Tüm bilgisayar korsanları kötü haber değildir! Kırmızı takım bilgisayar korsanları, verilerinize erişmeye çalışacak, ancak fedakar amaçlarla...
Red teaming, bilgisayar ağlarını, uygulamalarını ve sistemlerini test etme, saldırma ve sızma eylemidir. Red teamers, kuruluşlar tarafından güvenlik mimarilerini test etmek için işe alınan etik hackerlardır. Kırmızı ekibin nihai hedefi, bir bilgisayardaki sorunları ve güvenlik açıklarını bulmak (ve bazen bunlara neden olmak) ve bunlardan yararlanmaktır.
Red Teaming Neden Önemli?
Hassas verileri ve sistemleri koruması gereken bir kuruluş için kırmızı ekip oluşturma, işe alımları içerir. siber güvenlik operatörleri, güvenlik mimarisini kötü amaçlı yazılımlardan önce test etmek, saldırmak ve sızmak için bilgisayar korsanları yapar. Bir saldırıyı simüle etmek için dostlar edinmenin karşılaştırmalı maliyeti, saldırganların yaptığından katlanarak daha azdır.
Bu nedenle, kırmızı ekip üyeleri esasen dış bilgisayar korsanlarının rolünü oynar; sadece niyetleri kötü niyetli değildir. Bunun yerine, operatörler güvenlik açıklarını bulmak ve bunlardan yararlanmak için bilgisayar korsanlığı hileleri, araçları ve teknikleri kullanır. Ayrıca, şirketin alınan dersleri genel güvenlik mimarisini iyileştirmek için kullanabilmesi için süreci belgeliyorlar.
Kırmızı ekip önemlidir, çünkü sırları olan şirketler (ve hatta bireyler), rakiplerin krallığın anahtarlarını ele geçirmesine izin veremez. En azından bir ihlal, gelir kaybına, uyumluluk kurumlarının para cezalarına, müşterilerin güvenini kaybetmesine ve halkın utanmasına neden olabilir. En kötü ihtimalle, düşmanca bir ihlal iflasla, bir şirketin onarılamaz şekilde çökmesiyle ve Milyonlarca müşteriyi etkileyen kimlik hırsızlığı.
Kırmızı Takım Örneği Nedir?
Kırmızı takım oluşturma, oldukça senaryo odaklıdır. Örneğin, bir müzik prodüksiyon şirketi kırmızı takım operatörlerini işe alabilir sızıntıları önlemek için güvenlik önlemlerini test etmek. Operatörler, sanatçıların fikri mülkiyetini içeren veri sürücülerine erişimi olan kişileri içeren senaryolar oluşturur.
Bu senaryodaki amaç, bu dosyalara erişim ayrıcalıklarından ödün vermede en etkili olan saldırıları test etmek olabilir. Başka bir amaç, bir saldırganın bir giriş noktasından yanal olarak ne kadar kolay hareket edebildiğini ve çalınan ana kayıtları sızdırabildiğini test etmek olabilir.
Kırmızı Takımın Hedefleri Nelerdir?
Kırmızı ekip, yakalanmadan kısa sürede mümkün olduğunca çok güvenlik açığı bulmaya ve bunlardan yararlanmaya koyulur. Bir siber güvenlik tatbikatındaki asıl hedefler kuruluşlar arasında değişiklik gösterse de, kırmızı ekiplerin genel olarak aşağıdaki hedefleri vardır:
- Gerçek dünyadaki tehditleri modelleyin.
- Ağ ve yazılım zayıflıklarını belirleyin.
- İyileştirilecek alanları belirleyin.
- Güvenlik protokollerinin etkinliğini derecelendirin.
Kırmızı Takım Nasıl Çalışır?
Kırmızı ekip, bir şirket (veya birey) savunmalarını test etmek ve değerlendirmek için siber güvenlik operatörleri tuttuğunda başlar. İşe alındıktan sonra, iş dört katılım aşamasından geçer: planlama, uygulama, temizleme ve raporlama.
