Redteaming – ultimátní prověření vaší IT bezpečnosti

Jak se vaše organizace brání proti kybernetickým útokům? Redteaming nabízí unikátní pohled na kyberbezpečnost vaší firmy tím, že ji vystavuje realistickým, vícevektorovým útokům. Ale pozor, netýká se to jen technologie. Tento komplexní přístup zkoumá i lidský faktor a procesy, které jsou často přehlížené, ale mohou být rozhodující v krizových situacích. Přečtěte si, proč by redteaming měl být klíčovou součástí vaší strategie kybernetické odolnosti.
Kybernetická bezpečnost
Redteaming – ultimátní prověření vaší IT bezpečnosti

Co je to redteaming? 

Redteaming je simulovaný útok na organizaci, který je provedený specializovaným týmem expertů, známým jako „Red Team“. Tento tým se skládá z profesionálních etických hackerů, odborníků na sociální inženýrství apod. Cílem je otestovat a zjistit, jak dobře je organizace chráněná proti různým formám kybernetických útoků. V rámci tohoto procesu Red Team používá různé metody, včetně: 

  • shromažďování informací (OSINT – Open Source Intelligence neboli zpravodajství z otevřených zdrojů),  
  • penetračních testů  
  • a sociálního inženýrství, jako jsou sofistikované phishingové útoky, nebo dokonce fyzická infiltrace do budov.  

Tento útok je navržený tak, aby byl co nejméně detekovatelný, často bez vědomí IT oddělení cílové organizace, s výjimkou osoby, která útok zadala. 

Tip: Připomeňte si, co je to phishing jak se jím nenechat přelstít

Red Team obvykle nemá předem žádné informace o cílové organizaci, proto hovoříme o tzv. „blackbox testování“. Tým tedy nezná vnitřní datovou a programovou strukturu a jeho pohled je z velké části uživatelský. Organizace obvykle schvaluje seznam potenciálních cílů útoku a seznam metod, které Red Team nemůže použít, aby se zabránilo nelegálním aktivitám. 

Jedinou věcí, kterou zákazník schvaluje, je seznam potenciálních cílů útoku, které Red Team může využít. To je důležité z toho důvodu, aby se zabránilo neoprávněným útokům na systémy, které organizace nevlastní. Kromě toho zákazník stanovuje seznam metod a taktik, které Red Team nesmí použít, jako jsou například DoS útoky nebo vydírání v rámci sociálního inženýrství. 

Co je to DoS útok?  

Jedná se o formu kybernetického útoku, kde je cílem způsobit nefunkčnost nebo omezení online služby, sítě či webové stránky. Toho se dosáhne zasláním obrovského množství fiktivních nebo nechtěných dotazů na cílový systém, což vede k jeho přetížení a následnému snížení efektivity, omezení dostupnosti, nebo dokonce k výpadku. 

Tip: Víte o tom, že rozdíl mezi DoS a DDoS útokem je daný způsobem provedení a počtem útočících zařízení? Přečtěte si náš článek DDoS útoků je 5× více než před 2 lety – jak se můžete bránit? 

Jaké jsou cíle redteamingu? 

Celkově je cílem Red Teamingu poskytnout realistickou simulaci útoku, která pomáhá organizaci identifikovat slabiny v jejích bezpečnostních opatřeních. Jde o otestování společnosti na odolnost vůči komplexnímu hybridnímu kybernetickému útoku. To zahrnuje několik klíčových aspektů: 

  • Různé metody útoku: Na rozdíl od běžných penetračních testů, které se často zaměřují na konkrétní aspekty zabezpečení, využívá redteaming více metod útoku. To může zahrnovat technické průniky, sociální inženýrství a další. 
  • Dosažení konkrétního cíle: Redteaming se zaměřuje na dosažení specifického cíle, často označovaného jako flag. To může být například získání přístupu k lokálnímu doménovému administrátorovi nebo kompromitace routeru. 
  • Realistické scénáře: Redteaming se snaží co nejvíce napodobit reálné scénáře, aby bylo možné efektivně otestovat, jak by společnost reagovala na skutečný útok. 

Tip: Přečtěte si náš článek Otestujte bezpečnost firmy pomocí penetračních testů metodou sociálního inženýrství

Celkově je cílem redteamingu poskytnout holistický pohled na zabezpečení společnosti tím, že ji vystaví komplexnímu, realistickému a vícevektorovému útoku. 

