Testy Bezpieczeństwa (Red Team)

Testy Bezpieczeństwa (Red Team)

Dobrze wiedzieć, jak jest się bezpiecznym dzisiaj. Dlatego warto przeprowadzić testy bezpieczeństwa, symulujące prawdziwy atak hakerów i w ten sposób poznać luki w swoim bezpieczeństwie. 
Tym zajmuje się nasz Red Team.

Ćwiczenia Red Team to kompleksowe testy bezpieczeństwa, które mają na celu symulację realistycznych ataków na infrastrukturę informatyczną Zamawiającego. W odróżnieniu od testów penetracyjnych, które zazwyczaj koncentrują się na wykrywaniu znanych podatności, ćwiczenia Red Team obejmują pełne symulacje działań cyberprzestępców, aby ocenić nie tylko podatności technologiczne, ale również reakcje zespołów bezpieczeństwa i skuteczność przyjętych procedur ochronnych. Celem ćwiczenia jest nie tylko ocena bieżącego stanu zabezpieczeń, ale także opracowanie konkretnych działań korygujących i doskonalenie reakcji organizacji na incydenty cybernetyczne.

Całkowity czas trwania ćwiczenia Red Team szacuje się na 6-12 tygodni, w zależności od stopnia złożoności infrastruktury oraz poziomu przygotowania zespołów IT Zamawiającego. Ćwiczenia Red Team działają w tle i nie zaburzają funkcjonowania firmy.

 

Cele ćwiczenia Red Team

  1. Ocena odporności systemu – Identyfikacja kluczowych słabych punktów w systemach IT oraz procesach zabezpieczających organizację, które mogą zostać wykorzystane przez potencjalnych atakujących.
  2. Test skuteczności zespołu obrony – Ocena reakcji i efektywności działania zespołów odpowiedzialnych za bezpieczeństwo podczas rzeczywistych incydentów.
  3. Doskonalenie procedur – Wskazanie obszarów wymagających optymalizacji, ujawnionych podczas działań Red Team, takich jak procesy reagowania, alarmowania oraz komunikacji wewnętrznej i zewnętrznej.
  4. Symulacja działań przeciwnika – Przeprowadzenie symulacji rzeczywistych działań atakujących, co pozwala na wzmocnienie organizacji przeciwko zagrożeniom wynikającym z ujawnionych, krytycznych podatności i obszarów wymagających poprawy.

 

Założenia ćwiczenia

  1. Do koordynacji projektu zostanie powołana grupa kontrolna złożona z operatorów realizujących zlecenie po stronie HPCS oraz koordynatora projektu wyznaczonego przez Zamawiającego, który jako jedyny będzie posiadała informacje dotyczące postępów ćwiczenia.
  2. Z uwagi na charakter ćwiczenia, mający na celu ewaluację efektywności pracy wewnętrznych zespołów Zamawiającego, których zadaniem jest detekcja oraz reakcja na incydenty bezpieczeństwa operatorzy HPCS nie będą przekazywać szczegółowych informacji dotyczących swoich działań, a jedynie informacje o zakończeniu i statusie jego poszczególnych etapów.
  3. W przypadku detekcji incydentu po stronie Zamawiającego koordynator projektu wraz z operatorami HPCS będąc w stałym kontakcie mogą wymieniać się IOC (Indicator of Compromise) m.in. adresy IP, domeny, hashe plików itd. na potrzebę identyfikacji źródła wykrytego zagrożenia.
  4. Operatorzy mają swobodę co do działań podejmowanych w ramach ćwiczenia o ile działania te nie niosą za sobą potencjalnych problemów z ciągłością biznesową systemów bądź procesów Zamawiającego, które mogą narazić go na straty. W przypadku identyfikacji podatności bądź ścieżki ataku niosącej takie ryzyko, operatorzy będą przekazywać informacje koordynatorowi projektu po stronie Zamawiającego w celu otrzymania autoryzacji na podjęcie takich działań lub zaniechania dalszego ataku z uwagi na potencjalne ryzyko.
  5. Zakres testów obejmuje wszystkie systemy należące do Zamawiającego, które mogą być potencjalnie objęte symulacją ataku. Konkretne wektory ataków oraz cele działań zostaną wyselekcjonowane i uzgodnione przed rozpoczęciem ćwiczeń, w ścisłej współpracy z Zamawiającym. Mogą one obejmować m.in. przejęcie kontroli nad krytycznym systemem, uzyskanie dostępu do poufnych informacji, próbę ich eksfiltracji lub eskalację uprawnień w kluczowych obszarach organizacji.
  6. W przypadku niepowodzenia etapu nr. 2 ćwiczenie przechodzi w model „Assume Breach”, w którym koordynator projektu zapewnia operatorom HPCS dostęp do stacji roboczej w infrastrukturze wewnętrznej Zamawiającego w celu przeprowadzenia dalszych etapów zlecenia.

