Red Teaming

Kulmen på era säkerhetsövningar

En Red Team-övning är inget för en omogen organisation att göra som ett första steg. Övningen kan i stället betraktas som ett sammanfattande test där syftet inte är att hitta sårbarheter, utan att testa organisationen i sin helhet. Till skillnad från ett pentest är ett Red Team mer strukturerat, avancerat och omfattande.

Övningen fungerar som ett skarpt test för organisationer med en redan hög säkerhetsmognad, alltså de som redan har identifierat det mest skyddsvärda och infört säkerhetskontroller på olika nivåer. Ett Red Team testar inte bara det tekniska försvaret, utan provtrycker även processer och hur man presterar och reagerar i ett realistiskt attackscenario.

Ett strukturerat Red Team-uppdrag följer vanligtvis fyra faser:

• Projektstart – Här definierar man det scope som ska gälla för uppdraget. Kommunikationsprotokoll, eskaleringsprocesser och processer fastställs. Denna fas säkerställer att samtliga involverade är överens om målsättning, avgränsningar och kommunikationskanaler genom hela uppdraget.
• Positionering – Genom extern rekognosering och eventuellt riktade nätfiskeförsök (phishing) kartlägger man i detta skede möjliga ingångspunkter. Målet är att etablera ett första fotfäste i miljön med hjälp av avancerade och svårupptäckta tekniker.
• Utförande – När ett fotfäste slutligen är etablerat, fortsätter arbetet med intern rekognosering, lateral förflyttning och försök att höja behörigheter för att ta kontroll över kritiska system. Vårt Red Team efterliknar avancerade hotaktörer och rör sig genom miljön på ett sätt som aktivt försöker undvika upptäckt.
• Incidentrapportering och respons – I denna fas prövar man organisationens förmåga att upptäcka, begränsa samt hantera det simulerade hotet. Det är också nu man aktiverar organisationens blåa team som därmed också kan agera i realtid, vilket skapar förutsättningar för effektiv incidentrespons och konstruktivt samarbete mellan teamen.

Under hela övningen använder Reversecs Red Team realistiska metoder för att undgå upptäckt så långt det är möjligt. Dessa övningar visar ofta hur en angripare kan kringgå applikationsbaserade kontroller och få åtkomst till känsliga system, vilket i sin tur ofta avslöjar brister i övervakning, larmhantering och eskaleringsprocesser.

Främjar lärande och samarbete

De centrala principerna i ett Red Team-uppdrag bygger alltså på att anpassa attackmål till faktiska affärsrisker, att främja lärande och samarbete mellan rött och blått team samt att använda verkliga offensiva tekniker för att stärka organisationens försvar. Genom ett Red Team förbättrar man således både detekteringsförmåga, utvecklingen av incidenthanteringsplaner och samordningen mellan de involverade teamen.

Att anlita ett Red Team ger en unik möjlighet att öva krishanteringsrutiner i praktiken, validera eskaleringsvägar och utvärdera hur kommunikationen fungerar mellan olika delar av organisationen under press. Arbetssättet bidrar också till en ökad transparens mellan tekniska och affärsmässiga intressenter och skapar tydligare koppling mellan det dagliga säkerhetsarbetet och organisationens övergripande riskhantering.

Red Teaming är således en lärande övning och handlar inte om att bli godkänd eller underkänd. Det hjälper organisationer att förstå hur deras tekniska försvar, människor och processer fungerar under press. De insikter som erhålls bidrar till ett kontinuerligt förbättringsarbete och stärker organisationens samlade säkerhetsnivå. I Sverige är det TIBER-SE som styr hur TLPT ska utföras. Reversec är ledande inom offensiv cybersäkerhet med omfattande erfarenhet av Red Teaming enligt TIBER.