Red team – laget som sätter hoten i schack (del 1)

Red Teaming är som att spela ett strategiskt schackspel mot ett företags försvarssystem, där Red Team agerar angripare. Syftet är att försöka identifiera svagheter genom simulering av verkliga cyberattacker. Målet är att testa säkerheten genom att tänka som en motståndare och förutse deras drag, samtidigt som försvararna (Blue Team) får möjligheten att svara och på så vis stärka sitt försvar. Precis som i schack handlar det om att tänka flera drag framåt för att vinna matchen. I detta inlägg berättar vi om vad Red Teaming innebär, varför det är nödvändigt och hur det skiljer sig mot andra typer av säkerhetstester.

Vad är Red Teaming?

Ett Red Team är en grupp säkerhetsexperter som simulerar realistiska cyberattacker mot en organisation för att testa dess säkerhetsberedskap. Syftet är att efterlikna verkliga hotaktörer genom att försöka bryta sig in i system, applikationer eller nätverk utan att bli upptäckt, på samma sätt som en avancerad hackare skulle göra. Red Team fokuserar inte bara på tekniska sårbarheter, utan kan också använda social ingenjörskonst (social engineering), fysisk säkerhet och andra metoder för att testa alla delar av organisationens försvar. Målet är att identifiera svagheter i både teknik och processer, samt att utvärdera hur väl organisationens Blue Team (försvarsteam, exempelvis SOC) kan upptäcka och reagera på hot. Syftet är även att inom organisationen öka medvetenheten och stärka säkerhetskulturen samt förbättra samverkan, incidenthantering och försvarsmekanismer.

När man pratar om Red Team kommer ofta andra typer av team upp, så som Blue Team och Purple Team.

Red Team: Deras roll är att simulera verkliga cyberattacker och agera som angripare. De försöker hitta och utnyttja sårbarheter i en organisations system, nätverk och processer. Detta ofta utan att försvarsteamet vet om det. Målet är att efterlikna hur en verklig hotaktör skulle genomföra ett angrepp, för att testa och förbättra säkerhetsberedskapen.

Blue Team: Detta är organisationens försvarsteam, vars uppgift är att skydda mot och upptäcka intrång. De övervakar nätverk, upptäcker hot, hanterar incidenter och reagerar på säkerhetshändelser. Deras främsta mål är att upprätthålla systemets säkerhet och skydda det från attacker.

Purple Team: Detta team fungerar som en brygga mellan Red och Blue Team. Deras uppgift är att främja samarbete mellan de två för att maximera lärandet från attacker och förbättra försvarsmekanismerna. Purple Team gör att båda teamen kan dela insikter, vilket leder till mer effektiva försvarsstrategier och förbättrad säkerhet. I en Purple Team-övning samarbetar de två lagen (därav färgen lila). Det är en strukturerad övning som kombinerar attack- och försvarsaktiviteter för att maximera effektiviteten av både angreppssimulering och försvarsmekanismer.

Varför är Red Team nödvändigt?

Det finns många fördelar med att utföra Red Team-övningar. Precis som vi nämnt tidigare genomförs de för att förbättra en organisations förmåga att upptäcka, svara på och hantera verkliga cyberattacker genom att testa säkerhetsförsvaret i praktiken, identifiera svagheter och stärka säkerhetskulturen. Förutom fördelarna, finns det även regelverk som kräver dessa övningar som en del av säkerhetsarbetet, såsom DORA.

DORA (den digitala operativa motståndskraften mot cyberrisker/cyberhot) är en EU-lagstiftning som syftar till att stärka den operativa motståndskraften mot digitala risker i finanssektorn. Den ställer krav på att finansiella organisationer ska kunna motstå, återhämta sig från och hantera cyberattacker och andra digitala störningar. Från den 17 januari 2025 börjar DORA gälla i hela EU, vilket innebär att finansiella aktörer och tredjepartsleverantörer som omfattas av lagen måste ha implementerat de nödvändiga åtgärderna vid detta datum.

DORA inkluderar krav på hotbaserade penetrationstester (threat led penetration tests),  vilket innebär att Red Team-övningar spelar en viktig roll. Red Team används för att testa och utvärdera organisationers motståndskraft mot cyberattacker genom att simulera verkliga hot. DORA kräver att hotbaserade penetrationstester sker minst en gång var tredje år samt att lämpliga tester utförs åtminstone årligen på alla informations- och kommunikationsteknikssystem och tillämpningar som stöder kritiska eller viktiga funktioner. Red Team-övningar hjälper organisationer att uppfylla DORA-kraven genom att regelbundet testa och förbättra sina säkerhetsförsvar.

Red Team, penetrationstest och hotbaserat penetrationstest – vad är skillnaden?

Trots att dessa tre begrepp kan låta väldigt snarlika, så är det skillnad på dem.

Ett penetrationstest har som syfte att identifiera och exploatera så många sårbarheter som möjligt i ett system, nätverk eller applikation. Omfånget är ofta begränsat och därför är testet ofta fokuserat på en viss del av en organisations system, exempelvis en specifik webbapplikation eller ett nätverk.

Red Team simulerar realistiska, sofistikerade cyberattacker med målet att testa hela organisationens säkerhetsberedskap och förmåga att upptäcka och reagera på intrång. Red Team-övningar är ofta långvariga och omfattar flera attackvektorer, inklusive social ingenjörskonst, fysiska attacker och tekniska angrepp. Attackerna är mer realistiska och komplexa, eftersom de emulerar verkliga hotaktörer (APT-grupper).

Omfånget av övningen är mycket bredare och djupare än vanliga penetrationstester, med fokus på att testa organisationens försvar och inte bara tekniska sårbarheter.

Threat Led Penetration Test (TLPT), eller hotbaserat penetrationstest, är ett otydligt begrepp. I sammanhanget med DORA är TLPT ekvivalent med Red Teaming. I andra sammanhang kan det däremot tolkas annorlunda. Omfånget är mer fokuserat än ett traditionellt penetrationstest.

TLPT riktar sig mot specifika hot som baseras på aktuella risker för organisationen. Syftet är liknande Red Team i att simulera verkliga hot, men är ofta baserat på branschspecifika hotmodeller och risker, och görs enligt specifika regler och krav. Till skillnad från ett penetrationstest där metodiken som används är en bredare och mer strukturerad process som ska täcka många delar av en IT-miljö, bygger hotbaserade penetrationstester mer på hotintelligens och verkliga hotaktörers metoder för att säkerställa att organisationens säkerhetsförsvar är robust mot specifika och relevanta hot.

Alla metoder identifierar sårbarheter, hot och testar säkerheten men skiljer sig från varandra i syfte och testfokus:

Följ med oss i nästa drag i del 2 av denna bloggserie, där vi kommer fokusera på vilka spelpjäser samt strategier som behövs för att genomföra en Red Team-övning.