Szczegółowy opis poszczególnych etapów ćwiczenia Red Team

image

Etap przygotowawczy – Rekonesans

  • Opis: Zbieranie i analizowanie ogólnodostępnych informacji na temat organizacji w celu zrozumienia jej struktury i możliwych punktów wejścia. Modelowanie zagrożeń oraz przygotowanie scenariuszy ataków.
  • Czas trwania: 1-2 tygodnie.
  • Czynności realizowane w ramach etapu:
    • Analiza ogólnodostępnych danych (OSINT),
    • Zidentyfikowanie kluczowych zasobów i potencjalnych punktów ataku,
    • Sporządzenie profilu organizacji z perspektywy potencjalnego atakującego.
  • Cel: Wstępna ocena możliwych ścieżek ataku i przygotowanie strategii dalszych działań. Pozyskanie informacji umożliwiających dostosowanie technika ataku do specyfiki infrastruktury Zamawiającego.

Initial Access – Próba uzyskania dostępu do infrastruktury wewnętrznej

  • Opis: Przeprowadzenie symulacji realistycznych ataków, w tym technik phishingowych (na wybranych pracowników Zamawiającego), ataków na infrastrukturę IT oraz prób eskalacji uprawnień.
  • Czas trwania: 3-4 tygodnie.
  • Czynności:
    • Testy socjotechniczne, w tym próby phishingowe,
    • Próby eskalacji uprawnień i uzyskania dostępu do krytycznych zasobów,
    • Symulacje ataków z użyciem przygotowanego na potrzeby projektu oprogramowania mającego zapewnić stały dostęp do wewnętrznej infrastruktury Zamawiającego lub oprogramowania wykorzystującego zidentyfikowane podatności.
  • Cel: Ocena podatności technicznych i behawioralnych oraz przetestowanie ścieżek potencjalnych działań przestępczych.

*Na życzenie Zamawiającego faza druga może zostać rozszerzona również o próbę uzyskania fizycznego dostępu do wyznaczonej lokalizacji jako jeden ze scenariuszy socjotechnicznych.

 

Etap instalacji oraz rozpoznania wewnętrznego

  • Opis: Zapewnienie persystencji w sieci wewnętrznej Zamawiającego oraz przeprowadzenie rozpoznania środowiska wewnętrznego, mającego na celu uzyskanie głębszej wiedzy o infrastrukturze IT i potencjalnych ścieżkach dalszego ataku.
  • Czas trwania: 2-3 tygodnie.
  • Czynności:
    • Skorzystanie z różnych narzędzi i technik rozpoznawania sieci,
    • Eksploracja otwartych portów, protokołów komunikacyjnych i dostępnych usług,
    • Mapowanie wewnętrznej architektury sieci.
    • Instalacja oprogramowania zapewniającego stały dostęp do wewnętrznej infrastruktury.
    • Identyfikacja wybranych uprawnień użytkowników.
    • Identyfikacja potencjalnych ścieżek ataku prowadzących do osiągnięcia celu ćwiczenia.
  • Cel: Zdobycie trwałego dostępu w infrastrukturze wewnętrznej Zamawiającego. Ukrycie aktywności oraz dalsza enumeracja wewnętrznych zasobów.

