Статья Red/Blue Team – детальный обзор

Вступление

Мир инфобеза постоянно расширяется, и пентест набирает все больше и больше популярности. Только на Codeby можно найти сотни статей о данной теме. Но вот редтиминг и блютиминг почему-то не так явно освещается, а особенно в СНГ сегменте. Из-за этих размышлений, я решил написать статью, которая расставит все точки над и, а также даст гибкое представление о данной области.


Что такое Red и Blue Team. В чем разница?
Red и Blue Team- появилась задолго до пентеста, из-за того, что её истоки- военные. В определенный момент глав. командующие осознали, что для лучшей защиты нужно атаковать собственную сторону, чтобы не только найти слабые места, которые затем можно было бы защитить лучше, но и тренировать навыки атакующих. Эта идея была переделана в "Военные игры", где защитники или дружественные силы обозначались Синей командой (Blue Team) а силы атакующего – Красной (Red Team).


И, несмотря на свой "наступательный" характер, Red Team является отличным защитником. Они позволяют организациям лучше защищать себя от хакерских атак, ведь пытаются их с точностью симулировать.

"Атака - это секрет защиты; защита - это планирование нападения"​


Услуги Red Team используют в основном крупные компании, которые уже: во-первых сталкивались с подобными аудитами безопасности, и предоставляют услуги в сфере хранения данных, финансов и так далее (банки, провайдеры, IT компании). Данные аудиты проводятся более кропотливо и занимают больше времени чем пентест. Из-за такой усердной работы, специалист обязан знать больше чем статистический пентестер, и понимать принцип работы тестируемого объекта, ведь все чаще встречается такой «специалист инфобеза», который специалист только по скриптам и утилитам, то есть скрипт-киди.

Если Red Team имеет не постоянный характер, то Blue Team зачастую является частью SOC. Security Operation Center ( Оперативный Центр Безопасности) анализирует сетевой трафик (используя различные утилиты), реагирует на атаки, и пытается как-то их предотвратить и предугадать .

Но существует не только 2 команды. В некоторых ситуациях, требуется усилия обоих команд, и именно так появились Green, Yellow, Purple Team:

1.png


Обратить внимание хочу именно на Purple Team, ведь Orange и Green больше относится к софтдевелоперам.

Purple Team – объединение умений Red и Blue Team. Обе команды работают вместе, чтобы обеспечить полный аудит. Красная команда предоставляет подробные журналы всех выполненных операций, а синяя команда полностью документирует все корректирующие действия, которые были предприняты для решения проблем, обнаруженных в ходе тестирования. Purple Team стал обычным явлением в мире безопасности в течение последних нескольких лет. Purple Team – может быть консалтинговой группой, привлеченная для проведения аудита, так и сотрудниками компании напрямую, но они не концентрируются исключительно на нападении или защите.



Чем Red Team’инг отличаются от Pentest’a

1573067400030.png


Пентест в основном, проверяет сети, веб-сервисы и системы на уязвимости. Также, пентест отдельно проводит аудит беспроводных точек доступа.

Red Team, в свою очередь, пытается проникнуть внутрь/получить информацию любим путем. Если к примеру, в пентесте используются сканеры и умение «копаются руками», то в Red Team’инге используют социальную инженерию, получение несанкционированного физического доступа нахождение уязвимости нулевого дня и т.д.

То есть, Red Team, не только проводит полный аудит веб-приложения/сервера, но и специализируется на «локпикинге» (вскрытие замков), взлом камер наблюдения, и так далее.



