red teaming

Red teaming i testy socjotechniczne

Red teaming to autoryzowane ataki odzwierciedlające możliwości hakerów, od warstwy sieciowej oraz ataków socjotechnicznych po aspekty fizycznego bezpieczeństwa. Celem jest naśladowanie prawdziwych taktyk, technik i procedur (TTP), które przy ataku wykonują cyberprzestępcy. Najbardziej zaawansowane testy bezpieczeństwa jakie może przeprowadzić organizacja.

Uzyskaj wycenę

Dlaczego usługi REDTEAM.PL?

Jesteśmy najbardziej doświadczonym zespołem na polskim rynku i najczęściej jesteśmy wybierani z powodu rozpoznawalnych konsultantów o najwyższych technicznych kompetencjach. Posiadamy ponad 20 lat doświadczenia w cyberbezpieczeństwie, dziesiątki podziękowań za odpowiedzialnie zgłoszone błędy w najpopularniejszym oprogramowaniu oraz ponad 60 imiennych referencji za zrealizowane usługi. Byliśmy autorami wielu uznanych publikacji Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) oraz Wydawnictwa Naukowego PWN. Ponadto nasze badania zostały uznane przez rozpoznawalne amerykańskie podmioty takie jak instytut SANS czy magazyn Forbes. Jesteśmy prekursorami większości specjalizacji cyberbezpieczeństwa, które realizowaliśmy zarazem jako jedni z pierwszych w kraju. Wszystkie nasze usługi wykonują tylko i wyłącznie doświadczeni eksperci, nie realizujemy zleceń przy pomocy osób bez wieloletniego praktycznego doświadczenia. Realizowane przez nas usługi to przede wszystkim najwyższa jakość niespotykana na polskim rynku – pod względem kompetencji i dokonań nie mamy sobie równych. Ponadto od kilkunastu lat posiadamy także status biegłego sądowego.

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

Oracle
Google
Microsoft
Apple
Adobe
VMware

Symulacja ataku APT

Dzięki połączeniu szerokiej wiedzy z zakresu cyberbezpieczeństwa jesteśmy w stanie przeprowadzić wysokiej jakości testy profilowane i symulowane ataki APT (Advanced Persistent Threat) czyli CPH (Cyber-Physical-Human) red teaming. Operacje red teaming mają na celu odzwierciedlać realne scenariusze hakerskich ataków, które mogą zagrażać danej organizacji. Ćwiczenia red teamowe wykorzystywane są do oceny obecnego stanu bezpieczeństwa całej organizacji, świadomości pracowników biurowych oraz czasu i stopnia reakcji zespołów bezpieczeństwa, przykładowo SOC (Security Operations Center) lub CERT (Computer Emergency Response Team) zwany również CSIRT (Computer Security Incident Response Team).

Red teaming, a testy penetracyjne

Red teaming od testów penetracyjnych różnią się pod wieloma względami:

  • nie są ograniczone rygorystycznym zakresem (przykładowo do jednej aplikacji webowej),
  • nie polegają na znalezieniu jak największej liczby podatności tylko na znalezieniu najskuteczniejszej metody przełamania zabezpieczeń,
  • nie ograniczają się wyłącznie do technologii, dotyczą zarówno czynnika ludzkiego (socjotechnika) jak i bezpieczeństwa fizycznego,
  • nie mogą być zbyt hałaśliwe, w celu uniknięcia wykrycia przez blue team, przykładowo zespół SOC.

Podczas gdy tradycyjny test penetracyjny jest bardziej skuteczny w zapewnianiu dokładnej listy słabych punktów i ulepszeń, które należy wprowadzić, red teaming jest dokładniejszym miernikiem gotowości organizacji na ataki.

Testy socjotechniczne i phishing

Wykonujemy autoryzowane ataki socjotechniczne, które polegają najczęściej na przeprowadzeniu kampanii phishingowej na pracowników organizacji (testy świadomości personelu). Cel ataku ustalany jest indywidualnie z klientem i przykładowo może być to wykradanie poświadczeń do firmowych zasobów, a następnie próby eskalacji uprawnień do wewnętrznej sieci organizacji i symulacja prawdziwego ataku, jak uzyskanie dostępu do istotnych danych lub zwykłe zebranie statystyk skuteczności kampanii.

