Vai trò của nhà điều hành đội đỏ là đánh giá khả năng phục hồi không gian mạng của các công ty và đề xuất các lĩnh vực cần cải thiện, cả về kỹ thuật và tổ chức hoặc thậm chí nâng cao nhận thức. Anh ta đặt mình vào vị trí của kẻ tấn công, thực tế nhất có thể và diễn ra các tình huống bằng cách bắt chước hành vi của những kẻ ác ý. Có thể cần phải nhắm mục tiêu vào các tài sản quan trọng hoặc những người chủ chốt trong tổ chức bằng các cuộc tấn công máy tính vào các tài sản được hiển thị trên Internet hoặc trong hệ thống thông tin (IS), bằng cách lừa đảo nhằm vào người dùng (giọng nói hoặc bài viết, kỹ thuật xã hội, v.v.) , hoặc thậm chí bằng cách xâm nhập vật lý vào một số địa điểm nhất định của tổ chức (để gửi hoặc đánh cắp thiết bị, lấy thêm thông tin, v.v.).
Không giống như các cuộc kiểm tra xâm nhập nội bộ với mục tiêu là tìm ra càng nhiều lỗ hổng càng tốt và đưa ra các khuyến nghị để khắc phục các vấn đề đã được xác định, bài tập của đội đỏ nhằm mục đích đánh giá năng lực phòng ngừa hiện có, mức độ phát hiện của các đội bảo mật cũng như khả năng của họ. để phản ứng trong trường hợp bị xâm nhập. Cuộc tập trận này là cơ hội lý tưởng để các công ty trưởng thành nhất về an ninh IS xác định những thiếu sót của họ về mặt phát hiện và ứng phó. Họ sẽ có thể cải thiện các quy trình hiện có của mình để phát hiện một cuộc tấn công và loại bỏ mối đe dọa nhanh nhất có thể.
Để tìm hiểu thêm về những nét đặc trưng của nghề thú vị này, chúng tôi đã phỏng vấn William Jacquesngười hành nghề này tại Hiển nhiên, một ngành nghề kinh doanh của Tập đoàn Atos. Lý lịch của anh ấy: lần đầu tiên anh ấy có bằng DUT trong lĩnh vực đa phương tiện và Internet, sau đó lấy bằng chuyên môn về quản trị hệ thống và mạng. Sau đó, anh hoàn thành khóa đào tạo với bằng thạc sĩ chuyên ngành an ninh mạng.
Các bước chuẩn bị và tiến hành tấn công mạng từ A đến Z
Các hoạt động do đội đỏ Eviden thực hiện được tài trợ bởi các công ty, nhìn chung có mức độ trưởng thành cao về các khía cạnh liên quan đến bảo mật. Họ lo sợ hoặc đã là nạn nhân của một sự thỏa hiệp và có các phương tiện cũng như nguồn lực để hạn chế hậu quả của một cuộc xâm nhập thành công. Sau đó, chuyên gia mạng sẽ tìm kiếm lỗ hổng trong IS của họ, tìm ra các tài sản web (quyền truy cập, tài liệu, tài nguyên) mà bộ phận CNTT có thể đã bỏ quên và có tác động mạnh mẽ đến công ty.
Guillaume Jacques giải thích: Những khách hàng chưa bao giờ thực hiện loại kiểm tra bảo mật này khá ngạc nhiên về mức độ dễ dàng truy cập vào hệ thống của họ.
1. Khung bài tập của đội đỏ
Để bài tập của đội đỏ trở nên thực tế, cần xác định một loạt các danh hiệu, mục tiêu chính và phụ mà đội đỏ sẽ cố gắng đạt được. Đây có thể là năng lực kỹ thuật (khôi phục tệp khách hàng, hợp đồng trên máy chủ tệp, cơ sở dữ liệu, v.v.) hoặc năng lực kinh doanh (chiếm đoạt hoạt động kinh doanh cốt lõi vì mục đích xấu).
Hoạt động đóng khung được thực hiện với sự có mặt của thành viên ban quản lý hoặc ban điều hành. Nó cho phép xác định bối cảnh yêu cầu của cuộc tập trận, các danh hiệu cần đạt được, các trục tấn công được ưu tiên hoặc bị cấm, các điểm liên lạc thông thường và leo thang trong trường hợp xảy ra sự cố.
Giai đoạn này cũng mang đến cơ hội trình bày về đội đỏ và các vai trò được giao, kiểm tra phần hợp đồng, xác định ngôn ngữ của sản phẩm bàn giao và phương pháp trao đổi thông tin an toàn, để đảm bảo mức độ bảo mật của dữ liệu được khôi phục và cuối cùng là xác định cách tổ chức trả lại và hủy bỏ các dấu vết kiểm toán.
2. Trinh sát, giai đoạn quan trọng trong cuộc tập trận của đội đỏ
Trước khi bắt đầu cuộc tấn công, chuyên gia Eviden bắt đầu bằng cách lập bản đồ và quan sát bề mặt tấn công, tức là tất cả tài sản của khách hàng bị lộ trực tuyến, cho dù trên các trang web giới thiệu, ứng dụng hay máy chủ. Ở đây vấn đề là phải hiểu rõ hoạt động của công ty, những công nghệ mà công ty sử dụng, loại hình khách hàng của công ty. Đội đỏ sẽ tìm hiểu về các cộng tác viên, vị trí họ nắm giữ, phần mềm họ làm việc và liệu việc tuyển dụng có đang được tiến hành hay không, bất kỳ điều gì có thể là mục tiêu cho cuộc tấn công.
Chúng tôi phân tích văn hóa công ty, cách ăn mặc để hòa nhập với đám đông, thói quen… Nhìn chung, các cộng tác viên của CIO là mục tiêu ưu tiên của chúng tôi. Phần kiểm tra này sẽ cho phép chúng tôi thu thập các quả bóng sẽ hữu ích cho chúng tôi, chẳng hạn như trong trường hợp có hành vi xâm nhập nội bộ. Mục tiêu ở đây là giữ kín đáo nhất có thể để không khơi dậy sự nghi ngờ bằng cách thu thập tất cả các yếu tố sẽ giúp chúng ta sẵn sàng cho Ngày D.
3. Thiết kế kịch bản
Khi đội đỏ cho rằng kiến thức về mục tiêu đã đủ nâng cao, họ sẽ thiết kế một số tình huống thỏa hiệp mô phỏng đường đi của kẻ tấn công từ bên ngoài tổ chức đến các danh hiệu đã chọn ban đầu.
4. Thiết lập cơ sở hạ tầng tấn công
Sau khi đã lựa chọn được các kịch bản tấn công, đội đỏ sẽ thiết lập cơ sở hạ tầng để thực hiện các cuộc tấn công e-mail, xâm nhập mạng hoặc tấn công bằng thiết bị chuyên dụng. Cơ sở hạ tầng này linh hoạt, an toàn, có thể mở rộng và duy nhất cho mỗi hoạt động.
5. sự xâm phạm
Kết quả của giai đoạn trinh sát, các kịch bản tấn công dự kiến và các cơ hội gặp phải sẽ định hướng cho các nỗ lực xâm nhập khác nhau sẽ được thực hiện:
cuộc tấn công email: kịch bản lừa đảo được thiết lập để dẫn đến việc thực hiện một hành động từ phía cộng tác viên nhằm mở quyền truy cập vào đội đỏ hoặc tạo điều kiện cho các cuộc tấn công khác.
cuộc tấn công bằng cuộc gọi điện thoại hoặc tin nhắn cộng tác: kịch bản này được xác định để lấy nhiều thông tin hoặc hướng dẫn nhân viên đến một cổng độc hại cho phép đội đỏ khôi phục thông tin kết nối hoặc thậm chí mã thông báo phiên của họ (hoặc cũng để bỏ qua xác thực đa yếu tố hoặc MFA).
xâm nhập vật lý: mục tiêu của nó là xâm nhập vào cơ sở của tổ chức nhằm khôi phục thông tin nhạy cảm, thực hiện các hành động cụ thể và tạo điều kiện cho hành vi xâm nhập hợp lý (gửi các khóa USB độc hại, thực thi cấy ghép trên các phiên không bị khóa, kết nối thiết bị chuyên dụng, nhân bản huy hiệu, bẻ khóa, v.v.). Cần lưu ý rằng thẻ “thoát khỏi nhà tù” được cung cấp cho những người thực hiện việc đột nhập vật lý để tránh bất kỳ sự bất tiện nào trong trường hợp bị nhân viên an ninh bắt giữ.
xâm nhập máy tính: nó bao gồm việc xác định và khai thác các lỗ hổng trong thiết bị, mạng, hệ thống hoặc ứng dụng có thể truy cập.
6. Soạn thảo các sản phẩm bàn giao và các cuộc họp phản hồi
Bước cuối cùng này là quan trọng nhất đối với khách hàng: nó liên quan đến việc ghi chép đầy đủ các vấn đề được xác định, các hành động được thực hiện và hậu quả mà những vấn đề này có thể gây ra trong một cuộc tấn công thực sự. Những yếu tố này phải dễ hiểu đối với cả khán giả kỹ thuật và các thành viên ban quản lý.
