Raudonosios komandos operacijos: Išplėstinių nuolatinių grėsmių (APT) supratimas ir kova su jomis

Šiandieniniame sudėtingame kibernetinio saugumo kraštovaizdyje organizacijos susiduria su nuolat besikeičiančiu grėsmių asortimentu. Tarp labiausiai nerimą keliančių yra Išplėstinės nuolatinės grėsmės (APT). Šios sudėtingos, ilgalaikės kibernetinės atakos dažnai yra valstybės remiamos arba vykdomos gerai aprūpintų nusikalstamų organizacijų. Norint veiksmingai apsiginti nuo APT, organizacijos turi suprasti jų taktiką, metodus ir procedūras (TTP) ir aktyviai testuoti savo gynybos sistemas. Būtent čia į pagalbą ateina Raudonosios komandos operacijos.

Kas yra Išplėstinės nuolatinės grėsmės (APT)?

APT apibūdinama pagal:

• Pažangūs metodai: APT naudoja sudėtingus įrankius ir metodus, įskaitant nulio dienos pažeidimus, pasirinktinį kenkėjišką programinę įrangą ir socialinę inžineriją.
• Atkaklumas: APT siekia įsitvirtinti ilgą laiką taikinyje esančiame tinkle, dažnai išliekant nepastebėtoms ilgą laiką.
• Grėsmės veikėjai: APT paprastai vykdo aukštos kvalifikacijos ir gerai finansuojamos grupės, tokios kaip valstybės, valstybės remiami veikėjai arba organizuoto nusikalstamumo sindikatai.

APT veiklos pavyzdžiai:

• Jautrių duomenų, tokių kaip intelektinė nuosavybė, finansiniai įrašai ar vyriausybės paslaptys, vagystė.
• Kritinės infrastruktūros, pvz., elektros tinklų, ryšių tinklų ar transporto sistemų, sutrikdymas.
• Šnipinėjimas, žvalgybos rinkimas politiniam ar ekonominiam pranašumui.
• Kibernetinis karas, atakų vykdymas, siekiant sugadinti ar išjungti priešo galimybes.

Bendros APT taktikos, metodai ir procedūros (TTP)

Norint efektyviai gintis, būtina suprasti APT TTP. Kai kurios bendros TTP apima:

• Žvalgymas: Informacijos apie taikinį rinkimas, įskaitant tinklo infrastruktūrą, darbuotojų informaciją ir saugumo pažeidžiamumą.
• Pradinis priėjimas: Patekimas į taikinio tinklą, dažnai naudojant sukčiavimo atakas, išnaudojant programinės įrangos pažeidžiamumą arba kompromituojant kredencialus.
• Privilegijų eskalavimas: Aukštesnio lygio prieigos prie sistemų ir duomenų gavimas, dažnai išnaudojant pažeidžiamumą arba vagiant administratoriaus kredencialus.
• Šoninis judėjimas: Judėjimas iš vienos sistemos į kitą tinkle, dažnai naudojant pavogtus kredencialus arba išnaudojant pažeidžiamumą.
• Duomenų išgavimas: Jautrių duomenų vagystė iš taikinio tinklo ir jų perkėlimas į išorinę vietą.
• Atkaklumo palaikymas: Užtikrinant ilgalaikę prieigą prie taikinio tinklo, dažnai įdiegiant galines duris arba kuriant nuolatines paskyras.
• Pėdsakų dangstymas: Bandymas nuslėpti savo veiklą, dažnai ištrinant žurnalus, modifikuojant failus arba naudojant antiforensinius metodus.

Pavyzdys: APT1 ataka (Kinija). Ši grupė gavo pradinę prieigą naudodama ietimis nukreiptus sukčiavimo el. laiškus, nukreiptus į darbuotojus. Tada jie šoniškai judėjo per tinklą, kad galėtų pasiekti jautrius duomenis. Atkaklumas buvo palaikomas per galines duris, įdiegtas kompromituotose sistemose.

Kas yra Raudonosios komandos operacijos?

Raudonoji komanda – tai kibernetinio saugumo specialistų grupė, kuri imituoja realių užpuolikų taktiką ir metodus, siekdama nustatyti organizacijos gynybos pažeidžiamumą. Raudonosios komandos operacijos yra sukurtos taip, kad būtų realios ir sudėtingos, suteikdamos vertingų įžvalgų apie organizacijos saugumo poziciją. Skirtingai nei skverbimosi testai, kurie paprastai sutelkia dėmesį į konkrečius pažeidžiamumus, Raudonosios komandos bando imituoti visą užpuoliko atakų grandinę, įskaitant socialinę inžineriją, fizinio saugumo pažeidimus ir kibernetines atakas.

