Hitta era säkerhetsbrister – Så funkar Red team i 5 steg

Vad är egentligen ett red team-test och varför behöver man göra det i sin organisation? Det är frågor jag ofta får från beslutsfattare på företag, vanligtvis personer utanför it-organisationen. Här reder vi ut begreppet red teaming – en sorts ”etisk hacking”. Målet är att identifiera en organisations sårbarheter för cyberattacker.

Det flesta företag har investerat i säker it-infrastruktur och arbetat igenom många policyer, men vet ni hur bra det fungerar under tryck? Ett red team-test går ut på att ett säkerhetsteam utför en iscensatt, kontrollerad attack för att testa hur bra en organisation skulle klara sig inför en verklig attack. Vi utgår ifrån en angripares perspektiv och målet är att hitta sårbarheter hos såväl nätverk, system och applikationer som fysiska säkerheten. Med den kunskapen kan ni sedan stärka er förmåga att motstå ett cyberangrepp.

Identifiera ett företags sårbarheter för cyberattacker 

Så hur går ett red team-test egentligen till? Nedan återger jag hur vi gick tillväga i ett av våra senaste red teams-test för att du ska få en bild av hur red teaming hos ett företag går till i verkligheten.

1. Uppstart av red team-uppdraget  

Vi startade uppdraget med att tillsammans med kunden definiera ett antal system av särskild betydelse – system som vi skulle försöka att nå på något sätt. Till exempel kan detta vara ett affärssystem, någons dator eller en viss databas. Det övergripande uppdraget var att analysera svårighetsgraden i att genomföra ett angrepp, samt analysera kundens förmåga att upptäcka en cyberattack.

2. En realistisk attackplan

Den operativa fasen av projektet inleddes med passiv informationsinhämtning. Syftet var att identifiera bland annat individer, domäner, webbplatser och andra exponerade tjänster. Detta följdes senare av aktiv datainsamling. Vi tillämpade bland annat social engineering för att få ut mer information. Med den samlade informationen om kunden kombinerat med vår kunskap om olika cyberattacker tog vi fram en realistisk attackplan.

Den teknik och metodik vi använder i ett red team-test är en kombination av eget material, hotaktörers metodik som vi ser på nära håll när vi arbetar med cyberincidenter, samt insamling av erfarenheter hämtade från vårt threat intelligence-arbete.

3. Vår metod – red team in action

I förberedelsearbetet utvecklade vi anpassade phishing-attacker. Vi byggde en infrastruktur för att förfalska telefonnummer och avsändande e-postadresser. Vidare tog vi fram ett malware som skulle laddas ner av kunden. Syftet var att möjliggöra ett långvarigt angrepp med dolda kommunikationskanaler.  

Vi byggde även en fysisk enhet avsedd att introduceras i nätverket. Målet var att den skulle uppfattas som ”godkänd” utrustning. Utrustningen ställdes ut i kundens lokaler efter att vi lyckades komma in i begränsade områden i flera byggnader. Det var en stor framgång för oss att kunna komma in i kundens fysiska lokaler – det gav oss fjärråtkomst till kundens nätverk. 

Fick gradvis mer och mer åtkomst

Vi använde sedan skräddarsydda verktyg för att röra oss i kundens miljö. Gradvis skaffade vi oss mer och mer åtkomst. Vi använde både tysta tekniker och mer märkbara tekniker för att identifiera om någon upptäckt intrånget. 

När vi lyckades skaffa oss serveraccess identifierade vi vilket system för övervakning som användes. Utifrån det skapade vi anpassade verktyg för att kringgå detektering för den lösningen. Dessa verktyg användes framgångsrikt för att skapa bakdörrar på komprometterade servrar. Vi kunde därefter extrahera ytterligare referenser för att komma åt ytterligare system. 

4. Identifierade brister i företagets försvar

Vi arbetade lugnt och metodiskt under lång tid för att fortsätta att eskalera behörigheter i de relevanta systemen. Så småningom hade vi full tillgång till de målsystem vi tillsammans med kunden definierat. 

Efter cirka sexmånaders arbete där vi nått uppsatta mål sammanställde vi en rapport till kunden. Rapporten innehöll identifierade brister, beskrivning av händelseförloppet samt en analys utifrån svårighetsgrad och kunskapsnivå som krävs för att nå målen.

Vi redovisade även hur lång tid det tog för kunden att upptäcka vissa av våra aktiviteter, vilket var en viktig del i just detta uppdrag. 

5. Handlingsplan för bättre motståndskraft mot cyberattacker

Utifrån den rapporten har kunden sedan börjat bygga sin handlingsplan för att stärka sin motståndskraft. Det är den absolut viktigaste aktiviteten efter ett genomfört red team-test – att verkligen påbörja att genomföra förändringarna. 

Jag kan lova att om vi skulle utföra ett nytt test om ett år när alla förändringar är implementerade så skulle vi få det betydligt mycket svårare. Vilket så klart är hela poängen med att genomföra ett red team-test. 

Varför ska ditt företag genomföra ett red team-test?

Svaret är enkelt: för att testa hela organisationens förmåga att motstå en cyberattack. Det är det överlägset bästa sättet att pröva om alla policyer och verktyg ni har fungerar – på riktigt.

Lär dig mer om Red Teams med Truesec Tech Talk

Signa upp dig för en live webcast kring Red Team Security där våra cyberexperter Erik Wilhelmsson och Davide Girardi guidar dig genom de olika delarna inom red teaming.

Säsongens första Tech Talk (på engelska) och helt kostnadsfritt.

Red Team - Security - Säkerhetsbrister
Are your investments in equipment and services paying out?

Info om cyber resilience och Red Team Exercise finns även på vår web.