Blue team что это

Red, Blue или Purple Teams: обзор команд для оценки кибербезопасности

Большинство организаций регулярно тестируют свои системы и протоколы безопасности, и ваша компания, вероятно, входит в число тех, кто это делает.

Независимо от размера или отрасли организации одним из наиболее эффективных способов выявления уязвимостей инфраструктуры и предотвращения возможных киберугроз является проведение тестирования на проникновение в формате Red и Purple Team.

В этой статье подробнее разберем, что такое Red, Blue и Purple Team, расскажем про различия этих команд, как проходят эти мероприятия и каким организациям нужны такие тестирования.

У названий команд военные истоки. Американские военные во время учений традиционно носили синие и красные повязки, чтобы легко идентифицировать противника. Затем подобное цветовое решение перекочевало в видеоигры Player vs Player, где принадлежность к определенной команде определялась цветом брони или формы: красный с одной стороны, синий – с другой.

Red Team – это команда профессионалов в области кибербезопасности, которые думают и действуют, как настоящие злоумышленники, чтобы проверить эффективность оборонительных возможностей организаций.

Red Team работают над первоначальной разведкой и разведкой по открытым источникам (OSINT) для сбора информации о цели и выявления потенциальных слабых мест. Затем они могут использовать собранные данные для атак методами социальной инженерии, чтобы получить дополнительную информацию для доступа к сети. Они также создают приманки, чтобы сбить синюю команду со следа. Атаки Красной команды могут быть и физическими: специалисты могут получить доступ к местоположению инфраструктуры клиента и проверить, как долго они могут оставаться незамеченными.

Blue Team – это сотрудники ИБ-подразделений компаний в штате и на аутсорсе, которые отвечают за мониторинг безопасности сетевой инфраструктуры, выявляют любые возможные уязвимости и реагируют на все атаки. Без слаженной работы этих подразделений провести тестирование на проникновение в формате Red Team невозможно в принципе. Одной из основных задач Blue Team является реализация способов противодействия, изменения и перегруппировки защитных механизмов, чтобы сделать реагирование на инциденты более быстрым и эффективным.

Основные действия включают в себя анализ ландшафта угроз, анализ трафика и данных, создание пользовательских правил для лучшего обнаружения текущих угроз, проведение мероприятий по обучению сотрудников информационной безопасности. В обязанности Blue Team входят также функции Threat Intelligence, среди которых защита бренда, мониторинг хакерских форумов в Darknet и отслеживание попыток планирования злоумышленниками потенциальных атак (например, объявления о покупке данных для доступа во внутреннюю сеть компании).

Red и Blue команды необходимы для успешного тестирования. Нельзя использовать синюю команду без красной, и наоборот. Однако, комбинируя действия обеих команд, можно добиться лучших результатов. Именно так появились Purple Team.

Purple Team – это взаимодействие нашей атакующей команды Red Team и защищающей Blue Team. Такой формат тестирования позволяет выявить слабые места и улучшить организацию работы обеих команд.

Тестирование Purple Team включает в себя не просто атаку на целевые системы, но также и глубокий анализ и коррекцию действий служб защиты – синей команды. Услуга Purple Team носит также обучающий характер для защитников: мы рассматриваем известные тактики, техники и процедуры злоумышленников (TTP – tactics, techniques, and procedures). Red Team, в свою очередь, атакует и получает обратную связь от Blue Team – удалось ли им обнаружить и идентифицировать вредоносную активность – таким образом давая возможность отследить большинство сценариев атак.

По итогам тестирования Purple Team заказчик получает достоверную картину: какие действия атакующей команды видны службам ИБ и при каких условиях, а какие из этих действий остаются незамеченными и могут привести к развитию атаки. Также заказчику предоставляются практические рекомендации по повышению качества противодействия и уменьшению времени на обнаружение и реагирование на действия продвинутых злоумышленников (APT).

Совместные учения Red Team и Blue Team — это метод оценки кибербезопасности, который используют имитированные атаки для проверки существующих возможностей безопасности и выявления областей, которые требуют улучшений, в среде с низким уровнем риска.

Услугами Red или Blue Team пользуются в основном крупные и компании, которые предоставляют услуги в сфере хранения данных, финансов и инновационных разработок: банки, провайдеры, IT компании, медицинские организации. Они регулярно проводят пентесты и уже сталкивались с угрозами безопасности.

