Red team och hur de skyddar er verksamhet - del ett

Informationssäkerhet , Nyhet , Systematiskt säkerhetsarbete , Verksamhetsskydd
onsdag 17 maj 2023

Anonymous people using computer and programming to break code. Cyber security threat. Internet and network security. Access to private information. Anonymous hackers using technology to access to password and encrypted data. Cyber attack

I dagens alltmer digitaliserade värld är det lätt att tro att säkerhet endast handlar om skydd mot it-angrepp och dataintrång. För att möta hotbilden och hotaktörernas avancerade metoder räcker inte enbart traditionella penetrationstester längre. En viktig del av säkerhetsarbetet är att testa organisationen från flera olika kombinerade attackvinklar.

Red team-testning är en metod som används för att utvärdera organisationens säkerhet genom att simulera hotaktörernas angreppsmetoder. Genom att använda de olika tekniker och taktiker som hotaktörer historiskt har bevisats använda sig av, kan organisationen identifiera brister i sin säkerhet och ta till åtgärder för att säkerställa att dessa brister arbetas bort. Basalt erbjuder tester inom flertalet olika områden och dessa tester går att kombinera enligt kundens önskemål. När flera av dessa enskilda typer av tester kombineras, till exempel fysisk penetrationstest, infrastrukturstest och social engineering, börjar detta likna red team-test.

Den finansiella sektorn ligger steget före

Processen för red team finns beskrivet i flera olika ramverk, där TIBER-EU är ett ramverk för den finansiella sektorn i EU, och det är det första red team-ramverket som har blivit implementerat i Sverige genom Riksbanken (TIBER-SE). Detta ramverk är redan idag ett krav vid genomförande av red team-tester i för bankväsendet och har ett tydligt definierat arbetsflöde. Den finansiella sektorn är ofta tidigt ute med god cybersäkerhet, och resterande verksamheter följer troligtvis med i denna utveckling.

Kombinerade attackvektorer och informationsinhämtning

Testarnas omfattning av tillåtna metoder och avsatt tid utökas i red team-tester och fler attackvektorer kan därför användas, kombineras och utnyttjas för att uppnå maximal penetration i organisationen. I vanliga penetrationstester brukar betydligt mindre andel av tiden läggas på informationsinhämtning, och i stället prioriteras så kallad greybox eller whitebox metodik där mycket information tillhandahålls testarna för att minska eller helt hoppa över informationsinhämtnings-stadiet. Med begränsad tid kan testarna i stället fokusera på att hitta sårbarheter och behöver inte lägga lika mycket tid på att analysera exponeringen av organisationen.

I red team-tester appliceras istället så kallad blackbox-metodik, där ingen intern information tillhandahålls testarna. Mycket tid läggs därför på informationsinhämtningen för att efterlikna verkligheten i det arbete hotaktörerna genomför sin kartläggning av organisationen. Ett red team-test börjar därför alltid med en grundläggande OSINT-undersökning, och kan ibland vara tillräcklig för att identifiera vissa brister i organisationens säkerhet. OSINT står för Open Source Intelligence och innebär att samla in information från offentliga källor för att bygga en bild av organisationen och dess säkerhetskultur. Informationen kan innefatta it-system, byggnader, anställda, affärspartners samt information om säkerhetsåtgärder som används och vilken arbetskultur som finns.

Många organisationer väljer att även ha med fysiska penetrationstester tillsammans med social engineering för att simulera de verktyg som statliga aktörer ofta använder sig av, samtidigt som det är en attackvektor som ofta glöms bort eller ignoreras i traditionella penetrationstester på grund av dess komplexitet. Det är även vanligt att ha med både infrastrukturstester och webbapplikationstester då båda dessa områden ofta kan exploateras vidare om testningsteamet får fysisk åtkomst till servrar eller andra lokala känsliga enheter, eftersom enheterna då även blir sårbara för fysiska attackmetoder som annars inte är tillgängliga i vanliga penetrationstest. Mer om detta i del två.

Vad är då ett blue team?

En viktig del i red team-tester är möjligheten att testa sitt blue team skarpt. Blue team är den gruppering inom organisationen som ansvarar för att försvara it-systemen mot angrepp och kan vara antingen experter på it-avdelningen, it-säkerhetsavdelningen eller kanske vanligast i en SOC (Security Operations Center). Testerna mot blue team genomförs för att se över rutiner, processer och de verktyg som används för att upptäcka och förhindra intrång och för att hitta eventuella förbättringspunkter i it-systemen. Oftast vet alltså inte blue team om att testerna skall ske, utan endast CIO är delgiven inför testet.

När testet är genomfört sitter båda parter ned och går igenom resultatet från testningen, där blue team får reda på sårbarheter och hur de kan implementera nya skyddsmekanismer, samtidigt som att red team även får reda på hur mycket av testerna som har varit synligt. Med denna feedback utvecklas även red team-testerna till att bli effektivare på att gå under radarn, så att svårighetsgraden för blue team ökar inför kommande tester. Detta resulterar på sikt till att båda parters cyberförmåga höjs och ger ett verklighetstroget och relevant cyberskydd.

Skillnaden mellan red team och ett penetrationstest

Den största skillnaden mellan vanliga penetrationstest och red team-tester är att read team nästan alltid arbetar i produktionssystem (skarpa affärskritiska system) och går därför mycket försiktigt fram i syfte att inte göra sönder något i dessa system. Detta tillsammans med försök att undgå upptäckt resulterar ofta i en avsevärt längre testperiod än vanliga penetrationstest, men minskar risken att affärskritiska tjänster blir otillgängliga.

I ett vanligt penetrationstest eftersträvas i stället dedikerade testsystem om det finns tillgängligt, och testsystemen bör avspegla produktionssystemen i alla kritiska och relevanta funktioner, enda skillnaden bör därför vara att den rent innehållsmässigt inte är fylld med känslig produktionsinformation. Då medges mer förstörande tester utan risk för negativa konsekvenser. Dessutom behöver testarna inte fokusera på att försöka undgå upptäckt av ett blue team, och tester av mer aggressiv karaktär kan användas för att snabba upp testfasen. Detta resulterar i att större del av den begränsade testningstiden läggs på att identifiera potentiella sårbarheter.

Läs del två om den mänskliga faktorn och simulerade inbrott här.

Skribent

Christian Wallin
It-säkerhetsspecialist

Anlita ett red team

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Red team och hur de skyddar er verksamhet - del ett

Den finansiella sektorn ligger steget före

Kombinerade attackvektorer och informationsinhämtning

Vad är då ett blue team?

Skillnaden mellan red team och ett penetrationstest

Skribent

5 tips för att skydda dina system mot ett angrepp

Ladda ner vår guide

More news