Red team

Zibersegurtasun-lantalde baten barruan, Red Teama da sistema bat probatzeko, erasotzeko eta bere defentsak hausten saiatzeko ardura duen profesionalen lantaldea. Lantalde honen helburua da segurua dela egiaztatzea; horretarako, hackerrak balira bezala jokatzen dute, sistema urratzen saiatuz.

Eremu militarretik dator haren izena, gerra-simulazioetan lantalde gorriak erasotzaile-rola hartzen baitu, eta lantalde urdinak defendatzailearena. Horrela, ebaluatzen ari den segurtasun-estrategia eta -egitura estuasunean jartzen da. Egiten diren ariketei intrusio-azterketa izena deritze, eta arriskuak detektatzeko exekutatzen dira; arrisku horiek detektatzen oso zailak dira bestela. Adibidez, Estatu Batuetako armadak horrelako probak erabili izan ditu 2001eko irailaren 11ko atentatuak ahalbidetu zituzten inguruabarrak errepika zitezen prebenitzeko.

Segurtasun informatikoan, Red Teama erakunde baten sistemen babesaren parte da. Eraso-simulazioko ariketetan, Red Teama osatzen duten pertsonek, enpresa barrukoek nahiz kanpokoek, segurtasun-neurriak gainditzen eta sistema informatikoak arriskuan jartzen saiatzen dira.

Ariketa horiek aurrez abisatu gabe egiten dira beti, erasoari errealismo handiagoa emateko; izan ere, benetako erasoek ezustekoaren faktorea erabiltzen dute arrakasta bermatzeko elementu garrantzitsu gisa. Era horretako ariketek ahalegina egiten dute erakundearen kalteberatasun kritikoak bilatzeko, kalteberatasun arinak ez direlako lehentasun bat. Baliabide asko mobilizatzen dira, sistemetan pitzadura larriak detektatzeko.

Metodologia bat dago, Red Teamak parte hartzen duen ariketetan erabili ohi dena. Helburu nagusia da probatzea Blue Teamak zilegi ez diren sarbideak detektatzeko duen erreakzio-gaitasuna, eta eraso horiei erantzuna emateko eta horiek aztertzeko gaitasuna. Ariketa exekutatzeko, Red Teamari erakundearen izena bakarrik ematen zaio.

Metodologia estandarra sei zatiz osatuta dago:

  1. Plangintza. Red Teamaren lehen urratsak erabiliko diren bektoreak eta erasoak egiteko modua definitzearekin lotuta daude.
  2. Kanpoko azterketa. Intrusio bat egiteko erakundeak dituen kalteberatasunak detektatzeko arriskupean dauden aktibo guztiak aztertzen eta ikertzen dira.
  3. Hasierako konpromisoa. Atzitu nahi diren sistemetan sartzeko aukera ematen duen kalteberatasun bat identifikatu ondoren, beharrezkoa den eraso-mota erabiliz egingo da.
  4. Barne-sarera sartzea. Eraso egin zaion lehen aktibotik barne-sarera sartzeko modua bilatzen da. Zati hau azkarra izan daiteke, edo hainbat egun iraun dezake; dena konpainiaren eta haren sistemen konplexutasunaren arabera.
  5. Pribilegioak igotzea. Etapa honetan, sarbiderako bigarren mailako bideak bilatzen dira, Blue Teamak intrusioa detektatuz gero erasoarekin jarraitu ahal izateko.
  6. Barne-azterketa. Azkenik, erakundearen aktibo guztietarako sarbidea dagoenean, analisi bat egiten da kaltegarriena zein eraso izan daitekeen ebaluatzeko.