Красная команда

Группа, предоставляющая обратную связь по вопросам безопасности

Красная команда — это группа, которая выдает себя за врага, пытается осуществить физическое или цифровое вторжение в организацию по указанию этой организации, а затем отчитывается, чтобы организация могла улучшить свою защиту. Красные команды работают на организацию или нанимаются ею. Их работа законна, но может удивить некоторых сотрудников, которые могут не знать о существовании красной команды или которых может обмануть красная команда. Некоторые определения красной команды шире и включают любую группу в организации, которая призвана мыслить нестандартно и рассматривать альтернативные сценарии, которые считаются менее правдоподобными. Это может быть важной защитой от ложных предположений и группового мышления . Термин «красная команда» возник в 1960-х годах в Соединенных Штатах.

Техническая красная команда фокусируется на компрометации сетей и компьютеров в цифровом виде. Также может быть синяя команда , термин для сотрудников по кибербезопасности , которые отвечают за защиту сетей и компьютеров организации от атак. В технической красной команде векторы атак используются для получения доступа, а затем проводится разведка для обнаружения большего количества устройств, которые могут быть потенциально скомпрометированы. Охота за учетными данными включает в себя поиск учетных данных на компьютере, таких как пароли и файлы cookie сеанса , и как только они найдены, их можно использовать для компрометации дополнительных компьютеров. