Operacje Red Team

Red team to nie to samo co test penetracyjny — mylenie tych dwóch pojęć jest jednym z częstszych błędów, jakie widuję w zapytaniach ofertowych. Test penetracyjny pyta: „co można złamać?” Red team pyta: „co by się naprawdę stało, gdyby ktoś spróbował się włamać na serio, z konkretnym celem, podczas gdy Twoi obrońcy obserwują?”

Planuję zaangażowania wokół konkretnych celów: eksfiltracja określonego zbioru danych, dotarcie do konkretnego systemu, wywołanie zdefiniowanego wpływu biznesowego. Techniki są mapowane do MITRE ATT&CK, tak aby niebieski zespół mógł później mierzyć pokrycie detekcji zamiast go domyślać. Sposób uzyskania dostępu zależy od modelu zagrożeń dopasowanego do Twojej organizacji — phishing, narażone usługi, nadużycie tożsamości, pivoty przez łańcuch dostaw — a starty z założonym przełamaniem są również dostępne, gdy wolisz pominąć etapy testowania kontroli wewnętrznych.

Otrzymujesz narrację: ścieżkę ataku, która faktycznie zadziałała, techniki użyte na każdym etapie oraz okazje do detekcji, które uruchomiły się (lub nie) po drodze. Celem nie jest sprawienie, by Twój SOC wypadł źle. Chodzi o dostarczenie mu rzetelnych danych dotyczących tego, które kontrole utrzymały się, które generowały szum bez efektu, i gdzie jest luka między regułami detekcji na papierze a tym, jak atakujący poruszają się w praktyce.

Prowadziłem zaangażowania w środowiskach z ponad 150 000 punktami końcowymi, ale większy nie zawsze znaczy lepszy. Skupione ćwiczenie purple team z jedną jednostką biznesową — inżynierami, obrońcami i atakującymi w jednym miejscu — często przynosi trwalszą poprawę niż rozległa tajna kampania, szczególnie za pierwszym razem.