В чем отличие редтим-проектов от пентеста

Этичный хакинг активно развивается в последние годы. Программы обучения такого рода специалистов получают поддержку от регуляторов, возрастает спрос на услуги пентестеров. На государственном уровне обсуждаются законопроекты, защищающие и регламентирующие деятельность специалистов по анализу защищенности.

Во многом это обусловлено тремя факторами:

• рост регуляторной нагрузки;
• повышение осведомленности бизнеса о вопросах ИБ;
• растущая агрессивность киберпространства.

Эксперты по кибербезопасности прогнозируют, что количество хакерских атак на компании и госорганизации в 2024 году будет расти. При этом целью злоумышленников станет не только вымогательство, но и нарушение деятельности организаций.

Андрей Шабалин

Специалист по анализу данных NGR Softlab

Конечные цели, которые преследует «организованная киберпреступность», разнообразны, но чаще всего заключаются в длительном и скрытом нахождении в инфраструктуре жертвы для кибершпионажа. В качестве конечных целей нередко выступают предприятия госсектора и промышленности – на каждый из них приходится почти по трети инцидентов ИБ, связанных с APT. Именно данные государственные и промышленные организации фактически являются главными драйверами роста и развития ред-тиминга в России. Сейчас услуги по моделированию действий «кибер-ОПГ» востребованы, и тренд на рост интереса к ним будет сохраняться.

В таких условиях все большее количество заказчиков обращаются за услугами по анализу защищенности. В этой статье разбираемся, что такое пентест и чем он отличается от редтим-проектов.

Редтиминг и пентест: общие черты

И редтиминг (Red Team), и пентест (Penetration Testing) — это методы анализа и оценки защищенности инфраструктуры компании.

Пентест или тестирование на проникновение — это комплекс мер по анализу защищенности компании. Он достаточно вариативен по целому ряду параметров, из основных можно выделить:

1. Скоуп. Заказчик определяет границы, в рамках которых могут работать пентестеры.
2. Формат. В зависимости от собственных задач, заказчик может предоставить как полный объем информации о тестируемой инфраструктуре, так и заказать тестирование в формате black box.
3. Методы, виды и техники. На этапе согласования с командой пентестеров определяется, нужны ли заказчику, например, атаки с использованием социальной инженерии.

При этом, важно понимать, что пентест –— это не просто сканирование инфраструктуры разного рода инструментами с целью «набрать» побольше уязвимостей для формирования отчета. Задача команды пентестеров — найти цепочки действий, которые могут привести к чувствительным для бизнеса последствиям, в рамках оговоренных методов и скоупа.

Редтиминг в этом контексте можно назвать «пентестом на максимум».

Сергей Зыбнев

Пентестер Awillix

Имитация в Red Team очень натуральна и наиболее приближена к реальности, ничто не ограничивает исполнителей в достижении цели. На время проекта, Red Team — это хакерская группировка, которая собирает информацию из открытых источников и даркнета, находит любые, даже самые сложные уязвимости в защите, ломает компанию любыми способами и пытается никак не выдать себя. Целью может быть — получить административный доступ к инфраструктуре, вывести базу данных или деньги или получить доступ к 1С.

Редтим-проекты часто ассоциированы с пентестом. Как правило, любая команда пентестеров предлагает и услуги по редтимингу. От этого у потенциального заказчика может сложиться ощущение, что редтим — это «маркетинговое название» позволяющее продать одну и ту же услугу дважды. Но это совсем не так.

В чем разница между этими услугами с точки зрения исполнителей

Самое главное отличие заключается в том, что пентест, в большей степени, направлен на анализ защищенности инфраструктуры. В большинстве случаев пентестеру не нужно скрывать свои действия от службы безопасности заказчика — она может быть и вовсе осведомлена о проведении пентеста.

В случае с редтим-проектами специалисту противостоит не только «софт» но и весь штат ИБ компании. Поскольку о проведении проекта команда чаще всего не осведомлена, реагируют они на действия редтимера как на полноценную атаку.