Planlama evresi
Planlama aşamasında müşteri ve kırmızı ekip, katılımın hedeflerini ve kapsamını tanımlar. Yetkili hedefleri (ve tatbikatın dışında bırakılan varlıkları), ortamı (fiziksel ve dijital), angajman süresini, maliyetleri ve diğer lojistiği tanımladıkları yer burasıdır. Her iki taraf da tatbikata rehberlik edecek angajman kurallarını oluşturur.
Yürütme Aşaması
Yürütme aşaması, kırmızı ekip operatörlerinin güvenlik açıklarını bulmak ve bunlardan yararlanmak için ellerinden geleni yaptıkları yerdir. Bunu gizlice yapmalı ve hedeflerinin mevcut karşı önlemleri veya güvenlik protokolleri tarafından yakalanmaktan kaçınmalıdırlar. Kırmızı takım oyuncuları, Rakip Taktikler, Teknikler ve Ortak Bilgi (ATT&CK) matrisinde çeşitli taktikler kullanır.
ATT&CK matrisi saldırganların güvenlik mimarilerine erişmek, devam etmek ve bunlar arasında hareket etmek için kullandıkları çerçeveleri de içerir nasıl veri topladıklarını ve güvenliği ihlal edilmiş mimariyle iletişimi nasıl sürdürdüklerini saldırı.
Kullanabilecekleri bazı teknikler araba sürme saldırılarını içerir, sosyal mühendislik, kimlik avı, ağ koklama, kimlik bilgileri dökümü, ve bağlantı noktası taraması.
Sanitasyon Aşaması
Bu temizlik dönemidir. Burada, kırmızı takım operatörleri yarım kalmış işleri birleştirir ve saldırılarının izlerini siler. Örneğin, belirli dizinlere erişim, günlükleri ve meta verileri bırakabilir. Kırmızı takımın temizlik aşamasındaki amacı bu günlükleri temizlemektir. ve meta verileri fırçala.
Ayrıca yürütme aşamasında güvenlik mimarisinde yaptıkları değişiklikleri de geri alırlar. Bu, güvenlik kontrollerini sıfırlamayı, erişim ayrıcalıklarını iptal etmeyi, baypasları veya arka kapıları kapatmayı, kötü amaçlı yazılımları kaldırmayı ve dosyalarda veya komut dosyalarında yapılan değişiklikleri geri yüklemeyi içerir.
Sanat çoğu zaman hayatı taklit eder. Sanitasyon önemlidir çünkü kırmızı ekip operatörleri, savunma ekibi bir şeyleri düzeltmeden önce kötü niyetli bilgisayar korsanlarının önünü açmaktan kaçınmak ister.
Raporlama Aşaması
Bu aşamada kırmızı ekip, eylemlerini ve sonuçlarını açıklayan bir belge hazırlar. Raporda ayrıca gözlemler, ampirik bulgular ve güvenlik açıklarına yama yapılmasına yönelik öneriler yer alıyor. Ayrıca, istismar edilen mimariyi ve protokolleri güvence altına almak için yönergeler içerebilir.
Kırmızı takım raporlarının formatı genellikle bir şablonu takip eder. Raporların çoğu, angajmanın amaçlarını, kapsamını ve kurallarını ana hatlarıyla belirtir; eylemlerin ve sonuçların günlükleri; sonuçlar; bu sonuçları mümkün kılan koşullar; ve saldırı diyagramı. Genellikle yetkili hedeflerin ve güvenlik varlıklarının güvenlik risklerini derecelendirmek için bir bölüm vardır.
Kırmızı Takımdan Sonra Sırada Ne Var?
Şirketler genellikle güvenlik sistemlerini tanımlanmış bir kapsam veya senaryo dahilinde savaş testi yapmak için kırmızı ekipler tutar. Kırmızı ekip çatışmasının ardından, savunma ekibi (yani mavi ekip), bilinen ve sıfır gün tehditlerine karşı güvenlik yeteneklerini geliştirmek için öğrenilen dersleri kullanır. Ancak saldırganlar etrafta beklemezler. Siber güvenliğin değişen durumu ve hızla gelişen tehditler göz önüne alındığında, güvenlik mimarisini test etme ve iyileştirme işi asla tam olarak bitmez.
