Red Teaming, Informationsteknologi (IT), Bureau Veritas

Test jeres Cyber security med Red teaming

Jeres virksomhed bliver angrebet. Antallet af målrettede og opportunistisk angreb, der udføres med finesse, stiger. Cyber-svindel, ransomware, angreb af forsyningskæder eller insider-trusler er bare nogle af de farer, vi står overfor. Test ved hjælp af Red Teaming, hvor godt jeres cyber-forsvar modstår realistiske, ondsindede aktører.

At forberede jeres virksomhed på sådanne omstændigheder kræver mere end blot at indføre sikkerhedskontroller. Det kræver også, at I træner jeres blå team i at reagere korrekt på disse situationer, som har en stor indflydelse. Den største gevinst ved at foretage en Red Teaming-vurdering, udover at man finder hidtil ukendte sårbarheder, er at jeres forsvarer får mulighed for at opleve et reelt angreb under trygge omstændigheder.

Hvad er Red Teaming?

Red Teaming er en sikkerhedsdisciplin, der stammer fra militæret, og som simulerer bredspektrede cyber-attacks. Dette gør jer i stand til at måle effektiviteten af jeres cyber-forsvar op mod ondsindede aktører og giver jeres forsvarer mulighed for at udøve sporing og svarmuligheder i et kontrolleret miljø og validere eller raffinere disse. Sidst men ikke mindst kan Red Teaming også påvise huller i jeres generelle sikkerhedsforsvar ved at være målrettet jeres virksomhed og ikke være begrænset af en almindelig penetrationstest.

Formålet er at finde ud af, hvor gode I er til at opdage spearphishing-angreb fra sofistikerede cybercrime-aktører, eller om jeres sporing evner at opfange Advanced Persistent Threats (APTs). I sådanne tilfælde er der kun én måde at finde ud af det på: at teste processerne ved at udføre angreb, som en ondsindet angriber ville gøre det. Det røde team simulerer angrebet. Det blå team, som er ansvarlig for forsvaret, kan involveres på forskellige måder (eller slet ikke). Det hvide team (observatørerne) kan eskalere og deeskalere, hvis det er nødvendigt.

Processen med Red Teaming

Fase 1 – Planlægning og forberedelse

Processen starter med planlægning og omhyggelig forberedelse. En dedikeret projektleder arbejder sammen med det røde team og det hvide team om at skabe en tidsplan og retningslinjer. Under hele forløbet følges tidsplanen og tilrettes om nødvendigt. Risici og scenarier vurderes løbende. Det røde team kommunikerer hele tiden med det Hvide Team via ugentlige aftalte møder, en sikker chatgruppe og eventuel yderligere telefonisk kontakt. Dette sikrer, at det Hvide Team har fuld kontrol over angrebet.
 

Fase 2 - Angrebet

Efter omhyggelige overvejelser og planlægning starter vores konsulenter et angreb og forsøger at få adgang til jeres såkaldte ‘kronjuveler’ på alle mulige måder. Afhængig af målet anvender Secura en blanding af offensiv social manipulation og angrebsteknikker på computernetværk, som en ægte ondsindet aktør. Tekniker, der anvendes, er en ”hemmelig gæst”, phishing, vishing, angreb via internettet og angreb på jeres interne netværk.
 

Fase 3 – Afsluttende oprydning

Når først angrebet er ovre, begynder den såkaldte afsluttende oprydning. Denne fase indebærer ikke bare håndteringen af de overskydende digitale rester i forbindelse med de udførte angreb. Det indebærer også, at det blå team afholder et eller flere evalueringsmøder, hvor hele tidsplanen gentages på en workshop, som maksimerer læring og årvågenhed. Slutresultatet i denne fase er en detaljeret teknisk rapport og indblik i jeres trusselsbillede og jeres generelle sikkerhedsparathed.
 

