• Red Teaming ja Recon
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

Mitä tämä on?

Kybertiedustelu (recon / reconnaissance) ja Red Teaming voidaan tehdä erillisinä projekteina, mutta ne toimivat hyvin myös yhdistetyinä. Yrityksen näkökulmasta voi olla hyvä ajatus tehdä ensin perusteellinen kybertiedustelu jotta ymmärrettäisiin kattavasti mahdollisten rikollisten toimijoiden näkemyksiä organisaatiosta – eikä vain teknisessä mielessä. Kybertiedustelu voi tarjota hyvää tietoa ja päivityksiä riskirekisteriin ja syvälliseen uhkamallinnukseen valmistautumiseen.

Vaikka tiedusteluvaihe voi tuntua – ihan oikeutetusti – hiukan teoreettiselta, Red Teaming -harjoituksessa tiedustelun tulokset ja Red Teaming -ryhmän taidot laitetaan testiin. Testissä yritysten puolustukset kaadetaan – lukuunottamatta sellaisia kohteita, jotka yritys on erityisesti rajannut ulos. Muutoin rajoituksia ei ole.

Mitä kybertiedustelulla tarkoitetaan

Kybertiedustelu on se, mitä tehdään, kun halutaan saada mahdollisimman paljon tietoa mahdollisesta vihollisesta – alkuperäinen termi recon:han on loppujen lopuksi sotilaallinen termi. Vihollinen, tai tässä tapauksessa kohde, on asiakkaamme. Kaikki testissä tehtävä tiedustelu on sekä eettistä että laillista. Emme käytä mitään tekniikoita, joista voisi seurata rikosvastuuta tai -seuraamuksia kenellekään osapuolelle. Kybertiedustelun aikana muodostetaan kuva kyberympäristöstä, näkemyksen, kuinka vihollisesi näkevät sinut. Kybertiedustelu antaa tietenkin myös käsityksen siitä, kuinka altis yritys voi olla satunnaisille hyökkäyksille sekä mahdollisille ”p-skaa tuuria” -tyyppisille skenaarioille.

Tärkein syy tiedustelun tekemiseen on yksinkertaisesti selvittää yrityksen tietoturvan taso. Vastustaja tietää heikkoutesi – samoin pitäisi sinunkin tietää. Tiedustelussa käytetään useita erilaisia erilaisia tekniikoita uhkien ja riskien arvioimiseksi. Jotkut niistä ovat vakiomentelmiä – toiset voivat olla yritys- tai domain-kohtaisia.

On hyvä ymmärtää, että tehokas tiedustelu voi viedä aikaa. Todennäköisesti se kestää pidempään kuin keskimäärin pentest. Tiedustelu voi myös tarkoittaa vain odottamista, että jotain tapahtuu. Emme voi kertoa, uhkaavatko sinua karhut, ellemme istuudu alas ja odota niiden tulevan esiin. Jatkamalla analogiaa - kybertiedustelun perusteella saatetaan päätyä johtopäätökseen, että karhuja todennäköisesti on olemassa, mutta ei juuri tässä eikä ne siten muodosta ongelmaa.
Jarmo Puttonen
Jarmo PuttonenLead Hacker
Jatkuva kybertiedustelu tarjoaa jatkuvasti ajan tasalla olevaa tietoa siitä, mitä tapahtuu. Tästä on erityisesti hyötyä organisaatioille, joilla on monimutkaiset rakenteet, useita arvokkaita assetteja ja monia sidosryhmiä.
Whois-tietojen tutkiminen
Tutkitaan yrityksen verkkosivuilta tietoja organisaatiosta ja henkilöstöstä
Selvitetään yrityksen menneisyydestä tietoja, jotka se saataa haluta unohtaa - the Wayback machine
Käytetään Shodania etsimään helppoja kohteita olemassolevista asseteista
Previous slide
Next slide

Kybertiedustelumenetelmät

Seuravassa on lueteltu muutamia esimerkkejä, joita kybertiedustelutoimeksianto voi sisältää:

  • Tarkastelemme yrityksen verkkosivuilta organisaatiotietoja ja henkilöstöä
  • Hakukoneen avulla parannetaan edelleen ymmärrystä organisaatiosta ja sen asseteista – mukaan lukien ei-julkinen tieto
  • Katsotaan työpaikkailmoituksista tietoa teknologioista ja infrastruktuurista
  • Työntekijöiden vuotaneiden valtuuksien etsiminen
  • Selvitetään yrityksen menneisyydestä tietoja, jotka se saattaa haluta unohtaa – the Wayback machine
  • Käytetään Shodania etsimään helppoja kohteita olemassa olevista asseteista
  • Whois-tietojen tutkiminen
  • Perehdytään sertifikaatteihin (certificate transparency logs)
  • Kaivellaan tallennuspalvelimien – ”bucketien” – sisältöjä

Lisätietoja Red Teamingistä

Tunkeutumistesti (pentest/penetration test) on rajoitettu sekä (kalenteri)ajan että laajuuden suhteen. Testi on hyvä menetelmä selvittää heikkoudet jostain tietystä tärkeästä kohteesta – web-sovelluksesta, palvelimesta tai pilvipalvelusta. Red Team keskittyy puolestaan laajempaan kuvaan tietoturvasta. Red Teaming ei välitä missä sovelluksessa, missä palvelussa, missä kokoonpanossa – tai ovessa – haavoittuvuus on. Kun haavoittuvuus on löydetty, keskitytään sen hyväksikäyttöön. Tämän ansiosta Red Teaming antaa realistisia ja todellisia tuloksia siitä, kuinka vastustajat ajattelevat ja toimivat. Tietysti kaikki aiemmissa penteissä havaitut haavoittuvuudet on jo korjattu – luonnollisesti. Red Team käyttää täysillä uudelleen aikaisempia havaintoja – tavalla tai toisella havaituja heikkouksia.
Red Teamingiin tarvittavat resurssit ovat hyvin erilaisia ​​kuin pentestaukseen tarvittavat. Red Teaming – jopa digitaaliset lähestymistavat (jotka eivät sisällä fyysistä sisäänpääsyä) saattava tarvita aikaa menestyäkseen. Se voi myös vaatia aikaa olla vain hiljaaa – ja pysyä lepotilassa.
Red Teaming kohdistuu kaikkiin resursseihin - teknisiin, fyysisiin ja inhimillisiin. Red Teamit pysyvät kuitenkin laillisten rajojen sisällä - ja mikä vielä tärkeämpää, mitään elävää olentoa ei koskaan (koskaan) vahingoiteta.
Thomas Malmberg
Thomas MalmbergQuality Assessment
Hakukoneen avulla parannetaan edelleen ymmärrystä organisaatiosta ja sen asseteista - mukaan lukien ei-julkinen tieto
Työntekijöiden vuotaneiden valtuuksien etsiminen
Katsotaan työpaikkailmoituksista tietoa teknologioista ja infrastruktuurista
Perehdytään sertifikaatteihin (certificate transparency logs)
Kaivellaan tallennuspalvelimien - "bucketien" - sisältöjä
Previous slide
Next slide

Red Teaming -menelmät

Red Teaming -taktiikka ja -työkalut.

  • Phishing / tiedon kalastelu
  • Sosiaalinen manipulointi
  • USB-tartuttaminen
  • Hakkerointi
  • Skannaus
  • Ovien avaaminen (ja sulkeminen)
  • Odotetaan – toistetaan – ja odotetaan vielä lisää

Mistä, miten ja milloin aloitamme?

Olemme täällä auttamassa. Teemme kertaluonteisia tarkistuksia sekä jatkuvaa toimintaa, jotka tarjoavat jatkuvasti ajantasalla olevaa tietoa organisaatiostasi tilasta. Voimme tehdä kertaluonteisia Red Teaming -testejä tai tehdä vuosisopimuksen, jolla yllätetään muutaman kerran vuoden aikana. Avataan peli – eilen. Olette ehkä jo vuotaneet tietoa pitkään. Tietonne ovat jo siellä muiden löydettävissä. Aloittakaa nyt, valmistautukaa puolustamaan ja taistelemaan. Puolustustaistelu tietenkin alkaa vasta kun Blue Team tulee mukaan – mutta se on aivan eri tarina.
Mint Security people

Tietoturvatestaus

Tietoturvatestaus lyhyesti Yleinen sovellusten ja järjestelmien tietoturvan arviointiin käytetty työkalu on tunkeutumistestaus. Rakkaalla lapsella on monta nimeä, ja tunkeutumistestaus tunnetaan myös nimellä pentest eli englanniksi

Lue lisää »
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.