Raudonosios komandos operacijų privalumai

Raudonosios komandos operacijos siūlo daug privalumų, įskaitant:

• Pažeidžiamumų nustatymas: Raudonosios komandos gali atskleisti pažeidžiamumą, kurio gali nepavykti aptikti tradiciniais saugumo vertinimais, pvz., skverbimosi testais ar pažeidžiamumo nuskaitymais.
• Saugumo kontrolės tikrinimas: Raudonosios komandos operacijos gali įvertinti organizacijos saugumo kontrolės, pvz., ugniasienių, įsilaužimų aptikimo sistemų ir antivirusinės programinės įrangos, veiksmingumą.
• Incidentų reagavimo gerinimas: Raudonosios komandos operacijos gali padėti organizacijoms pagerinti incidentų reagavimo galimybes, imituojant realaus pasaulio atakas ir tikrinant jų gebėjimą aptikti, reaguoti į saugumo incidentus ir atsigauti po jų.
• Saugumo informuotumo didinimas: Raudonosios komandos operacijos gali padidinti darbuotojų saugumo informuotumą, pademonstruodamos galimą kibernetinių atakų poveikį ir saugumo gerosios praktikos laikymosi svarbą.
• Atitikties reikalavimų įvykdymas: Raudonosios komandos operacijos gali padėti organizacijoms įvykdyti atitikties reikalavimus, pvz., tuos, kurie nurodyti Mokėjimo kortelių pramonės duomenų saugumo standarte (PCI DSS) arba Sveikatos draudimo perkeliamumo ir atskaitomybės akte (HIPAA).

Pavyzdys: Raudonoji komanda sėkmingai išnaudojo silpną vietą duomenų centro, esančio Frankfurte, Vokietijoje, fiziniame saugume, leisdama jiems gauti fizinę prieigą prie serverių ir galiausiai pažeisti jautrius duomenis.

Raudonosios komandos metodika

Tipinė Raudonosios komandos veikla atliekama pagal struktūrizuotą metodiką:

1. Planavimas ir apimtis: Apibrėžkite Raudonosios komandos operacijos tikslus, apimtį ir įsitraukimo taisykles. Tai apima taikinių sistemų nustatymą, atakų tipų, kurie bus imituojami, ir operacijos laiko rėmo nustatymą. Būtina sukurti aiškius ryšių kanalus ir eskalavimo procedūras.
2. Žvalgymas: Rinkite informaciją apie taikinį, įskaitant tinklo infrastruktūrą, darbuotojų informaciją ir saugumo pažeidžiamumą. Tai gali apimti viešai prieinamos informacijos (OSINT) metodų, socialinės inžinerijos ar tinklo nuskaitymo naudojimą.
3. Išnaudojimas: Nustatykite ir išnaudokite taikinių sistemų ir programų pažeidžiamumą. Tai gali apimti išnaudojimo sistemų, pasirinktinės kenkėjiškos programinės įrangos ar socialinės inžinerijos taktikos naudojimą.
4. Eksploatavimas po eksploatacijos: Palaikykite prieigą prie kompromituotų sistemų, eskalukite privilegijas ir judėkite šoniškai tinkle. Tai gali apimti galinių durų įdiegimą, kredencialų vagystę arba eksploatavimo po eksploatacijos sistemų naudojimą.
5. Ataskaitų teikimas: Dokumentuokite visus radinius, įskaitant atrastus pažeidžiamumus, kompromituotas sistemas ir atliktus veiksmus. Ataskaitoje turėtų būti pateiktos išsamios rekomendacijos dėl šalinimo.

Raudonosios komandos ir APT modeliavimas

Raudonosios komandos atlieka gyvybiškai svarbų vaidmenį imituojant APT atakas. Imituodamos žinomų APT grupių TTP, Raudonosios komandos gali padėti organizacijoms suprasti savo pažeidžiamumą ir patobulinti savo gynybos sistemas. Tai apima:

• Grėsmės žvalgyba: Informacijos apie žinomas APT grupes, įskaitant jų TTP, įrankius ir taikinius, rinkimas ir analizė. Ši informacija gali būti naudojama kuriant realius atakų scenarijus Raudonosios komandos operacijoms. Tokie šaltiniai kaip MITRE ATT&CK ir viešai prieinamos grėsmės žvalgybos ataskaitos yra vertingi ištekliai.
• Scenarijų kūrimas: Realistiškų atakų scenarijų kūrimas, remiantis žinomų APT grupių TTP. Tai gali apimti sukčiavimo atakų modeliavimą, programinės įrangos pažeidžiamumo išnaudojimą arba kredencialų kompromitavimą.
• Vykdymas: Atakų scenarijaus vykdymas kontroliuojamu ir realistišku būdu, imituojant realaus pasaulio APT grupės veiksmus.
• Analizė ir ataskaitų teikimas: Raudonosios komandos operacijos rezultatų analizė ir išsamių rekomendacijų dėl šalinimo pateikimas. Tai apima pažeidžiamumų nustatymą, saugumo kontrolės trūkumus ir incidentų reagavimo galimybių tobulinimo sritis.

