Блеск и нищета пентеста в режиме Red Team

Алексей Тюрин, директор департамента аудита защищенности Digital Security

Качественное обеспечение ИБ становится все более актуальным для бизнеса. Сейчас одним из российских трендов в сфере ИБ является Red Teaming. Данная тематика активно обсуждается, и компании начали проявлять к Red Team практический интерес. Но все ли понимают сущность этого термина? Давайте разберемся, что такое Red Teaming и чем он отличается от пентестинга.

Проблема с терминологией

 Для того чтобы все разложить по полочкам, необходимо разобраться в терминологии. Изначально понятие Red Team возникло в американской армии: так называли условную атакующую команду (защищавшуюся команду именовали Blue Team). Соответствующую активность в сфере ИБ принято называть Red Teaming (редтиминг).

При этом в России даже с базовыми понятиями и принципами обеспечения ИБ до сих пор царит неразбериха. Далеко не все знают, что такое pentest (пентест), каковы его цели и когда его стоит проводить. Ну а Red Team вообще кажется магией. Справедливости ради отметим, что неразбериха в терминологии отмечается и за рубежом – пентестом называют и Red Teaming, и vulnerability assessment. Эти термины, действительно, в чем-то пересекаются, но все же являются разными.

Кроме того, в каждой стране – своя специфика реализации ИБ-проектов. При одинаковом скоупе за границей пентест в среднем продолжается неделю-две, а в России – около месяца. При этом больший срок позволяет более качественно и глубоко проанализировать объект, а потому в ходе таких работ у нас чаще находят новые уязвимости (zero day, т.е. уязвимости, для которых нет патчей от производителя).

На основе опыта реализации многих десятков проектов у нас сложилось свое понимание ключевых терминов. Мы подразумеваем под пентестом процесс тестирования на проникновение, в ходе которого пентестеры за определенный срок находят в конкретной системе (или группе систем) максимальное количество уязвимостей, пытаются их подтвердить (выявить уязвимости без импакта и false-positive) и, если возможно, проникнуть максимально глубоко (каждый этап проникновения согласуется). А Red Teaming – это максимально глубокое и незаметное проникновение пентестеров за определенный срок в конкретную систему (цель предварительно оговаривается) с использованием разнообразных методов (тоже оговариваются).

Чего хочет заказчик?

В часто встречающемся описании Red Teaming говорится, что команда red изображает потенциального злоумышленника, и многие именно это считают главным отличием Red Teaming от пентестинга. Однако в процессе пентестинга исполнители также имитируют атакующего. Впрочем, проблема состоит даже не в этом.

У некоторых заказчиков сложилось неверное представление о Red Teaming как о максимально точном подражании злоумышленникам. И они нередко просят нас действовать абсолютно так же, как «плохие парни», т.е. взломать их систему, показать, что добрались до ERP, АБС или ДБО, и отправить в подтверждение, например, платежку. Разумеется, все должно происходить максимально незаметно, а заказчики будут нам мешать всеми доступными способами. Никакой вводной информации не дается.

Да-да, многие компании хотят проверять свои системы на устойчивость к вторжению именно реальных злоумышленников. И их вполне можно понять, ведь основная цель – обеспечение защиты вовсе не от пентестеров. К тому же это так захватывающе – наблюдать за  «настоящими» взломами и проникновениями! Рискуем разочаровать: в подавляющем большинстве случаев заказчики рассчитывают на такой эффект лишь по неопытности.

Правда ли заказчик этого хочет?

Пробежимся по нескольким проблемным моментам, которые могут проявится в ходе выполнения проекта Red Teaming.

Легальность. Одним из ключевых условий реализации проекта является осведомленность о нем только топ-менеджеров и ИБ-руководителей. Заказчик должен увидеть, как осуществляются мониторинг и реагирование в «реальных» условиях, а не в тех, в которых сотрудники знают о работах и бдительно мониторят все и вся круглые сутки.

Чаще всего Red Teaming проводят крупные компании. А значит, ресурсов, через которые можно проникнуть в систему, у них достаточно много. Как понять скоуп работ, если пентестеру его не дают или его нельзя точно проверить? Компании могут принадлежать, например, несколько сетей в Интернете (автономная сеть), которые удастся согласовать, но что-то может бы передано в субаренду или принадлежать дочерней организации. А когда пентестер взламывает какой-нибудь сервер и распространяет атаку на другие хосты, то проверить, находятся ли они в скоупе, уже невозможно. И очень легко вылететь за границы дозволенного, взломав больше, чем нужно.

Аналогично может получиться с социальной инженерией и почтовой рассылкой. Пентестер выполняет рассылку по утвержденному заказчиком перечню адресов, вкладывая в сообщения троянское ПО, но поведение пользователей не всегда оказывается предсказуемым. Кто-то, например, запустит троян не с корпоративного, а с домашнего компьютера, переслав на него письмо. А если какое-то подразделение выявит взлом, то оно может и полицию вызвать, не обговорив свои действия с руководством. Все это может привести к проблемам и лишнему шуму.

