Red Teaming operations aneb povolení krást, lhát a podvádět

24. 11. 2022

 

Jakkoli na Západě už je považovaná za standard, v České republice patří služba Red Teaming Operations stále ještě k těm méně běžným. Jedná se o komplexní způsob testování, které dokáže věrně simulovat nebezpečné útoky nejen na technologie a procesy ve firmě, ale i na její zaměstnance a fyzické prostředí. A to za pomoci dost nestandardních metod. Jakkoli na Západě už je považovaná za standard, v České republice patří služba Red Teaming Operations stále ještě k těm méně běžným. Jedná se o komplexní způsob testování, které dokáže věrně simulovat nebezpečné útoky nejen na technologie a procesy ve firmě, ale i na její zaměstnance a fyzické prostředí. A to za pomoci dost nestandardních metod. 

Je čas oběda a kanceláře nejmenované firmy se vylidňují. Jeden ze zaměstnanců si při odchodu všimne, že před zabezpečeným vstupem do datového centra postává doručovatel s rozměrnou krabicí s novým monitorem. Zaměstnanec se rychle vrátí a pouští chlapíka dovnitř. Jakmile je muž z dohledu, odhodí prázdnou krabici a pustí se do „práce“. Firemní server právě mění majitele.

KAŽDÝ ÚSPĚŠNÝ PODRAZ SE POČÍTÁ

Obcházejí ochrany a prolamují kódy. Lidé z Red Teamu se vydávají za řemeslníky, doručovatele nebo obchodní partnery. Během oběda odposlouchávají hovory, aby získané informace následně šikovně využili. Procházejí osobní profily na sociálních sítích, probírají se firemními odpadky, rozbíjejí okénka u aut, aby se dostali k cizímu odloženému notebooku…

Říká se jim Red Teaming Operations a v České republice je umí poskytnout jen pár povolaných včetně cybersecurity týmu Aricomy. Tato služba dokáže velice věrně simulovat útoky, a to nejen na technologie a procesy, ale i na lidi a fyzické prostředí klienta. A je to právě testování fyzického zabezpečení organizace, které ze všeho nejvíc připomíná bojové cvičení.

Proč vlastně jedná Red Team tak extrémně ofenzivně? Na počátku obvykle stojí snaha vedení firmy poctivě nahlédnout reálnou úroveň zabezpečení společnosti.

PROČ PROLAMOVAT KÓDY, KDYŽ MŮŽU UKRÁST SERVER

Většina organizací chápe problematiku zabezpečení svých systémů a dat především jako otázku nasazení odpovídajících technologií a postupů. Zodpovědné firmy tak dnes pravidelně skenují za pomoci automatizovaných nástrojů své zranitelnosti, aby prověřily co nejširší škálu používaných zařízení. Tento přístup však nejde příliš do hloubky, proto se zájemci často obracejí na poskytovatele sofistikovanějších služeb, například penetračních testů.

Jejich smyslem je prostřednictvím simulovaných útoků detekovat co nejvíce zranitelností. Experti při nich cílí na nalezení chyb v aplikacích či v infrastruktuře firmy a kontrolují úroveň jejich zabezpečení. Přesto je třeba mít na paměti, že se jedná o čistě metodický přístup, který nedokáže otestovat absolutní reálnou připravenost a pomoci firmě čelit pokročilým kybernetickým hrozbám.

A proto je tu ještě třetí možnost, ta nejkomplexnější. Totiž přijmout fakt, že bezpečnost firmy ovlivňují vedle technologií a procesů i takové faktory, jako jsou lidé se svými nedostatky nebo fyzické prostředí společnosti. Kyberzločinci nepřemýšlejí výhradně v rovině prolamování kódů a obcházení technologií. Někdy si raději počkají na správnou chvilku, vejdou do místnosti a vyškubnou server.

VZDĚLÁNÍ? PH.D. PRACOVNÍ NÁPLŇ? DUMSTER DIVING

Na začátku red teamingové spolupráce stojí na jedné straně zájem firmy a na druhé straně seriózní poskytovatel odpovídajících služeb. Díky tomu, že Aricoma dokáže red teamingové operace přizpůsobit na míru každé společnosti bez ohledu na její velikost či odvětví, není problém ujasnit si hned na počátku základní podmínky, včetně povolených postupů, a celý rozsah cvičení.

