Хакерские атаки регулярно попадают в заголовки — взламывают информационные системы крупных компаний, государственных учреждений, нарушают работу, шифруют данные и требуют выкуп. Поэтому вопросы безопасности на фоне таких новостей сегодня живо интересуют бизнес.
Один из инструментов, который сейчас широко используют компании и корпорации, — редтиминг (Red Teaming, «атака красной команды»). Это моделирование угроз и действий потенциальных злоумышленников, которые могут охотиться за конфиденциальными данными или попытаться нарушить работу бизнеса. Такая методика позволяет тестировать безопасность компании, причем в самых разных аспектах — от устойчивости информационных систем до осведомленности сотрудников.
Устроено это примерно так: в рамках испытаний «красная команда» пытается заполучить информацию или доступ к системам компании, используя методы вполне реальных хакеров. Для организации таких киберучений мы в своей компании используем открытую базу данных компании MITRE ATT&CK. На их сайте содержится глобально доступная база знаний тактики и методов, которая основана на уже произошедших атаках. Эта база используется по всему миру в качестве основы для разработки моделей угроз и методов борьбы с ними.
В этой базе можно найти отчеты исследовательских компаний по действию группировок, атаковавших, скажем, финансовые организации. Можно поставить себя на место злоумышленников, попытаться повторить их действия, а затем проанализировать полученные результаты. Это даст важное в современных реалиях понимание — где в защите есть слабые места и какой сегмент стоит доработать.
Из чего состоит редтиминг
Состоять он может из самых разных техник и приемов. Все зависит от того, что конкретно мы защищаем — у каждой компании портрет потенциального злоумышленника, а, значит, и каналы атак, и методы их отражения свои. Например, платежный сервис могут попытаться сломать через уязвимости в клиентских приложениях или каналы передачи данных, а с промышленного предприятия попробуют вынести ценные документы с помощью подкупа сотрудников.
Довольно часто в редтиминге используют приемы социальной инженерии, потому что сотрудники компании — один из важных источников информации для потенциальных взломщиков. Например, можно использовать рабочую электронную почту — разослать письма, очень похожие на настоящие, замаскировавшись под реального человека — начальника или коллегу. Дальше уже зависит от фантазии и целей: можно срочно попросить пройти по ссылке и ввести данные учетной записи, открыть вложенный файл, переслать документы. Такие же атаки можно смоделировать через соцсети, мессенджеры, телефоны и другие каналы. Если кто-то из сотрудников выполнил просьбу, то атаку можно считать успешной. Это хороший повод провести еще один тренинг с коллегами и объяснить основные принципы безопасности.
Вместе с человеческим фактором сотрудники службы инфобезопасности в рамках редтиминга отрабатывают и угрозы, связанные с информационными системами — уязвимости в удаленных каналах, приложениях, защите информации и т. д. Это позволяет тестировать уровень защиты конкретных элементов и приложений, проверять защищенность на сетевом и системном уровне.
Кому полезно моделирование угроз
Сегодня, когда почти все сферы жизни и бизнеса уже цифровизированы, информационная безопасность важна для любой компании, независимо от сферы деятельности. Если у бизнеса нельзя украсть деньги или информацию, то вполне можно, например, проникнуть в сеть и установить на компьютеры программы для майнинга, или использовать эту сеть для маскировки при атаках на другом конце земного шара. Вариантов много, а фантазия у злоумышленников весьма богатая.
При этом важно понимать, что редтиминг не равно кибербезопасность — это только один из множества ее элементов. И применять его нужно тогда, когда у вас уже выстроена система информационной безопасности, даже если вы до сих пор глобально не вкладывались в ее развитие.