Red teaming kiinnostaa tällä hetkellä monia, ja termiä saatetaan käyttää otsikkona erilaisille teknisen tietoturvan toimille. Todellisuudessa red teaming on laaja osaamisalue, joka vaatii syvällistä teknistä osaamista ja kokemusta kyberuhkien torjunnasta. On olemassa määrämittaisia, reguloituja ja pitkiä TIBER-FI -toimeksiantoja ja avoimien lähteiden tiedustelun perusteella tehtyjä pitkälle kohdennettuja hyökkäyssimulaatioita. Kevyempiäkin malleja kuitenkin on, jos projektia halutaan lähteä toteuttamaan valmiilla ja tyypillisillä uhkaskenaarioilla ilman erityisen kattavaa tiedustelua ja asiakaskohtaista räätälöintiä.
Aidosti kyvykkäällä red teaming -palvelun toimittajalla on omaa kykyä kehittää hyökkäystyökaluja, suorittaa kattavaa haavoittuvuusanalyysiä ja pysyä ajan tasalla uusimmista hyökkäysvektoreista. Red teamingia toteuttavien asiantuntijoiden on oltava aallonharjalla kilpajuoksussa puolustavia työkaluja vastaan ja valmiina muuttamaan lähestymistapaa aina tarvittaessa myös toimeksiannon sisällä. Kyvykkyyttä on myös oikeantasoisen projektin valinta asiakkaan tietoturvan nykytaso huomioonottaen.
Eri tason red teaming -toteutukset eri tarpeisiin
Red teamingin tavoitteena on arvioida kohdeorganisaation kykyä havaita ja reagoida hyökkäyksiin. Painopiste on erityisesti sanoilla kohdeorganisaatio, havainnointi ja reagointi. Tämä tarkoittaa, että red teaming -harjoituksissa keskitytään siihen, kuinka hyvin organisaatio pystyy tunnistamaan hyökkäykset ja kuinka tehokkaasti se pystyy vastaamaan niihin. Red Teaming -harjoituksessa kohteena on koko organisaatio, sen käyttäjät ja tuotantojärjestelmät.
-
-
-
Vaativien asiakkaiden laaja red teaming
2NS:llä on kyvykkyys tarjota vaativimmillekin asiakkaille suunnattua uhkaohjautunutta ja laaja-alaista red teaming -palvelua. Esimerkiksi finanssialan asiakkaat voivat hyötyä palveluistamme, jotka noudattavat TIBER-FI-viitekehystä.
-
Kapeamman tarpeen red teaming valmiilla uhkamalleilla.
Tarjoamme myös red teaming -palveluita pienemmissä paketeissa, joissa hyödynnetään valmiita uhkamalleja ja kapeampaa hyökkäyspalettia. Kohteena on edelleen koko organisaatio, ja tavoitteena on arvioida sen havainnointikykyä ja reagointia. Vielä kapeammassa teknisessä testauksessa – penetraatiotestauksessa – kohteena on tyypillisesti vain yksi järjestelmä tai sovellus.
-
Table top red teaming -työpöytäharjoitus
Table top red teaming -palvelussa käydään läpi yksi tai useampi hyökkäysskenaario muutaman avainhenkilön kanssa. Tavoitteena on kirjata huomioita puolustuksesta, havainnoinnista ja reagoinnista. Hyökkääjäsimulaatiossa ei tehdä teknisiä tunkeutumisia, vaan edetään realistisen hyökkäysmallin ja -skenaarion mukaisesti työpöydän ääressä. Työpajamuotoisessa sessiossa pohditaan, mitkä uhkat ovat asiakkaalle relevantteja ja miten tunnistetut uhkatoimijat mahdollisesti hyödyntäisivät näitä uhkia hyökätessään kohti asiakasta. Palvelussa selvitetään, millaisia kontrolleja asiakasorganisaatiossa on toteutettu suojautumaan näiltä hyökkäyksiltä. Lisäksi arvioidaan, mistä löytyisi organisaation pehmeä kohta, jota hyökkääjä voisi käyttää päästäkseen käsiksi yrityksen tieto-omaisuuteen tai häiritäkseen liiketoimintaa.
-
-
Luonnollisesti palvelun ollessa kapeampi, myös toimeksiannon hintalappu on edullisempi. Vastaavasti laajempi ja tuotantojärjestelmissä tapahtuva testaus on hinnaltaan kalliimpaa. Jos red teaming kiinnostaa, mutta mietitte, onko oman organisaation havainnointi- tai reagointikyky valmis kohtaamaan red teamin, kannattaa aloittaa työpöytäharjoituksesta.
