Uwaga na czerwonych-czyli Red Team w akcji

 Bez obaw nie będzie o polityce, tym razem skupimy się na tym czym jest Red Team w organizacji.

W świecie bezpieczeństwa kolorem czerwonym określa się tych złych, tych których musimy się obawiać, z którymi musimy walczyć, czy też których działania musimy blokować.

Red Team w organizacji odgrywa rolę naszych wrogów. Tych którzy próbują wykradać nasze informacje, czy też paraliżować jej pracę. Ich praca mimo, że mało znana i często powodująca napięcia wewnątrz organizacji jest jednak bardzo potrzebna.

W obecnych czasach bardzo często Red Team kojarzy się z działaniami cyber, a pomijane są inne aspekty jego działaności.

Dlatego w tym wpisie skupimy się na tych "innych" działaniach zespołu Red Team.

Na początku podzielę się własnymi spostrzeżeniami. W branży jestem ponad 20 lat, pracowałem dla wielu najwiekszych korporacji świata, jednak na palcach jednej ręki mogę policzyć, te które mają profesjonalny program Red Team.

Jak wyglada taki kompleksowy program Red Team?

Są dwa modele budowy tego programu:

  • wewnętrzny 
  • zewnętrzny
Model wewnętrzny charakteryzuje się tym, że cały zespół Red Team budowany jest w oparciu o własne zasoby organizacji.
Plusem tego rozwiązania jest, że całe know how, a także ryzyka związane z działaniami Red Team zostają wewnątrz organizacji. Minusem natomiast są koszty związane z istnieniem tego zespołu, zwłaszcza jeśli mówimy o organizacji, która działa globalnie mając biura na całym świecie.
W tym modelu, roboczo nazwijmy to "od pomysłu do wykonania" działania są podejmowane przez zespół security, jaki pracuje wewnątrz organizacji.

Model zewnętrzny natomiast charakteryzuje się tym, że część operacyjna w terenie jest wykonywana przez autoryzowanego partnera security. Wspomniany parter realizuje wcześniej zatwierdzone działania i zawsze po ich wykonaniu przesyła do organizacji pełen raport z wykonanej pracy.  

Jakie są najczęstsze cele działań Red Team:

  1. Testy penetracyjne, to testy mające na celu przedostanie się niepostrzeżenie do naszych kluczowych lokalizacji, czy też miejsc ważnych z punktu widzenia bezpieczeństwa organizacji (serwerownie, biura, magazyny, itp)
  2. Zbieranie informacji, informacja to waluta XXI wieku, nikogo nie trzeba o tym przekonywać. Każda organizacja strzeże starannie swoich sekretów, które konkurencja chce wykraść.
  3. Ataki socjotechniczne, ten punkt jest ściśle powiązany z poprzednim. Phishing czy spoofing, to tylko mała część tego co jest stosowane. Tutaj ogranicza nas tylko wyobraźnia.
  4. Kontrola jakości, wbrew pozorom to ważna część działań Red Team. Członkowie zespołów mogą realnie kontrolować jakość działań w organizacji.

Teraz trochę o procedurach i strukturze.
  • Procedury:
Działania Red Team w organizacji zawsze budzą kontrowersje, nie można ich porównywać z audytem lub też żadnym innym działem w organizacji. Najbardziej chyba pasuje tu określenie, że to "wrogie działania pod pełnym nadzorem". Dlatego by minimalizować ewentualne kontrowersje należy stworzyć jasne ramy działania zespołów opisane szczegółowymi procedurami. 
Nawet Red Team musi działać w oparciu o jasne wytyczne, tak by nie powodować szkód i nie narażać się (a co ważniejsze organizacji, dla której wykonuje zadania) na konsekwencje prawne. 
Musimy pamiętać, że zespoły Red Team pracują w różnych systemach ustawodawczych, więc znajomość krajowego prawa jest kluczowa.
Nie ma większej katastrofy niż wyciąganie z aresztu członków Red Team w świetle kamer.
Takie działania nie tylko świadczą o słabym przygotowaniu zespołu, ale także narażają na szkody wizerunkowe organizację, dla której pracują.
To wszystko sprawia, że dział Red Team powinien mieć ścisłe procedury, których muszą bezwzględnie przestrzegać.
Oczywiście zawsze istnieje zagrożenie tzw. wpadki i na taką okoliczność także należy być przygotowanym, ale po to właśnie są procedury ratunkowe.

  • Struktura
Jakie specjalności możemy spotkać w profesjonalnym dziale Red Team:
- profilerów 
- hakerów
- prawników
- ludzi z doświadczeniem w pracy w terenie (obserwacja, łatwość nawiązywania znajomości)
- analityków (analiza zdjęć, map, dokumentów)
- osoby tworzące scenariusze działań oraz procedury
- socjotechników
- techników (odpowiedzialni za przygotowanie naszego sprzętu specjalnego)
- inne (w zależności od profilu organizacji)

Jak widzimy dział Red Team jest jednym z najbardziej zróżnicowanych w całej organizacji, dysponujący zespołem o wielorakich, a jednocześnie unikalnych umiejętnościach. 

