red teaming

Red teaming to autoryzowane ataki odzwierciedlające realne możliwości hakerów, od warstwy sieciowej oraz ataków socjotechnicznych po aspekty fizycznego bezpieczeństwa. Jest to poziom wyżej w stosunku do testów penetracyjnych ponieważ z założenia o ataku wie tylko kilka osób w firmie (najczęściej zarząd oraz dyrektorzy działów IT oraz bezpieczeństwa), a zakres jest o wiele szerszy – takie podejście ma wykazać słabości w zabezpieczeniach nie tylko technicznych ale również proceduralnych, czy w braku świadomości samych pracowników.

Dzięki temu podejściu można zweryfikować działanie komórki SOC oraz najsłabszego ogniwa, którym w bezpieczeństwie teleinformatycznym są przede wszystkim pracownicy biurowi – często nie posiadający elementarnej świadomości o zagrożeniach. Realny atak tego typu – który nie jest symulacją – może skutkować ogromnymi stratami finansowymi, wizerunkowymi, a w skrajnych przypadkach nawet likwidacją przedsiębiorstwa.

Efektem takiej symulacji zagrożenia jest znaczna poprawa bezpieczeństwa w całej organizacji, nie tylko utwardzenie konfiguracji systemów i poprawa procedur, ale szczególnie edukacja samych użytkowników „pocztą pantoflową”. Przekazanie informacji w postaci szkolenia nie wywierają długofalowej świadomości, natomiast wykonanie realnej symulacji ataku – której sami mogą doświadczyć – pozostaje długo na ustach pracowników. Dzięki czemu organizacja lepiej broni się przeciwko dzisiejszym zagrożeniom. Bezpieczeństwo jest na tyle silne na ile mocne jest jego najsłabsze ogniwo, innymi słowy na nic zda się inwestowanie ogromnych środków w rozwiązania technologiczne jeśli pracownicy nie będą mieć świadomości na temat zagrożeń.

Red teaming od testów penetracyjnych różni się przede wszystkim zakresem (ang. scope). W przypadku pentestów zazwyczaj jest to aplikacja webowa lub infrastruktura zawężona do kilku adresów IP. W red teamingu natomiast zakres jest o wiele szerszy, w jego skład wchodzi wspomniana już wyżej socjotechnika oraz o wiele większe możliwości inwigilacji sieci. Każde zdobyte w ten sposób informacje pozwalają w rezultacie na dalszą eskalację uprawnień. Nawet z pozoru błahy błąd ujawniający dodatkowe szczegóły na temat infrastruktury może okazać się krytyczny, ponieważ każde dodatkowe informacje mogą być wykorzystane w ataku. Pamiętajmy, że atakujący nie mają ograniczeń w zakresie czy czasie. Dlatego szczególnie pod względem zakresu, red teaming pozwala na bardziej realistyczną symulację ataku.

Najgłośniejszymi atakami APT na polskie instytucje w ostatnim czasie było niewątpliwie włamanie do KNF (Komisja Nadzoru Finansowego) jak również udany atak na Plus Bank. Przykłady te jasno pokazują, że ryzyko ataków jest jak najbardziej realne i każda instytucja bez wyjątków może stać się ich ofiarą. Cyberataków z biegiem czasu będzie przybywać ze względu na postępującą informatyzację społeczeństwa.

Warto przypomnieć również, że w ostatnim czasie NATO uznało cyberprzestrzeń za kolejną strefę działań militarnych, jak również stworzono narodową Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej oraz wprowadzono obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa w postaci Dyrektywy NIS. Jest to dyrektywa Parlamentu i Rady UE w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Wprowadza ona nowe zakresy obowiązków: obowiązek zapobiegania incydentom, obowiązek ograniczenia wpływu incydentów oraz obowiązek zgłaszania incydentów. Wszystkie te aspekty pokazują jasno, że cyberataków będzie przybywać i zabezpieczanie przeciwko nimi nie będzie już tylko opcjonalnym ryzykiem, a wymogiem na poziomie regulacji, a za ich nieprzestrzeganie nakładane będą wysokie kary finansowe (20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa).