 

Osiągnięcie celów ćwiczenia

  • Opis: Przeprowadzenie serii aktywności w wewnętrznej infrastrukturze Zamawiającego prowadzących do osiągnięcia ustalonych celów ćwiczenia.
  • Czas trwania: 2-3 tygodnie.
  • Czynności:
    • Wykorzystanie wcześniej zidentyfikowanych podatności,
    • Próba eskalacji uprawnień z wykorzystaniem zidentyfikowanych słabości,
    • Przejmowanie kontroli nad kolejnymi elementami infrastruktury przybliżających do osiągnięcia założonych celów.
    • Zapewnienie stałego dostępu do infrastruktury z uprawnieniami administratora.
  • Cel: Przeprowadzanie dalszych ataków skutkujących osiągnieciem założonych celów projektowych.

 

Raportowanie i rekomendacje

  • Opis: Sporządzenie szczegółowego raportu na temat przeprowadzonych działań, wykrytych podatności oraz rekomendacji dotyczących zwiększenia poziomu zabezpieczeń.
  • Czas trwania: 1 tydzień.
  • Czynności:
    • Opracowanie szczegółowego raportu z analizą każdego etapu ataku,
    • Przedstawienie rekomendacji oraz priorytetowych działań naprawczych,
    • Konsultacje z zespołem IT i bezpieczeństwa w celu omówienia wyników i rekomendacji.
  • Cel: Dostarczenie Zamawiającemu pełnej dokumentacji ćwiczenia, wraz z konkretnymi wskazówkami na temat eliminacji wykrytych luk.

 

Etap weryfikacji wdrożenia rekomendacji (opcjonalnie)

  • Opis: Ocena wdrożenia działań naprawczych, aby zweryfikować ich skuteczność oraz wypracować dalsze rekomendacje.
  • Czas trwania: 1-2 tygodnie (po wdrożeniu poprawek).
  • Czynności:
    • Przeprowadzenie powtórnych testów na kluczowych obszarach,
    • Weryfikacja zabezpieczeń po wdrożeniu rekomendacji,
    • Sporządzenie dodatkowego raportu z analizą wyników.
  • Cel: Ocena efektywności wdrożonych poprawek oraz weryfikacja ich wpływu na poziom bezpieczeństwa organizacji.

 

Korzyści dla Zamawiającego wynikające z realizacji ćwiczenia Red Team

  1. Wzmocnienie poziomu bezpieczeństwa – Wskazanie i wyeliminowanie rzeczywistych słabości systemowych oraz proceduralnych, które mogłyby zostać wykorzystane przez cyberprzestępców.
  2. Zwiększenie odporności na zagrożenia – Red Team umożliwia kompleksową analizę przygotowania organizacji na różnorodne rodzaje ataków, wskazując jednocześnie kluczowe obszary wymagające dalszej analizy pod kątem bezpieczeństwa. Dzięki temu pozwala na znaczące zwiększenie poziomu ochrony i redukcję ryzyka.
  3. Optymalizacja procesów reagowania na incydenty – Ocena procedur reagowania i wskazanie obszarów wymagających poprawy usprawnia procesy, co skraca czas reakcji na incydenty.
  4. Raport z rekomendacjami i planem naprawczym – Szczegółowy raport dostarcza zarządowi i zespołom IT praktyczne wskazówki, które można natychmiast wdrożyć. Dodatkowo, ćwiczenie pozwala na stworzenie planu naprawczego, co zapewnia skuteczną strategię rozwoju zabezpieczeń.
  5. Zwiększenie świadomości i skuteczności zespołu IT – Na zakończenie testu zostaną zorganizowane dedykowane warsztaty, aby pomóc zespołowi IT w lepszym zrozumieniu raportu, harmonogramu zdarzeń oraz zidentyfikowanych “blind spotów”. Szczegółowo omówiony zostanie każdy krok oraz przedstawione rekomendacje, które pomogą w dopracowaniu systemów bezpieczeństwa. Skupiono się na brakach w narzędziach i systemach obronnych oraz doradzono, jakie metodyki i polityki warto wdrożyć. Warsztaty umożliwią lepsze przygotowanie firmy na przyszłe zagrożenia i usprawnienie ochrony w praktyce, bazując na najlepszych rozwiązaniach stosowanych w branży.

Dane kontaktowe

Copyright @2024 Hollow Point Cybersecurity. All Rights Reserved.