Red Team bat egitea

Xehetasunak

Gizon baten eskuak ordenagailu baten teklatuan, Red Team bat egiten ari den bitartean, erakunde baten azpiegituraren aurkako eraso baten simulazio-ariketa.

Nori zuzendua dago?

Beren negozioaren jarraipena bermatzeko helburuarekin erresilienteagoak izan nahi duten eta zibermehatxuen aurrean babestuago egon nahi duen edozein erakunderi (publikoa edo pribatua), enpresa txiki eta ertainak (ETEak) barne.

Jertse gorri bat duen pertsona baten marrazkia. Jertsean, bi hezurrek gurutzatzen duten garezur baten sinboloa ikusten da, hacking eraso bat irudikatzen du irudiak.

Zer da Red Team-eko lanketa bat?

Red Teameko lanketa bat erakunde bateko azpiegiturak jasandako erasoaren simulazio bidez egiten da. Lanketa horri esker, erakunde batek eraso posibleen aurrean duen babes eta erantzun maila azter daitezke, hala segurtasuna sendotu ahal izateko.

Red Team-eko taldea segurtasun arloko adituek eratzen dute. Gehienetan, hacking etikoaz arduratzen diren langileak izaten dira eta erakundean sarrera erreala eta kontrolatua egiten saiatuko dira, baina kontratu baten arabera mugatutako irismenarekin.

Helburuak

Lanketa mota hauen helburua da benetako erasotzaile batzuek erabili ahal izango lituzketen sarrerako teknikak, taktikak eta prozedurak (TTPak, gaztelaniaz) erabilita, jarduera horiek lanketaren helburu den ingurunea defendatzeko erabiliko liratekeen teknologian, prozesuetan eta pertsonengan izango luketen inpaktua ebaluatzea.

Honela laburbil ditzakegu Red Team baten helburuak:

Sistemetan, sareetan, aplikazioetan eta gainerakoetan aurkari baten begiradapean dauden probak egitea.
Azpiegitura teknologiko baten segurtasunari balioa ematea gero erakundearen sistema guztien gotorlekua finkatzeko.
Erakundeak izan ditzakeen gorabeherak kudeatzeko prozedurak aztertzea.
Lortutako emaitzak kontuan hartuta, ondorioak eta eragina arakatzea, hala epe laburrera, ertainera eta luzera begira ekintza-plana prestatzeko
Erakundearen monitorizazioko, detekzioko eta erantzuna emateko taldeak osatzea, zibereraso posibleen aurrean erantzuna hobetzeko.

Onurak

Erasotzaile batek benetako zibereraso batean identifikatu aurretik, prozeduretan edo azpiegituretan egon daitezkeen ahuleziak detekta daitezke.
Mehatxuak eta erasoak detektatzeko eta haiei erantzun eta prebenitzeko erakundeak duen gaitasuna ebaluatzen da.
Erakundeak izan ditzakeen ahuleziak ikusta, gero hobekuntzak egiten dira ingurune kontrolatu batean egindako erasoak ez daitezen baimendu gabeko erasotzaileek egindakoak izan.

Red Team-en faseak

Red Team-en faseak aldatu egiten dira erabilitako erasoaren metodologiaren eta frameworkaren arabera. Horien artean, hauek nabarmendu behar dira:

TIBER-EU: https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
OTAN Cyber Red Teaming: https://ccdcoe.org/uploads/2018/10/Cyber_Red_Team.pdf
CBEST: https://www.crest-approved.org/schemes/cbest/index.html

Honako hauek dira fase ohikoenak:

1. fasea Definizioa eta plangintza

Lehen fase honetan, zer testuinguru egingo duten, zer ingurunetan egingo duten eta lortu beharreko helburuak zein diren zehaztu behar da (informazio sentsiblea lortzea, barne-sarera sartzea eta abar). Alderdi bakoitzeko harremanetarako pertsonak eta lantaldeak definituko dira. Amaitzeko, erasoak zer denbora-tartetan egingo diren eta horien iraupena zehaztuko da.

2. fasea Kanpoko ezagutza

Fase honetan, helburuaren ingurunea (makro eta mikro adimena) aztertzen da erasoko bektore posibleak modelatu ahal izateko. Fase horretan bertan hasi behar da zati bakoitza probatzen eta sarrera egitea ahalbide dezaketen ahuleziak identifikatzen.

3. fasea Hasierako konpromisoa

Urrats honen helburua da sarrera ahalbide dezakeen larritasun kritikoko kalteberatasuna arakatzea. Erabiltzaileak lortzea ahalbide dezaketen indarrezko erasoak, phishingeko mezuen bidalketa, exploit-a abian jartzea, barneko sarera biratzea ahalbidetu dezaketen fitxategiak igotzea eta abar izan daitezke.

4. fasea Barneko sarrera

“Erasotzaileak” aktibo baten kontrola bereganatu du eta barnerantz eraso egiteko finkatu da bertan. Testuinguruaren arabera aldatu egiten den lanketa da eta beharrezko denbora ez da zehatza izaten: minutu edo egun batzuk iraun ditzake lanketak.

5. fasea. Pribilegioak igotzea

Fase honetan, barneko azpiegituran pribilegio handiak lortzen dira administrazioaren baimenekin sistema batzuen gaineko kontrola eskuratu ahal izateko.

6. fasea Barneko ezagutza

Erakundearen aktiboen kontrola eskuratu ondoren, erasotzailea barneko sareko zer tokitan dagoen, sarean zer kontrol-mekanismo identifikatzen duen eta abar konturatzen hasiko da. Horren helburua da sarearen mapa ezagutzea eta sare barruan mugitzeko eta hedatzeko erabil ditzakeen kalteberatasun posibleak identifikatzea.

7. fasea Alboko mugimenduak

Erakundearen barneko sarean sartu ondoren, eta azpiegitura nolakoa den jakin nahian, “erasotzaileak” helburu berriak aukeratu eta horiei eraso egiten eta horiek arriskuan jartzen saiatuko da. Erakunde baitan barneko sareen artean saltoa eragingo du horrek.

8. fasea Amaiera eta dokumentazioa

Lanketa amaitzean (hasieran ezarritako helburuak beteta ala bete gabe), prozesua eta aurkikuntzak argi eta modu irakurterrazean dokumentatu beharko dira. Beste hainbat alderdiren artean, ekintzen kronologia, erabilitako eraso-bektoreak, lortutako sarbide maila eta simulatutako erasoari lotutako arriskuak zehaztu beharko dira.

Erreferentziak

https://en.wikipedia.org/wiki/Red_team

https://csrc.nist.gov/glossary/term/Red_Team

https://csrc.nist.gov/glossary/term/red_team_blue_team_approach

https://redteam.guide/docs/definition-lexicon/#red-teaming

RedTeam, El hacking en otra dimensión A Ramos T13 CyberCamp 2017