Если Red Team – сторонние специалисты, то Blue Team зачастую является структурным подразделением организации или частью SOC (Security Operation Center – Оперативный центр безопасности). Синяя команда анализирует сетевой трафик, реагирует на атаки и пытается их предотвратить и предугадать.

Цели подобного тестирования формируются на основе возможных недопустимых событий, отражающих ключевые бизнес-риски клиента.

Так, на основе недопустимых событий специалисты Digital Security составляют сценарии и согласовывают с клиентами детали их реализации. Например, бизнес-риск – кража финансовых средств, и, соответственно, цель Red Team – украсть деньги, а задача Blue Team – не допустить этого. По итогу тестирования эксперты формируют рекомендации, которые помогут клиенту защитить себя от таких рисков.

Смоделированная атака предназначена для точной имитации реальных условий нападения.

Например, Red Team делает фишинговую рассылку для сотрудников. Задача Blue Team – сделать так, чтобы это вредоносное письмо было отфильтровано. Однако, если этого не происходит, и хотя бы один из сотрудников компании открывает зловредное сообщение, защищающие члены Blue Team должны отследить этот момент и найти вредоносное ПО, прежде чем оно распространится по сети и заразит веб-серверы и другие приложения. Моделирование воспроизводит реальный сетевой трафик, чтобы скрыть атаки, как это происходит в реальном мире.

Члены красной команды играют роль злоумышленников и пытаются обойти протоколы безопасности. Во время “редтиминга” важно найти хотя бы одну уязвимость, которая позволит выполнить поставленные цели. Синяя команда состоит из защитников, созданных по образцу команд внутренней безопасности. Их задача отследить подозрительную активность на всех этапах.

Red, Blue и Purple Team играют важную роль в обеспечении безопасности и сохранности систем. Без постоянного тестирования с использованием новейших методов и различных сценариев атак компания может подвергнуть большому риску не только свою безопасность, но и конфиденциальные данные своих клиентов, понести репутационные и финансовые потери.

Стоит отметить, что услуги Red и Purple Team необходимы зрелым компаниям, которые регулярно проводят пентесты и хотят проверить свои силы во время имитации реальной атаки продвинутых злоумышленников.

Тестирование Red и Purple Team не дает 100% гарантии защиты от хакеров. Цель такого рода тестирования не в поиске максимального количества уязвимостей, а в том, чтобы найти наибольшее количество возможных цепочек атак, которые можно использовать для достижения поставленных целей: например, кражи интеллектуальной собственности или финансовых средств.

Специалисты по анализу защищенности Digital Security регулярно выступают на конференциях с докладами по теме “Red Teaming”. Чтобы не пропустить анонсы будущих мероприятий, следите за обновлениями!

Наступательная кибербезопасность: подробный гайд от «белого» хакера

Независимый исследователь безопасности и тестировщик на проникновение.

Работал в «Солар Секьюрити», «Лаборатории Касперского». Специализируется на анализе защищённости внешнего и внутреннего периметра, разработке ПО для эксплуатации уязвимостей, исследует безопасность беспроводных сетей и защиту от приёмов социальной инженерии. Умеет в Bash, Python, PowerShell, Visual Basic, C и даже JavaScript.

Коллекционирует произведения российского уличного искусства, обожает океан, бассейн и умных, остаётся 31337 .

Ссылки

Прежде чем говорить о кибербезопасности, пентестах, хакерстве, разберёмся с термином «хакер». Многие понимают его превратно.

Люди, которые крадут деньги с помощью IT, взламывают сайты, сливают информацию, придумывают вирусы, ― это бандиты, а не хакеры.

В любой сфере есть подлые или отчаявшиеся люди, которые хотят заполучить чужое. Конечно, среди них встречаются умные и даже гениальные. О них пишут в «Википедии» и на тематических ресурсах, по их биографиям снимают фильмы, их талантом восхищаются. Но преступления всегда заканчиваются печально. Жаль, что люди используют свои способности только для того, чтобы совершить профессиональный суицид. Им остаётся лишь посочувствовать.

Хакер же изначально (от слова hack ― врубаться) ― это человек, который хорошо разбирается в какой-либо технологии, понимает, как она работает? и умеет эксплуатировать её недостатки и уязвимости, чтобы сделать свою работу быстрее.

Это сверхкомпетентный специалист, способный консультировать и предлагать собственные решения, самостоятельно находить бреши в системе. Он хочет не разрушать, а делать мир лучше.

