Те могат да разбият всяка свръхсекретна база: Запознайте се с екипа, който може да разкрие всичко за всеки
Екип от специалисти прониква в свръхсекретна военна база или корпоративна централа - вероятно сте го виждали във филмите, но този екип е съвсем истински и се справя с всяка загадка
Такива екипи съществуват и в реалния свят и могат да бъдат наети, за да тестват и най-строгите мерки за сигурност. Множество фирми предлагат тестване на компютърни системи, като се опитват да проникнат в тях от разстояние, а хората, които знаят как това да се случи са "хакерите с бели шапки".
Но уменията, свързани с нарушаването на физическата сигурност, известни като Red Teaming, са рядкост. Фирмите, които предлагат услугата Red Team, трябва да съберат персонал с много специфични умения. Често червените екипи използват бивши военни и служители на разузнаването, като им се задава един въпрос.
"Как можете да проникнете в този свръхсекретен проект?" Leonardo, гигантската компания в областта на отбраната, предлага такава услуга.
Тя твърди, че враждебните държави, които се стремят към разрушение и хаос, са реална заплаха, и продава своите възможности за червен екип на клиенти от правителствения сектор, критичната инфраструктура и отбраната.
Червеният екип на компанията се съгласява да говори пред Би Би Си под псевдоними и да разкрие подробности.
Ръководителят на екипа Грег е служил в инженерните и разузнавателните служби на британската армия, като е изучавал цифровите възможности на потенциалните врагове. "Прекарах едно десетилетие в изучаване на това как да използвам вражеските комуникации", казва той за своя опит. Сега той координира петчленния екип.
Атаката е свързана с получаване на достъп. Целта може да е да се спре работата на даден процес, например на ядрото на атомна електроцентрала.
Първата стъпка на Грег и екипа му се нарича пасивно разузнаване. С помощта на анонимно устройство, което може да бъде идентифицирано само по сим картата, екипът създава картина на целта.
"Трябва да избягваме да предизвикваме подозрения, така че целта да не знае, че я наблюдаваме", казва Грег. Всяка технология, която използват, не е свързана с предприятие чрез неговия интернет адрес и се купува с пари в брой.
Чарли е работил 12 години във военното разузнаване, а техниките му включват изучаване на търговски сателитни снимки на даден обект и сканиране на обяви за работа, за да разбере какъв тип хора работят там.
"Започваме от периферията на целта. След това навлизаме в района на целта, като дори разглеждаме и анализираме как се обличат хората, които работят там."
Това е известно като разузнаване на врага. Те се доближават до обекта, но поддържат ниска степен на излагане на риск, като носят различен стил дрехи всеки път, когато се появят, и сменят членовете на екипа, така че хората от охраната да не забележат един и същ човек.
Технологията е създадена от хора, а човешкият фактор е най-слабото място във всяка система за сигурност. Именно тук се намесва Ема, която е служила в RAF. Опитен психолог Ема с гордост нарича себе си "любопитен наблюдател на хора".
"Често хората минават незабелязано покрай протоколите за сигурност. Така че ние търсим недоволни хора." Тя например се вслушва в разговорите в съседните кафенета и ресторанти, за да разбере откъде изплува недоволството към работодателя или друг важен за акцията субект.
"Всяка организация има своите особености. Виждаме и оценяваме каква е вероятността хората да пропуснат подозрителен имейл или човек поради натовареност и умора." Един недоволен охранител може да стане мързелив и разсеян на работа. "Разглеждаме достъпа, промъкването с доставка например".
Текучеството в дадена компания, за което свидетелстват често обявяваните свободни работни места, също сигнализира за неудовлетвореност и липса на ангажираност с отговорностите по сигурността. Друга техника е следенето на хора, които често имат навика да задържат вратата за достъп за посетител.
Използвайки тази информация и малко хитрост, пропуските за сигурност могат да бъдат копирани и червеният екип да влезе в помещенията, представяйки се за служител.
