Streszczenie

https://chacker.pl/

Opisano podstawy etycznego hakowania i czerwonych zespołów. Czerwone zespoły działały na różnych poziomach, począwszy od skanowania podatności, aż po fioletowe zespoły i emulację zagrożeń. Istnieją zalety i wady zarówno konsultantów, jak i korporacyjnych czerwonych zespołów, ale wiele osób przełącza się między nimi w trakcie swojej kariery, aby zdobyć dodatkowe doświadczenie i dostosować się do zmian w stylu życia. W miarę ewolucji organizacji rosną także ich możliwości w zakresie wykrywania i reagowania. Dodanie fioletowego komponentu zespołu może pomóc w zapewnieniu wyższej wierności wykryć specyficznych dla środowiska przy użyciu kombinacji analizy zagrożeń, zespołów obrony, zespołów czerwonych i zespołów inżynieryjnych.

Inżynieria wykrywania

https://chacker.pl/

Inżynieria wykrywania to proces tworzenia sposobów wykrywania różnych typów zdarzeń. Może istnieć poza kontekstem fioletowych drużyn; jednak fioletowe zespoły sprawiają, że jest to drastycznie bardziej skuteczne. Zapewniając trafność, kontekst i możliwość zastosowania w konkretnym środowisku, fioletowe zespoły mogą dostosować wykrywanie do Twojego środowiska, dzięki czemu nie pozostaniesz tylko z treściami dostarczonymi przez dostawcę, które mogą być zbyt hałaśliwe lub nie uwzględniać wielu źródeł, które można połączyć w alerty o wyższej wierności. Dobrym tego przykładem jest sytuacja, w której analiza zagrożeń odkryła, że wielu aktorów zagrażających używa Cobalt Strike dla C2 i gromadzi dane uwierzytelniające za pomocą Mimikatz. Zespół czerwonych może uruchomić tę kombinację narzędzi na hoście docelowym, a następnie współpracować z zespołem poszukiwawczym, aby zobaczyć, jakie artefakty zostaną utworzone. Innym przykładem może być rozwiązanie EDR rejestrujące dostęp LSASS z procesu notmalware.exe i lokalny agent AV rejestrujący połączenie z serwerem proxy z notmalware.exe. Łącząc te dwa elementy, zespół odkrywa, że jest mniej fałszywych alarmów, przekazuje więc informacje zespołowi inżynierów ds. wykrywania, aby w oparciu o te dwa czynniki zbudował alert kombinowany, aby umożliwić obrońcom pierwszej linii zaalarmowanie, gdy taka kombinacja występuje. Dalsze testy przeprowadzone przez zespół czerwonych wykazały, że alert nie zostanie uruchomiony w przypadku użycia Mimikatz w połączeniu z sygnalizatorem SMB firmy Cobalt Strike. Czerwony zespół informuje, że sygnalizatory SMB używają nazwanych potoków do komunikacji, ale obecnie nie wdrożono żadnych narzędzi, które rejestrowałyby nazwane potoki. Zespół obsługi klienta współpracuje z obrońcami przy wdrażaniu Sysmon i konfigurowaniu rejestrowania tworzenia nazwanych potoków. Kiedy zespół czerwonych ponownie przeprowadzi testy, istnieje teraz korelacja między hostami, które utworzyły nazwane potoki w ciągu ostatniej godziny, a uzyskującymi dostęp do LSASS. Poszczególne alerty same w sobie nie byłyby tak skuteczne, gdyby zespoły nie współpracowały ze sobą, przeprowadzając rzeczywiste testy w środowisku i dopasowując strategię ostrzegania i obrony do konkretnego środowiska. Ostatecznie w tym środowisku wszyscy wygrywają, może z wyjątkiem drużyny czerwonej, która musi zbadać nowe techniki emulacji zagrożeń.

