Red teaming jako prevence kybernetických hrozeb

Red teaming je komplexní test kybernetického zabezpečení firmy, který simuluje reálný hackerský útok.

Raketový růst AI nástrojů a technologií hraje hackerům do kapsy a jejich kreativní způsoby útoků přidělávají vrásky nejedné firmě. Malé i velké podniky budou postupně nuceny posilovat zabezpečení svých dat a citlivých informací a hledat optimální způsob ochrany před nájezdy kyberlačných hackerů. Jedním z efektivních způsobů řešení je red teaming, test digitálního i fyzického zabezpečení firem před krádeží dat.

Co je red teaming

Red teaming není jen obyčejný test kybernetického zabezpečení, jedná se o naprosto autentický kybernetický útok, který se snaží napodobit hrozby, kterým může firma čelit.

Skupina etických hackerů (red team) útočí na zabezpečení firmy pomocí předem promyšlených taktik a technik. Strategicky a nenápadně. Cílem simulovaných útoků je prolomení jak technických, tak lidských i lokálních bariér. Smyslem red teamingu je posouzení stavu digitálního zabezpečení a celkové odolnosti organizace.

Red teaming není jen o „hacknutí systému“. Tato forma pokročilého penetračního testování, zahrnuje komplexní simulaci víceúrovňových útoků, od technologických slabin po sociální inženýrství. Red Team studuje mentalitu a techniky skutečných hackerů, simulace útoků tak přináší mnohem hlubší vhled do potenciálních slabin než penetrační testy. Myslet jako hacker je gró v boji proti aktuálním hrozbám.

Cílem red teamingu je nejen najít bezpečnostní mezery a drobné trhliny v infrastruktuře, ale také otestovat reakce interních bezpečnostních pracovníků (tzv. blue team) a zjistit jejich schopnost identifikace a reakce na skutečné hrozby.

Jak probíhá red teaming
Red team se chová jako skuteční hackeři, tedy pokouší se napadnout systémy, infrastrukturu a personál firmy pomocí všech dostupných prostředků (samozřejmě mimo fyzické násilí). Může využít jak technické, tak netechnické techniky.

Red teaming má svůj framework, stejně jako penetrační testy, každý framework má jiné fáze, ale v podstatě se všechny postupy podobají. Red team využívá například Cyber kill chain metodiku, Unfield kill chain či Mitre attack.

1. Proces začíná u průzkumu – reconnaissance
Red Team shromažďuje co nejvíce informací o cílové organizaci, mapuje síťovou infrastrukturu, aplikace, identifikuje zaměstnance (např. na sociálních sítích), obchodní partnery a monitoruje veřejné zdroje (OSINT). Sbírá emailové i IP adresy, čísla i jména zaměstnanců.

OSINT neboli open source inteligence shromažďuje informace jak z veřejně dostupných zdrojů jako Google, vládní databáze, sociální sítě apod., tak z darknetu. Využívají se k tomu nástroje jako theHarvester, Maltego nebo Shodan.

Po sběru dostatečného množství dat se red team strategicky připravuje na samotný útok.

2. Fáze prolomení – execution
Samotná fáze útoku. Etičtí hackeři využijí objevených zranitelností prostřednictvím běžných způsobů útoku – blackbox penetračním testem insfrastruktury, technikami sociálního inženýrství (phishing, vishing, smishing či baiting), šířením malware a dalšími nástroji. Mohou to být útoky na webové aplikace, útoky na síťové protokoly nebo fyzické útoky, jako je získání přístupu do datových center.

Red team využívá také databáze uniklých hesel, zkouší slovníková hesla nebo se je snaží prolomit hrubou silou (tzv. Brute force).

K průniku do sítě se využívají známé zranitelnosti v software nebo operačních systémech. Dalším vektorem je vkládání škodlivého SQL kódu do vstupních polí webových aplikací, což vede ke kompromitaci databáze. Tyto útoky zahrnují využití neaktualizovaných systémů, špatně nakonfigurovaných zařízení nebo chyby ve zdrojových kódech aplikací.

Kromě kybernetických útoků se red teaming může zaměřit i na fyzický přístup k serverům, proniknutí do budovy nebo jiných zařízení. Cílem je získání přímého přístupu k firemním počítačům, datovému centru nebo jiným firemním zařízením, ať už přímým vstupem do prostor nebo zanecháním odposlechových zařízení v prostorách firmy.

Ke vstupu do fyzických prostor společnosti se používají nejčastěji záminky jako oprava klimatizace, běžné kontroly stavu budovy nebo infiltrace dodavatelských řetězců. Neméně časté je padělání identifikačních karet, například přes nástroj Flipper Zero.

3. Zvýšení oprávnění – lateral movement
Jakmile získá red team přístup do jedné části systému, snaží se zvýšit oprávnění a dostat se hlouběji do infrastruktury (k doménovému admin účtu), aby získal kontrolu nad celým firemním systémem. Tento cíl red teamingu, tzv. flag, musí být předem definován při objednávání služeb red teamu.

Flagem může být například získání dat, red team pak simuluje, jak by vypadalo získání důvěrných dat ze sítě a testuje, jak organizace zareaguje tento útok.

Po úspěšném provedení útoku a dosáhnutí cíle dostane klient podrobnou zprávu, ve které jsou popsány všechny způsoby a cesty, které red team využil k proniknutí a otestování zabezpečení. Na jaké překážky narážel a také seznam odhalených zranitelností s návrhy na jejich opravu.

Rozdíl mezi red teamingem a penetračními testy
Penetrační testy a red teaming mají mnoho společných znaků, oba ověřují stav kybernetické bezpečnosti subjektu. Zatímco pentesty jsou v praxi zaměřeny primárně na identifikaci a exploitaci co největšího množství zranitelností v konkrétních systémech nebo aplikacích, red teaming má širší záběr. Etičtí hackeři nedostávají konkrétní scope (testovaný rozsah) testování, tak jako v penetračních testech, ale sami hledají to nejslabší místo v celé organizaci.

Red team kombinuje nástroje sociálního inženýrství, fyzické infiltrace a technických exploitů, aby dosáhl určeného cíle – zpravidla získání neoprávněného přístupu k citlivým informacím subjektu.

red teaming vs. penetrační testy
Red teaming odpovídá na řadu otázek. ⚠️

Odolali byste kybernetickému útoku?

Máte zranitelnosti v systémech, které by mohl hacker využít?

Je schopen váš IT tým reagovat na útok a zamezit dalšímu pohybu útočníků v síti?

Se stále rostoucím počtem a složitostí kybernetických útoků je důležité, aby firmy ověřovali svoje dosavadní investice do tradičních bezpečnostních technologií pomocí pokročilých testovacích scénářů. I drahé firewally mohou být špatně nakonfigurované, nebo mohou mít své zranitelnosti. V praxi jsme se setkali s klientem, který investoval desítky miliónů korun ročně do kybernetické bezpečnosti, a přesto jsme se díky chybě administrátora dostali do jeho systému během pouhé hodiny. Byla to přesná ukázka nekomplexního pohledu na kybernetickou bezpečnost. Naštěstí byla tato chyba odhalena pomocí Red Teamingu a nikoliv skutečným útočníkem.

Chcete vědět, zda by vaše firma odolala kybernetickému útoku nebo odhalit zranitelnosti ve vašem systému? 🛡️

Pošlete nám nezávaznou poptávku na red teaming a rádi s vámi probereme vaše požadavky 👉🏻