Esimerkkejä red teaming -palvelun syvyyksistä eri tilanteissa
Esimerkki 1: Asiakas valitsi työpöytämuotoisen red teaming -harjoituksen, koska tietoturvavalvonnan käyttöönotto oli vielä tekemättä. Tämä tarkoitti, että tunkeutujan havaitseminen olisi ollut epätodennäköistä. Työpöytämuotoisessa harjoituksessa voitiin helposti arvioida muiden suojaavien kontrollien toimintaa hyökkäyksen kohteena. Harjoitus toteutettiin reilussa kahdessa viikossa, ja siihen sisältyi hyökkäyksen valmistelu avointen lähteiden tiedustelun avulla. Asiakas sai kattavan raportin havaituista heikkouksista ja parannusehdotuksista, jotka oli helppo viedä kehityslistalle ja osin seuraavan vuoden tietoturvabudjettiin.
Esimerkki 2: Asiakas valitsi yksittäisen järjestelmän penetraatiotestauksen, keskittyen toimisto- ja tuotantoverkon väliseen yhdyskäytävään. Asiakasta huoletti, että verkkorikollinen voisi tunkeutua toimistoverkosta tuotantoverkkoon ja keskeyttää tehtaan toiminnan, vaarantaen koko yrityksen liiketoiminnan. Testaus toteutettiin kahdessa viikossa, ja testaajamme kävivät paikan päällä tehtaalla hyödyntäen moninaisia tunkeutumistestaajan työkaluja. Lopputuloksena asiakas sai raportin, joka paljasti löydetyn polun tuotantoverkkoon ja tarjosi konkreettisia ehdotuksia ongelmien korjaamiseksi
Esimerkki 3: Asiakas halusi todentaa tuoreet muutokset tietoturvavalvonnassaan ja tilasi täysimittaisen teknisen red teaming -harjoituksen. Asiakas luotti 2NS:n valmiisiin uhkatoimijamalleihin ja hyökkäysskenaarioihin, joten testasimme tietoturvasuojausten pitävyyttä ja havainnointikyvykkyyttä realistisella teknisellä hyökkäyksellä. Red Team -testaajamme saapuivat asiakkaan järjestelmiin omalla laskeutumisluvallaan, eikä heidän olemassaoloaan havaittu ennen kuin hyökkäyksen grande finalessa, jolloin toiminta nostettiin asteittain kohti huippua ja odotettiin kiinnijäämistä. Toimeksianto kesti kaksi kuukautta, sillä testaus oli aikataulutettava tuotantojärjestelmien hiljaisempaan vaiheeseen.
Esimerkki 4: Asiakas halusi selvittää, mitkä realistiset uhkat kohdistuvat juuri hänen organisaatioonsa. Aloitimme red teaming -uhka-analyysillä ja rakensimme hyökkäysskenaarion, joka perustui tietyn olemassa olevan ja realistisen uhkatoimijan tuoreimpiin toimintatapoihin. Toteutimme rauhallisen, hiljaa hyvä tulee -tyylisen hyökkäyksen, jonka tarkoituksena oli pysyä asiakkaan järjestelmissä pitkään ja tehdä myyräntöitä pinnan alla. Tällainen toteutus kestää usein kolmesta kuuteen kuukautta, sillä uhkamallin hahmottamisen jälkeen rakennetaan mallia vastaava tekninen hyökkäyskyvykkyys ja ajetaan se läpi huolellisesti asiakasympäristössä. Huolellista valmistautumistyötä ei kannata heittää hukkaan polttamalla sitä heti kirkkaalla liekillä puolustuksen verkkokalvoille ja valvontatiimin operaationäytöille.
Seuraava askel?
Tässä blogissa on kuvattu red teaming -palvelun eri tasoja erilaisten tarpeiden mukaiseen tietoturvan kehittämiseen. Näistä vaihtoehdoista voit lähteä valitsemaan organisaatiollenne sopivaa red teamingiä, joka toimii juuri teille optimaalisella panos-tuotos -suhteella täyttäen tavoitteenne ja toimialanne mukaan myös lainsäädännölliset tarpeet ja vaatimukset.
Me 2NS:llä olemme valmiina testaamaan Red Teamimme voimin sinunkin organisaatiosi, tuotantojärjestelmäsi ja havainnointikykysi. Millä mallilla lähdetään liikkeelle?