Raudonosios komandos pratimų, imituojančių APT, pavyzdžiai

• Ietimis nukreiptos sukčiavimo atakos modeliavimas: Raudonoji komanda siunčia tikslinius el. laiškus darbuotojams, bandydama juos apgauti, kad jie spustelėtų kenkėjiškas nuorodas arba atidarytų užkrėstus priedus. Tai patikrina organizacijos el. pašto saugumo kontrolės ir darbuotojų saugumo informuotumo mokymo veiksmingumą.
• Nulio dienos pažeidžiamumo išnaudojimas: Raudonoji komanda nustato ir išnaudoja anksčiau nežinomą programinės įrangos taikymosi pažeidžiamumą. Tai patikrina organizacijos gebėjimą aptikti ir reaguoti į nulio dienos atakas. Etiniai aspektai yra svarbiausi; atskleidimo politika turi būti iš anksto suderinta.
• Kredencialų kompromitavimas: Raudonoji komanda bando pavogti darbuotojų kredencialus per sukčiavimo atakas, socialinę inžineriją ar grubios jėgos atakas. Tai patikrina organizacijos slaptažodžių politikos stiprumą ir jos daugiafaktorinio autentifikavimo (MFA) įdiegimo efektyvumą.
• Šoninis judėjimas ir duomenų išgavimas: Kartą patekus į tinklą, Raudonoji komanda bando judėti šoniškai, kad galėtų pasiekti jautrius duomenis ir išsiųsti juos į išorinę vietą. Tai patikrina organizacijos tinklo segmentavimą, įsilaužimų aptikimo galimybes ir duomenų praradimo prevencijos (DLP) kontrolę.

Sėkmingos Raudonosios komandos kūrimas

Norint sukurti ir palaikyti sėkmingą Raudonąją komandą, reikia kruopštaus planavimo ir vykdymo. Svarbiausi aspektai apima:

• Komandos sudėtis: Surinkite komandą, turinčią įvairių įgūdžių ir patirties, įskaitant skverbimosi testavimą, pažeidžiamumo vertinimą, socialinę inžineriją ir tinklo saugumą. Komandos nariai turėtų turėti tvirtus techninius įgūdžius, gilų saugumo principų supratimą ir kūrybinį mąstymą.
• Mokymai ir plėtra: Suteikite nuolatines mokymo ir plėtros galimybes Raudonosios komandos nariams, kad jų įgūdžiai būtų atnaujinti ir kad jie galėtų sužinoti apie naujus atakų metodus. Tai gali apimti dalyvavimą saugumo konferencijose, dalyvavimą capture-the-flag (CTF) konkursuose ir atitinkamų sertifikatų gavimą.
• Įrankiai ir infrastruktūra: Aprūpinkite Raudonąją komandą būtinais įrankiais ir infrastruktūra, kad būtų galima atlikti realius atakų modeliavimus. Tai gali apimti išnaudojimo sistemas, kenkėjiškos programinės įrangos analizės įrankius ir tinklo stebėjimo įrankius. Atskira, izoliuota bandymų aplinka yra labai svarbi, kad būtų išvengta atsitiktinio žalos gamybos tinklui.
• Įsitraukimo taisyklės: Nustatykite aiškias Raudonosios komandos operacijų įsitraukimo taisykles, įskaitant operacijos apimtį, atakų tipus, kurie bus imituojami, ir ryšio protokolus, kurie bus naudojami. Susitarimo taisyklės turėtų būti dokumentuojamos ir suderintos su visais suinteresuotaisiais subjektais.
• Ryšiai ir ataskaitų teikimas: Sukurkite aiškius ryšių kanalus tarp Raudonosios komandos, Mėlynosios komandos (vidinė saugumo komanda) ir vadovybės. Raudonoji komanda turėtų reguliariai informuoti apie savo pažangą ir laiku bei tiksliai pranešti apie savo išvadas. Ataskaitoje turėtų būti pateiktos išsamios rekomendacijos dėl šalinimo.

Grėsmės žvalgybos vaidmuo

Grėsmės žvalgyba yra labai svarbus Raudonosios komandos operacijų komponentas, ypač imituojant APT. Grėsmės žvalgyba suteikia vertingų įžvalgų apie žinomų APT grupių TTP, įrankius ir taikinius. Ši informacija gali būti naudojama kuriant realius atakų scenarijus ir gerinant Raudonosios komandos operacijų efektyvumą.