Red Team vs. Blue Team 

Red Team a Blue Team jsou dvě strany kybernetické „šachové partie“, která se odehrává v rámci organizací s cílem zlepšit jejich bezpečnostní opatření. Red Team už jsme si představili, ale jaká je role Blue Teamu? Jeho úkolem je působit jako obranná linie společnosti. Tento tým odborníků je zodpovědný za prevenci, detekci a řešení kybernetických incidentů. Věnují se tomu, aby útoky, které Red Team simuluje, byly co nejméně úspěšné. Pokud se to však nepovede, snaží se je co nejrychleji odhalit a zastavit. Větší společnosti často mají specializovaná oddělení, jako jsou Security Operations Centers (SOC) nebo Cyber Defense Centra (CDC).  

Tip: Víte, že v TOTAL SERVICE mimo jiné poskytujeme i bezpečnostní dohled (SIEM) a službu SOC?

Jak jedna chyba může změnit pravidla hry 

Role těchto týmů jsou asymetrické. V počáteční fázi, kdy se útočící Red Team snaží proniknout do chráněné sítě, má obvykle výhodu. Na obranném Blue Teamu potom je, aby chránil všechny možné cesty, kterými by mohl útočník vstoupit. Stačí jedna slabina, jedna chyba nebo zneužití důvěry jednoho zaměstnance, a Red Team má vstup do sítě volný. Jakmile Red Team vstoupí do sítě, role se mění. Blue Team má nyní výhodu domácího prostředí, protože zná svou síť zevnitř. Jakmile Red Team udělá jakoukoli chybu, například aktivuje past nebo o sobě dá příliš okatě znát, Blue Team je schopný tomuto působení rychle zamezit. 

Co když dojde k dosažení „flag“ cíle? 

Jak už jsme zmínili, Red Teamu jde o získání určitého „vlajkového“ (tzv. flag) cíle, který je definovaný na začátku cvičení. Pokud dojde k úspěšnému dosažení tohoto cíle, je jasné, že existující bezpečnostní opatření nejsou dostatečná. Vše se poté musí podrobně zanalyzovat a v závěrečné zprávě dojde k uvedení konkrétních návrhů na zlepšení kyberbezpečnosti v různých oblastech. 

Průběh redteamingu 

1) Fáze sběru dat 

V této úvodní etapě redteamingu se tým snaží shromáždit co nejvíce informací z veřejně přístupných zdrojů. Tento proces je pasivní a zaměřuje se na několik klíčových oblastí: 

  • Rozsah IP adres: Identifikuje se, které IP adresy budou později podrobeny aktivnímu testování.  
  • Informace o zaměstnancích: Zjišťují se jména, e-maily, telefonní čísla a další osobní údaje zaměstnanců. Tyto informace se poté využijí v etapách, kde je potřeba sociálního inženýrství a různých forem útoků na identitu. 
  • Partneři klienta: Identifikuje se, kdo jsou obchodní partneři klienta, což může být užitečné pro fázi, kdy se využívá sociální inženýrství a předstírání identity. 
  • Fyzické prostory: Získávají se informace o budovách a kancelářích klienta včetně jejich zabezpečení, což je důležité pro případné fyzické průniky 

Tato fáze je základem pro všechny následující etapy redteamingu, kdy se tyto informace využijí pro další testování a útoky. 

2) Cílený útok na síťovou infrastrukturu a lidi 

V této části probíhají útoky na technickou infrastrukturu a zaměstnance organizace – a to často současně. Členové Red Teamu spolu průběžně komunikují a sdílejí mezi sebou získané informace, které pak využívají k provedení útoků. 

Testování zranitelnosti externí síťové infrastruktury (Blackbox) 

Po schválení seznamu cílů útoku ze strany zadavatele (White Team) se provádí testování zranitelnosti. Tento test se provádí v režimu maximálního utajení. Hlavním cílem je získat přístup do vnitřní sítě organizace, například přes VPN, kompromitované servery nebo cílené útoky na zaměstnance. 