Веднъж влязъл в обекта, Дан знае как да отваря врати, шкафове за документи и чекмеджета на бюра. Той е въоръжен с ключове за отваряне на всички възможни ключалки. Търси записани пароли или използва вграден интелигентен USB адаптер, за да симулира компютърна клавиатура, прониквайки в мрежата.
Последната стъпка в т.нар. верига на убийството, е в ръцете на Стенли. Експерт по киберсигурност, Стенли знае как да проникне в най-защитените компютърни системи, като работи по разузнавателния доклад на колегите си.
"Във филмите на хакера му трябват секунди, за да проникне в дадена система, но реалността е различна". Той предпочита собствения си подход, като работи в системата чрез администраторски достъп и търси "сливане" - сбор от информация, споделена на едно място, например интранет на работното място.
Той може да се "движи" из файловете и данните, като използва достъпа на администратора. Един от начините, по които се сключва веригата за убиване, е когато Стенли изпрати имейл, представящ се за главния изпълнителен директор на предприятието, чрез вътрешната, следователно доверена, мрежа.
Въпреки че работят с одобрението на целевия клиент, те проникват в сайта като напълно непознати. Какво е усещането? "Ако сте получили достъп до сървърно помещение, това е доста изнервящо", казва Дан, "но колкото повече пъти го правите, толкова по-лесно става."
В целевия сайт има някой, който знае какво се случва. "Поддържаме връзка с тях, така че те могат да издадат инструкция "не стреляйте по тези хора", добавя Чарли.
Как възниква концепцията на Red Teaming?
Концепцията за червените екипи може да се проследи назад до древните военни стратегии, където командирите са използвали екипи, за да симулират вражески сили във военни игри. Тази практика е позволявала на лидерите да тестват защитата, тактиките и стратегиите си срещу симулирани противници преди реалния конфликт. Терминът Red Teaming произлиза от използването на цветни обозначения на екипите, като синьото символизира приятелските сили, а червеното - опозицията.
В края на XX в. "червеният екип" преминава от военната област към корпоративната сигурност. Първото забележително приемане се случва през 80-те години на 20 век, когато Агенцията за национална сигурност признава необходимостта от проактивни мерки за киберсигурност.
NSA е пионер в концепцията за "червени екипи", натоварени със задачата да оценяват сигурността на класифицираните системи. Тези екипи действат като независими оценители, симулират действията на потенциални нападатели и идентифицират слабостите, които изискват отстраняване.
Развитието
Непрестанните киберзаплахи увеличиха търсенето на ефективни мерки за сигурност. Упражненията на червените екипи еволюираха от прости тестове за проникване до цялостни симулации, които отразяват реални атаки. Организации от различни отрасли започнаха да прилагат тази практика, като използват външни или вътрешни екипи, за да предизвикат инфраструктурата си за сигурност.
В началото на 2000 г. се появи концепцията "червен екип плюс", която съчетава усилията на червените екипи с допълнителни специалисти, като например експерти по съдебна медицина, социални инженери и експерти по физическа сигурност.
Този подход има за цел да осигури цялостна оценка на защитата на дадена организация, като се вземат предвид не само техническите уязвимости, но и тактиките на социалното инженерство, слабостите на физическата сигурност и човешкия фактор.
Упражненията на "червените екипи" получиха допълнителна популярност с публикуването на рамката Mitre ATT&CK през 2015 г. Тази рамка предоставя стандартизиран модел за картографиране на тактиките и техниките, използвани от участниците в заплахите.
Нарастващата значимост на ученията на червените екипи се дължи на тяхната ефективност при идентифицирането на уязвимостите и подобряването на цялостната позиция на организацията по отношение на сигурността. Като симулират реалистични сценарии за атаки, червените екипи предлагат уникална перспектива, която традиционните оценки на сигурността могат да пропуснат. Те отиват отвъд автоматизираното сканиране на уязвимостите, като активно изследват защитата на организацията и откриват уязвимости, които биха могли да бъдат използвани от реални противници.