Поэтому тех, кто занимается кибербезопасностью, часто называют белыми, этичными хакерами, или white hat. Они противостоят киберпреступникам — black hat: ищут уязвимости, чтобы помочь разработчикам и сделать продукт безопаснее. Они разбираются в системных ошибках, умеют их исправлять, защищают информацию с помощью криптографии и выстраивают преграды на пути вредоносных программ.

Содержание

Что такое наступательная кибербезопасность

В информационной безопасности, к сожалению, не бывает идеального состояния, которого можно достичь и больше не беспокоиться. В безопасности — как в любви: это вам не просто так, этим нужно постоянно заниматься.

Допустим, у вас есть кодовая фраза от криптокошелька — ваш основной, дорогостоящий информационный актив. С этим кошельком работают несколько менеджеров: взаимодействуют с биржевыми API, отправляют транзакции и так далее.

Хранить пароль в открытом виде, на мониторе или на бумажке, — опасно и неудобно. Поэтому существуют специальные архитектуры для работы с сервисами и идентификационными данными.

Задача наступательной безопасности ― проводить проверку этих архитектур, искать потенциальные векторы и возможности проникать в защитные периметры сети. Соответственно, в информационной безопасности есть условное деление на Blue Team (защитников) и Red Team (нападающих).

Blue Team — это в первую очередь сисадмины и специалисты по реагированию на кибератаки. У них по большей части административная работа: им нужно постоянно мониторить происходящее и своевременно реагировать на киберинциденты.

Red Team ― наступательная команда. Её задача — имитировать действия потенциального злоумышленника и тренировать специалистов по защите. А ещё «красные» исследуют ПО на предмет уязвимости и потенциальных недостатков в используемой заказчиком конфигурации, ищут возможности обхода антивируса и занимаются прочей на вид разрушительной, но на самом деле очень созидательной работой.

Никто не ждёт, что красная и синяя команды закроют все уязвимости. Цель их противостояния — оценить эффективность работы обороняющихся, обучить их в условиях, максимально приближенных к целевой атаке подготовленных злоумышленников. Красной команде необходимо обнаружить и проэксплуатировать наиболее опасные и неочевидные векторы атак и при этом остаться незамеченными. Подробная отчётность команды и привязка ко времени позволяет обнаружить слабые места и улучшить действия обороняющихся во время реальных атак. В некоторых случаях синяя команда может оставить некоторые вектора атак «незапатченными» и усилить мониторинг для своевременного выявления попыток реальных атак злоумышленников.

Что должен уметь «красный»

Когда-то я сидел на форумах и искал — что нужно, чтобы стать хакером? Какой язык программирования учить? На этот вопрос обычно отвечают: «Нужно знать все» — и это правда.

На самом деле поначалу технологический стек может быть минимальным — но освоить его нужно максимально качественно. Например, один мой коллега знает только Visual Basic — и прекрасно себя чувствует.

На мой взгляд, ключевых требований три:

1. Знать в совершенстве хотя бы один язык программирования. Проще всего начать с самых задокументированных и простых. Например, Python хорошо задокументирован и присутствует везде, его очень легко выучить. При достаточной мотивации, времени и силах для этого достаточно пары недель — особенно если у человека есть опыт взаимодействия с веб-технологиями или написанием кода. Вам в помощь — уйма достойных книг и платформ, в том числе русскоязычных. А ещё большое, сильное сообщество, которое всегда даст дельный совет.

2. Базово разбираться в архитектуре выполнения кода. Нужно хотя бы понимать, как скачать файл или сделать минимальную таблицу в базе данных, и научиться читать данные из неё с помощью своего языка программирования. Освоите это — быстро разберётесь и с другими языками. Естественно, у разных языков разная архитектура. Но если вы занимаетесь безопасностью, нужно уметь получать исчерпывающую информацию про каждую атаку, каждую технику, каждую уязвимость — и корректно их описывать.

Пример: хакер взаимодействует с веб-приложениями, используя ресурсы клиентской стороны. Он пытается повлиять на работу серверного приложения или атаковать клиентов. Если специалист хочет получить контроль над сервером приложения, ему нужно понимать, на каком языке оно написано и как можно выполнить код на серверной стороне, используя возможности клиента. Специалист по анализу защищённости веб-приложений или баунтер ищет уязвимости на просторах интернета, а потом сообщает о них вендору и получает за это вознаграждение.

