Red Teaming là gì và nó cải thiện an ninh mạng như thế nào?
Lập nhóm đỏ là hành động thử nghiệm, tấn công và thâm nhập vào mạng máy tính, ứng dụng và hệ thống. Đội đỏ là những tin tặc có đạo đức được các tổ chức thuê để thử nghiệm kiến trúc bảo mật của họ. Mục tiêu cuối cùng của đội đỏ là tìm ra—và đôi khi gây ra—các vấn đề và lỗ hổng trong máy tính và khai thác chúng.
Mục Lục
Tại sao Red Teaming lại quan trọng?
Đối với một tổ chức cần bảo vệ dữ liệu và hệ thống nhạy cảm, đội đỏ liên quan đến việc thuê các nhà điều hành an ninh mạng để kiểm tra, tấn công và xâm nhập kiến trúc bảo mật của tổ chức trước khi các tin tặc độc hại thực hiện. Chi phí so sánh của việc giao hữu để mô phỏng một cuộc tấn công ít hơn theo cấp số nhân so với nếu những kẻ tấn công làm.
Vì vậy, các đội đỏ về cơ bản đóng vai trò là tin tặc bên ngoài; chỉ ý định của họ là không độc hại. Thay vào đó, những người điều hành sử dụng các thủ thuật, công cụ và kỹ thuật hack để tìm và khai thác các lỗ hổng. Họ cũng ghi lại quy trình, vì vậy công ty có thể sử dụng các bài học kinh nghiệm để cải thiện kiến trúc bảo mật tổng thể của mình.
Đội đỏ rất quan trọng vì các công ty (và thậm chí cả các cá nhân) có bí mật không thể để kẻ thù lấy được chìa khóa của vương quốc. Ít nhất, một vi phạm có thể dẫn đến tổn thất doanh thu, tiền phạt từ các cơ quan tuân thủ, mất lòng tin của khách hàng và sự bối rối của công chúng. Tồi tệ nhất, vi phạm đối thủ có thể dẫn đến phá sản, sự sụp đổ không thể phục hồi của một công ty và hành vi trộm cắp danh tính ảnh hưởng đến hàng triệu khách hàng.
Một ví dụ về Red Teaming là gì?
Đội đỏ rất tập trung vào kịch bản. Ví dụ: một công ty sản xuất âm nhạc có thể thuê người điều hành đội đỏ để kiểm tra các biện pháp bảo vệ nhằm ngăn chặn rò rỉ. Người điều hành tạo ra các tình huống liên quan đến những người có quyền truy cập vào ổ dữ liệu chứa tài sản trí tuệ của nghệ sĩ.
Mục tiêu trong trường hợp này có thể là kiểm tra các cuộc tấn công hiệu quả nhất trong việc xâm phạm quyền truy cập vào các tệp đó. Một mục tiêu khác có thể là để kiểm tra mức độ dễ dàng mà kẻ tấn công có thể di chuyển theo chiều ngang từ một điểm vào và lọc các bản ghi chính bị đánh cắp.
Mục tiêu của Đội đỏ là gì?
Đội đỏ bắt đầu tìm và khai thác càng nhiều lỗ hổng càng tốt trong thời gian ngắn mà không bị bắt. Mặc dù các mục tiêu thực tế trong một cuộc diễn tập an ninh mạng sẽ khác nhau giữa các tổ chức, nhưng các đội đỏ thường có các mục tiêu sau:
- Mô hình các mối đe dọa trong thế giới thực.
- Xác định các điểm yếu của mạng và phần mềm.
- Xác định các khu vực để cải thiện.
- Đánh giá hiệu quả của các giao thức bảo mật.
Đội đỏ hoạt động như thế nào?
Nhóm đỏ bắt đầu khi một công ty (hoặc cá nhân) thuê các nhà điều hành an ninh mạng để kiểm tra và đánh giá khả năng phòng thủ của họ. Sau khi được tuyển dụng, công việc sẽ trải qua bốn giai đoạn tham gia: lập kế hoạch, thực hiện, vệ sinh và báo cáo.