Manipulace s lidmi (sociální Inženýrství) 

V této části se využívají různé taktiky manipulace s lidmi, jako je například spear phishing (tj. cílený phishingový útok, kdy si útočník dopředu získá veškeré dostupné informace o cílové skupině či jednotlivci a vytvoří phishingovou zprávu přesně na míru) nebo fyzická infiltrace, s úkolem dosáhnout konkrétního cíle. K tomu se využívají všechny dostupné metody, pokud nejsou klientem výslovně zakázané. To může zahrnovat cílené phishingové útoky s upraveným malwarem, který má za cíl kompromitovat e-mailové klienty nebo internetové prohlížeče a získat tak přístup do vnitřní sítě. Často se k tomu využívají podvržené webové stránky, falešné certifikáty a další metody. 

3) Prohlubování infliltrace 

Pokud se Red Teamu podaří úspěšně napadnout síťovou infrastrukturu nebo zaměstnance a získat přístup do vnitřních systémů, nebo dokonce fyzicky proniknout do budovy, následuje fáze zvyšování úrovně oprávnění a dalšího pronikání do systémů. 

Aktivity v rámci vnitřní sítě 

Po získání VPN nebo jiného vnitřního přístupu – například z předchozích testů zranitelnosti nebo taktik sociálního inženýrství – rozšiřuje Red Team své útoky v rámci vnitřní sítě. To může zahrnovat útoky na komunikační vrstvy L2/L3, jako je například ARP spoofing (jedná se o zneužití Address Resolution Protocolu, ARP, umožňující útočníkovi vydávat se v místní síti za jiný počítač podvržením odpovědi na ARP dotaz), s cílem ovládnout komunikaci mezi interními stanicemi a servery. 

Pokud není cílový úkol specifikovaný jinak, je hlavním cílem získat nejvyšší úroveň oprávnění, například doménového administrátora nebo root uživatele klíčových serverů, nebo dokonce získat plnou kontrolu nad hlavním síťovým routerem. Red team může také implementovat skryté přístupy (tzv. „backdoors“), pokud by došlo k tomu, že by byla zranitelnost, které využili, následně opravená Blue Teamem. 

Další fyzické pronikání 

Pokud se Red Teamu podaří fyzicky vstoupit do budovy, pokračuje v další infiltraci. Cílem je obvykle získat fyzický přístup k nejcitlivějším místům, jako je serverová místnost, archiv důležitých dokumentů nebo například kancelář CEO. K tomu využívají speciální vybavení, jako jsou miniaturní kamery, přenosné wifi hotspoty nebo zařízení pro klonování čipových karet. Členové Red Teamu také mají k dispozici tzv. „Get out of jail letter“, což je oficiální dokument, kterým se mohou legitimovat v případě, že by byli odhalení, aby se předešlo možnému násilnému zásahu. 

Výsledná zpráva 

Kromě celkového souhrnu provedené operace pro management organizace, která si službu objednala, by zpráva měla také obsahovat výčet všech tras, které Red Team zkoumal, včetně těch, které nevedly k úspěchu. Zpráva podrobně popisuje, jakými kroky Red Team dosáhl svých cílů a s jakými překážkami se během tohoto procesu setkal. Součástí zprávy je i seznam využitých slabých míst v systému spolu s návrhy na jejich kompletní nebo částečnou nápravu. 

Příklad z nedávné doby: T-mobile a dva kyberútoky v jednom roce 

Přestože společnosti do bezpečnosti investují pořád vyšší a vyšší sumy, stále se stávají cíli sofistikovaných útoků. Z nedávné doby si můžeme připomenout například kauzu okolo společnosti T-mobile. Tento telekomunikační gigant se v květnu 2023 stal obětí druhého úniku dat v tomto roce. Útočníci získali PINy, celá jména a telefonní čísla více než 800 zákazníků. Tento incident následoval po jiném vážném úniku v lednu 2023, kdy společnost zjistila, že kyberzločinci získali přístup k jejich systémům již v listopadu předchozího roku a odcizili osobní informace – včetně jmen, e-mailů a dat narození – od více než 37 milionů zákazníků.

Po identifikaci úniku dat se jim podařilo zdroj vystopovat a izolovat během jednoho dne. T-Mobile uvedl, že náklady spojené s tímto únikem dat jsou značné a přidají se k 350 milionům dolarů, které společnost již souhlasila zaplatit zákazníkům v souvislosti s únikem dat v srpnu 2021. Tímto nejenže společnost přišla o stovky milionů dolarů kvůli bezpečnostním nedostatkům, ale také ztratila důvěru zákazníků po opakovaných porušeních ochrany osobních údajů. 

Jaký je rozdíl mezi penetračními testy a redteamingem? 