Sản phẩm bàn giao tốt và khả năng bồi thường tốt là chìa khóa cho phép công ty khắc phục các lỗ hổng được xác định trong quá trình thực hiện, nhưng trên hết là cải thiện những điểm yếu có thể được quan sát thấy trong các quy trình hoặc thủ tục khác nhau được phân tích. Sau đó, chúng tôi có thể đề xuất các trục nhạy cảm tùy theo nhóm dân số bị ảnh hưởng.
Trở thành đội đỏ tại Eviden và những con đường sự nghiệp khả thi
Nếu thách thức và chất lượng của các nhiệm vụ được thực hiện là điều Guillaume Jacques đánh giá cao nhất trong công việc của mình thì chuyên gia này cũng nhấn mạnh đến sự đa dạng của khách hàng mà anh ấy làm việc cũng như các công cụ cũng như công nghệ mới mà anh ấy sử dụng. chuẩn bị và thực hiện các cuộc tấn công của nó. Ví dụ: cơ sở hạ tầng được triển khai trong Đám mây rất phức tạp và cho phép kiểm soát các máy bị xâm nhập một cách kín đáo, an toàn, đồng thời hạn chế khả năng leo thang lên máy chủ chỉ huy và kiểm soát (C2). Tương tự, nhiều công cụ được phát triển nội bộ, một số khác được sửa đổi để loại bỏ các dấu hiệu xâm phạm (IoC) càng nhiều càng tốt. Hiểu các công cụ mạng là điều cần thiết đối với những người điều hành đội đỏ.
Đó là một công việc cực kỳ thú vị vì chúng tôi xử lý toàn bộ vấn đề bảo mật chứ không chỉ trên các ứng dụng web. Và chúng tôi cũng có vai trò hỗ trợ khách hàng ở từng giai đoạn đánh giá, vai trò này rất phong phú, đồng thời cũng có một phần dành riêng để nâng cao nhận thức của nhân viên về những gì chúng tôi có thể kiểm tra.
Đội đỏ cũng đề cao tinh thần đồng đội, sự gắn kết và bầu không khí tốt đẹp ngự trị trong đội đỏ của Eviden, với các thành viên trao đổi rất nhiều, chia sẻ kiến thức, cùng nhau tham gia các thử thách Capture The Flag và giúp đỡ nhau tiến bộ. các kỹ năng của họ.
Chúng tôi thật may mắn khi có thể làm việc về những chủ đề mà chúng tôi yêu thích và khao khát nhất. Chúng tôi cũng đào tạo lẫn nhau về những khía cạnh của công việc mà chúng tôi ít biết nhất.
Để trở thành đội đỏ, bạn nên tham gia đào tạo tại trường kỹ thuật chuyên ngành an ninh mạng. Đối với Guillaume Jacques, việc tự đào tạo và thi đậu các chứng chỉ chuyên môn (CRTO, Người điều hành đội đỏ được chứng nhậnchẳng hạn) là những khía cạnh quan trọng trong sự nghiệp của anh ấy. Cũng giống như việc giám sát thường xuyên thực hiện đối với những tin tức mới nhất trong ngành, các lỗ hổng được cộng đồng phát hiện và phổ biến trên Internet, chẳng hạn như lỗ hổng bảo mật CERT-FR từ ANSSI (Cơ quan An ninh Hệ thống Thông tin Quốc gia), hoặc trên Twitterđể luôn cập nhật về một lĩnh vực đang phát triển nhanh chóng và không ngừng.
Chuyên gia, người đầu tiên gia nhập Eviden với tư cách là kiểm toán viên, đã mơ ước trở thành một đội đỏ. Trong tương lai, anh ấy có khả năng phát triển với tư cách là người lãnh đạo nhiệm vụ của đội đỏ hoặc chuyên sâu về kỹ thuật đảo ngược hoặc đặc biệt là khía cạnh web trong công việc của anh ấy. ” Tại Eviden, chúng tôi được tiếp cận với phạm vi đào tạo khá toàn diện “Guillaume Jacques nói về chủ đề này. Công ty hiện đang tuyển dụng 140 vị trí cố định cũng như 80 ứng viên cho các chương trình thực tập và vừa học vừa làm trong tất cả các hoạt động mạng. Hồ sơ được tìm kiếm phải đa năng, khắt khe, ham học hỏi và nghiêm túc, với 50% kỹ năng kỹ thuật và 50% khả năng thích ứng.
Bạn phải là một con tắc kè hoa, hòa đồng, tự tin và có khả năng làm việc trí óc nhưng cũng phải giỏi về mặt kỹ thuật. Mỗi nhà điều hành không nhất thiết phải vượt trội ở từng tiêu chí này. Mặt khác, một đội đỏ giỏi phải hoàn thành những kỹ năng khác nhau này, Guillaume Jacques kết luận.
Tham gia Nhóm Cyber Eviden