Innym rodzajem ataku socjotechnicznego może być przykładowo uruchomienie fałszywego punktu dostępowego sieci bezprzewodowej, tak aby do złudzenia przypominał sieć Wi-Fi organizacji. Scenariusz ataku w tym przypadku może polegać na próbach uzyskania dostępu do poufnych informacji poprzez przechwycenie ruchu sieciowego lub jego modyfikację, przykładowo podmianę plików wykonywalnych, które pobierane są przez ofiarę.

Najważniejsze zalety red teamingu

Nasi eksperci będą symulować działania prawdziwego hakera, wykorzystując dowolne słabości organizacji – w tym sieci, aplikacji, ludzi i bezpieczeństwa fizycznego obiektów.

Ocena bezpieczeństwa w przypadku red teamingu ma znacznie szerszy zakres niż tradycyjny pentest i red teamer stara się w skompromitować cel, pozostając przy tym niewykrytym.

Red team assessment są to przede wszystkim:

  • najbardziej zaawansowane testy bezpieczeństwa,
  • symulacja realnych zagrożeń,
  • weryfikacja zabezpieczeń organizacji,
  • ocena zdolności wykrywania, ochrony i reagowania na incydenty.

Ataki sieciowe

Elementem operacji red teaming mogą być ataki sieciowe i w tym przypadku ich głównym celem jest uzyskanie dostępu do istotnych zasobów organizacji. Zazwyczaj jest to element eskalacji przy atakach socjotechnicznych, bądź po uzyskaniu dostępu do sieci wewnętrznej w następstwie fizycznego podłączenia do infrastruktury organizacji.

Ataki na systemy SCADA

Na zaproszenie Ministerstwa Obrony Singapuru jako ofensywny zespół (red team) braliśmy udział w międzynarodowych ćwiczeniach Critical Infrastructure Security Showdown 2020 (CISS2020-OL) organizowanych przez Politechnikę w Singapurze (iTrust SUTD). Celem ćwiczenia był atak na infrastrukturę krytyczną w postaci stacji uzdatniania wody (SWaT). W trakcie ćwiczeń skutecznie udało się nam przełamać informatyczne zabezpieczenia i przejąć bezpośrednią kontrolę nad systemem SCADA HMI.

Red teaming

Przykładowe ćwiczenia red teaming jakie możemy zaoferować polegają zarówno na bezpieczeństwie sieciowym (podobnie jak testy penetracyjne) jak i socjotechnice oraz aspektach fizycznego bezpieczeństwa organizacji:

  • ataki socjotechniczne, przede wszystkim kampanie phishingowe na pracowników biurowych, które mogą być zakończone również szkoleniem nietechnicznych pracowników.
  • symulacje sieciowych hakerskich ataków, zarówno zewnętrzne (Internet) jak i wewnętrzne (LAN) polegające na symulacji przypadku kiedy haker uzyskuje dostęp do sieci wewnętrznej organizacji.
  • symulacje działającego na szkodę przedsiębiorstwa nieuczciwego pracownika z dostępem do komputera w domenie Windows lub po prostu z dostępem do sieci lokalnej.
  • ataki z szerokim spektrum, próby fizycznego dostępu do zasobów informatycznych organizacji zarówno przez ataki socjotechniczne jak i identyfikowanie słabości w fizycznych aspektach bezpieczeństwa. Celem takiej operacji red teaming może być wpięcie nieautoryzowanego urządzenia do sieci wewnętrznej organizacji, którego zadaniem będzie umożliwienie dostępu do sieci wewnętrznej organizacji z zewnątrz przez nieautoryzowane osoby.

Symulacja wewnętrznych ataków

Podstawowym założeniem jest, iż doszło do przełamania zabezpieczeń (ang. assumed breach) i atakujący posiada już dostęp do wewnętrznej infrastruktury organizacji. Symulacja zagrożenia od strony sieci wewnętrznej może przykładowo polegać na próbach eskalacji uprawnień w sieci LAN organizacji przez symulowanie wewnętrznego zagrożenia, bądź też nieuczciwego pracownika. Celem takiego wewnętrznego ataku może być przejęcie kontrolera domeny Windows (AD, Active Directory), czyli uzyskanie na nim uprawnień administratora systemów. Ćwiczenie może polegać na sprawdzeniu kompetencji i możliwości wykrywania włamań przez zespół Security Operations Center (SOC).

