Carbonsec - Kibernetska varnost za vaše poslovanje

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

by

Ej stari, kaj je to Red Teaming? Pentest?

Besedna zveza »Red Teaming« se v pogovorih o kibernetski varnosti zadnje čase vedno pogosteje omenja. Sliši se zanimivo, nekoliko misteriozno, moderno, predvsem pa ponuja široko paleto možnih razlag, kaj naj bi to sploh pomenilo. 

Ker sem pri pogovorih s kolegi iz stroke večkrat naletel na različna mnenja, se mi je zdelo primerno, da tematiko skušam obelodaniti v prvem letošnjem blog zapisu. 

Ej stari, kaj je to Red Teaming? Pentest?

Torej, misija prispevka je odgovoriti na vpašanji, v čem je razlika med vdornim testom in Red Teamingom, ter kaj je dodana vrednost enega ali drugega. Eno je jasno – v obeh primerih gre za varnostno preverjanje. 

Pa pojdimo nazaj k koreninam: Kako preverjati.

Čeprav se veliko izvajalcev odloča za tehnike in prakse, ki so sicer plod njihovih lastnih izkušenj, pa ima izvedba varnostnega testa po metodološko urejenemu pristopu določene prednosti – doslednost, ponovljivost in učinkovitost.

V svetu varnostnega preverjanja je referenca metodologija OSSTMM. OSSTMM je strokovno pregledana metodologija za sistematično izvajanje varnostnih testov z uporabo metrike in kot taka zagotavlja celovito ogrodje, ki ga je mogoče prilagoditi vsakovrstnemu varnostnemu testiranju. 

Lepota OSSTMM metodologije se začne že pri samem določanju tipa pregleda in zagotavlja, da izvajalec (v nadaljevanju »napadalec«) razume potrebe naročnika (v nadaljevanju »tarča«). 

slika 1: OSSTMM, Common Test Types

Metodologija predlaga šest različnih tipov oz. pristopov k varnostnemu testiranju, ki so odvisni od začetne informiranosti napadalca o tarči ter zavedanju tarče o tem, da se bo test zgodil (slika 1). »Double Blind« recimo pomeni, da napadalec nič ne ve o tarči, ter, da ni pripravljena na test. V namen tematike se bom na tem mestu osredotočil na dva, in sicer na Slepi test (angl.: Blind) ter Obratni test (angl.: Reversal). 

Slepi test – Pri tem načinu napadalec o tarči ne ve nič za razliko od tarče, ki o testu ve vse in je na test tudi pripravljena. Ta vrsta testiranja je najprimernejša za preverbo napadalčevih sposobnosti. 

Obratni test – Ker ima napadalec pri tem testu popoln vpogled v tarčo, tarča pa o testu nič ne ve, je takšen test namenjen izključno testiranju pripravljenosti tarče na tovrstne napade.

Gre za dva testa, ki sta diametralno nasprotna glede na svoj namen. Prvi v resnici testira izkušenost testerja ter kvaliteto varnostnih kontrol, in je še najbližji klasičnemu vdornemu testu, drugi pa testira pripravljenost organizacije na nenapovedan poizkus napada in se po mnenju avtorjev OSSTMM največkrat imenuje »Red Team Exercise«.

Vdorni test, imenovan tudi penetracijski test ali kar pentest, je simulacija napada na sistem z namenom dokazati ranljivost sistema v primeru resničnega, pravega napada oz. preveriti učinkovitost varnostnih kontrol. Ker se velikokrat izkaže, da se pojem penetracijsko testiranje enači z oceno ranljivosti (ang.: vulnerability assessment), velja na tem mestu izpostaviti bistveno razliko. Naloga pentesterja je dejansko izvesti »nedovoljeno« akcijo (pridobiti upravljalske dostope, spremeniti digitalni zapis informacije, itd.), medtem ko je naloga pri ocenjevanju ranljivosti identificirati področja, kjer bi sistem lahko bil v nevarnosti, da ga napadalec zlorabi. Ocenjevalec ranljivosti se, takoj po tem, ko identificira ranljivost, ustavi in ne posega več v sistem, medtem ko pentester ugotovljeno ranljivost skuša še izrabiti, kar je jedro penetracijskega testa.

Skovanka »Red Team« izhaja iz vojaške terminologije, največkrat v navezavi z drugo podobno skovanko »Blue Team«. Vojaški strategi so že kar nekaj časa nazaj ugotovili, da bo obramba pred sovražnikom še boljša, če jo občasno preizkusiš s simulacijo napada, ki ti pokaže morebitne šibke točke. V svetu kibernetske varnosti so Modri na strani obrambe, tipično člani ekipe varnostno operativnega centra (angl. SOC), kjer neprestano spremljajo in iščejo morebitne škodljive kibernetske aktivnosti ter se nanje odzivajo. Po naravi so reaktivni. Čakajo, da se bo nekaj zgodilo. Rdeči so za razliko od modrih izrazito proaktivni, simulirajo resnične napade in skušajo zaobiti obrambne vrste, ne da bi bili pri tem zaznani. Njihova naloga je najti vrzeli v obrambi z namenom izboljšanja zmožnosti zaznave modrih.

V čem je torej bistvena razlika med vdornim testom in Red Teamingom. Cilj pentesterja je ugotoviti, kje so realne tehnične pomanjkljivosti v kibernetski zaščiti z namenom zmanjšanja površine napada na čim manjšo raven, med tem ko je namen Red Team-a dobesedno trenirati ekipo Blue Team-a. Pentester pomaga izboljševati kibernetsko zaščito, med tem ko Red Team preizkuša in izboljšuje zmožnost zaznave in odziva, pri čemer je nujno celovito razumevanje upravljanja s kibernetsko varnostjo, ki jo sestavljajo ljudje, procesi in tehnologija. 

Viri: