Статья Red/Blue Team – детальный обзор

Вступление​

Мир инфобеза постоянно расширяется, и пентест набирает все больше и больше популярности. Только на Codeby можно найти сотни статей о данной теме. Но вот редтиминг и блютиминг почему-то не так явно освещается, а особенно в СНГ сегменте. Из-за этих размышлений, я решил написать статью, которая расставит все точки над и, а также даст гибкое представление о данной области.

Что такое Red и Blue Team. В чем разница?​

Red и Blue Team- появилась задолго до пентеста, из-за того, что её истоки- военные. В определенный момент глав. командующие осознали, что для лучшей защиты нужно атаковать собственную сторону, чтобы не только найти слабые места, которые затем можно было бы защитить лучше, но и тренировать навыки атакующих. Эта идея была переделана в "Военные игры", где защитники или дружественные силы обозначались Синей командой (Blue Team) а силы атакующего – Красной (Red Team).


И, несмотря на свой "наступательный" характер, Red Team является отличным защитником. Они позволяют организациям лучше защищать себя от хакерских атак, ведь пытаются их с точностью симулировать.

"Атака - это секрет защиты; защита - это планирование нападения"​

Услуги Red Team используют в основном крупные компании, которые уже: во-первых сталкивались с подобными аудитами безопасности, и предоставляют услуги в сфере хранения данных, финансов и так далее (банки, провайдеры, IT компании). Данные аудиты проводятся более кропотливо и занимают больше времени чем пентест. Из-за такой усердной работы, специалист обязан знать больше чем статистический пентестер, и понимать принцип работы тестируемого объекта, ведь все чаще встречается такой «специалист инфобеза», который специалист только по скриптам и утилитам, то есть скрипт-киди.

Если Red Team имеет не постоянный характер, то Blue Team зачастую является частью SOC. Security Operation Center ( Оперативный Центр Безопасности) анализирует сетевой трафик (используя различные утилиты), реагирует на атаки, и пытается как-то их предотвратить и предугадать .

Но существует не только 2 команды. В некоторых ситуациях, требуется усилия обоих команд, и именно так появились Green, Yellow, Purple Team:

Обратить внимание хочу именно на Purple Team, ведь Orange и Green больше относится к софтдевелоперам.

Purple Team – объединение умений Red и Blue Team. Обе команды работают вместе, чтобы обеспечить полный аудит. Красная команда предоставляет подробные журналы всех выполненных операций, а синяя команда полностью документирует все корректирующие действия, которые были предприняты для решения проблем, обнаруженных в ходе тестирования. Purple Team стал обычным явлением в мире безопасности в течение последних нескольких лет. Purple Team – может быть консалтинговой группой, привлеченная для проведения аудита, так и сотрудниками компании напрямую, но они не концентрируются исключительно на нападении или защите.

Чем Red Team’инг отличаются от Pentest’a​

Пентест в основном, проверяет сети, веб-сервисы и системы на уязвимости. Также, пентест отдельно проводит аудит беспроводных точек доступа.

Red Team, в свою очередь, пытается проникнуть внутрь/получить информацию любим путем. Если к примеру, в пентесте используются сканеры и умение «копаются руками», то в Red Team’инге используют социальную инженерию, получение несанкционированного физического доступа нахождение уязвимости нулевого дня и т.д.

То есть, Red Team, не только проводит полный аудит веб-приложения/сервера, но и специализируется на «локпикинге» (вскрытие замков), взлом камер наблюдения, и так далее.

Примеры использования Red и BlueTeam’инга​

Вот примерно чем занимается Red Team:

• Сотрудник Red Team, устанавливает анализатор ESPKey ( документация
  Ссылка скрыта от гостей
  ).

ESPKey

Место установки


Логический анализатор снифит входные данные, которые нужны для дальнейшего создания поддельного бейджика, используя Proxmark 3 RDV4 к примеру.

