Вступление
Мир инфобеза постоянно расширяется, и пентест набирает все больше и больше популярности. Только на Codeby можно найти сотни статей о данной теме. Но вот редтиминг и блютиминг почему-то не так явно освещается, а особенно в СНГ сегменте. Из-за этих размышлений, я решил написать статью, которая расставит все точки над и, а также даст гибкое представление о данной области.
Что такое Red и Blue Team. В чем разница?
Red и Blue Team- появилась задолго до пентеста, из-за того, что её истоки- военные. В определенный момент глав. командующие осознали, что для лучшей защиты нужно атаковать собственную сторону, чтобы не только найти слабые места, которые затем можно было бы защитить лучше, но и тренировать навыки атакующих. Эта идея была переделана в "Военные игры", где защитники или дружественные силы обозначались Синей командой (Blue Team) а силы атакующего – Красной (Red Team).
И, несмотря на свой "наступательный" характер, Red Team является отличным защитником. Они позволяют организациям лучше защищать себя от хакерских атак, ведь пытаются их с точностью симулировать.
"Атака - это секрет защиты; защита - это планирование нападения"
Услуги Red Team используют в основном крупные компании, которые уже: во-первых сталкивались с подобными аудитами безопасности, и предоставляют услуги в сфере хранения данных, финансов и так далее (банки, провайдеры, IT компании). Данные аудиты проводятся более кропотливо и занимают больше времени чем пентест. Из-за такой усердной работы, специалист обязан знать больше чем статистический пентестер, и понимать принцип работы тестируемого объекта, ведь все чаще встречается такой «специалист инфобеза», который специалист только по скриптам и утилитам, то есть скрипт-киди.
Если Red Team имеет не постоянный характер, то Blue Team зачастую является частью SOC. Security Operation Center ( Оперативный Центр Безопасности) анализирует сетевой трафик (используя различные утилиты), реагирует на атаки, и пытается как-то их предотвратить и предугадать .
Но существует не только 2 команды. В некоторых ситуациях, требуется усилия обоих команд, и именно так появились Green, Yellow, Purple Team:
Обратить внимание хочу именно на Purple Team, ведь Orange и Green больше относится к софтдевелоперам.
Purple Team – объединение умений Red и Blue Team. Обе команды работают вместе, чтобы обеспечить полный аудит. Красная команда предоставляет подробные журналы всех выполненных операций, а синяя команда полностью документирует все корректирующие действия, которые были предприняты для решения проблем, обнаруженных в ходе тестирования. Purple Team стал обычным явлением в мире безопасности в течение последних нескольких лет. Purple Team – может быть консалтинговой группой, привлеченная для проведения аудита, так и сотрудниками компании напрямую, но они не концентрируются исключительно на нападении или защите.
Чем Red Team’инг отличаются от Pentest’a
Пентест в основном, проверяет сети, веб-сервисы и системы на уязвимости. Также, пентест отдельно проводит аудит беспроводных точек доступа.
Red Team, в свою очередь, пытается проникнуть внутрь/получить информацию любим путем. Если к примеру, в пентесте используются сканеры и умение «копаются руками», то в Red Team’инге используют социальную инженерию, получение несанкционированного физического доступа нахождение уязвимости нулевого дня и т.д.
То есть, Red Team, не только проводит полный аудит веб-приложения/сервера, но и специализируется на «локпикинге» (вскрытие замков), взлом камер наблюдения, и так далее.
Примеры использования Red и BlueTeam’инга
Вот примерно чем занимается Red Team:
- Сотрудник Red Team, устанавливает анализатор ESPKey ( документация https://www.redteamtools.com/support/ESPKey Tool Manual v1.0.0.pdf).
Логический анализатор снифит входные данные, которые нужны для дальнейшего создания поддельного бейджика, используя Proxmark 3 RDV4 к примеру.
- Прикинутся техническим консультантом по обслуживанию лифтов – наилучший вариант, для проникновения в здание. Такие специалисты не вызовут подозрений, зачастую они не обязаны иметь определенную форму, и так же их не заподозрят, если они будут ковыряться, что-то менять и т.д. Самое примечательное, они с легкостью могут получить ключ от желаемой двери, аргументируя это с, к примеру, тестированием новых компонентов в лифте, проверки напряжения на разных участках и так далее.
Так же интересное выступления об эксплуатировании лифтов:
- Создание ложного мнения – любимый метод хакеров. Поэтому, специалисты Red Team, так же пытаются втереться в доверие к персоналу. К примеру взять интересные инцедент в Алабаме: Police: Man Steals Beer By Posing As Delivery Driver.Если вкратце, то воришка приобрел мерч компании по производству напитков, пришел в магазин с огромной тележкой, и вышел с 20+ упаковками пива. Может это и выглядит забавно, но хакер может использовать точно такую же стратегию. Прийти в костюме, представиться консультантам по безопасности, даже предъявить документы, и с легкостью выйти с нужной информации на флешке. В таком случаи, хакеру нужно лишь сделать бейджик компании, которая предоставляет услуги защиты данному офису:
- Нахождение 0-day уязвимостей. К примеру, специалист решили проникнуть в систему через роутер. Что предпримет Red Team’ер? Конечно же будет копаться в новых прошивках, подсматривая тем временем уже запатченые уязвимости. На такое пентестер вряд ли пойдет, а вот хакер проделать сможет. Но такое случается редко, потому что не у каждого хватит терпимости и умений для нахождения уязвимостей такого рода.
- Ну и как же без локпикинга. Девиант Оллам, сотрудник Red Team Alliance, известный как лучший в этом деле, рассказывает тут
о проникновении, используя не только замок, но и ручку двери, щели и все что только возможно:
С Blue Team’ом все попроще. Их главной функцией является мониторинг трафика различными путями. Но также, они предотвращают атаки описанные выше. Поэтому проводят тренинги для сотрудников компании, устанавливают механизмы для предотвращения атак:
Этот Динамический дверной рычаг при закрытии двери, блокирует щель снизу, и не дает доступа взломщику к дверной ручки.
Blocking Shroud
Этот вариант более простой, и не дает доступа хакеру к ручке с верхней щели двери.
Purple Team - работает уже не наугад. Как я уже описывал выше, Purple Team – группа из специалистов Red и Blue Team. Работа всегда сплоченная, и сотрудники Blue Team могут предупреждать / давать идеи о возможной защите. Как вы уже понимаете Purple Team – идеальная команда.
Заключение
Red, Blue Teams играют важную роль в обеспечении безопасности и сохранности систем. Без постоянного тестирования с использованием новейших уязвимостей, компания может подвергнуть большому риску не только свою безопасность, а и конфиденциальные данные своих клиентов.
Также хочу добавить пару книг, которые помогут вам углубиться в тонкости технической части Red/Blue Team’a:
Red.
Blue.
Спасибо за внимание!