Nazwa firmy jak również polska domena to nie bez powodu Red Team – do naszych specjalizacji należą przede wszystkim socjotechnika jak również ataki sieciowe. Jesteśmy pierwszą polską firmą skupiającą się głównie na tego typu usłudze, a każdy członek naszego zespołu realizującego symulacje ataku posiada szeroko uznany certyfikat OSCP (Offensive Security Certified Professional), świadczący o posiadaniu praktycznej wiedzy na temat metod włamań do systemów informatycznych. Zaliczenie tego certyfikatu wymaga myślenia poza wyznaczonymi schematami, jak haker – egzamin polega na włamaniu do pięciu serwerów w ciągu doby od jego rozpoczęcia, w tym również napisania programu wykorzystującego podatność (exploit).

Dzięki nabytemu doświadczeniu skutecznie możemy reagować na incydenty naruszenia bezpieczeństwa komputerowego oraz badać ataki hakerskie – ponieważ wiemy w jaki sposób działają nieetyczni hakerzy, a jednocześnie posiadamy wiedzę na temat informatyki śledczej, którą wykorzystujemy w realizowanych symulacjach ataków – tak aby nawet pracownicy posiadający świadomość zagrożenia internetowymi atakami mogli się przekonać, że mogą być one jeszcze bardziej wyrafinowane.

Adam Ziaja jest autorem książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” (ISBN 978-83-01-19347-8) poruszającej tematykę informatyki śledczej i reagowania na incydenty (DFIR), wydanej przez Wydawnictwo Naukowe PWN. Książka opisuje metody badania ataków, a także sposoby zacierania śladów, które mogą być wykorzystane w red teamingu – szerokie kompetencje pozwalają na szerokie podejście do przeprowadzanych prac, dlatego też nie skupiamy się tylko i wyłącznie na jednej dziedzinie, a staramy się być ekspertami w różnych specjalizacjach.

usług w zakresie bezpieczeństwa IT

Profesjonalne usług w obszarze bezpieczeństwa IT – red team (atak, ofensywne bezpieczeństwo) i blue team (obrona, defensywne bezpieczeństwo) w zakresie takim jak m.in. testy penetracyjne, red teaming, testy podatności, testy socjotechniczne, testy bezpieczeństwa, phishing, analiza powłamaniowa, threat hunting, threat intelligence, informatyka śledcza, reagowanie na incydenty, Security Operations Center (SOC), Intrusion Detection System (IDS), audyt kodu źródłowego, audyt konfiguracji, audyt bezpieczeństwa, biegły sądowy z zakresu informatyki poparte doświadczeniem, licznymi referencjami oraz branżowymi certyfikatami.

Ze względu na rozległe doświadczenie podejmujemy się również innych, nietypowych zleceń związanych z bezpieczeństwem teleinformatycznym. Zapraszamy do zapoznania się z naszymi sylwetkami zawodowymi.

Jesteśmy otwarci na partnerstwo biznesowe na zasadzie podwykonawstwa (w roli strony realizującej techniczne aspekty).

Referencje

ipn
Instytut Pamięci Narodowej (IPN)
onet
Onet
interia
Interia
wp
Wirtualna Polska
empik
Empik
home
Home.pl

Nota prawna

Wszystkie działania w tym przede wszystkim ataki są wykonywane w pełni legalnie, przez zarejestrowaną na terenie polski firmę Red Team. Działania podejmowane są tylko i wyłącznie w granicach polskiego prawa oraz wymagają pisemnej autoryzacji ze strony danej organizacji. Ataki realizowane są w sposób kontrolowany i mają za cel poprawę bezpieczeństwa, jak również zwiększenie świadomości pracowników na temat dzisiejszych zagrożeń takich jak ataki ukierunkowane (APT). W trakcie realizacji czynności dokładamy wszelkich starań, aby nie zakłócić pracy systemów. Wszystkie informacje pozyskane w trakcie prac traktowane są jako w pełni poufne, wliczając w to na życzenie również nazwę klienta.