Želite da crveni tim testera neprobojnosti pronađe ranjiva mesta koja će napadači najverovatnije koristiti. Evo kako.
Autor: Roger A. Grimes
Ja sam veliki pristalica crvenih timova, ali oni su često toliko dobri u onome što rade da izgube iz vida svoju osnovnu misiju: da pomognu organizaciji da smanji kibernetičke rizike. Crveni timovi su vlastiti zaposleni ili ugovorni izvođači koji napadaju računarsku opremu organizacije da bi otkrili slabosti u odbrani. U mojoj karijeri od preko 30-godina najprijatniji deo je bio kada bi me platili da provalim u nečiju mrežu. To sada više ne radim, mada održavam praksu tako što pravim realistične hakerske demonstracije za svoje prezentacije. Uvek sam brinuo da možda neću biti u stanju, ali uvek sam uspevao da provalim u svako mesto za koje sam bio plaćen. Hakovanje je relativno jednostavno kada znate koje alate i tehnike da upotrebite. Svi misle da su hakeri super genijalci, ali to je više kao da ste vešt vodoinstalater ili električar.
Svaka organizacija treba da ima redovne crvene timove za svoje okruženje i za aplikacije/usluge/sajtove. Koliko često, zavisi od organizacije, ali bilo šta manje od jednom do dva puta godišnje graniči se sa nemarom. Ako to uopšte ne radite, verovatno ćete imati više ranjivosti kojih niste svesni.
Crveni tim mora biti etičan i profesionalan, i mora da dokumentuje i saopšti sve pronađene ranjivosti. Evo mojih saveta za uspešan angažman crvenog tima.
1. Crveni timovi bi trebalo da izveštavaju najviše rukovodstvo o svim kritičnim nalazima
Crveni timovi moraju biti u mogućnosti da direktno izveštavaju rukovodstvo najvišeg ranga, koje god to bilo. U redu je ako podnose izveštaj direktno IT menadžeru, Direktoru bezbednosti , Direktoru za bezbednost informacija, ili Direktoru informacionih tehnologija, ali na njihov izveštaj ne smeju uticati ljudi čiji se posao oslanja na rezultat izveštaja.
Sva otkrića crvenog tima takođe bi trebalo kod izvršnog direktora ili odbora direktora da stignu nefiltrirana, bez izmena pod uticajem direktnih izveštaja nižeg nivoa. Video sam mnoštvo izveštaja crvenih timova kojima je suštinu izmenila osoba direktno zadužena za crveni tim, jer nisu želeli da se neugodni detalji prenesu na viši novo. Umesto toga, koristili su izveštaj crvenog tima da bi najvišoj upravi uputili lažnu „potvrdu o savršenom zdravlju“.
Nakon što se pronađu ozbiljne ranjivosti, one se često uklanjaju i isprave (a ponekad se ne isprave). Ako ste viši rukovodilac, želite da znate šta je promaklo nižem rukovodstvu. Ne želite da oni prepravljaju sliku tako da stalno izgleda savršeno. Svima nam nešto promakne. Ako ste u višem rukovodstvu i izveštaji crvenog tima koje dobijate izgledaju previše dobro da bi bili tačni, raspitajte se detaljnije o procesu izveštavanja.
Bio sam u nekoliko crvenih timova gde je Direktor za bezbednost „pregovarao“ o tome šta će u završnom izveštaju biti, a šta neće, i gde je naša ukupna naknada ili pitanje da li će nas sledeći put ponovo angažovati zavisilo uglavnom od toga da li je Direktor bezbednosti dobro ocenjen, a ne od toga šta se stvarno dešavalo. Ne dajte lisici da čuva kokošinjac.
2. Potreban vam je spoljni crveni tim
Ako imate interni crveni tim, još uvek treba da angažujete spoljne izvođače koji će pokušati da probiju vašu odbranu. Mnoge kompanije koriste samo interni tim. To nije dovoljno. Unutrašnji timovi se zaglave u svakodnevici i koncentrišu se na određene metode a isključuju druge. Interne crvene timove, bez obzira na to koliko su dobri, obično ometaju organizacija kompanije i politika. Možda bi i hteli da urade više, ali često ih usmeravaju da se koncentrišu na ono što neko iznad njih želi. Najbolje rešenje je imati i unutrašnju i spoljnu crvenu ekipu. Interni tim stalno ide punom brzinom. Spoljni tim dolazi nekoliko puta godišnje i deluje više kao pravi, zlonamerni spoljni hakeri, i slobodno upravlja time šta će da hakuje i kako. Spoljni tim treba da ima definisan opseg, ali morate da budete sigurni da ih veštački i neprirodno ne ograničavate tako da na kraju ne hakuju onako kao što bi mogao da hakuje pravi zlonamerni haker.