Red teaming-typer

Red Teaming bliver mere og mere populært inden for alle brancher som en sikkerhedsdisciplin – lige fra finanssektoren til offentlige institutioner og endda inden for (kritisk) industri. Secura mener dog, at der ikke kun findes ét Red Teaming-program, som passer til alle virksomheder. Derfor anvender Secura forskellige serviceniveauer i forbindelse med Red Teaming. Der differentieres i det røde teams vurderingsdybde, variation og varighed. Dermed kan I sammen med vores Red Team-manager selv vælge, hvilket serviceniveau der er det rette for jeres virksomhed og budget. Fuldserviceniveauerne arbejder med MITRE ATT&CK framework og tilbyder muligheden for at arbejde i et lilla team set-up (en fælles indsats mellem rødt og blåt team).

Red Teaming-modul

Er du klar til skridtet efter pentesting? Denne modulære tilgang anvender styrker og fordele ved fuldskala Red Teaming-vurderinger ved at vælge de mest relevante angreb for din virksomhed. Det røde Teams kløgt er sekundært i forbindelse med at nå målene. Dette – kombineret med allerede afgivne oplysninger om jeres virksomhed – resulterer i et attraktivt budget, mens jeres mål stadig er medarbejdernes fokus på sikkerhed og jeres virksomheds digitale sikkerhed.

Kernen i Red Teaming

Kernen i Red Teaming er et fuldt udviklet, simuleret angreb rettet mod mellemstore og store virksomheder, som har deres egne blå teams. Denne type komprimerer omfattende landskabsanalyser og rekognoscering til udfordrende angrebsscenarier. Disse scenarier er baseret på ægte trusselsaktører, og Secura forsøger at overgå disse grupper ved at anvende lignende teknikker, taktikker og procedurer (TTP’er) som defineret i MITRE ATT&CK Framework. For at opretholde et gunstige budget taler man allerede fra starten om såkaldte Leg Up’s for at sikre, at vurderingen kan fortsætte, når jeres forsvar inden for et specifikt område allerede er tilstrækkeligt til at forsinke det røde team.

Red Teaming Pro

Pro-varianten af Red Teaming er et trin op for virksomheder med højtudviklede blå teams og en god cyber-robusthed. At angribe en fuldt udviklet virksomhed som jeres kræver meget mere af det røde team i forbindelse med fx implementeringen af malware, som omgår jeres EDR-løsning. Her arbejder det røde team som en fuldstændig selvstændig gruppe, og Leg Up-scenarier anvendes kun som en sidste udvej. Red Teaming Pro er den mest realistiske simulering af angreb fra Advanced Persistent Threats (APT) mod jeres virksomhed.

Red Teaming i OT

Tilsvarende vores Red Teaming Pro service, men med særlig fokus på at genere et mindre antal simulerede hændelser med stor indflydelse på jeres ICS- og SCADA-kontrolsystemer. Angribere, som går målrettet efter disse miljøer, anvender forskellig taktik, som kræver en skræddersyet proces til at reducere eventuelle risici i driftsmiljøet.

TIBER

TIBER står for Threat Intelligence Based Ethical Red Teaming og er en del af den finansielle sektors bestræbelser på at forbedre cyber-robusthed under vejledning fra den hollandske nationalbank. Flere cybersikkerhedssystemer og regulativer nævner også TIBER-lignende tests i andre brancher. Secura arbejder sammen med jer for at sikre, at jeres virksomhed testes iht. de relevante krav.

Securas erfaring med Red Teaming, kombineret med vores formåen, passion og TIBER-specifikke erfaring, giver vores kunden det bedst mulige grundlag for en ren, stabil udførelse og styring af TIBER-aftaler. Derfor kan Secura være jeres Red Teaming Provider (RTP), så I overholder kravene til en Red Teaming Provider (RTP) i TIBER-NL-retningslinjerne.
Læs mere om TIBER.

ZORRO

ZORRO står for "ZOrg Red teaming Resilience Exercises." Målet med dette system, som er udviklet af Z-CERT, er at forbedre cyber-robustheden strukturmæssigt hos deltagende leverandører af sundhedsydelser og sundhedsindustrien generelt.