Omówiliśmy modele budowy, cele, procedury, strukturę, czas teraz na przykładowy scenariusz.
Specjalnie nie opiszę go dokładnie, a tylko wskażę kluczowe etapy operacji:
  1. Zdefiniowanie celu ataku (miejsce, co chcemy osiągnąć, co jest sukcesem a co porażką).
  2. Rozpoznanie celu (zebranie kluczowych informacji o celu).
  3. Przygotowanie kilku/kilkunastu scenariuszy ataku na cel zgodnych z założeniami.
  4. Analiza scenariuszy (pod kątem ryzyk reputacyjnych oraz szans na sukces).
  5. Wybór scenariusza/scenariuszy ataku i zgodna na niego.
  6. Przygotowania/logistyka
  7. Atak/ataki na wybrany cel. 
  8. Raport końcowy zawierający szczegółowy opis ataku, co udało się uzyskać w przypadku sukcesu lub dlaczego doszło do porażki.
Jak widzimy praca Red Team jest skomplikowana i kosztowna.
Jednak duże i odpowiedzialne organizacje od lat budują i rozwijają swoje kompetencje w zakresie wspomnianych działań.
Na zakończenie wyjaśnienie po co to wszystko, i czy warto.
Zawsze twierdzę, że każdy system bezpieczeństwa jest tak dobry, jak jego najsłabsze ogniwo.
Jeśli ono zawiedzie to nasza organizacja będzie narażona na utratę tego co najcenniejsze, a co daje jej przewagę nad konkurencją.
Zadanie Red Team to wyszukiwać te najsłabsze części naszego systemu bezpieczeństwa poprzez realne działania.
To dzięki pracy Red Team mamy szanse stale doskonalić i rozwijać system bezpieczeństwa w naszej organizacji, tak by ona niczym statek pokonywała wszelkie niebezpieczne burze.
Czy warto to robić?
Odpowiem cytatem nawiązując do powyższego porównania.

"Stojący w porcie statek jest bezpieczny, ale statków nie buduje się po to by stały w portach"
Grace Hopper



PS Osoby zainteresowane pracą Red Team zapraszam do dyskusji.

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Sztuczna inteligencja a zagrożenia dla uczciwości wyborów w Polsce: potencjalne scenariusze ataków

I.                Wstęp   Sztuczna inteligencja (AI) stanowi obecnie narzędzie o niespotykanych wcześniej możliwościach (1), które może być wykorzystane do różnorodnych celów, w tym także do manipulacji opinią publiczną w czasie wyborów. W kontekście procesu wyborczego, działania takie podejmowane za pomocą sztucznej inteligencji mogą prowadzić do szeregu negatywnych skutków, w tym wpływania na podejmowanie decyzji wyborczych. Jednym z największych zagrożeń, jakie stoją przed naszym społeczeństwem, jest wykorzystanie sztucznej inteligencji do celów nieetycznych, w tym manipulacji wyborczej. Takie zachowania mogą prowadzić do osłabienia zaufania społecznego do instytucji publicznych, ograniczania wolności słowa, rozprzestrzeniania dezinformacji i pogłębiania podziałów społecznych. Szczególną uwagę trzeba zwrócić na manipulację społeczną, która prowadzona za pomocą sztucznej inteligencji może okazać się szczególnie niebezpieczna w kontekście nadchodzących wyborów, z uwagi na trudność jej
Czytaj więcej

Coordinated Inauthentic Behavior (CIB) - Jedno z największych wyzwań w wojnie w sieci.

Obraz
 Jednym z najczęstszych słów jakie pojawiają się w kontekście wojny na Ukrainie jest dezinformacja. W zasadzie nie ma dnia byśmy nie słyszeli o dezinformacji w telewizji, internecie czy też social mediach. Dziesiątki ekspertów radzą jak weryfikować wiadomości, jak rozpoznawać deep fake czy też walczyć z dezinformacją. W dzisiejszym wpisie "popłynę" z prądem mody na dezinformację, ale poruszę to nieco z innej strony, a mianowicie skupię się na pojęciu  Coordinated Inauthentic Behavior - CIB (skoordynowanego, nieautentycznego zachowania). Na początek co to jest CIB i dlaczego to jest takie ważne pojęcie. Jest wiele definicji CIB, ale w skrócie możemy przyjąć, że Coordinated Inauthentic Behavior występuje kiedy grupa ludzi lub profili (social media) pracuje razem w skoordynowany sposób wprowadzając innych w błąd w celu osiągnięcia określonych korzyści. Poniżej film który* w bardzo przystępny sposób to wyjaśnia: * źródło - Exposer of Trolls Co ważne CIB nie jest tylko związane
Czytaj więcej

Dezinformacja jako element walki w sieci - prawne aspekty odpowiedzialności karnej w prawie polskim.

Obraz
DEZINFORMACJA JAKO ELEMENT WALKI W SIECI – PRAWE ASPEKTY ODPOWIEDZIALNOŚCI KARNEJ W PRAWIE POLSKIM     1. WPROWADZENIE              W dobie powszechnego dostępu do internetu i rozwoju mediów społecznościowych problem dezinformacji stała się jednym z najpoważniejszych wyzwań, z jakimi musi mierzyć się współczesne społeczeństwo. Szerzenie fałszywych informacji, celem manipulowania i wpływania na opinię publiczną  w dzisiejszych czasach zyskało wręcz nieograniczony potencjał. W kontekście wojny informacyjnej prowadzonej w wirtualnej rzeczywistości dezinformacja odgrywa obecnie kluczową rolę, podważając zaufanie społeczne do organów państwa, mediów, organizacji społecznych, czy też wpływając na procesy polityczne, np. zakłócając prawidłowy tok prowadzonych procesów wyborczych w tym kampanii.                 W niniejszym artykule zamierzamy podjąć się omówienia szeroko pojętego zjawiska dezinformacji oraz prawnych aspektów odpowiedzialności karnoprawnej z nim związanej. Mamy nadzieję, iż pu
Czytaj więcej