3. Pustite testere neprobojnosti da hakuju kao pravi hakeri
Jedan od najvećih problema sa crvenim timovima je to što oni često provode više vremena na hakovanje pomoću superfinih, uzbudljivih, „seksi“ metoda, tako da način na koji provaljuju nije ni izbliza ogledalo načina na koji bi se pravi hakeri verovatno probili. Većina crvenih timova ima jednog pametnijeg i kreativnijeg hakera ili više njih kao svoje napadače koji uvek uspešno izvrše proboj. Obično su to dokazani lideri koji znaju puno više od ostatka tima i, što je još važnije, više od branitelja. Često koriste tehnike i alate koji su daleko manje poznati nego oni koje bi koristila većina hakera. Pri tome propuštaju glavni razlog što crveni timovi uopšte postoje. Osnovni cilj crvenog tima ne bi trebalo da bude uspešan prodor. To je lepo. Uvek želite da znate za svaku ranjivost koju treba da popravite, ali najveću vrednost od crvenog tima dobijate ako vas hakuje kao većina hakera iz stvarnog sveta. Crveni tim treba da vam pomogne da smanjite sajberbezbednosni rizik tako što će pronaći lako dostupne propuste koje hakeri zapravo koriste. Svi crveni timovi bi trebalo da se fokusiraju na to da pomognu organizacijama da zatvore rupe koje će najverovatnije najpre biti iskorišćene, a zatim sledi sve ostalo.
4. Dobro definišite opseg
Definišite šta jeste, a šta nije opseg za crveni tim. Možda ste čuli za testere neprobojnosti koji su pre nekoliko meseci uhapšeni prilikom pokušaja da se probiju u sud u Ajovi. Tekst o opsegu izgledao je nepotrebno nejasan, a čini se da su testeri neprobojnosti proširili ono što im je bilo dozvoljeno. Crveni tim i njihova kompanija tvrde da je opseg obuhvatao fizički proboj hakera. Tim za upravljanje sudom u Ajovi i policija očigledno se ne slažu sa tim zaključkom. U svakom slučaju, ako su testeri neprobojnosti crvenog tima uhapšeni zbog izvršavanja nečega što kompanija za testiranje neprobojnosti kaže da je bilo u opsegu, taj opseg u najmanju ruku nije bio precizno definisan. Određivanje opsega može da bude dosadno, ali bitno ga je dobro definisati kako biste bili sigurni da će svi biti zadovoljni.
5. Povežite crveni tim sa plavim timom
Obavezno vodite računa da se plavi tim aktivira kad god se koristi crveni tim. Plavi tim je defanzivna strana dešavanja. Plavi timovi pregledaju fajlove dnevnika i čekaju upozorenja o aktivnostima crvenog tima. Ako se crveni tim uspešno probije a plavi tim ne dobije jake indikacije i upozorenja, tada odbrambena strana mora da pojača svoja sredstva.
I dalje vam je potrebne eksterno pregledanje koda
Kao što je svakoj organizaciji potreban spoljni crveni tim, mora da se preispituje i svaki delić kritičnog koda za softver/usluge/veb sajtove organizacije. Kao prvi korak tog procesa, vaš interni razvojni tim mora da pregleda svoj kôd, a ako imate dovoljno programera, programeri će pregledati kôd drugih programera tražeći bezbednosne greške.
Od velike je pomoći upotreba softvera koji traži bezbednosne greške u kodu, a stalno zaposleni koji traži greške u kodu i koristi softver za to, umanjiće greške u prilagođenom kodu organizacije. Baš kao i crveni tim, uvek vam je potreban eksterni pregled koda da bi se uhvatile stvari koje interni tim ili softver nisu uspeli ili koje ne mogu da uhvate.
Potreban vam je crveni tim i to takav kome je dozvoljeno da hakuje kao pravi, spoljni zlonamerni hakeri. Ako dobro rade svoj posao, oni pomažu organizaciji da zatvori najveće rupe, koje će najvjerovatnije biti najpre iskorišćene. Sve ostalo je višak.
Izvor: CSO