Badania nad nowymi zagrożeniami

https://chacker.pl/

Badania nad nowymi zagrożeniami uwzględniają wiele obszarów fioletowego zespołu. Głównymi współautorami są wywiad o zagrożeniach, zespół czerwony, zespoły myśliwskie i reakcja na incydenty. Zespoły te będą współpracować, aby zidentyfikować pojawiające się zagrożenie, takie jak opublikowana luka typu 0-day, nowe informacje na temat techniki wdrażanej w popularnej rodzinie złośliwego oprogramowania lub najnowszy zestaw opublikowanych badań. Zespół ds. analizy zagrożeń zidentyfikuje jak najwięcej informacji na temat tego zagrożenia, a następnie będzie współpracował z zespołem czerwonym i zespołami tropiącymi, aby ustalić, czy będzie to miało wpływ na organizację. Przykładem mogą być luki w zabezpieczeniach programu Microsoft Exchange ujawnione przez firmę Microsoft w marcu 2021 r.1 Oprócz wstępnego ujawnienia ujawniono ograniczone informacje na temat tych luk, ale jeśli obserwowały je zespoły ds. analizy zagrożeń, 10 marca w serwisie GitHub krótko opublikowano komunikat POC, który zawierał działający kod.2 Ten kod mógł zostać pobrany i przekazany zespołowi czerwonemu, który mógłby go przetestować i ustalić, czy działa, czy łatanie powiodło się i jaki poziom uprawnień dał. Stamtąd zespoły myśliwskie mogły ocenić pozostawione kłody, a następnie określić, czy zostały one wykonane przez kogokolwiek innego przeciwko organizacji. Po wprowadzeniu łatek zespół czerwonych mógł ponownie przeprowadzić testy pod kątem środków zaradczych, a zespoły poszukiwawcze mogły ocenić rejestrację po wdrożeniu łatki, aby pomóc w udokumentowaniu, jak by to wyglądało, gdyby atak nastąpił na system z łatką. Wykonywanie tego typu działań zapewniłoby organizacji przewagę pod względem ataków różnych ugrupowań zagrażających, które nastąpiły po POC.

Działania zespołu fioletowego

https://chacker.pl/

Fioletowe zespoły istnieją po to, aby wykonywać wspólne działania poprawiające stan bezpieczeństwa organizacji. Może to obejmować niemal wszystko, od wspólnych raportów na temat zaangażowania czerwonych zespołów po kontrole budynków. Z tego powodu nie ma jednej rzeczy, którą robi fioletowy zespół; jednakże istnieją pewne podobieństwa w kwestiach, w których fioletowe drużyny mają wyjątkową pozycję