• Прикинутся техническим консультантом по обслуживанию лифтов – наилучший вариант, для проникновения в здание. Такие специалисты не вызовут подозрений, зачастую они не обязаны иметь определенную форму, и так же их не заподозрят, если они будут ковыряться, что-то менять и т.д. Самое примечательное, они с легкостью могут получить ключ от желаемой двери, аргументируя это с, к примеру, тестированием новых компонентов в лифте, проверки напряжения на разных участках и так далее.

Так же интересное выступления об эксплуатировании лифтов:

• Создание ложного мнения – любимый метод хакеров. Поэтому, специалисты Red Team, так же пытаются втереться в доверие к персоналу. К примеру взять интересные инцедент в Алабаме:
  Ссылка скрыта от гостей
  .Если вкратце, то воришка приобрел мерч компании по производству напитков, пришел в магазин с огромной тележкой, и вышел с 20+ упаковками пива. Может это и выглядит забавно, но хакер может использовать точно такую же стратегию. Прийти в костюме, представиться консультантам по безопасности, даже предъявить документы, и с легкостью выйти с нужной информации на флешке. В таком случаи, хакеру нужно лишь сделать бейджик компании, которая предоставляет услуги защиты данному офису:

• Нахождение 0-day уязвимостей. К примеру, специалист решили проникнуть в систему через роутер. Что предпримет Red Team’ер? Конечно же будет копаться в новых прошивках, подсматривая тем временем уже запатченые уязвимости. На такое пентестер вряд ли пойдет, а вот хакер проделать сможет. Но такое случается редко, потому что не у каждого хватит терпимости и умений для нахождения уязвимостей такого рода.

• Ну и как же без локпикинга. Девиант Оллам, сотрудник Red Team Alliance, известный как лучший в этом деле, рассказывает тут
  о проникновении, используя не только замок, но и ручку двери, щели и все что только возможно:

С Blue Team’ом все попроще. Их главной функцией является мониторинг трафика различными путями. Но также, они предотвращают атаки описанные выше. Поэтому проводят тренинги для сотрудников компании, устанавливают механизмы для предотвращения атак:

Dynamic door bottom

Этот Динамический дверной рычаг при закрытии двери, блокирует щель снизу, и не дает доступа взломщику к дверной ручки.

Blocking Shroud

Этот вариант более простой, и не дает доступа хакеру к ручке с верхней щели двери.


Purple Team - работает уже не наугад. Как я уже описывал выше, Purple Team – группа из специалистов Red и Blue Team. Работа всегда сплоченная, и сотрудники Blue Team могут предупреждать / давать идеи о возможной защите. Как вы уже понимаете Purple Team – идеальная команда.

Заключение​

Red, Blue Teams играют важную роль в обеспечении безопасности и сохранности систем. Без постоянного тестирования с использованием новейших уязвимостей, компания может подвергнуть большому риску не только свою безопасность, а и конфиденциальные данные своих клиентов.

Также хочу добавить пару книг, которые помогут вам углубиться в тонкости технической части Red/Blue Team’a:

Red.

• infosecn1nja/Red-Teaming-Toolkit
• Ссылка скрыта от гостей

Blue.

• chrisjd20/Blue-Team-Cheat-Sheets
• https://t.me/freedom_fox/3807

Спасибо за внимание!

 

[Salivan]

Прям сценарий для фильма
Только есть реалии как работают пентестеры в современных условаях, а есть красивые статьи в голивуд стиле, в которых все так сказочно и красиво, так хочется в это поверить, так хочется

ЗЫ Сори, не сдержался, ну реально смешно.

 

[Geka]

Да,спец по инфобезопасности-это очень комплексная специальность.К сожалению,руки у меня не откуда надо,так что замки я вскрывать не умею(.Но суть статьи в том,что мало быть просто программистом/хакером.Действительно нужно знать и уметь многое.Интересно,специалисту по иб может пригодится навык смены внешности(грим,например).