать логи и генерировать оповещения?
- Могут ли аналитики в условиях ежедневного информационного «шума» и тысяч ложных срабатываний связать воедино разрозненные события и увидеть признаки целенаправленной атаки?
- Как оценить эффективность? MTTD (Mean Time to Detect), среднее время, проходящее между началом атаки и ее фиксацией системой защиты, и MTTR (Mean Time to Respond), среднее время от момента обнаружения до полного устранения инцидента и локализации угрозы.
Ответы на все эти вопросы помогает найти Red Team в случае выбора услуг по защите, а если выбор вашей компании – инструменты и технологии в периметре – то работать будут технологии, процессы и аналитические возможности продвинутых средств защиты и оценки рисков.