Кай Михайлов

Руководитель направления информационной безопасности iTPROTECT

Самое наглядное различие — используемый инструментарий/методы и ход атаки. Пентест использует в основном хорошо зарекомендовавшие себя методы и инструменты для оценки защищенности, а также те инструменты, которые позволяют выполнить атаку с «широким охватом» целей. Таким образом, за короткое время (рамки проекта) можно получить большое количество информации о степени защищенности инфраструктуры и подготовить отчёт.

Red Team не ограничен временными рамками и может действовать более точечно, например, при появлении новой уязвимости в ПО/оборудовании, которая имеет доказанную применимость. В такой ситуации команда Red Team вполне может попытаться использовать её и сделать вывод о достижимости вектора атаки. Однако RedTeam не применяет уязвимости нулевого дня и не занимается разработкой новых методов атак.

Также, важным отличием можно назвать минимальные ограничения в используемых методах при проведении редтим-проектов. Поскольку редтим максимально приближен к реальным кибератакам, специалисты могут использовать практически любые методы, вплоть до внедрения и вербовки сотрудников.

Отдельно стоит сказать о редтим-проектах, которые проводятся в рамках киберполигонов. Они в большей степени направлены на обучение специалистов реагированию на кибератаки, для этого выстраивается среда, приближенная к реальной инфраструктуре компании.

Такой метод используется в чувствительных областях, где последствия инцидента могут иметь слишком серьезные последствия, и проводить редтим-проекты на «боевой» инфраструктуре нельзя.

Артём Бруданин

Руководитель направления кибербезопасности RTM Group

Главное отличие для исполнителя — возможность реализации нежелательных для бизнеса рисков. В рамках пентеста этичные хакеры придерживаются ограничений, накладываемых как методологиями проведения, так и техническим заданием. Редтим-специалисты, напротив, используют «реальные» TTPs, которыми пользуются настоящие APT-группировки, чтобы максимально и комплексно оценить уровень защищенности организации: в ход идут не только технические атаки на системное и прикладное ПО, но и активная социальная инженерия (не просто с целью проверки осведомленности сотрудников, но конкретно для "захвата" данных), а также тестирования мер физической безопасности — проникновение в контролируемую зону, подслушивание, вскрытие замков и т.п.

Имитируя деятельность настоящих злоумышленников, редтим-специалисты собирают информацию всеми доступными способами и используют не только технические навыки, но и творческий, нестандартный подход, чтобы проникнуть в систему и остаться в ней как можно дольше незамеченными.

Отличия глазами заказчика

Важное отличие заключается в том, что пентест — это куда более контролируемый процесс, который можно гибко настроить еще на этапе начальных договоренностей. Проводя аналогию, пентест — это тренировочный спарринг, а редтим — полноценный поединок на ринге, отличающийся от обычной драки только наличием перчаток.

Артём Бруданин

Руководитель направления кибербезопасности RTM Group

При пентесте Заказчик почти всегда осведомлен о способах и сценариях реализации атак, с ним согласовывают эксплуатацию уязвимостей, согласовывают адреса для рассылки фишинговых сообщений. Редтим атаки способны причинить вполне ощутимый вред активам организации, если квалификация сотрудников службы ИБ (в частности — ответственных за оперативное реагирование на инциденты ИБ, администраторов средств защиты информации) будет недостаточна. По данной причине, заказ имитации целевых атак требует соответствующего уровня зрелости системы информационной безопасности в организации, в противном случае результаты могут ни капли не усовершенствовать процессы и подходы, а напротив — лишь навредить.

Редтим-проекты, как правило, заказывают крупные компании и организации с уже зрелой внутренней системой ИБ, для проверки возможности реализаций нежелательных событий.

К пентесту могут прибегнуть и сравнительно небольшие компании, которые выстроили свою информационную безопасность на неком уровне и ходят осязаемо ее оценить, выявить новые направления для работы.

Зарема Шихметова

Специалист по анализу защищенности, «Газинформсервис»

Для специалистов SOC-центра редтим-проект – как камера в режиме реального времени с фильтрами, акцентирующими внимание специалиста на тех событиях в системе, которые ему кажутся подозрительными.