Grėsmės žvalgybą galima rinkti iš įvairių šaltinių, įskaitant:

• Atvirojo kodo žvalgyba (OSINT): Informacija, kuri yra viešai prieinama, pvz., naujienų straipsniai, tinklaraščio įrašai ir socialinė žiniasklaida.
• Komerciniai grėsmės žvalgybos kanalai: Prenumerata pagrįstos paslaugos, kurios suteikia prieigą prie kuruojamų grėsmės žvalgybos duomenų.
• Vyriausybinės ir teisėsaugos agentūros: Informacijos mainų partnerystė su vyriausybinėmis ir teisėsaugos agentūromis.
• Pramonės bendradarbiavimas: Grėsmės žvalgybos dalijimasis su kitomis organizacijomis toje pačioje pramonės šakoje.

Naudojant grėsmės žvalgybą Raudonosios komandos operacijoms, svarbu:

• Patikrinti informacijos tikslumą: Ne visa grėsmės žvalgyba yra tiksli. Svarbu patikrinti informacijos tikslumą prieš naudojant ją atakų scenarijams kurti.
• Pritaikyti informaciją savo organizacijai: Grėsmės žvalgyba turėtų būti pritaikyta jūsų organizacijos konkrečiam grėsmių kraštovaizdžiui. Tai apima APT grupių, kurios greičiausiai taikysis į jūsų organizaciją, nustatymą ir jų TTP supratimą.
• Naudoti informaciją savo gynybai pagerinti: Grėsmės žvalgyba turėtų būti naudojama jūsų organizacijos gynybai pagerinti, nustatant pažeidžiamumą, stiprinant saugumo kontrolę ir gerinant incidentų reagavimo galimybes.

Purpurinė komanda: tilto tiesimas

Purpurinė komanda – tai Raudonosios ir Mėlynosios komandų praktika, bendradarbiaujant siekiant pagerinti organizacijos saugumo poziciją. Šis bendradarbiavimo metodas gali būti veiksmingesnis nei tradicinės Raudonosios komandos operacijos, nes leidžia Mėlynajai komandai mokytis iš Raudonosios komandos išvadų ir realiu laiku tobulinti savo gynybos sistemas.

Purpurinės komandos privalumai:

• Pagerintas bendravimas: Purpurinė komanda skatina geresnį Raudonosios ir Mėlynosios komandų bendravimą, todėl saugumo programa tampa bendradarbiaujamesnė ir efektyvesnė.
• Greitesnis šalinimas: Mėlynoji komanda gali greičiau pašalinti pažeidžiamumą, kai glaudžiai bendradarbiauja su Raudonąja komanda.
• Patobulintas mokymasis: Mėlynoji komanda gali mokytis iš Raudonosios komandos taktikos ir metodų, pagerindama savo gebėjimą aptikti ir reaguoti į realaus pasaulio atakas.
• Stipresnė saugumo pozicija: Purpurinė komanda pagerina bendrą saugumo poziciją, gerindama tiek puolamąsias, tiek gynybinės galimybes.

Pavyzdys: Per Purpurinės komandos pratybas Raudonoji komanda pademonstravo, kaip ji galėtų apeiti organizacijos daugiafaktorinį autentifikavimą (MFA), naudodama sukčiavimo ataką. Mėlynoji komanda galėjo stebėti ataką realiu laiku ir įdiegti papildomas saugumo priemones, kad ateityje būtų išvengta panašių atakų.

Išvada

Raudonosios komandos operacijos yra svarbus išsamaus kibernetinio saugumo programos komponentas, ypač organizacijoms, susiduriančioms su Išplėstinių nuolatinių grėsmių (APT) grėsme. Imituodamos realaus pasaulio atakas, Raudonosios komandos gali padėti organizacijoms nustatyti pažeidžiamumą, išbandyti saugumo kontrolę, pagerinti incidentų reagavimo galimybes ir padidinti saugumo informuotumą. Suprasdamos APT TTP ir aktyviai testuodamos gynybos sistemas, organizacijos gali žymiai sumažinti savo riziką tapti sudėtingos kibernetinės atakos auka. Judėjimas į Purpurinę komandą dar labiau padidina Raudonosios komandos privalumus, skatina bendradarbiavimą ir nuolatinį tobulėjimą kovoje su pažangiais priešais.

Proaktyvus, Raudonosios komandos metodas yra būtinas organizacijoms, siekiančioms išlikti prieš nuolat besivystantį grėsmių kraštovaizdį ir apsaugoti savo kritinius aktyvus nuo sudėtingų kibernetinių grėsmių visame pasaulyje.