3. Уметь находить релевантную информацию, понимать её и воспроизводить в проекте. Не нужно пытаться охватить сразу всё: главное — научиться брать из потока информации то, что вам действительно необходимо, и отсекать лишнее.

Как тестируют безопасность инфраструктуры

Подход к тестированию зависит от целей отдела информационной безопасности. Можно выделить пять основных направлений.

Анализ защищённости: обнаружение всех возможных рисков в использовании конкретного ПО или технологического решения на внутреннем или внешнем периметре организации. Часто анализ проводится методом «белого ящика», когда исходный код приложения доступен для исследователей.

Тестирование на проникновение: получение доступа во внутреннюю сеть организации, при котором исполнитель симулирует действия потенциального злоумышленника и атакует инфраструктуру с внешнего периметра. Цель — посмотреть, как глубоко можно пройти.

Эта информация нужна для выстраивания архитектуры и эффективного применения систем обнаружения вторжений, файрволов, доменных политик, конфигураций на конечных устройствах и других решений, обеспечивающих информационную безопасность. Подобные тестирования могут масштабироваться в зависимости от ситуации.

Киберучения (Red Teaming): «красные» симулируют актуальные тактики киберпреступников, применимые для конкретной организации, а специалисты Центра реагирования SOC и Blue Team предотвращают атаки.

Перед киберучениями заказчик ставит красной команде конкретные цели: прочитать почту одного из директоров, получить доступ к определённым файлам, бухгалтерским операциям, вывести деньги и так далее. С определённой периодичностью «красные» присылают отчёт с почасовым описанием своих действий представителю заказчика. Клиент наблюдает за эффективностью синей команды и в случае необходимости вносит коррективы в процесс.

Учения не обязательно заканчивается победой «красных». Наоборот: победа «синих» ― замечательный результат. Я недавно её наблюдал, и это действительно круто. Видишь, что люди хорошо работают, постоянно учатся.

Социотехническое тестирование, или классический фишинг: отправляешь сообщения об участии в акции, предлагаешь зарегистрироваться, скачать или кликнуть. Цель — получить данные.

В каждый документ ставится персональная ссылка, чтобы идентифицировать пользователя, который её откроет. Если есть форма для ввода логина и пароля, можно посмотреть, что за человек пришёл, какие данные ввёл. У меня в практике были случаи, когда сотрудники заказчика перенаправляли фишинговые письмам коллегам и расширяли покрытие моей рассылки.

По результатам социотехнического тестирования вы поймёте, кто из сотрудников плохо осведомлён об информационной безопасности. Их не надо увольнять — с ними надо поработать, подготовить для них обучающий курс.

Проникновение методами социальной инженерии: отправляем фишинговый запрос и с его помощью и закрепляемся на машине. Пишем приложение, которое позволяет удалённо управлять рабочей станцией сотрудника, открывшего документ.

Мой совет: чтобы противодействовать таким атакам, читайте заголовки сообщений. Вам могут подменить отправителя. Скорее всего, в письме злоумышленники будут вас торопить — играть на страхе. А ещё не стоит верить, что вам подарят машину, квартиру или даже «сникерс». Взаимодействовать с рабочей почты можно только по рабочим вопросам — никаких конкурсов и розыгрышей.

Для чего нужен каждый вид тестирования

Прежде всего это зависит от того, какая инфраструктура тестируется — внутренняя или внешняя.

Внешняя инфраструктура — ресурсы организации, доступные из интернета: веб-сайты, серверы и даже конечные устройства, которые могут быть доступны извне. Самая распиаренная услуга для её проверки — тестирование на проникновение.

Допустим, у компании Example Ltd. есть сайт example.com. Она обращается к службе тестирования на проникновение с просьбой проверить внешний периметр. Для этого предоставляют конкретный перечень ресурсов — например, IP-адреса и доменные адреса — или просят составить его самостоятельно.

Внутренняя инфраструктура — ресурсы, доступные только внутри корпоративной сети: принтеры, сетевые диски, доменный контроллер Active Directory, панели администрирования АСУТП, базы данных, рабочие станции сотрудников и так далее.

Для неё чаще проводят анализ защищённости. Это удобно для Blue Team: они могут захватывать сетевой трафик, примеры запросов, собирать данные для систем обнаружения и реагирования на киберинциденты.

Прочие виды тестирования проводят компании с довольно зрелым уровнем информационной безопасности — например, крупные заводы или телеком-провайдеры. Иначе там быть не может — слишком много рисков, связанных с утечкой данных. Это довольно длительные процессы, длящиеся от трёх месяцев до нескольких лет.