Отличие специалиста SOC и пентестера в том, что вторые только указывают на уязвимость в системе и дают рекомендации к их устранению, когда первые кроме мониторинга инфраструктуры также решают возникающие инциденты ИБ.

Еще одно важное отличие заключается в том, что проведение пентеста в том или ином виде может быть для компании обязательным. Например, такая практика существует для банковской отрасли как в России, так и во многих зарубежных странах.

Редтим-проекты — это уже сугубо самостоятельное желание компании оценить свой уровень защищенности в условиях, максимально приближенных к реальной атаке профессиональной хакерской группы.

Моделирование атак APT-групп

Среди популярных услуг, которые предлагают редтим-команды — моделирование атак APT-групп (Advanced Persistent Threat), а также помощь в разработке сценариев реагирования на такие угрозы. 

Артём Бруданин

Руководитель направления кибербезопасности RTM Group

Фактически редтим и есть имитация APT-атаки. Как уже сказано, эксперты красной команды используют не строгие и структурированные методологии, а тактики, техники и процедуры реальных хакерских группировок (зачастую согласно матрице MITRE ATT&CK). Если взять, к примеру, финансовую организацию, для которой критичными активами будут являться системы, связанные с транзакциями или персональными данными клиентов, специалисты будут использовать TTP связанных хакерских группировок, которые атакуют подобные системы (например, Cobalt или Carbanak).

Часто APT-группировки имеют свой почерк: любимые методы, инструменты, «специализацию» и выбирают похожие цели. Например, злоумышленники могут атаковать банки и финансовые компании или сайты госучреждений, промышленную инфраструктуру и т.д. Участники редтим-команд изучают особенности деятельности группировок и могут имитировать их атаку.

В этом важное отличие специалиста, который участвует в редтим-проектах, от обычного специалиста по анализу защищенности — он должен обладать более высоким уровнем осведомленности в части того, как компании атакуют реальные злоумышленники, какие инструменты и техники они используют.

Андрей Шабалин

Специалист по анализу данных NGR Softlab

Аналитические отчеты за 2023 год свидетельствуют о том, что почти 40% расследованных инцидентов ИБ пришлось на публично известные APT-группировки. Отчасти поэтому наблюдается повышенный интерес среди российских компаний к моделированию деятельности конкретных хакерских групп.

APT-группировки обладают высоким уровнем подготовки и в разрезе технических средств, и в разрезе профессиональной подготовки. Их активность сложна в детектировании, а используемые техники и инструментарий совершенствуются с каждой последующей атакой. Поэтому одним из ключевых аспектов в деятельности Red Team является постоянная актуализация используемой в работе аналитики. То есть работа команды должна быть неразрывно связана с Threat Intelligence (TI) и Threat Hunting (TH), а также с классическим пентестом. Поэтому при выборе организации, предоставляющей услуги моделирования, неплохо будет обратить внимание, насколько в ней хорошо развиты эти направления.

Особенность APT-группировок заключается в том, что их злонамеренная активность нередко направлена на определенные сектора экономики, например, небезызвестные Space Pirates с их ориентацией на аэрокосмическую отрасль и оборонно-промышленный комплекс.

Интерес к результативной безопасности в нашей стране возрос относительно недавно, но редтим-команды уже демонстрируют хороший уровень подготовки. ИБ-специалисты сходятся во мнении, что практика проведения моделирования атак APT-групп будет распространяться и дальше.

Итоги

Пентест — это модульная услуга, в рамках которой заказчик может сам выбрать, какой уровень «давления» со стороны атакующих будет оптимален для решения его задач.

И в рамках редтим-проектов, и в рамках пентеста могут использоваться различные методологии, например: MITRE ATT&CK, OWASP, PTES. Однако, в случае с редтимингом особенно важен нестандартный подход и адаптация методологий под «дикую природу», действия киберпреступников.

Редтиминг в большей степени направлен на выявление частных проблем и комплексную оценку уровня информационной безопасности в компании сразу по всем направлениям, от настроек СЗИ до степени осведомленности сотрудников об угрозах ИБ.