Red teaming on organisaatiosi kyberpaloharjoitus

Toukokuu 25, 2020 at 09:45

Keskiviikon 20.5. kyberaamukahvien aiheena oli red teaming, jonka suosio organisaatioiden kyberpuolustuksen koetinkivenä kasvattaa suosiotaan vuosi vuodelta. Antti Niemelä ja Tommi Vihermaa olivat kertomassa red team -kokemuksistaan ja siitä, miten nämä hyökkäyssimulaatiot toteutetaan käytännössä.

Red team simuloi kyberhyökkäyksiä

Red teaming on kuin paloharjoitus: sen tarkoituksena on testata organisaation kykyä toimia tietoturvapoikkeamatilanteessa niin ihmisten toiminnan, prosessien kuin teknologiankin kannalta.

Red team pyrkii käyttämään samoja menetelmiä ja työkaluja kuin organisaatiosta kiinnostunut kyberrikollinenkin. Erona on se, että red team noudattaa tietosuojan ja muun lainsäädännön rajoituksia ja toimittaa raportin, jossa analysoidaan havainnot ja annetaan organisaatiolle suosituksia tietoturvan parantamiseksi. Sen lisäksi, että valvontateknologian toimivuutta koetetaan, red teaming voi myös opettaa ihmisiä toimimaan poikkeamatilanteissa paremmin.

Red team -harjoitus voi kohdistua organisaation rajattuun osaan tai tiettyihin tietojärjestelmiin, tai se voi olla jatkuvakestoista grillausta koko organisaation kyberpuolustukseen.

Red team hyökkää ja blue team puolustautuu. Red team -harjoitus etenee kuin oikea kyberhyökkäys: ensin kerätään tietoa ihmisistä, organisaatiosta ja teknologioista hyökkäyksen suunnittelemiseksi, sitten pyritään tunkeutumaan organisaation toimitiloihin ja verkkoihin. Red team pyrkii levittäytymään jäämättä kiinni ja esimerkiksi varastamaan tietoja tai saavuttamaan jonkin muun organisaation kyberturvaa mittaavan tavoitteen.
Red team hyökkää ja blue team puolustautuu. Red team -harjoitus etenee kuin oikea kyberhyökkäys: ensin kerätään tietoa ihmisistä, organisaatiosta ja teknologioista hyökkäyksen suunnittelemiseksi, tämän jälkeen pyritään tunkeutumaan organisaation toimitiloihin ja verkkoihin. Red team pyrkii levittäytymään jäämättä kiinni ja esimerkiksi varastamaan tietoja tai saavuttamaan jonkin muun organisaation kyberturvaa mittaavan tavoitteen.

 

Suunnitelmallinen red teaming perustuu viitekehyksiin

Red teamingin näkyvimpien osa-alueiden, eli social engineeringin avulla toimitiloihin tunkeutumisen ja haavoittuvuuksien hyödyntämisen taustalla on vaiheistettu suunnitelma, jolla kyberrikollisten käyttämiä menetelmiä sovelletaan red teamin kohteena olevaan organisaatioon.

Yleisimmin käytetty ohjenuora red team -hyökkäyssimulaatioiden toteuttamiseen on MITRE:n kehittämä Adversarial Tactics, Techniques & Common Knowledge -viitekehys (ATT&CK). Se kuvaa hyökkäyksen vaiheet, menetelmät ja toimintatavat ja sitä voivat käyttää sekä hyökkäävä tiimi (red team) että puolustava tiimi (blue team).

Tuoreempi ohjeistus on Euroopan keskuspankin julkaisema TIBER-EU, josta Suomen Pankki on kehittänyt Suomen oman version, TIBER-FI:n. Lyhenne TIBER muodostuu sanoista ”Threat Intelligence-Based Ethical Red Teaming”, eli viitekehyksen pohjalla on ajankohtainen toimialaa koskeva uhkatieto. TIBER-FI on kehitetty finanssialaa varten, mutta se soveltuu myös muille toimialoille.

Ulkokuori kova, sisältä pehmeää

Antti kertoi kokemuksiaan red team -keikoista ja tyypillisesti paljastuvista tietoturvaongelmista. Ensimmäinen jalansija organisaatioon saadaan lähes aina ihmisen tekemän virheen seurauksena: joku klikkaa linkkiä ja suorittaa haittaohjelman, joka avaa takaportin. Samalla tosin myös tekniset kontrollit ovat pettäneet. Lisäksi organisaatioiden verkon ulkokuori on lähes aina kova, mutta sisus on pehmeää: kun sisäverkkoon pääsee, on siellä eteneminen helppoa vähäisen verkon segmentoinnin ja havainnointimekanismien puutteen vuoksi.

Sama pätee fyysiseen turvallisuuteen: kun aulavartijan on ohitettu, kaikki yleensä luottavat siihen, että henkilöllä on oikeus ja syy liikkua tiloissa.

Katso koko webinaaritallenne jälkikäteen

Tommi ja Antti keskustelivat myös siitä, mitä eroa on murtotestauksella ja red teamingillä, onko hyökkääjällä aina etulyöntiasema, miten kauan red team -keikka kestää työtunteina ja kalenteriajassa ja kannattaisiko punaisen tiimin sijasta palkata purppuranpunainen tiimi. Voit katsoa tästä koko webinaaritallenteen.

Katso myös tulevat kyberaamukahvimme ja ilmoittaudu mukaan:

 

Haluatko pysyä kärryillä kyberturvallisuuden uusista tuulista? Tilaa Nixun uutiskirje

Related blogs