Примеры использования Red и BlueTeam’инга

Вот примерно чем занимается Red Team:
  • Сотрудник Red Team, устанавливает анализатор ESPKey ( документация
    Ссылка скрыта от гостей
    ).

adapter.png

ESPKey

Безымянный.png

Место установки


Логический анализатор снифит входные данные, которые нужны для дальнейшего создания поддельного бейджика, используя Proxmark 3 RDV4 к примеру.

rdv4.png



  • Прикинутся техническим консультантом по обслуживанию лифтов – наилучший вариант, для проникновения в здание. Такие специалисты не вызовут подозрений, зачастую они не обязаны иметь определенную форму, и так же их не заподозрят, если они будут ковыряться, что-то менять и т.д. Самое примечательное, они с легкостью могут получить ключ от желаемой двери, аргументируя это с, к примеру, тестированием новых компонентов в лифте, проверки напряжения на разных участках и так далее.
1573067037865.png


Так же интересное выступления об эксплуатировании лифтов:




  • Создание ложного мнения – любимый метод хакеров. Поэтому, специалисты Red Team, так же пытаются втереться в доверие к персоналу. К примеру взять интересные инцедент в Алабаме:
    Ссылка скрыта от гостей
    .Если вкратце, то воришка приобрел мерч компании по производству напитков, пришел в магазин с огромной тележкой, и вышел с 20+ упаковками пива. Может это и выглядит забавно, но хакер может использовать точно такую же стратегию. Прийти в костюме, представиться консультантам по безопасности, даже предъявить документы, и с легкостью выйти с нужной информации на флешке. В таком случаи, хакеру нужно лишь сделать бейджик компании, которая предоставляет услуги защиты данному офису:
fake_bage.png



  • Нахождение 0-day уязвимостей. К примеру, специалист решили проникнуть в систему через роутер. Что предпримет Red Team’ер? Конечно же будет копаться в новых прошивках, подсматривая тем временем уже запатченые уязвимости. На такое пентестер вряд ли пойдет, а вот хакер проделать сможет. Но такое случается редко, потому что не у каждого хватит терпимости и умений для нахождения уязвимостей такого рода.
1573067309811.png


  • Ну и как же без локпикинга. Девиант Оллам, сотрудник Red Team Alliance, известный как лучший в этом деле, рассказывает тут
    о проникновении, используя не только замок, но и ручку двери, щели и все что только возможно:


С Blue Team’ом все попроще. Их главной функцией является мониторинг трафика различными путями. Но также, они предотвращают атаки описанные выше. Поэтому проводят тренинги для сотрудников компании, устанавливают механизмы для предотвращения атак:

door_bottom.png

Dynamic door bottom

Этот Динамический дверной рычаг при закрытии двери, блокирует щель снизу, и не дает доступа взломщику к дверной ручки.


blocking_shroud.png

Blocking Shroud

Этот вариант более простой, и не дает доступа хакеру к ручке с верхней щели двери.


Purple Team - работает уже не наугад. Как я уже описывал выше, Purple Team – группа из специалистов Red и Blue Team. Работа всегда сплоченная, и сотрудники Blue Team могут предупреждать / давать идеи о возможной защите. Как вы уже понимаете Purple Team – идеальная команда.

Заключение

Red, Blue Teams играют важную роль в обеспечении безопасности и сохранности систем. Без постоянного тестирования с использованием новейших уязвимостей, компания может подвергнуть большому риску не только свою безопасность, а и конфиденциальные данные своих клиентов.

Также хочу добавить пару книг, которые помогут вам углубиться в тонкости технической части Red/Blue Team’a:

Red.
Blue.


Спасибо за внимание!
 
  • Нравится
Реакции: DmSmith, TubalCain, araslan12 и ещё 19
Нажмите, чтобы раскрыть...
Прям сценарий для фильма:)
Только есть реалии как работают пентестеры в современных условаях, а есть красивые статьи в голивуд стиле, в которых все так сказочно и красиво, так хочется в это поверить, так хочется :)

ЗЫ Сори, не сдержался, ну реально смешно.
 
Да,спец по инфобезопасности-это очень комплексная специальность.К сожалению,руки у меня не откуда надо,так что замки я вскрывать не умею(.Но суть статьи в том,что мало быть просто программистом/хакером.Действительно нужно знать и уметь многое.Интересно,специалисту по иб может пригодится навык смены внешности(грим,например).
 
  • Нравится
Реакции: g00db0y
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