Независимо от вида тестирования и принадлежности к той или иной команде, специалистам отдела информационной безопасности лучше всегда быть на связи — например, создавать общий чат и обмениваться знаниями. Хотя часто он становится чатом для претензий одной команды к другой.

Желательно, чтобы был третейский судья в лице представителя заказчика — так называемая Purple Team, которая обеспечит эффективное взаимодействие между «красными» и «синими».

Самые частые проблемы с безопасностью и способы их преодоления

В моей карьере было много смешных случаев. Если в них разбираться, можно либо разочароваться в человечестве, либо прокачать чувство юмора.

Пароли в открытом виде. Я тестировал хорошо защищённые организации со зрелым уровнем информационной безопасности — у них была полноценная внешняя защита, благодаря которой попасть в их внутреннюю инфраструктуру, казалось, было невозможно. Но и там нашлась лазейка! Обнаружил небезопасную конфигурацию на беспроводных точках доступа. Я создал поддельную беспроводную точку доступа с таким же названием, как у заказчика, атаковал устройства клиентов и предложил им пройти аутентификацию к моей точке доступа, но по протоколу, позволяющему получить учетные данные в открытом виде и попасть во внутреннюю сеть.

Пренебрежение безопасностью. Однажды мы с коллегой приезжали на внутренний пинтест в солидную организацию. Приходим в отдел информационной безопасности — маленькая комната, в которой сидят три человека. Руководитель представляет нас, удаляется, а ребята говорят: вот стульчики, вот шкафчик, работайте, а мы пойдём покурим — и просто оставляют нас, незнакомцев, у себя в отделе, со всеми данными, ключами и красными кнопками.

Фишинг. В одной компании сотрудники умудрились 15 раз ввести свои пароли в фишинговом окне. Мы обновили веб-версию Outlook, всем очень хотелось в неё попасть — никого не смутил неправильный номер телефона и изменения в цветовой гамме окна.

Кстати, мой первый опыт в редтиминге как раз начался с того, что я вскрыл одну компанию с помощью фишинга. Так что дам несколько советов по безопасности:

• Не открывайте подозрительных писем, проверяйте адрес отправителя, не переходите по сомнительным ссылкам.
• Не качайте программы с торрентов, платите за ПО, пользуйтесь только лицензионными продуктами.
• Проверяйте, на какие сайты вы переходите, — корректно ли указан адрес, не фишинг ли это.
• Не передавайте пароли в открытом виде.
• Не оставляйте технику без присмотра в незаблокированном режиме, не давайте никому доступ к ней.
• Не сообщайте по телефону личные данные, пароли.
• Не спешите. Если вам кто-то прислал письмо на электронный ящик и пытается апеллировать к спешке, выгоде либо авторитету, это странно.

Как стать нападающим

Чтобы прокачать свои навыки, следуйте нехитрым советам:

1. Используйте бумажный дневник и программы для ведения записей — например, Joplin, Cherrytree или Typora.io. Записывайте всё, чему научились, и старайтесь применить новые навыки буквально на следующий день.

2. Ознакомьтесь с теорией наступательной безопасности. Рекомендую эту лекцию:

Лекция по наступательной безопасности

Затем можно посмотреть цикл лекций «Практические аспекты информационной безопасности»:

Цикл лекций по наступательной кибербезопасности

Также будет полезно прочитать эту статью.

3. Освойте командную строку Linux и попрактикуйтесь в написании Bash-скриптов.

На сайте explainshell.com есть подробное описание команд Linux и примеры их применения.

По адресу tryhackme.com/room/bashscripting можно найти семь задач для изучения Bash-скриптинга — их решение позволит разобраться с базовыми операциями за полчаса.

devhints.io/bash — подробная интерактивная шпаргалка по Bash со всевозможными примерами применения.

А на hackerrank.com/domains/shell можно пройти челендж для закрепления изученного материала.

Напоследок — Opennet, один из самых подробных ресурсов для изучения Bash на русском языке.

4. Освойте Python. Вам в помощь — 10 задач, чтобы разобраться с базовыми операциями за час.

5. Освойте JavaScript. Например, с помощью этого ресурса: 10 задач для изучения JavaScript, чтобы разобраться с базовыми операциями за час.

