I förra inlägget gick vi igenom grunderna i Red Teaming och varför det kan stärka en organisations säkerhet. Nu är det dags att ta nästa steg: vilka roller behövs i ett Red Team och hur går en övning egentligen till, från förberedelser till efterarbete?
Ett framgångsrikt Red Team liknar en skicklig schackspelare, där varje pjäs har en unik roll att spela. Genom att kombinera teknisk expertis, strategiskt tänkande och kreativ problemlösning, kan teamet utföra komplexa och verklighetstrogna attacker.
Vilka roller behövs då i ett Red Team? Här är några exempel på roller och kompetenser som kan vara bra att ha i ditt team.
|
Teamledare |
Övervakar hela operationen och ansvarar för att sätta upp mål och strategier för övningen, samt ser till att alla drag är välplanerade och utförda. |
|
Exploateringsspecialist |
Genomför olika typer av attacker, som nätverksintrång, phishing, eller systemexploatering. Målsättningen är att hitta sårbarheter och bryta sig in i system. |
|
Social Ingenjör |
Utför sociala attacker genom manipulation av människor snarare än tekniska system, exempelvis genom phishing. |
|
Fysisk Säkerhetsspecialist |
Försöker fysiskt infiltrera företagets lokaler för att få tillgång till nätverk eller enheter. Det kan handla om att ta sig in i säkrade byggnader eller skaffa åtkomst till skyddade utrymmen. |
|
Hotintelligensanalytiker |
Samlar in och analyserar information om aktuella cyberhot och trender som kan användas för att förbättra attackerna. De försöker läsa motståndarens drag och förutspår nästa steg. |
Ett Red Team kan se ut på väldigt många olika sätt, dessa roller/kompetenser som nämns är endast förslag, det viktiga är att man har de rätta kompetenser samt att medlemmarna kompletterar varandra. Ett team kan bestå av färre eller fler personer, allt beror på omfång och kapacitet.
Red Teaming
När pjäserna väl är valda och utsatta på spelplanen, vad är nästa steg? Processen för ett Red Team-uppdrag kan man dela upp i fyra faser: förberedelser, utförandet av Red Team-övningen, avrapportering och efterarbete.
Förberedelser
Inför att en Red Team-övning ska utföras måste man förbereda. Detta inkluderar att sätta mål och omfattning för testet samt att sätta spelreglerna, Rules of Engagement (RoE). RoE är ett dokument som fastställer ansvarsområden, relationer och riktlinjer mellan Red Team och nätverksägaren, systemägaren och andra intressenter som är involverade. Dokumentet ska också innehålla målet och omfattningen av övningen, ett godkännande för att genomföra de olika aktiviteterna, vilka aktiviteter och tekniker som får användas samt hur incidenter ska hanteras om de uppstår. Det bör även innehålla riktlinjer för hur man ska hantera känslig information eller data. Detta dokument kan användas som ett ”get out of jail free card” (samma syfte som i Monopol).
Det är också viktigt att etablera tydliga kommunikationskanaler och protokoll för att hantera eventuella incidenter som kan uppstå under övningen.
Teamförberedelser: Rusta upp ditt lag! Se till att medlemmarna i teamet har relevanta kompetenser och är medvetna och förberedda för sina roller.
Red Team-övningen
En Red Team-övning kan delas upp i två delar, threat intelligence och testningen i sig.
Threat intelligence
Threat intelligence handlar om att förstå vad som är det största hotet mot organisationen och hur angripare agerar globalt. Informationen inhämtas från breda, ofta externa källor som hotdatabaser, säkerhetsrapporter och underrättelseflöden.
Denna metod används för att skapa realistiska och relevanta attackscenarier som speglar verkliga hot. Ofta fokuserat på externa hot, attackerare och deras metoder.
Testningen
Testningen av system och miljöer kan i sin tur delas upp i flera steg för att fullfölja målet av attackscenariot.
Under hela denna tid är det också viktigt att alltid dokumentera alla steg och tekniker som används under övningen för att sedan kunna gå tillbaka och reflektera och analysera resultaten för att kunna ge relevanta rekommendationer.
Avrapportering
Under avrapporteringen går man igenom vad som har identifierats, sårbarheter, rekommendationer, möjliga förbättringar etc. Det är också här dokumentation som sker under testningen kommer till nytta. Vanlig struktur för en rapport kan vara: Sammanfattning, metodik, fynd och observationer, riskbedömning, rekommendationer, slutsatser och nästa steg. Följande är några vanliga punkter som också bör diskuteras:
- Vad var målet? Uppnåddes målet?
- Vad hittade man?
- Vad gick bra?
- Hur kan organisationen förbättra sig?
- Åtgärder
Innan ett Red Team kan formulera effektiva rekommendationer, krävs en noggrann analys av resultaten och händelseförloppet i samråd med organisationens försvarare och incidentresponsteam. Red Teamets perspektiv ger endast en del av sida av myntet och inte en fullständig bild.
Exempelvis skulle det faktum att Red Teamet inte noterade någon respons från Blue Teamet inte nödvändigtvis behöva innebära att en incident undgått dem. Det skulle snarare kunna vara så att Blue Teamet identifierade aktiviteten, men misslyckades att svara eller avvärja den på ett lämpligt sätt. Genom en öppen dialog kan de underliggande orsakerna till brister identifieras och åtgärdas.
Efterarbete
Efter att övningen har avslutats är det viktigt att man har en bra plan på hur det som identifieras hanteras och att man inte glömmer bort att fullfölja åtgärderna. Baserat på vad som hittats kan vissa saker behövas granskas ytterligare eller processer behövs förbättras.
För att övningen ska ha gett någon nytta, krävs att man tar till sig informationen och resultatet från övningen. De sårbarheter i organisationens kontroller och processer behöver hanteras på ett lämpligt sätt, exempelvis genom framtagande av en åtgärdsplan. Det är även viktigt att verifiera att åtgärdsplanen implementeras och underhålls för att nå önskat resultat.
Exempel på det kan vara:
- Förbättrad utbildning och medvetenhet för anställda.
- Förbättrade incidenthanteringsplaner och andra processer.
- Förbättra arkitektur och IT-lösningar.
- Förbättra fysiska säkerhetskontroller.
Insyn från en Red Team-operator
Avslutningsvis, har vi fått möjligheten att intervjua en kollega från Knowit, Emil Sundstedt! Emil är del av Knowits penetrationstest-team och har erfarenhet av att ha arbetat med bland annat Red Teaming.
1. Vem är Red Team-övningar för och vem är det inte för?
Egentligen alla företag som anser sig ha något skyddsvärt. Red Teaming bygger mycket på att försöka göra ett scenario baserat intrång eller att testa säkerheten mot redan befintliga Advanced persistent threat (APT) grupper. Genom att sätta ett scenario som är relevant för organisationen kan alla organisationer dra nytta av ett Red-Team test.
2. Vilken roll har du haft under en Red Team-övning? Vad innebar det och vad var ditt ansvar?
Red-Team lead men också utförare. Som team lead innebär det främst att planera upp och synka allt mot kunden, sätta upp bra scenarier osv. Som utförare är det mer att man får färdiga scenarier som man ska försöka utnyttja.
3. Hur förbereder du dig inför en Red Team-övning?
Det varierar beroende på uppdrag, men mycket handlar om att läsa på och göra sin Open Source Intelligence (OSINT) ordentligt på organisationen. Jag försöker också se till att vara så förberedd på scenarierna som möjligt. Vet vi att vi behöver ta oss in i en byggnad är det alltid bra att kolla hur det ser ut på plats, försöka se om de har passerkort och kanske försöka kopiera hur de ser ut. Om vi ska ringa till någon kan det vara bra att ha förberett ljud som kan göra att den man talar med tycker lite synd om en, t.ex. ha barnskrik i bakgrunden eller liknande.
4. Vilka vanliga utmaningar har du stött på?
Ur ett tekniskt perspektiv brukar det största steget vara att ta sig in i byggnaden. Väl inne har vi oftast en tendens att tro att man har behörighet så länge man är inne. En annan utmaning tycker jag är nervositet. Det är extremt vanligt att man hamnar i situationer man inte varit i tidigare så att behålla lugnet och inte bli nervös och försäga sig är alltid svårt.
5. Vilka lärdomar har du dragit?
Man kan aldrig vara nog förberedd. Se till att ha klara scenarier och mål för uppdraget: väl dokumenterade “wins” som man strävar mot som är förankrade i organisationen. Se till att organisationen får en win också, se till att bli tagen så det visas att de gör något bra med.
6. Kan du ge ett exempel på en kreativ lösning du kom på under en övning?
Kanske inte så kreativ med rolig. Vi hittade en dörr som vi försökte ta oss igenom utan resultat. När vi väl hittade någon som öppnade dörren och vi smet ut visade det sig att dörren gick ut ur området vi skulle göra testet i. Så helt plötsligt stod vi utanför och behövde nu ett nytt sätt att ta oss in i området igen. Det visar lite att man aldrig riktigt vet vad som kommer hända under ett test.
7. Hur säkerställer du att resultaten från en Red Team-övning implementeras effektivt i organisationens säkerhetsstrategi?
Att ha en bra överlämning och en tydlig rapport är det absolut viktigaste. Sen är det alltid bra att ha en återkommande dialog om vad som gjorts och även hur vi kan hjälpa till att implementera lösningar.
8. Hur har tekniker och metoder förändrats under de senaste åren inom Red Teaming?
Generellt så förbättras man på allt men det som gett mest är just förberedelser och uppsättningen av scenarier. Ett bra scenario ger extremt mycket värde när man försöker utvärdera en organisation.
9. Vad är det roligaste och mest givande med Red Team-övningar?
Det är alltid nya situationer som uppkommer man måste lösa. Det är även väldigt kul att faktiskt få peta på de sociala delarna i ett “pentest” som annars är svårt att påvisa. Det är ändå den största faktorn till att företag eller organisationer råkar ut för attacker.
Tack Emil, för att du gav oss en inblick i hur det är att arbeta med Red Teaming!
Precis som i schack handlar säkerhetsarbete om att tänka flera drag framåt och att använda varje pjäs på rätt sätt. Ett Red Team fungerar som motståndaren på brädet, de pressar försvaret och hittar svagheterna.
Är du intresserad av hur ett penetrationstest eller en Red Team-övning kan hjälpa din organisation att bygga större motståndskraft mot digitala hot? Kontakta oss, så berättar vi mer!