Cílem obou metod je testovat bezpečnostní postavení organizace a její kompletní sadu bezpečnostních opatření. Penetrační testování je však více metodické a zaměřuje se na nalezení slabých míst v bezpečnostní architektuře organizace v co nejkratším čase s podporou IT týmu a vedení klienta. Jeho hlavním cílem je získat maximální pokrytí klientovy organizace a identifikovat využitelné nedostatky v bezpečnosti. 

Na druhou stranu hodnocení Red Teamu je technicky složitější, trvá déle a je více zaměřené na testování schopnosti organizace reagovat na bezpečnostní incidenty. Je také cílově orientováno, což znamená, že koncovým záměrem je získat přístup k určité složce nebo sadě dat, které určil klient. Pro úspěch redteamingu je kritické, aby o něm věděli pouze klíčové zainteresované subjekty v organizaci klienta, zatímco zbytek IT a bezpečnostních týmů by měl věřit, že Red Team je skutečným protivníkem. 

Redteaming: Víc než jen testování zabezpečení, investice do odolnosti firmy 

Redteaming je nejen nástrojem pro identifikaci slabých míst, ale také způsobem, jakým organizace mohou simulovat reálné krizové scénáře. Tímto způsobem se nejen testuje technická odolnost, ale také připravuje personál na efektivní a rychlou reakci v případě skutečného incidentu. Výsledkem je nejen bezpečnější infrastruktura, ale i zkušenější a ostražitější tým. Redteaming tak přináší hodnotu, která je širší než pouhá technická analýza, a měl by být vnímán jako investice do celkové odolnosti organizace. 

Komplexní kybernetická ochrana s TOTAL SERVICE 

TOTAL SERVICE nabízí komplexní řešení v oblasti kybernetické bezpečnosti, které je navržené tak, aby chránilo vaši organizaci proti široké škále kybernetických hrozeb. Naše portfolio služeb zahrnuje penetrační testy, díky kterým můžeme identifikovat a řešit potenciální slabiny ve vašich systémech. Naše cíle jsou jasné: poskytnout vám nástroje, znalosti a zdroje potřebné k udržení bezpečnosti vašich dat a operací. Naše služby například zahrnují: 

  • Test zranitelností: Identifikujeme všechny možné nedostatky ve vašich systémech, které by mohl potenciální útočník zneužít. 
  • Penetrační testy: Pro bezpečnostně vyspělejší organizace, které si chtějí ověřit celkovou kybernetickou ochranu svých systémů. 
  • Analýza provozu: Pasivní monitoring vašeho provozu za účelem identifikace nežádoucího chování a potenciálních útoků. 

Kontaktujte nás ještě dnes, rádi vám s IT bezpečností pomůžeme. 

 

  

 

 

Řešení pro veřejný i komerční sektor

-
S námi už vám nikdo neohrozí data
-
S námi máte vždy IT náklady pod kontrolou
-
Dostupnost 24/7 a 100% zastupitelnost
-
Vstupní audit zdarma

Máte zájem o vyzkoušení nebo dotaz?

Máte-li nějaké dotazy, nechte nám na sebe kontakt. V pracovní době se vám nejpozději do 24 hodin ozveme. Pokud nemáte kontaktní formuláře rádi, kontaktujte nás na telefonním čísle: (+420) 270 002 811 nebo e-mailu: poptavky@totalservice.cz.
- Vaše data jsou chráněna.
Zaujal vás článek?
Sdílejte ho na sociálních sítích
<-- Zpět na blog
Digitalizace obchodu: Jak maximalizovat prodej a dosáhnout konkurenční výhody
<--
Předchozí článek
Digitalizace obchodu: Jak maximalizovat prodej a dosáhnout konkurenční výhody
Sociální inženýrství a phishing – jak se můžete bránit?
-->
Další článek
Sociální inženýrství a phishing – jak se můžete bránit?

Buďte s námi ve spojení

-
TOTAL SERVICE a.s.

Metropolitan Building
U Uranie 954/18
170 00 Praha 7
-

Obchodní divize

Technická divize
-

Help Desk:

helpdesk.totalservice.cz
-

Vzdálená podpora:

get.teamviewer.com/
totalservice
-

Recepce:
(+420) 270 002 811

-

Facebook
TOTAL SERVICE

Linkedin
TOTAL SERVICE

Užitečné stránky
Služby
O nás
Kontakt