7. Освойте методологию первичного сбора информации о цели и отработайте её на публичных bug-bounty-программах. Больше об этом можно узнать на сайте HackTricks.

YouTube-канал по bug-bounty-программам

А вот сайты bug-bounty-программ:

8. Изучите актуальный перечень уязвимостей в веб-приложениях OWASP top 10. Отработайте их на практике и законспектируйте: в чём заключается природа изученных уязвимостей и какие условия потребуются для их эксплуатации.

Лаборатории для изучения и практики:

на TryHackMe; на Hack The Box; .

9. Изучите методологию атак на Windows системы и Active Directory:

• Изучите посты в Telegram-канале CyberSecrets.
• Прочитайте книгу «Ralf Hacker: Active Directory глазами хакера».
• Пройдите все комнаты в серии Windows Fundamentals.
• Изучите базовые операции на Powershell.
• Научитесь применять PowerShell для анализа защищённости.
• Пройдите трек либо хотя бы пять машин из Hack The Box. Ведите конспекты, пишите отчёты в конце каждой из пройденных машин.

Также рекомендую подписаться на полезные блоги:

Сообщество Open Web Application Security Project OWASP имеет собственную методологию тестирования веб-приложений. У них есть подробный гайд по тестированию OWASP Web Security Testing Guide, который является своего рода стандартом в тестировании веба. В нём описаны:

• правила первоначального сбора информации,
• эксплуатация базовых уязвимостей,
• некорректные конфигурации в работе веб-приложений, которые представляют потенциальную угрозу для безопасности.

Для новичка этой методологии будет достаточно, углубляться в другие стоит только после того, как вы основательно разберётесь в этой.

Наконец, есть блогер и хакер Jason Haddix — у него неплохая презентация и интересные работы. Их полезно прочитать, чтобы понимать, как всё устроено в индустрии: Джейсон буквально всё разжёвывает и очень предан своему делу.

И конечно, не обойтись без хакерского гуру Кевина Митника. У него очень складные книжки по слогу, их приятно читать, но будьте осторожны: многое преувеличено или принесено в угоду художественному вымыслу.

Читайте также:

На хакерском сленге 31337 читается как eleet (искаж. элита). Port 31337 — TCP-порт, использовавшийся известной троянской программой Back Orifice+.

What is exactly the Red Team & Blue Team & what they do?

While examining cybersecurity, the expressions “Red Team” and “Blue Team” are frequently referenced. This has been for some time related to the military; these terms are ordinarily used to depict Teams that utilization their abilities to emulate the assault methods that “adversaries” may utilize, and different Team that utilization their aptitudes to guard. In cybersecurity, there isn’t a lot of contrast and have plainly received similar wordings since cybersecurity is no better than a war procedure all alone.

Wargaming the security foundation is a strategical methodology of the guard and is presently advancing toward segments, for example, government offices, corporate world, etc. The technique of red Team and blue Team has risen up out of military forerunners. The thought behind this is one gathering assaults another group and the subsequent group attempts to safeguard themselves. The activities of assaulting and safeguarding were utilized by the military to test the preparation of their staff. This is likewise done to test the physical security of atomic offices, labs, innovation focuses, etc. In a comparative example, specialists of data security began rehearsing red Team and blue Team activities to test the viability of security frameworks.

What Is Red Team and Blue Team All About?

A blue team is a group of individuals who perform an analysis of information systems to ensure security, identify security flaws, verify the effectiveness of each security measure, and to make certain all security measures will continue to be effective after implementation.

A red team is a group that helps organizations to improve themselves by providing opposition to the point of view of the organization that they are helping. They are often effective in helping organizations overcome cultural bias and broaden their problem-solving capabilities

Comparison of Red VS Blue

Red Team — Objective — Exploit, compromise, and circumvent

Attacks stimulated by the Red team

• Conduct remote attacks via the Internet
• DNS tunneling
• ICMP tunneling
• Intrusion attempts
• Insider threat
• VPN-based attacks
• Access card copy and strength test
• Identity spoof
• HID attack
• Fake WAP
• Spoofing
• Lazy/broken processes
• Zombies/bots
• Attack on physical security
• Stolen authentication token

Blue Team — Objective — Detect and prevent security controls

Control measures by the Blue team

• Identify the type of attacks
• Identify intrusions on the systems
• Identify and block the attacks before they succeed
• Activate run books for incident response
• Stay alert for reactive or preventive action
• Train the physical security teams for identity spoof
• Enhance security standards
• Activate the containment of attacked systems
• Logs and SIEM Config/Alerts
• Security awareness training
• Check on domain expirations
• Email filters, threshold, and spam rules
• Two-factor authentication
• Deny long relay request
• Application whitelisting
• Segmentation
• Manage keys securely
• Config and patch management
• Secure group policy settings
• Sensitive data stores

Why Cybersecurity is very important for an Organization?

Help to prevent the data breach or getting hacked

Cybersecurity is important because it encompasses everything that pertains to protecting our sensitive data, personally identifiable information (PII), protected health information (PHI), personal information, intellectual property, data, and governmental and industry information systems from theft and damage attempted by criminals and adversaries.

Как техники хакерских атак используются в информационной безопасности

Привет! Это школа кибербезопасности HackerU, и в этой статье мы хотим рассказать о двух направлениях в информационной безопасности: Red Team и Blue Team.

Когда мы говорим об информационной безопасности, мы в первую очередь имеем в виду защиту — инфраструктуры, систем, данных, you name it. И кажется, что в этом контексте слово «атака» окрашивается сугубо негативно: атаки же проводят злоумышленники.

Но техники хакерских атак можно использовать во благо. В информационной безопасности действует правило, пришедшее из военных игр: чтобы защита работала эффективно, ее должны атаковать свои.

По этой логике в индустрии выделились два направления, которые разными путями приходят к одной цели — не допустить взлома системы. Это атакующие и обороняющиеся, они же пентестеры и безопасники, они же Red Team и Blue Team.

Кто такие Red Team и Blue Team?

Red Team — это, по сути, хакеры, которые действуют на «стороне добра»: с помощью взлома систем защиты они помогают эти системы усилить. Еще их называют пентестерами.

Пентестеры работают в связке с Blue Team — командой специалистов, обеспечивающих информационную безопасность системы изнутри. Чаще всего это чистые инфраструктурщики.

Для работы в Red Team в первую очередь нужны знания о работе различных приложений и основных атакующих техник, а также умение программировать. Специалистам Blue Team требуются фундаментальные знания, в первую очередь технические.

Компании выделяют все большие бюджеты на ИБ. При этом схема, в которой Blue Team работает вместе с Red Team, оказывается наиболее эффективной. Blue Team-специалисты обеспечивают защиту от хакерских атак изнутри: настраивают системы, мониторят их состояние — и делают это постоянно. Red Team же работает снаружи: ищет и использует уязвимости, проводит хакерские атаки — не чтобы все сломать, а чтобы указать на слабости коллегам-безопасникам.

Red Team и Blue Team защищают системы от хакерских атак. Но каждый делает это по-своему.

Ключевые задачи Red Team и Blue Team

Итак, есть инфраструктура, и её нужно защитить от злоумышленников. Специалисты из Blue Team должны это обеспечить. Если суммировать их конкретные задачи, то получится такой список:

1. Выстраивать систему защиты от известных хакерских атак, которая (в идеале) будет работать 24/7.
2. Выявлять новые атаки и изучать поведение хакеров.
3. Создавать систему реагирования на попытки взлома.
4. Прогнозировать цели хакерских атак и появление новых атак с учетом меняющегося ландшафта.

«Любую систему можно взломать. Возьмите социальную инженерию, и вы спокойно сможете поломать любую, даже самую защищенную систему. Наша задача — минимизировать вероятность взлома», — поясняет Ильдар Садыков, руководитель департамента ИБ Федерального бюро МСЭ Министерства труда и социальной защиты.

Минимизировать риски безопасникам помогают пентестеры. Их ключевая задача — имитировать настоящие атаки хакеров на систему защиты. В ее подготовке выделяются семь этапов, но главные из них два: поиск уязвимостей и их эксплуатация.

«Red Team — это, вообще, не какая-то конкретная команда. По сути, это процесс использования атакующих тактик. Обычно нам дают время, за которое нужно систему компрометировать. Либо продемонстрировать компрометацию — показать, что ее можно взломать, показать, какие есть уязвимости», — поясняет Head of Security в HackerU Russia Егор Богомолов.

Что должен знать пентестер: программирование, работа приложений, типы уязвимостей

Знания, необходимые пентестеру для работы, можно разделить на три больших категории:

1. Принципы работы разных мобильных и веб-приложений. Сюда же можно отнести понимание операционных систем.
2. Основные типы уязвимостей и техники их использования.
3. Языки программирования. Для пентестера нет необходимости в умении писать на всех языках, но читать и понимать их он обязан.

