Павел Шлюндин, RedTeam brazzers: Во многих международных сертификациях по редтиму описываются техники и инструменты, которые неприменимы на реальных редтим-проектах

Насколько популярны услуги редтиминга в России сегодня? Чем он отличается от пентеста на практике? И какие специалисты обычно входят в красные команды? На вопросы Cyber Media ответил Павел Шлюндин, эксперт в области анализа защищенности и автор telegram-канала RedTeam brazzers.

Cyber Media: Насколько популярен ретдиминг как услуга в России? Какие компании за ней обращаются?

Павел Шлюндин: На мой взгляд, редтиминг актуален. Во многом это связано с высоким уровнем IT и ИБ в российских компаниях. Мне удалось поработать на зарубежных проектах, и есть с чем сравнивать.

Пока за услугами редтиминга в России чаще всего обращаются банки. Но в моей практике также были представители промышленного сектора, разработчики ПО и «ИТ-гиганты» российского рынка.

При этом в России всего 3-5 компаний, которые могут оказать качественные услуги редтиминга. Дело в том, что их невозможно запустить на пустом месте. Если вдруг компания захочет оказывать услуги редтиминга, то ей придется нанять очень дорогих специалистов, потратить месяцы, а то и годы на подготовку инструментов и методик. Также потребуются исследования в области ИБ, пентеста и разработка собственных инструментов.

Cyber Media: Кто сейчас входит в красные команды?

Павел Шлюндин: Сегодня типичная редтим-команда состоит из одного-двух сильных веберов, того же количества опытных внутрянщиков, программиста и лидера команды. Ситуативно к проекту могут подключаться реверсеры, социальные инженеры, специалисты по тестированию физической безопасности, а также специалисты по закладным устройствам и анализу беспроводных сетей.

Cyber Media: Что требуют от новичка? Какие скилы нужны, чтобы человек смог попасть в Red Team?

Павел Шлюндин: От начинающего специалиста в редтиминге в первую очередь ждут ответственности и командной работы. На втором месте идут профессиональные компетенции.

В проектах редтиминга все зависит от мелочей. Один маленький просчет на периметре, а особенно внутри сети, может компрометировать действия команды и сделать весь проект неуспешным для исполнителя.

Вот почему в своей практике мы используем командный подход к работе. Во время ответственной фазы атаки, которую проводит один специалист, все остальные наблюдают за процессом. Коллегиально принимаются все оперативные решения, а именно какие команды выполнять, как и какими техниками развивать атаку до конца – закрепления в системе и сокрытия следов.

Cyber Media: Чем отличаются услуги редтиминга и пентеста? В какой доле случаев компания могла бы использовать оба варианта?

Павел Шлюндин: Отличий очень много. Основная разница в том, что во время пентеста у специалиста нет задачи скрываться от синей команды. Именно поэтому он часто использует общедоступные инструменты (impacket, Metasploit framework, gost, nuclei, сканеры безопасности и пр.). В свою очередь проекты редтиминга отличает использование кастомных инструментов, доработок opensource ПО под конкретные задачи, а также методик проведения работ в скрытном режиме и обхода средств защиты.

Чаще всего компании заказывают пентест и редтиминг отдельно друг от друга. Обычно в ходе пентеста или сразу после него исполнитель рекомендует заказчику также заказать услугу редтиминга. Такое случается, если позволяет уровень зрелости процессов ИБ в компании.

Редтиминг проводят отдельно от пентеста, чтобы не перегружать синюю команду. Но иногда их проходят одновременно. Для синей команды это может стать серьезным вызовом, потому что ей придется одновременно выявлять заметные действия пентестеров, реагировать на них и при этом не пропускать скрытные атаки redteam-команды.

Проект редтима не заменяет пентест, как и наоборот. Это разные виды работ, преследующие разные цели. В общих словах: цель пентеста – выявление уязвимостей и получение доступа к критичным системам, а цель редтиминга – тренировка синей команды и процессов реагирования на инциденты.

Cyber Media: Какие кейсы из вашей практики считаете наиболее интересными? И почему?

Павел Шлюндин: Самые драйвовые истории связаны с физическим проникновением. Также был интересный вектор атаки, когда удалось использовать low critical уязвимость (stored XXS) на главном сайте заказчика. Благодаря ей удалось провести успешную кампанию социальной инженерии и получить первичный доступ.

А еще бывали моменты, когда понимаешь – синяя команда заметила твои действия и надолго задержаться в инфраструктуре уже не получится. Тогда красная команда может принять решение действовать «громко» – с отвлекающими маневрами, но быстро. Тогда ставка делается уже не на скрытность, а на достижение целей и оценку эффективности синей команды в такой ситуации.

Cyber Media: Какие отличия вы видите в развитии редтиминга в России и других странах мира?

Павел Шлюндин: Для начала скажу, что меня поражает большое количество международных сертификаций по редтиму. Во многих из них описываются техники, атаки и инструменты, которые ни в коем случае нельзя применять на реальных редтим-проектах.

При этом очень часто за рубежом слово редтиминг используют больше в маркетинговых целях. Как правило, за ним скрывается обычный пентест.

Я не говорю о том, что наш редтим лучше, чем в других странах. Но уровень российских команд точно не ниже, а в некоторых случаях даже выше, чем у зарубежных коллег.

Я бы сказал, что у российского редтиминга нет своего пути. Но есть классные пентестеры и ресерчеры.