Red team och hur de skyddar er verksamhet - del två

Läs den första delen här.

Den mänskliga faktorn och simulerade inbrott

Social engineering är en viktig aspekt av red teaming, och handlar om att manipulera människor för att få tillgång till information eller fysisk åtkomst till en byggnad eller ett område. Social engineering är en av de vanligaste teknikerna som används av hotaktörer för att få initial tillgång till ett it-system och går oftast både snabbare och medger svårare upptäckt än den direkta forcering som används enligt metoderna i fysisk pentest. Testerna genomförs bland annat med spearphishing, vilket kan innebära exempelvis skräddarsydda e-postmeddelanden eller telefonsamtal till nyckelpersoner i organisationen.

Hur säkert är dörrlås när den anställda håller upp dörren?

Social engineering kan även användas i kombination med fysisk penetrationstestning, som är en testmetod för att utvärdera säkerheten på en plats eller en byggnad genom att simulera en fysisk inbrytning. Skalskydd är en viktig del av en övergripande säkerhetsstrategi för företag, myndigheter och andra organisationer som vill skydda sina tillgångar, data och personal, men tyvärr valideras inte skalskyddet i lika stor omfattning som it-systemen.

För att synliggöra detta kan testningsteamet försöka missbruka den tillit och hjälpsamhet som vi människor har mot varandra, för att till exempel försöka smita in bakom när en behörig medarbetare går in genom en entrédörr eller bakom avgränsade områden. Della kallas inom cybersäkerhetsindustrin som ”tailgaiting”. En annan vanlig metod är att helt enkelt försöka övertala den behöriga personalen att red team ska få släppas in genom att utge sig för att vara behöriga. Självklart behövs en fingertoppskänsla för att inte skada personalens förtroende för arbetsgivaren eller att någon tar illa upp av att känns sig lurade. Avrapporteringen bör därför även innefatta den personalen som varit i kontakt med red team.

Hjälpsamma medarbetare kan bli osäkra medarbetare

Att kombinera social engineering och fysiska tester är en attackvektor som är effektiv, speciellt i länder eller inom företag där det finns en kultur där man hjälper varandra med problem eller där det är ohyfsat att ifrågasätta andra, speciellt vissa yrken eller roller med auktoritet. Där innefattas såklart chefer av olika slag, men även servicepersonal som är på plats för att utföra ett arbete och som ofta har expertkunskap i olika områden, till exempel installatörer av luftkonditionering, elektronik eller andra tekniska kunskaper. En annan viktig roll kan vara kontrollerande organ som har eller skulle kunna ha mandat att genomföra inspektioner av verksamheten, både planerade och flygande inspektioner. Dessa typer av roller är utmärkta att utge sig för att vara i ett sådant test för att kunna få tillgång till avgränsade områden i byggnader genom att till exempel lura personalen att en inspektion av luftkvalitet ska genomföras i serverrummet.

När ska red team avbryta intrånget?

För att definiera när testet är över ställs ett eller ett par olika mål upp. Tillgång till serverrummet brukar ibland användas som övergripande mål för red teamet eftersom det kan ses som kärnan i verksamheten och det mest skyddsvärda i många organisationer. Andra mål kan vara det kontor som verksamhetens VD sitter i, eller andra områden där kritisk information kan finnas.

Ofta har säkerheten externt mot internet säkrats upp, men den fysiska säkerheten i enheterna är självfallet också en kritisk attackvektor. Dessa enheter, till exempel en administratörs olåsta dator i kontorslandskapet, kan därför potentiellt utnyttjas för att kringgå säkerheten. Generellt används så få begränsningar i omfattningen av godkända mål som möjligt, men det finns ofta en eller ett par servrar som har en mer affärskritisk funktion där tillgängligheten inte under några omständigheter får påverkas av testet.

Självklart används också andra typer av metoder för att ta sig in i skyddade områden, där låsdyrkning är en vanlig teknik för att forcera lås på dörrar. Det finns även både professionella verktyg och numera vanliga konsumentprodukter (som på bilden ovan en Flipper Zero) som har funktioner för att förbipassera digitala lås genom bland annat RFID-kloning, där de digitala passerkorten kopieras av behörig personal. Ibland är det kanske till och med vissa dörrar oavsiktligt upplåsta, antingen på grund av lättja hos personalen eller brister i rutiner.

Denna typ av fysisk inbrytning kan genomföras både på lediga timmar när personalen är frånvarande eller under kontorstimmar, då ofta med stöd av just social engineering eftersom det då finns personal på plats som kan syna den simulerade attacken. Testet genomförs den tiden på dygnet som red team kommer fram till under inhämtningsfasen att ha mest potential att lyckas penetrera de känsliga utrymmena, och ofta vill organisationen testa båda dessa scenarion under samma test för att jämföra resultaten.

Så sammanställs resultatet av intrånget

Väl inne i känsliga utrymmen kan sedan bland annat infrastrukturstester genomföras genom till exempel inkoppling till fysiska enheter, och arbetet med exfiltrering av olika typer av information påbörjas genom att till exempel fotografera känsliga dokument som ligger framme och kopiera över data från datorer och servrar till egen medtagen lagringsmedia. All inhämtad information sammanställs tillsammans med upptäckta sårbarheter, och detta presenteras i en detaljerad rapport som delges efter genomfört test. Vanligtvis anmäls eventuella kritiska sårbarheter direkt för att skydda kunden och det kan vara både tekniska sårbarheter och sårbarheter i skalskyddet.

Varför red team-tester?

Red teaming är en viktig del för att testa organisationens säkerhet genom att simulera en hotaktörs angreppsmetoder, och baseras på organisationens hotlandskap och hotbild. Fysiska penetrationstester och social engineering är två viktiga aspekter av red teaming, men en omfattande OSINT-undersökning är alltid nödvändig för att bygga en mer heltäckande bild av organisationens säkerhetsmedvetenhet.

Genom att använda och kombinera flera olika attackvektorer kan organisationen identifiera ytterligare brister i sin säkerhet som vanligtvis inte uppräcks via traditionella penetrationstester. De kombinerade testerna har visat sig vara ett effektivt sätt att visa exponeringen av organisationen, och har därför blivit väldigt populärt i framför allt USA där myndigheter och företag ligger i framkant kopplat till säkerhetskultur.

Vilka organisationer kan använda sig av ett red team?

Red team-tester blir även vanligare i Sverige när myndigheter och företag inser vilka resurser, kompetenser och motivation som finns hos aktuella hotakörer, där statliga aktörer kan inhämta information under flera år och även genomföra utdragna lågintensiva operationer i försök att penetrera organisationen. Verksamheter med mycket hög hotbild riktad mot sig bör därför genomföra denna typ av validering kontinuerligt genom återkommande tester. Red team-test passar alla organisationer inom samhällsviktig verksamhet så som bland annat myndigheter och kommuner, energibranschen, bankväsendet samt företag inom produktion och transport av viktiga varor så som livsmedel och läkemedel.

It-säkerhetslandskapet är i ständig förändring och för att medvetandegöra exponeringen och identifiera säkerhetsbrister samt höja tröskeln för intrång krävs fortsatta krafttag. Det kan vi självklart hjälpa er med!