Работоспособность. Пентестеры используют разные техники взлома и ПО. Одной из важных задач при проведении пентеста является максимальное снижение вероятности того, что будет нарушена работоспособность систем заказчика. Однако некоторой вероятности такого нарушения не избежать, поскольку сейчас используются очень сложные системы, и просчитать абсолютно все вариации попросту невозможно.

Пентестеры стараются согласовывать потенциально опасные действия с заказчиком и проводить их под присмотром ИТ-отдела, чтобы при необходимости быстро восстановить систему. Однако это не срабатывает в том случае, когда пентестер изображает «реального» злоумышленника. Еще раз напомним, что, взломав какой-то хост и куда-то попав через него,  пентестер зачастую плохо представляет, в какой конкретно системе «роется». Значит, упасть (и порой надолго) может нечто критически важное.

Проблемы с людьми. Простой пример: вы получили по электронной почте письмо, прочитали его и лишь через некоторое время узнали, что посторонний проник на ваш ПК, отследил ваши действия и взломал несколько серверов компании. Может, это – даже не ваша вина, и причина состоит в отсутствии необходимых обновлений, устанавливаемых ИТ-отделом, но все же приятного мало. Социальная инженерия порой приносит болезненные для сотрудников последствия, а в ситуации с «реальным» злоумышленником контролировать рассылки пентестера непросто. В итоге это может повлиять на отношение сотрудников к их предприятию.

Другой пример – физическое проникновение. Подделать пропуск сотрудника легко, но как поведет себя охрана, выявив факт проникновения в здание постороннего с «левым» удостоверением? Опять вызовет полицию?

Итак, потенциальных рисков при реализации схемы «реальных» злоумышленников достаточно много. И предусмотреть их все практически невозможно из-за сложности систем и смешения как технических, так и организационно-административных моментов.  Но давайте взглянем, так ли велик профит от таких работ?

Изображая злоумышленника, пентестер остается пентестером. Он использует часть технических методов и идейных подходов из арсенала истинных нарушителей, но остается специалистом с соответствующей мотивацией. А злоумышленник мотивирован выгодой, и ему все равно, из какого источника ее получать, лишь бы не попасться. Вероятность того, что он проникнет в банк через главный вход, чтобы украсть деньги из АБС/АРМ КБР, очень мала. Легче действовать через Интернет и «ломать» не конкретный банк, а первый попавшийся «на удочку». Кроме того, пентестер не будет задорого покупать специальные эксплойты под zero days уязвимости под продукты тестируемого предприятия, приобретать на черном рынке «доступы» (взломанные ПК с трояном) в крупные компании или подкупать сотрудников. А злоумышленник, коль возникнет необходимость, все это делать будет. Наконец, пентестера вы нанимаете на ограниченный срок, а злоумышленник временными рамками не ограничен.

Итак, «реальные» злоумышленники-имитаторы компаниям не нужны.

Что действительно нужно?

Большая часть наших пентестов показывает, что уровень защищенности внутри компаний – очень низкий. Не соблюдаются даже базовые принципы ИБ, и нередко «доверенная зона» корпоративной сети состоит из тысяч хостов. Так что же действительно нужно заказчикам?

В большинстве случаев – пентестинг. Специалисты анализируют любую систему (сайт, приложение, корпоративную сеть, Wi-Fi, СКУД и пр.) в течение ограниченного срока, выискивая максимум уязвимостей и неправильных конфигураций. В результате заказчик получает перечень уязвимостей и понимание того, что следует улучшить. В отличие от Red Teaming, рассматривается не один вектор (несколько критичных уязвимостей, связанных между собой для достижения необходимой цели), а множество. Понимая, что подкупить или обмануть сотрудника достаточно просто, можно провести пентест с наличием прав пользователя и проверить, насколько многослойна защита внутри предприятия.

Если в компании уже имеется многослойная защита, простроена большая часть ИБ-процессов и, главное, создана система мониторинга и реагирования, то имеет смысл проводить Red Teaming. В упрощенном виде задача сводится к проверке системы мониторинга: насколько быстро и точно компания может выявить действия злоумышленника, все ли существенные события атаки она отслеживает, какой и насколько оперативной является реакция ее ИБ-специалистов?  Схема действий – примерно следующая. Команда Red Team различными способами скрытно анализирует систему компании, а blue team мониторит все что можно. Результаты сверяют: что найдено Red Team и что из этого обнаружено blue team. Затем blue team предлагает варианты противодействия, а Red Team пытается их обойти и добиться тех же результатов.

Максимизировать для компании КПД пентеста можно за счет предоставления пентестерам права доступа, информационной помощи и плотного взаимодействия с ними. Так удастся выявить максимум уязвимостей и потенциально слабых мест системы, устранить проблемы и не допустить их появления в будущем. То же самое относится к Red Teaming. И чем больше выявлено «дыр» в мониторинге и бессмысленных действий при реагировании, чем больше их исправлено, тем больше возможностей появляется для противодействия злоумышленникам уже на ранних этапах.

Тэги: 
Оцените материал:
Total votes: 24

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Есть еще в бизнесе те, кому эта затея интересна? Кто-то еще платит за это?

Видимо у коммерсантов много еще лишних денег.

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.