Fioletowe umiejętności zespołowe

https://chacker.pl/

To, na czym fioletowe zespoły będą mogły się skupić, częściowo zależy od dojrzałości poszczególnych elementów. Na przykład bez dobrych informacji o zagrożeniach trudno jest określić, na jakich aktorach zagrożeń należy się skupić, bez przeprowadzenia odpowiednich badań. Zależy to również od jakości kontroli, rejestrowania i monitorowania, możliwości przetwarzania tych danych oraz ogólnej wiedzy i zrozumienia zespołów. Często fioletowe zespoły ewoluują, zaczynając skupiać się na obszarze, który jest łatwy do znalezienia, np. wskaźnikach kompromisu, i rozwijają się, aż będą mogły skupić się na TTP. David J. Bianco stworzył Piramidę Bólu pokazaną na rysunku 6-2, aby opisać różne poziomy, na których drużyny defensywne mogą wpłynąć na atakującego. Na najniższym poziomie znajdują się wartości skrótu, gdzie po prostu zmieniając wartość skrótu, atakujący może uniknąć wykrycia. Na szczycie znajdują się TTP, w przypadku których atakujący musiałby zmienić sposób działania, używane narzędzia, a być może nawet cele, które próbuje osiągnąć. Analiza zagrożeń większości organizacji koncentruje się początkowo na trzech najniższych poziomach, czyli IOC łatwo dostępnych za pośrednictwem źródeł informacji o zagrożeniach. Są one często dostępne również dla narzędzi obronnych, więc jeśli haker wejdzie z tego samego miejsca, używając tych samych adresów IP, nazw hostów lub plików wykonywalnych, dość łatwo będzie go zablokować. Fioletowe zespoły zaczynają być skuteczne na poziomie sieci i artefaktów hosta, a następnie pną się w górę. Poziom artefaktów sieci i hosta może obejmować wzorce identyfikatorów URI i użycie określonych portów lub protokołów do komunikacji. Są to rzeczy, które czerwone zespoły często mogą dość łatwo odtworzyć, aby sprawdzić, co jest rejestrowane, a następnie zespoły mogą znaleźć, co rejestrują różne komponenty, i pracować nad tworzeniem lepszych alertów poprzez wyświetlanie tych dzienników jako zdarzenia. Chociaż zmiana numeru portu lub użycie innego schematu URI nie jest trudne, wymaga o wiele więcej wysiłku niż tylko rekompilacja pliku binarnego lub ustawienie nowego adresu IP; dlatego jest to bardziej uciążliwe dla atakującego, co oznacza, że będzie musiał się bardziej postarać, aby uniknąć wykrycia w sieci. W miarę zdobywania umiejętności i procesów zespoły mogą przejść do testowania narzędzi i dokumentowania ich wyglądu w sieci. Narzędzia są przedmiotem zainteresowania, ponieważ są łatwo dostępne i często istnieje wiele informacji na temat sposobu ich użycia. Poza tym niekoniecznie wymagają mnóstwa badań, ale można się przy nich uczyć. Jeśli więc wiesz, że osoba atakująca korzysta z programu PowerShell Empire, uruchomienie go w sieci w celu sprawdzenia, co pozostawia, jak wygląda i sposobów potencjalnego wykrycia jest trudniejsze niż samo przeglądanie dzienników. Nie koncentruje się jednak na działaniu narzędzia; zamiast tego skupia się na tym, co robi. Kiedy zespoły pracują z indywidualnymi TTP, mogą one być niezwykle destrukcyjne dla atakujących. Na przykład obrońca, który rozumie związek pomiędzy kopią pliku za pomocą SMB, wywołaniem DCOM do WMI i wykonaniem procesu z WMIPrvSE, jest w stanie lepiej powstrzymać atak przy użyciu tych komponentów. Indywidualnie mogą one nic nie znaczyć. Razem stanowią one bardzo dokładne wskaźniki pojedynczego ataku wykorzystującego usługę WMI do wykonania ruchu bocznego i opierają się na zachowaniu, a nie na narzędziach. Są one znacznie trudniejsze do zrozumienia i wykonania, co oznacza, że drużyna czerwonych musi mieć możliwość sformułowania wielu sposobów wykonania tego zadania, aby uzyskać rejestrowanie o wyższej jakości, a obrońcy muszą zrozumieć systemy na tyle, aby móc śledzić tę aktywność . Osoby zajmujące się inżynierią wykrywania również muszą być wystarczająco wyrafinowane, aby skorelować te działania, a jeśli celem jest zbudowanie odpowiednich zabezpieczeń, właściciele klientów i serwerów oraz właściciele elementów sterujących muszą być na tyle wyrafinowani, aby móc blokować lub ograniczać tego typu działania , Jeśli to możliwe.

Podstawy drużyny fioletowej

https://chacker.pl/

Zespół fioletowy to skrzyżowanie drużyny czerwonej i niebieskiej. W rzeczywistości nie ma jednej niebieskiej drużyny, tak jak są inne drużyny, które przyczyniają się do sukcesu drużyn czerwonych. Często wiele zespołów tworzy fioletowy zespół, obejmujący zespoły wywiadowcze, reagowania na incydenty, kryminalistykę, inżynierię wykrywania, zespoły łowieckie, czerwone i przywódcze. Zespoły te współpracują ze sobą, aby rozwiązywać problemy i pomagać w zwiększaniu poziomu bezpieczeństwa organizacji.