Graph

Bezpieczeństwo fizyczne

Głównym celem realizacji testów bezpieczeństwa fizycznego w przypadku red teamingu jest uzyskanie dostępu do wewnętrznej sieci organizacji (hackowanie budynków). Środkiem do celu może być socjotechnika i nakłonienie pracowników organizacji do działań, które nie powinny mieć miejsca, przykładowo podłączenie nośnika pamięci do firmowego komputera itp.

Dlaczego my? Wiedza i doświadczenie

Realizujemy red teaming dla znanych międzynarodowych podmiotów oraz posiadamy wieloletnie doświadczenie w testach penetracyjnych, które poparte jest najbardziej uznanym na świecie certyfikatem w zakresie symulacji ataków, czyli OSCP (Offensive Security Certified Professional), a który to każdy z nas posiada od kilku lat. Dodatkowo mamy równie obszerne doświadczenie w informatyce śledczej i reagowaniu na incydenty oraz we threat huntingu. Połączenie eksperckiej wiedzy z zakresu zarówno ataku jak i obrony pozwala nam na unikalne spojrzenie na aspekty cyberbezpieczeństwa, kiedy z jednej strony wiemy jak wykonywane są hakerskie ataki, a z drugiej w jaki sposób reaguje się na incydenty. Ponadto niejednokrotnie znajdowaliśmy podatności 0-day w najpopularniejszym oprogramowaniu, czyli nowe luki w zabezpieczeniach, które nie były dotychczas znane oraz nie istniały na nie jeszcze poprawki bezpieczeństwa. Właśnie dzięki tym wszystkim kompetencjom możemy świadczyć prawdziwe symulacje ataków odzwierciedlające realne możliwości hakerów.

“Cybersecurity researchers at Warsaw-based RED TEAM discovered a flaw in the way Safari handles sharing actions. Click in Safari to share a cute kitten picture with a friend and you could unknowingly pass critical information about your system to an attacker”

A Bug In Apple’s Safari Browser Could Let Hackers Steal Your Files
Forbes Magazine

Zaawansowane symulacje ataków

Realizujemy zaawansowane symulacje ataków, których ofiarą mogą stać się dzisiejsze organizacje. Przykładowymi scenariuszami, które zrealizowaliśmy były udane ataki na NAC (Network Access Control) 802.1X, a także kolizja wewnętrznej domeny:

Testy bezpieczeństwa DLP

W ramach red teaming weryfikacji mogą zostać poddane działające w organizacji systemy DLP (Data Leak Prevention). Zweryfikujemy czy istnieje możliwość niepostrzeżonego wysłania informacji z sieci firmowej na zewnątrz. Wykorzystujemy zaawansowane techniki eksfiltracji danych, tak samo jak hakerzy wyprowadzający istotne dane z organizacji. Takimi danymi mogą być np. dane osobowe, dane wrażliwe, tajemnice handlowe, czy plany biznesowe przedsiębiorstwa.

Threat-Led Penetration Testing (TLPT)

Realizujemy testy penetracyjne ukierunkowane przez analizę zagrożeń (TLPT) z założeniem »co mógłby zrobić atakujący«, ujawniając rzeczywiste słabości bez realizacji z góry zamierzonych scenariuszy, które nie wynikają ze znajomości testowanego środowiska. Dzięki takiemu podejściu odzwierciedlamy możliwości jakimi dysponować będzie prawdziwy atakujący. Realizowane w ten sposób testy bezpieczeństwa są ukierunkowane i realistyczne.

Poznaj nasz zespół

Nasze sylwetki posiadają konkretne informacje o naszym bogatym doświadczeniu zawodowym, a dodatkowo poparte są najbardziej uznanymi branżowymi certyfikatami, publikacjami naukowymi oraz referencjami od znanych podmiotów (referencje dostępne są na życzenie).

Adam Ziaja
Adam Ziaja

Prezes Zarządu RED TEAM. Posiada poparte realnymi osiągnięciami szerokie techniczne kompetencje związane z cyberbezpieczeństwem, zarówno z zakresu ataku jak i obrony.

czytaj więcej…

Paweł Wyleciał
Paweł Wyleciał

Członek Zarządu RED TEAM. Od wielu lat skupia się na wszelkiego rodzaju ofensywnych aspektach cyberbezpieczeństwa i w tym zakresie posiada liczne dokonania.

czytaj więcej…

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.