Red team & Ofenzivne operacije

Prava mjera sigurnosti


Jedan od najvećih boksačkih prvaka u teškoj kategoriji svih vremena, Mike Tyson, izjavio je: "Svatko ima plan dok ne dobije udarac u usta." I sigurnost je takva. Možete slijediti najbolje prakse, imati najbolje tehnologije, ali sve bi se moglo raspasti prvim ozbiljnim cyber napadom. Istina je da ljudi koji štite stvari često ne misle na isti način kao ljudi koji napadaju stvari.

Tu nastupa Crveni tim. Crveni tim je tim etičkih hakera, ljudi koji pokušavaju provaliti u sustave na isti način kao što bi to napravili i kriminalci. Ali na kraju oni ne zaključavaju vaše podatke, ne kradu vaš novac, ne ruše vaše poslovanje na koljena. Oni dokumentiraju svaku ranjivost i pišu dugačka izvješća o tome kako riješiti probleme i osigurati da se nikad ne dogodi ništa loše.
Njihov rad je izuzetno vrijedan jer testiraju vaš sustav protiv napada iz stvarnog svijeta. Zapravo, mnogi industrijski ili državni regulatori zahtijevaju od određenih industrija da redovito provode ofenzivne operacije protiv svojih sustava.

No za razliku od cyber kriminalaca, Crveni tim djeluje prema pravilima angažmana – prije bilo kakve aktivnosti organizacije se savjetuju o postupku. Koliko dugo će Crveni tim pokušavati pobijediti obranu organizacije? Kada će se odvijati napadi (tijekom radnog vremena)? Koliko podataka Crveni tim treba imati (to određuje hoće li to biti black, gray ili white box testiranje)? Što Crveni tim može koristiti – da li koriste samo tehnologiju ili mogu pokušati zavarati zaposlenike kako bi otkrili poslovne tajne (socijalni inženjering), mogu li koristiti 0-day ranjivosti (sigurnosne probleme koje nitko osim nas nije otkrio)? Tek nakon što je sve to dogovoreno operacija može početi.

Na kraju klijenti dobivaju projektnu dokumentaciju – tu je sažetak za menadžere, tehničko izvješće s detaljnim opisima i preporukama za ublažavanje problema i video za kritične ranjivosti.

SANS Certified Instructor kao vođa tima


SANS je najpouzdaniji i daleko najveći izvor obuke za informacijsku sigurnost i certificiranje na svijetu. Biti jedan od njihovih 76 certificiranih instruktora nije nimalo lak zadatak, potrebne su godine predanosti, ali naš vođa tima/CTO, Bojan Ždrnja, je baš to. Njegovo je znanje ogromno, a dok ne poučavana najbolje svjetske stručnjake za cyber sigurnost o testiranju web aplikacija (SANS SEC542), osigurava da Infigov Crveni tim bude u klasi za sebe. Uz takvo vodstvo naš jedini izbor je izvrsnost!

Bez našeg Red teama nikad nećete znati je li vaša sigurnost dovoljno dobra

Ispravan način provjere sigurnosti


Procjena sigurnosti izvrstan je način prepoznavanja postojećih sigurnosnih ranjivosti; dok ne znate koje su ranjivosti ne možete ih popraviti. Ali postizanje pravih rezultata po najboljoj cijeni uvijek je upitna i mnoge organizacije nisu sigurne kada koristiti skeniranje ranjivosti, penetracijsko testiranje i angažman crvenog tima.

Skeniranje ranjivosti nešto je što bi svaka organizacija trebala redovito raditi. To je najosnovnija aktivnost upravljanja ranjivostima, a često se radi o korištenju softverskih skenera ranjivosti dok sigurnosni stručnjaci uklanjaju lažne pozitivne rezultate.

Penetracijsko testiranje je korak prema gore u kojem je važno imati pravi opseg. Cilj penetracijskog testiranja je pronaći što više ranjivosti u ciljanom opsegu. A ako je ciljni opseg jasno definiran, testiranje će dati najbolje rezultate. Naravno, budući da je penetracijsko testiranje dugotrajnije i zahtijeva puno ručnog rada, skuplje je od skeniranja ranjivosti.

Vježba crvenog tima ultimativni je test obrane bilo koje organizacije. U ovoj vježbi napadači dobivaju cilj i mogu se koristiti svim sredstvima koja su potrebna da ga postignu. To uključuje pisanje novih ranjivosti, korištenje socijalnog inženjeringa, čak i fizičke provale. Vježba crvenog tima možda će propustiti neke ranjivosti koje bi pronašlo penetracijsko testiranje, ali pokazat će kako se organizacija suprotstavlja stvarnom napadaču.

Više o tome možete pročitati u članku našeg tehničkog direktora.

Što radimo?


Sve vezano uz sigurnost! Ali to uglavnom spada u nekoliko kategorija koje su korisne i za male i velike organizacije.

  • Vanjsko penetracijsko testiranje – simulacija internetskog napada koji bi koristili neovlašteni korisnici, kriminalne skupine, konkurencija...
  • Interno penetracijsko testiranje – simulacija internog mrežnog napada s ovjerenim i neovjerenim pristupom kakav bi mogli imati zaposlenici, dobavljači ili poslovni partneri.
  • Testovi mobilnih aplikacija – testiramo klijentsku i serversku stranu plus logiku aplikacije gdje se znaju dogoditi stvarno gadne stvari.
  • Testovi web aplikacija – koristimo posebno prilagođene scenarije za ciljanu web aplikaciju s ovjerenim i neovjerenim pristupom.
  • Specijalizirani testovi – budući da danas skoro sve proizvodi nekakve podatke, mi ćemo to pokušati iskoristiti. Od digitalnim mjerača struje i IoT uređaja, preko sustava SCADA, do sustava mobilnog plaćanja (npr. HCE) i bežičnih sustava (Zigbee, z-Wave i slični)...
  • Socijalni inženjering – najbolja sigurnost na svijetu će popustiti ako nam vaš zaposlenik preda ključeva za ulaz u vaš sustav. Od phishing email poruka do zloćudnog računalnog koda, pokušat ćemo sve kako bismo našli lakovjerne ljude, a onda je vaš sustav naš!
  • Revizija računalnog koda – prije nego što svoju aplikaciju pustite u svijet, dobra je sigurnosna praksa napraviti reviziju računalnog koda. Na taj način pronaći ćemo sigurnosne propuste prije nego što budu javno dostupni svima.

Naravno, kombiniramo i biramo najbolji pristup i najbolju ofenzivnu akciju za svakog klijenta. S više od 15 godina rada u ovom polju i s puno certifikata vodećih sigurnosnih organizacija (ISC2, ISACA, Offensive Security, SANS...), naš jedini cilj je poboljšavanje vaše sigurnosti.