Konsultant Red Teaming

https://chacker.pl/

Czerwone zespoły konsultantów są zwykle częścią szerszych grup konsultingowych. Zespoły te koncentrują się na testach ofensywnych, które mogą obejmować sprawdzone skanowanie podatności, testy penetracyjne i symulację zagrożeń. Istnieje kilka organizacji, które emulują zagrożenia; są jednak znacznie rzadsze i jeśli firma potrzebuje takiego poziomu zaangażowania, zazwyczaj będzie już budować własne zespoły. Doradztwo zazwyczaj polega na cotygodniowej współpracy z inną firmą, aby pomóc jej odpowiedzieć na pytanie dotyczące jej sieci. Pytania te obejmują: „Czy przestrzegam zasad?” na „Co osoba atakująca mogłaby zrobić w mojej sieci?” Oceny te są zwykle ustalane w oparciu o czas. Zaletą tego typu testów jest to, że co kilka tygodni będziesz miał okazję zobaczyć nowe technologie i inne środowisko. Spędzisz dużo czasu na oswajaniu się z nowymi sieciami, ustalaniu, jak poruszać się po nich i osiąganiu docelowych celów. Poznasz różne stosy technologii, w tym programy antywirusowe, systemy wykrywania włamań, systemy wykrywania i reagowania na punktach końcowych i wiele innych. Wyszukiwanie nowych sposobów na ominięcie i ominięcie tych systemów przypomina bardziej grę. Wadą tego typu spotkań jest to, że większość organizacji, w których testy przeprowadzane są przez firmy konsultingowe, jest mniej dojrzała, a wielu testerów wpada w pułapkę wzorców, dzięki którym mogą w ten sam sposób narazić na szwank wiele organizacji. Mogą oswoić się z pewnymi technikami i nie być zachęcani do rozwijania zestawów umiejętności, ponieważ te, które już posiadają, sprawdzają się przez większość czasu. Może to spowodować, że ludzie staną się nieświeży.   W rezultacie dobrzy konsultanci będą stale uczyć się nowych technik i wykorzystywać je podczas testów, przeprowadzać własne badania dotyczące bezpieczeństwa i nie tylko, aby mieć pewność, że ich umiejętności pozostaną świeże. Można to zrobić w czasie służbowym lub w czasie prywatnym. Często firmy konsultingowe nie mają ustalonych dni pracy; mają wyznaczone terminy wykonania zadań, a testerzy pracują tak długo, jak długo potrzeba, aby dotrzymać tych terminów. Może to oznaczać, że w niektórych tygodniach będziesz musiał przepracować 80 lub więcej godzin, a w innych możesz pracować przez 20 godzin i mieć 20 godzin na badania. Niektóre organizacje przyznają premie w zależności od liczby wykonanych testów; dlatego, aby zmaksymalizować dochody, testerzy mogą pracować więcej godzin, a także próbować znaleźć techniki pracy mądrzejszej, aby zarobić znacznie więcej niż na stanowiskach korporacyjnych. Tego typu prace zazwyczaj wiążą się z częstszymi podróżami i nie wymagają powiadomienia. W rezultacie czasami trudno jest zaplanować wydarzenia rodzinne z dużym wyprzedzeniem i nierzadko konsultanci składają członkom rodziny „wszystkiego najlepszego” za pośrednictwem połączeń Zoom z pokoju hotelowego w innym mieście. Ten rodzaj podróży często wypala testerów i mogą oni udać się na jakiś czas do pracy w korporacji, a następnie albo osiedlić się na stanowisku w korporacji, albo wrócić na jakiś czas do konsultingu, dopóki nie będą potrzebować dodatkowej stabilizacji.