Giai đoạn lập kế hoạch
Trong giai đoạn lập kế hoạch, khách hàng và nhóm đỏ xác định mục tiêu và phạm vi tham gia. Đây là nơi họ xác định các mục tiêu được ủy quyền (cũng như tài sản bị loại trừ khỏi hoạt động), môi trường (vật lý và kỹ thuật số), thời lượng tham gia, chi phí và hậu cần khác. Cả hai bên cũng tạo ra các quy tắc tham gia sẽ hướng dẫn việc thực hiện.
Giai đoạn thực hiện
Giai đoạn thực hiện là nơi các nhà điều hành đội đỏ sử dụng tất cả những gì có thể để tìm và khai thác các lỗ hổng. Họ phải làm điều này một cách bí mật và tránh bị phá sản bởi các biện pháp đối phó hoặc giao thức bảo mật hiện có của mục tiêu. Các đội đỏ sử dụng nhiều chiến thuật khác nhau trong ma trận Chiến thuật, Kỹ thuật và Kiến thức chung (ATT&CK) của đối thủ.
Ma trận ATT&CK bao gồm các khung mà kẻ tấn công sử dụng để truy cập, duy trì và di chuyển qua các kiến trúc bảo mật, cũng như cách chúng thu thập dữ liệu và duy trì liên lạc với kiến trúc bị xâm nhập sau một cuộc tấn công.
Một số kỹ thuật mà họ có thể sử dụng bao gồm tấn công theo hướng chiến tranh, kỹ thuật xã hội, lừa đảo, đánh hơi mạng, hủy thông tin xác thực và quét cổng.
Giai đoạn vệ sinh
Đây là giai đoạn dọn dẹp. Tại đây, những người điều hành đội đỏ buộc chặt các đầu lỏng lẻo và xóa dấu vết cuộc tấn công của họ. Ví dụ: truy cập một số thư mục có thể để lại nhật ký và siêu dữ liệu. Mục tiêu của đội đỏ trong giai đoạn vệ sinh là xóa các nhật ký này và xóa siêu dữ liệu.
Ngoài ra, chúng cũng đảo ngược những thay đổi mà chúng đã thực hiện đối với kiến trúc bảo mật trong giai đoạn thực thi. Điều đó bao gồm đặt lại kiểm soát bảo mật, thu hồi đặc quyền truy cập, đóng cửa bỏ qua hoặc cửa hậu, xóa phần mềm độc hại và khôi phục các thay đổi đối với tệp hoặc tập lệnh.
Nghệ thuật thường bắt chước cuộc sống. Việc vệ sinh rất quan trọng vì những người điều hành nhóm đỏ muốn tránh mở đường cho những tin tặc độc hại trước khi nhóm phòng thủ có thể khắc phục mọi thứ.
Giai đoạn báo cáo
Trong giai đoạn này, đội đỏ chuẩn bị một tài liệu mô tả hành động và kết quả của họ. Báo cáo còn bao gồm các quan sát, phát hiện thực nghiệm và khuyến nghị để vá các lỗ hổng. Nó cũng có thể có các chỉ thị để bảo mật các giao thức và kiến trúc bị khai thác.
Định dạng báo cáo của đội đỏ thường theo mẫu. Hầu hết các báo cáo phác thảo các mục tiêu, phạm vi và quy tắc tham gia; nhật ký hành động và kết quả; kết quả; các điều kiện làm cho những kết quả đó có thể xảy ra; và sơ đồ tấn công. Thường có một phần để xếp hạng rủi ro bảo mật của các mục tiêu được ủy quyền và tài sản bảo đảm.
Điều gì xảy ra tiếp theo sau đội đỏ?
Các tập đoàn thường thuê các đội đỏ để thử nghiệm hệ thống bảo mật trong một phạm vi hoặc kịch bản xác định. Sau sự tham gia của đội đỏ, đội phòng thủ (tức là đội xanh) sử dụng các bài học kinh nghiệm để cải thiện khả năng bảo mật của họ trước các mối đe dọa đã biết và zero-day. Nhưng những kẻ tấn công không chờ đợi xung quanh. Với tình trạng thay đổi của an ninh mạng và các mối đe dọa phát triển nhanh chóng, công việc thử nghiệm và cải thiện kiến trúc bảo mật chưa bao giờ thực sự kết thúc.