Proč bývá červený tým úspěšnější než modrý tým?

Za posledních 10 let jsme provedli více než 100 testů jako červený tým a pouze ve třech případech jsme nebyli schopni získat chráněná aktiva, informace nebo data.

Obecně lze tedy říci, že jako červený tým jsme téměř vždy úspěšný v dosažení stanoveného cíle. Proč ale tomu tak je? Jsme snad chytřejší než modrý tým? Nebo je to tím, že bránit je těžší než dobíjet?

Abychom zodpověděli otázku, proč je červený tým výrazně úspěšnější, provedli jsme krátkou analýzu realizovaných testů zaměřenou na posouzení obtížnosti získání chráněných dat. Na základě analýzy uvádíme 3 základní kontinuální aktivitymodrého týmu, které výrazně snižují úspěšnost útočníka/červeného týmu.

Čas na „jarní úklid“ neboli znáte všechna svá aktiva?

I když by to bylo nejlepší, není hned nutné odstraňovat všechny staré aplikace a systémy opomenuté na serverech. No proveďte „úklid“ ve Vašem inventáři aktiv. Rozumíme, že nastavení skenu zranitelností a nalézání nových vektorů útoků přes „air gap“ je zábavnější. Ale, tento způsob útoku je komplikovaný. Proč takhle složitě? Ve skutečnosti stačí hledat opomenutou, starou webovou aplikaci, kterou například marketingové oddělení objednalo pro určitou kampaň před třemi lety a využít ji. To je vždy nejjednodušší cesta k provedení útoku.

Inventář aktiv je nejdůležitějším základem obrany. Potřebujete vědět o každém předmětu, který chráníte. Proto doporučujeme stanovit základní, nejdůležitější cíl, a tím je aktualizace inventáře aktiv každý týden. To je vše. Když budete tento cíl provádět správně a kontinuálně, útočník bude mít plné ruce práce, protože tímto opatřením mu vezmete nejlehčí způsob, jak se dostat k chráněným aktivům.

Je dobré být zvídavý neboli naučte se detekovat anomálie

Jak jste schopni detekovat? Pravděpodobně máte IDS a IPS, firewally, correlation engine a všechny ty skvělé věci. Ale víte, jak nejčastěji získáme reverzní shell na napadeném zařízení? Meterpreter TCP. O něco náročnější je pak ještě použití OpenVPN na portu 443/TCP. Občas je potřeba použít i složitější přístup jako je například Raspberry PI s LTE. Případně ještě sat link (tady upřímně, chtěli jsme to zkusit, jinak to není potřeba). 

Pokud máte správně nastavený management aktiv a detekční mechanismus, měli byste nás při těchto aktivitách odhalit (protože jsme museli něco zapojit do sítě) – takže žádný velký problém.

Abyste byli schopni detekovat anomálie, doporučujeme stanovit jednoduchý cíl – vždy vědět vše o odcházející komunikaci. Odcházející je mnohem důležitější než příchozí, protože v odcházejícím je možné odhalit úspěšný útok. 

Trénink dělá mistra neboli nacvičte si reakci na incident

Když jsem zastával roli purple týmu, vedl jsem rozhovory s modrým i červeným týmem. Víte, co je legrační? Jak moc se vzájemně liší představy členů červeného týmu o postupech modrého týmu a opačně. Modrý tým očekával super elitní hackery, kteří budou používat nikdy neviděné techniky a nástroje. Červený tým zase očekával, že modrý tým dokáže detekovat ve stylu „Minority report“, tzn. i nejzákladnější port sken. Ale nic z toho není pravda.

Praxe dělá mistra. Proto provádějte pravidelná cvičení reakce na incident. Víte, o kolik by bylo pro útočníka těžší, kdyby váš operátor spolupracoval s analytikem a ihned po detekci by byl jasný seznam činností a protiopatření? Na závěr ještě typ od Piccards management tip (mimochodem skvělý účet na Twitteru, zkuste to).

Krizová cvičení provádějte tehdy, když je vše v pořádku. Skutečná katastrofa není ten správný čas na nácvik.

Co si o tom myslíte? My souhlasíme!

Autor: Jozef Mareš, zakladatel.