Za schválením akce stojí White Team, který tvoří úzká skupinka zasvěcených členů managementu společnosti. Simulovaný útok Red Teamu má za úkol prověřit jak kybernetickou a fyzickou bezpečnost, tak interní procesy a komunikaci Blue Teamu. To může být celá firma nebo jen nic netušící skupina security specialistů společnosti, jejichž pracovní náplní je detekovat útoky a provádět nutná protiopatření. 

Nastavení rámce toho, jaké postupy jsou při red teamingové operaci ještě přijatelné, je citlivá věc. Po dohodě s White Teamem lze rozbít okno u auta a ukrást z něj notebook, běžný je dumster diving, tedy přehrabování se v odpadu firmy. Právně, respektive eticky spornější případy red teamingových operací mohou zahrnovat dokonce i únos nebo snahu o navázání poměru s vytipovanou osobou za účelem přístupu k citlivým firemním informacím.

REÁLNÍ ÚTOČNÍCI KAŠLOU NA PRAVIDLA HRY

Ať už však White Team svolí k jakýmkoli postupům, může Red Team poté, co jsou vymezeny cíle, třeba infiltrace do budovy, kompromitace serverů, zcizení citlivých e-mailů a podobně, přistoupit k plánování akce. Ta začíná pečlivou přípravou, sběrem a vyhodnocováním informací, na jejichž základě jsou vypracovány finální vektory útoků.

V den D Red Team udeří, často na několika frontách, aby odvedl pozornost od útoku na hlavní cíle. Součástí této fáze je i detailní dokumentování a záznam všech aktivit. Hlavním smyslem operace není někoho nachytat, ale poskytnout cennou zpětnou vazbu, což se provádí jak prostřednictvím následného rozboru s Blue Teamem, tak podrobným souhrnným reportem.

Celý zhruba tříměsíční projekt končí prezentací výsledků operace pro management a předáním dokumentace v podobě odborné analýzy aktuálního stavu zabezpečení společnosti, včetně detailního výpisu všech aktivit umožňujících překonání stávajících obranných mechanismů. Stále častěji se totiž ukazuje, že jedna věc je disponovat špičkovými technologiemi určenými k zabezpečení infrastruktury firmy, jiná pak to, zda je společnost schopná adaptovat se na stále zákeřnější metody a taktiky útočníků.

Útoky přes kurýrní služby i úřady. Hackeři jdou pořád blíž k lidem

25. 10. 2023

 

Když se kyberbezpečnostní experti antivirové firmy ESET dívají do statistik technologických útoků za poslední dva tři roky, můžou podat různé zprávy. Jejich data ukazují, že Česko se navzdory různým pochybám stalo vyspělou ekonomikou se vším všudy, čelí totiž útokům stejné míry a závažnosti jako jakékoliv západní země. Jasně z nich plyne i to, že množství detekovaného malwaru a hlavně phishingu rychle roste. Má nové formy, rozeznat je je čím dál složitější a ukazuje se, že celé hackerské prostředí se obchodně profesionalizuje. O tom všem mluvili na zářijové konferenci Aricomy Techfórum.

Konec „papírování“. AI promění kancelářskou práci, predikuje Microsoft

20. 10. 2023

 

Internet, mobilní telefon a umělá inteligence. To jsou tři největší technologické zlomy našeho věku. Říká to Petr Karásek, manažer, který má v Microsoftu na starost strategii produktů Power Platform mířících do střední a východní Evropy, na Blízký východ i do Afriky. Zatímco u internetu a mobilních telefonů už velmi dobře víme, co přinesly, u umělé inteligence máme pořád spíš očekávání. Karásek v Microsoftu působí 21 let, celou svoji kariéru se zabýval podnikovými systémy a nástroji pro efektivizaci chodu firem a v rozhovoru naznačuje, kde všude se nástup nové technologie projeví.

Jak umělá inteligence pomáhá lékařům v oblasti popálenin?

13. 9. 2023

 

Pozor, tohle téma opravdu bolí. Společně s Jitkou Schořovou a Miroslavem „Mikim“ Volkem se totiž budeme bavit o popáleninách. Konkrétně o tom, jakým způsobem mohou do diagnostiky popálenin vstoupit data, anotace, umělá inteligence, mobilní aplikace nebo pokročilé metody rozpoznávání obrazu. Právě takový úkol totiž od největšího popáleninového centra v České republice (a jednoho z největších v Evropě) Fakultní nemocnice Královské Vinohrady dostal tým vývojářů společnosti SYSCOM Software. A ta už je – konkrétně od začátku letošního léta – součástí největší české IT skupiny Aricoma.