Korporacyjny Czerwony Zespół

https://chacker.pl/

Korporacyjny czerwony zespół ma miejsce, jak się wydaje, wtedy, gdy tester pracuje dla firmy i spędza czas na testowaniu aktywów tej firmy. Główne zalety korporacyjnego zespołu red teaming to to, że poświęcisz dużo czasu na poznanie swojej firmy od środka i od zewnątrz, a także będziesz w stanie szybciej zapewniać wartość w różnych technologiach, branżach, a nawet zasadach i procedurach. Koncentrując się wyłącznie na poprawie stanu bezpieczeństwa swojej organizacji, możesz być częścią zespołu odpowiedzialnego za poprawę stanu bezpieczeństwa organizacji i przygotowanie organizacji na atak. Ponadto masz możliwość bezpośredniego poprawy zdolności wykrywania i reagowania. Posiadanie czasu na głębsze zagłębienie się w technologie oznacza również, że możesz mieć czas, aby stać się ekspertem w zakresie określonych technologii, stosów technologii lub procesów biznesowych, które dobrze pasują do innych firm. Jednym z przykładów może być sytuacja, gdy Twoja firma dużo korzysta z kontenerów takich jak Containerd, Kubernetes lub Docker, wtedy możesz mieć czas na głębsze zapoznanie się z tymi technologiami i sposobami ich bezpiecznego wdrażania, dzięki czemu staniesz się ekspertem. Wadą tego jest to, że większość organizacji ma dość statyczny stos zabezpieczeń i mimo że od czasu do czasu wprowadzane są nowe technologie, wiele wysiłków będzie polegać na naprawianiu wykrytych zagrożeń i wzmacnianiu tych samych elementów, co zapewnia mniejsze narażenie na szeroki zakres zabezpieczeń produkty i podejścia do bezpieczeństwa. Z tego powodu część wiedzy może nie zostać od razu przeniesiona do innych firm, a jeśli utkniesz w pracy nad konkretnymi technologiami, inne umiejętności mogą się zestarzeć. Większość stanowisk pracy w czerwonych zespołach korporacyjnych wiąże się ze znacznie mniejszą liczbą podróży niż doradztwo, co jest kolejną korzyścią, jeśli nie lubisz podróżować.   Praca w korporacyjnym zespole czerwonych pracowników będzie prawdopodobnie wiązać się z podróżami, ale wiele firm pozwala większej liczbie zespołów czerwonych na pracę zdalną, więc przez większość czasu możesz pracować z domu, okazjonalnie wychodząc do biura. Testy na miejscu w przypadku niektórych technologii nadal będą musiały odbywać się w określonej lokalizacji, ale w przypadku większości organizacji nie jest to zbyt częste.

Zarabianie pieniędzy dzięki Red Teaming

https://chacker.pl

Dla większości etycznych hakerów, oprócz czerpania przyjemności z pracy, głównym celem jest zarabianie pieniędzy. Mówiliśmy już trochę o nagrodach za błędy w Rozdziale 1, więc skupimy się na bardziej tradycyjnych sposobach zarabiania pieniędzy dzięki dobieraniu drużyn czerwonych. Dwa główne sposoby to korporacyjny red teaming, w którym pracujesz dla firmy w ramach wewnętrznego czerwonego zespołu, oraz dołączenie do firmy konsultingowej i świadczenie usług konsultingowych dla firm, które albo nie mogą sobie pozwolić na własny czerwony zespół, albo szukają niezależną ocenę stanu bezpieczeństwa swojej firmy. Obie opcje mają swoje mocne i słabe strony, a wielu testerów będzie korzystać z obu w trakcie swojej kariery

Zespół Fioletowy

https://chacker.pl/

Inżynieria wykrywania to proces budowania wykrywania wokół różnych TTP w celu poprawy wykrywania i reagowania. W przypadku drużyny fioletowej może się to rozpocząć od utworzenia przez zespół niebieski wykrycia, a następnie zespół czerwony pracuje nad przetestowaniem i udoskonaleniem tego wykrycia. Może to być również wynikiem przeglądu dziennika i udoskonalenia alertów po przeprowadzeniu symulacji zagrożenia lub emulacji. Fioletowy zespół może pomóc w tworzeniu, udoskonalaniu i testowaniu wykryć, co zapewnia organizacji więcej możliwości wyłapywania atakujących wcześniej w drzewie ataków. Fioletowe łączenie drużyn może być również wykorzystywane w ramach reagowania na pojawiające się zagrożenia. Zapewni to organizacji głębsze zrozumienie sposobu działania pojawiającego się zagrożenia, a także umożliwi wykrycie potencjalnych zagrożeń w odpowiedzi na opublikowanie dowodu słuszności koncepcji (POC) w terminie zerowym oraz wszelkich wiadomości, na które organizacja musi zareagować. W dalszej części tego rozdziału przyjrzymy się bliżej fioletowym zespołom.