Secura tilbyder et omkostningseffektivt testprogram, som lever op til kravene i ZORRO-metodologien. For at få adgang og lov til at teste iht. ZORRO er der allerede indgået aftaler mellem Secura, Z-CERT og sundhedsorganisationen.

Krisestyring

Secura konfrontere jeres krisestyringsteam med en udfordrende og realistisk cyber-trusselshændelse for at teste samarbejdet og koordineringen. Ved en 1-dags skriveborgsøvelse præsenteres jeres team for såkaldte indsprøjtninger, som giver en realistisk fornemmelse i et simuleret og kontrolleret miljø. Den slags skrivebordsøvelser er fordelagtige i forbindelse med udviklingen af jeres evner til at håndtere cyber-kriser og til at forberede teamet på andre hændelser, der kan få stor betydning.
 

Hvad opnår I ved at udføre en Red Teaming-vurdering?

Red Teaming er meget anderledes end det traditionelle Pentesting. Et rødt team kan kombinere sårbarheder fra forskellige angrebsklasser fx social manipulation og angreb på ekstern infrastruktur for at finde ellers ukendte svagheder. Dette er modsat pentests, hvor rammerne er begrænset til et enkelt netværk eller program.

Red Teaming tester dine forsvareres evne til at opdage, besvare og afbøde angreb i realistiske rammer. De uddannes i at reagere under et rigtigt angreb, og det viser dem, hvor det er nødvendigt at forbedre deres sporingsevner.

Det røde, blå, hvide og lilla team

De røde team

Under en red teaming-vurdering indtager det røde team rollen som en fjendtlig angriber, som udfordrer virksomhedens cyber security. I den forbindelse simuleres realistiske angrebsscenarier. Dvs. forsvarerne ved ikke (helt), hvad det røde team gør. Det er ofte kun få personer, der er klar over, at en RT-vurdering udføres, for at sikre at denne ”digitale brandøvelse” forekommer så autentisk som muligt. Derfor er det nødvendigt også at udnævne nogle teams hos kunden.

Det blå team

Det blå team er ansvarlig for at forsvare netværk, systemer og programmer. Dette er jeres vigtigste aktiver, når I skal opfange, besvare og afbøde cyberangreb. Dette team er generelt uvidende om simuleringen for at øge autenticiteten og teste reaktionen.

Det hvide team

Det hvide team er linket mellem det røde og det blå team. Det hvide team består af medarbejdere fra jeres virksomhed og Secura, som kan eskalere og deeskalere med det blå og det røde team. Det røde team informerer det hvide team om alle angreb, og de har mandat til at starte, stoppe og godkende angreb.

Det lilla team

Generelt informeres det blå team ikke om simuleringen for at øge autenticiteten og teste reaktionen. I nogle tilfælde informeres det blå team ud fra det røde teams vurdering, så der ikke spildes unødig tid, hvis de allerede er klar over, hvad der foregår. I sådanne tilfælde inddrages det blå team hen ad vejen og kaldes derefter Purple Teaming.

Vores røde team

En angriber bruger et kolossalt arsenal af værktøjer til at misbruge alle forhold i jeres digitale sikkerhedteknologi, fysiske sikkerhed og menneskelige adfærd for at få adgang til jeres vigtigste kronjuveler. Det kræver et team af erfarne hackere og social engineers med den rette viden, bred erfaring og stor ekspertise at kunne imitere denne slags angreb. De seneste 20 år har Secura opbygget denne viden, erfaring og ekspertise i sine teams. Vores tværfaglige teams består af de allerbedste specialister med viden og erfaring inden for de tre sikkerhedsområder: teknologi, fysisk sikkerhed og menneskers adfærd.

Læs om cyber security eller vend tilbage til vores ydelser inden for informationsteknologi (IT).

Brug for os?

Står du over for en eller flere udfordringer inden for cyber security, som du ønsker, vi skal hjælpe med, er du velkommen til at kontakte os.

Peter Worck, Sales- & Training Manager
Telefon: +45 2250 6708 | Mail: peter.worck@bureauveritas.com