Kaj sta Red Teaming in pentest?

Besedna zveza »Red Teaming« se v pogovorih o kibernetski varnosti zadnje čase vedno pogosteje omenja. Sliši se zanimivo, nekoliko misteriozno, moderno, predvsem pa ponuja široko paleto možnih razlag, kaj naj bi to sploh pomenilo. Ker sem pri pogovorih s kolegi iz stroke večkrat naletel na različna mnenja, kaj sta Red Teaming in pentest, se mi je zdelo primerno, da tematiko skušam obelodaniti v prvem letošnjem blog zapisu.

Ej stari, kaj je to Red Teaming? Pentest?

Torej, misija prispevka je odgovoriti na vprašanji, kaj sta Red Teaming in pentest, kakšna je razlika med njima ter kaj je dodana vrednost enega ali drugega. Eno je jasno – v obeh primerih gre za varnostno preverjanje.

Začnimo pri metodologiji: OSSTMM

Pa pojdimo nazaj k koreninam: pri izvajanju katere koli oblike penetracijskega testa, je ključno vprašanje, kako preverjati.

Čeprav se sicer veliko izvajalcev odloča za tehnike in prakse, ki so plod njihovih lastnih izkušenj, ima izvedba varnostnega testa po metodološko urejenemu pristopu določene prednosti – doslednost, ponovljivost, preverljivost in učinkovitost.

V svetu varnostnega preverjanja je referenca metodologija OSSTMM. OSSTMM je strokovno pregledana metodologija za sistematično izvajanje varnostnih testov z uporabo metrike in kot taka zagotavlja celovito ogrodje, ki ga je mogoče prilagoditi vsakovrstnemu varnostnemu testiranju.

Lepota metodologije OSSTMM se začne že pri samem določanju tipa pregleda in zagotavlja, da izvajalec (v nadaljevanju »napadalec«) razume potrebe naročnika (v nadaljevanju »tarča«).

Slepi test in obratni test

Metodologija predlaga šest različnih tipov oz. pristopov k varnostnemu testiranju, ki so odvisni od začetne informiranosti napadalca o tarči ter zavedanju tarče o tem, da se bo test zgodil (slika 1). »Double Blind« recimo pomeni, da napadalec nič ne ve o tarči ter da ni pripravljena na test. V namen tematike se bom na tem mestu osredotočil na dva, in sicer na slepi test (angl.: Blind) ter obratni test (angl.: Reversal).

Slepi test – Pri tem načinu napadalec o tarči ne ve nič za razliko od tarče, ki o testu ve vse in je na test tudi pripravljena. Ta vrsta testiranja je najprimernejša za preverbo napadalčevih sposobnosti.

Obratni test – Ker ima napadalec pri tem testu popoln vpogled v tarčo, tarča pa o testu nič ne ve, je takšen test namenjen izključno testiranju pripravljenosti tarče na tovrstne napade.

Gre za dva testa, ki sta diametralno nasprotna glede na svoj namen. Prvi v resnici testira izkušenost testerja ter kvaliteto varnostnih kontrol, in je še najbližji klasičnemu vdornemu testu. Drugi pa testira pripravljenost organizacije na nenapovedan poizkus napada in se po mnenju avtorjev OSSTMM največkrat imenuje »Red Team Exercise«.

Red Teaming vs. Pentest

Vdorni test, imenovan tudi penetracijski test ali kar pentest, je simulacija napada na sistem z namenom dokazati ranljivost sistema v primeru resničnega, pravega napada oz. preveriti učinkovitost varnostnih kontrol. Ker se velikokrat izkaže, da se pojem penetracijsko testiranje enači z oceno ranljivosti (ang.: vulnerability assessment), velja na tem mestu izpostaviti bistveno razliko. Naloga pentesterja je dejansko izvesti »nedovoljeno« akcijo (pridobiti upravljalske dostope, spremeniti digitalni zapis informacije, itd.), medtem ko je naloga pri ocenjevanju ranljivosti identificirati področja, kjer bi sistem lahko bil v nevarnosti, da ga napadalec zlorabi. Ocenjevalec ranljivosti se, takoj po tem, ko identificira ranljivost, ustavi in ne posega več v sistem, medtem ko pentester ugotovljeno ranljivost skuša še izrabiti, kar je jedro penetracijskega testa.

Skovanka »Red Team« izhaja iz vojaške terminologije, največkrat v navezavi z drugo podobno skovanko »Blue Team«. Vojaški strategi so že kar nekaj časa nazaj ugotovili, da bo obramba pred sovražnikom še boljša, če jo občasno preizkusiš s simulacijo napada, ki ti pokaže morebitne šibke točke. V svetu kibernetske varnosti so “modri” na strani obrambe, tipično člani ekipe varnostno operativnega centra (angl. SOC), kjer neprestano spremljajo in iščejo morebitne škodljive kibernetske aktivnosti ter se nanje odzivajo. Po naravi so reaktivni. Čakajo, da se bo nekaj zgodilo. “Rdeči” so za razliko od modrih izrazito proaktivni, simulirajo resnične napade in skušajo zaobiti obrambne vrste, ne da bi bili pri tem zaznani. Njihova naloga je najti vrzeli v obrambi z namenom izboljšanja zmožnosti zaznave modrih.

V čem je torej bistvena razlika med vdornim testom in Red Teamingom? Cilj pentesterja je ugotoviti, kje so realne tehnične pomanjkljivosti v kibernetski zaščiti z namenom zmanjšanja površine napada na čim manjšo raven, medtem ko je namen Red Teama dobesedno trenirati ekipo Blue Teama. Pentester pomaga izboljševati kibernetsko zaščito, Red Team pa preizkuša in izboljšuje zmožnost zaznave in odziva, pri čemer je nujno celovito razumevanje upravljanja s kibernetsko varnostjo, ki jo sestavljajo ljudje, procesi in tehnologija. Ko razmišljate o preverjanju kibernetske varnosti, sta Red Teaming in pentest zagotovo prava pot. Vrsto in obseg storitve pa določite glede na to, kaj v poslovnem omrežju želite preveriti.

Vas zanima več o pentestu ali Red Teamingu?
Pišite nam in odzvali se bomo na vaše vprašanje.

Viri: