לא כל ההאקרים הם חדשות רעות! האקרים של הצוות האדום ינסו להיכנס לנתונים שלך, אבל למטרות אלטרואיסטיות...
צוות אדום הוא פעולת בדיקה, תקיפת וחדירה לרשתות מחשבים, יישומים ומערכות. אנשי צוות אדומים הם האקרים אתיים שנשכרים על ידי ארגונים כדי לבחון קרב את ארכיטקטורת האבטחה שלהם. המטרה הסופית של הצוות האדום היא למצוא - ולפעמים לגרום - לבעיות ופגיעות במחשב ולנצל אותן.
מדוע שיתוף פעולה אדום חשוב?
עבור ארגון שצריך להגן על נתונים ומערכות רגישים, צוות אדום כרוך בגיוס עובדים מפעילי אבטחת סייבר לבחון, לתקוף ולחדור את ארכיטקטורת האבטחה שלה לפני זדוניות האקרים עושים זאת. העלות ההשוואתית של קבלת משחקי ידידות כדי לדמות התקפה נמוכה יותר באופן אקספוננציאלי מאשר תוקפים.
אז, אנשי צוות אדומים בעצם ממלאים את התפקיד של האקרים מבחוץ; רק כוונותיהם אינן זדוניות. במקום זאת, המפעילים משתמשים בטריקים, כלים וטכניקות פריצה כדי למצוא ולנצל פגיעויות. הם גם מתעדים את התהליך, כך שהחברה יכולה להשתמש בלקחים שנלמדו כדי לשפר את ארכיטקטורת האבטחה הכוללת שלה.
צוות אדום חשוב מכיוון שחברות (ואפילו יחידים) עם סודות לא יכולים להרשות לעצמם לתת ליריבים לקבל את המפתחות לממלכה. לכל הפחות, הפרה עלולה לגרום לאובדן הכנסות, קנסות מסוכנויות ציות, אובדן אמון הלקוחות ומבוכה ציבורית. במקרה הגרוע, הפרת יריבות עלולה לגרום לפשיטת רגל, להתמוטטות בלתי ניתנת להשבתה של תאגיד, וכן
גניבת זהות המשפיעה על מיליוני לקוחות.מהי דוגמה ל-Red Teaming?
צוות אדום ממוקד מאוד בתרחישים. למשל, חברת הפקות מוזיקה רשאי לשכור מפעילי צוות אדום לבדיקת אמצעי הגנה למניעת דליפות. מפעילים יוצרים תרחישים הכוללים אנשים שיש להם גישה לכונני נתונים המכילים קניין רוחני של אמנים.
מטרה בתרחיש זה עשויה להיות בדיקת התקפות שהן היעילות ביותר בפגיעה בהרשאות הגישה לקבצים אלה. מטרה נוספת עשויה להיות לבדוק באיזו קלות תוקף יכול לנוע לרוחב מנקודת כניסה אחת ולחלץ הקלטות מאסטר גנובות.
מהן המטרות של הצוות האדום?
הצוות האדום יוצא לאתר ולנצל כמה שיותר נקודות תורפה בזמן קצר, מבלי להיתפס. בעוד שהמטרות בפועל בתרגיל אבטחת סייבר ישתנו בין ארגונים, לצוותים האדומים יש בדרך כלל את המטרות הבאות:
- מודל איומים בעולם האמיתי.
- זיהוי חולשות ברשת ובתוכנה.
- זיהוי אזורים לשיפור.
- דרג את האפקטיביות של פרוטוקולי אבטחה.
איך עובד צוות אדום?
צוות אדום מתחיל כאשר חברה (או יחיד) שוכרת מפעילי אבטחת סייבר כדי לבדוק ולהעריך את ההגנות שלהם. לאחר קבלת העבודה, המשרה עוברת ארבעה שלבי התקשרות: תכנון, ביצוע, חיטוי ודיווח.
שלב התכנון
בשלב התכנון, הלקוח והצוות האדום מגדירים את מטרות והיקף ההתקשרות. זה המקום שבו הם מגדירים יעדים מורשים (כמו גם נכסים שלא נכללו בתרגיל), הסביבה (פיזית ודיגיטלית), משך ההתקשרות, עלויות ולוגיסטיקה אחרת. שני הצדדים גם יוצרים את כללי המעורבות שינחו את התרגיל.
שלב הביצוע
שלב הביצוע הוא המקום שבו מפעילי הצוות האדום משתמשים בכל מה שהם יכולים כדי למצוא ולנצל נקודות תורפה. הם חייבים לעשות זאת בחשאי ולהימנע מלהיתפס על ידי אמצעי הנגד או פרוטוקולי האבטחה הקיימים של המטרות שלהם. חברי הצוות האדומים משתמשים בטקטיקות שונות במטריצת טקטיקות, טכניקות וידע משותף (ATT&CK).
מטריצת ATT&CK כולל מסגרות שבהן משתמשים תוקפים כדי לגשת, להתמיד ולעבור דרך ארכיטקטורות אבטחה, גם כן כמו האופן שבו הם אוספים נתונים ושומרים על תקשורת עם הארכיטקטורה שנפגעה בעקבות א לִתְקוֹף.
כמה טכניקות שהם עשויים להשתמש כולל התקפות נהיגה במלחמה, הנדסה חברתית, פישינג, רחרוח ברשת, השלכת אישורים, וסריקת יציאות.
שלב החיטוי
זו תקופת הניקיון. כאן, מפעילי הצוות האדום קושרים קצוות רופפים ומוחקים עקבות של ההתקפה שלהם. לדוגמה, גישה לספריות מסוימות עשויה להשאיר יומנים ומטא נתונים. המטרה של הצוות האדום בשלב החיטוי היא לנקות את היומנים הללו ושפשוף מטא נתונים.
בנוסף, הם גם הופכים שינויים שעשו בארכיטקטורת האבטחה בשלב הביצוע. זה כולל איפוס בקרות אבטחה, ביטול הרשאות גישה, סגירת עוקפים או דלתות אחוריות, הסרת תוכנות זדוניות ושחזור שינויים בקבצים או סקריפטים.
אמנות מחקה לעתים קרובות את החיים. חיטוי חשוב מכיוון שמפעילי הצוותים האדומים רוצים להימנע מסלילת הדרך להאקרים זדוניים לפני שצוות ההגנה יוכל לתקן דברים.
שלב הדיווח
בשלב זה, הצוות האדום מכין מסמך המתאר את פעולותיהם ותוצאותיהם. הדוח כולל עוד תצפיות, ממצאים אמפיריים והמלצות לתיקון נקודות תורפה. הוא עשוי גם לכלול הנחיות לאבטחת ארכיטקטורה ופרוטוקולים מנוצלים.
הפורמט של דוחות צוות אדום בדרך כלל עוקב אחר תבנית. רוב הדוחות מתארים את המטרות, ההיקף וכללי המעורבות; יומני פעולות ותוצאות; תוצאות; תנאים שאפשרו את התוצאות הללו; ותרשים ההתקפה. בדרך כלל ישנו סעיף לדירוג סיכוני האבטחה של יעדים מורשים ונכסי אבטחה מדי.
מה יבוא אחרי הצוות האדום?
תאגידים שוכרים לעתים קרובות צוותים אדומים לבדיקת מערכות אבטחה במסגרת טווח או תרחיש מוגדרים. בעקבות התקשרות של צוות אדום, צוות ההגנה (כלומר הצוות הכחול) משתמש בלקחים שנלמדו כדי לשפר את יכולות האבטחה שלהם נגד איומים ידועים ואיומים של יום אפס. אבל התוקפים לא מחכים. בהתחשב במצב המשתנה של אבטחת הסייבר והאיומים המתפתחים במהירות, עבודת הבדיקה והשיפור של ארכיטקטורת האבטחה לעולם לא מסתיימת באמת.