«Знать все на свете нереально. Поэтому пентестер уделяет особенно много времени изучению тех систем, с которыми он сталкивается чаще всего. А параллельно он развивает в себе полезные навыки: умение искать, быть внимательным, наблюдательным. Найти абсолютно все уязвимости невозможно. Но можно попытаться обнаружить большую часть», — поясняет Егор Богомолов.

Коротко разберем популярную задачу пентестера — использовать SQL-инъекцию. Это один из самых простых способов взлома сайта, работающего с базами данных. Его суть — внедрить в данные произвольный код на языке SQL, что позволит злоумышленнику выполнить любой запрос к базе, читать и записывать данные.

• Применить знания о работе веб-приложений. База помогает пентестеру работать даже с сайтами, которые совсем не похожи на те, с которыми он сталкивался до этого.
• Знать принципы SQL-инъекций и контекст, в котором они могут и не могут появляться.
• Понимать язык SQL.

Часть необходимых знаний пентестеры получают в университете — это в первую очередь касается языков программирования. Однако программ именно для пентестеров в вузах нет — специалисты Red Team получают необходимые знания и навыки благодаря самообучению, проходят курсы и посещают вебинары.

В школе кибербезопасности HackerU есть трёхэтапный профессиональный курс «Специалист по тестированию на проникновение». Он дает знания и навыки, необходимые для старта карьеры в этой области. Получить программу обучения и записаться на бесплатный пробный урок можно по этой ссылке.

Что должен знать безопасник: системы, сети, защита

«Специалистам из Blue Team нужен более обширный багаж знаний, причем в первую очередь — технический. Стартовать в этой профессии будет легче системным администраторам или сетевым инженерам», — отмечает Ильдар Садыков.

Ключевые знания эксперта по ИБ можно точно так же разделить на группы:

• Администрирование операционных систем: Windows, Linux, MacOS, Unix-подобных систем.
• Понимание работы компьютерных сетей.
• Знание систем защиты и навык конфигурации.

«Принципиальный момент: в сетях требуются экспертные знания. Допустим, ты их понимаешь слабо. Настроить сеть тебе, возможно, поможет системный администратор. Но если ты не будешь понимать, в какой момент тот или иной протокол может иметь ту или иную уязвимость, то ты просто это пропустишь», — подчеркивает Ильдар Садыков.

Получить знания и навыки для работы на стороне Blue Team можно на курсе «Cпециалист по информационной безопасности» от экспертов-практиков HackerU. Курс подойдёт, как начинающим IT-специалистам, так и сисадминам, сетевым инженерам. Записаться на бесплатный пробный урок можно по этой ссылке.

Востребованность, деньги, перспективы

Обеспечения информационной безопасности — это дорого. Согласно отчету Cisco, российские средние и крупные компании тратят на это в среднем 1,4 миллиона долларов в год. В итоге эффект — положительный: опрошенные организации оценили преимущества, которые они получили от защиты данных, в 2,1 миллиона долларов ежегодно. Логично, что инвестиции в ИБ продолжают расти.

Вместе с тем, до 93 % компаний признают, что их служба кибербезопасности не в полной мере соответствует потребностям. Одна из ключевых проблем в ИБ — «заплаточный» подход, когда проблемы решаются по мере их поступления. В таком случае отсутствует единое видение системы защиты организации.

Несостоятельность такого подхода доказывается работой пентестров. В 2019 году компания Positive Technologies провела ряд тестирований на проникновение, и вот что из этого вышло:

• получить доступ к локальным сетям удалось в 93 % случаев;
• чаще всего находилось несколько способов преодолеть сетевой периметр, максимальное число векторов проникновения в одном проекте — 13;
• в среднем на проникновение в локальную сеть требовалось четыре дня, минимум — 30 минут;
• сложность атаки в большинстве случаев оценивалась как низкая — значит, совершить ее мог даже низкоквалифицированный хакер.

Более современным и актуальным оказывает подход к ИБ, в котором присутствует механизм моделирования угроз, а мониторинг ведется постоянно. Практика показывает, что уровень защищенности систем растет, если безопасники и пентестеры работают в связке.

Это не может влиять на рынок: потребность в специалистах Blue Team и Red Team уже сейчас высока, а в будущем она будет только расти. Уровень зарплат в обоих случаях достойный даже у специалистов без обширного опыта: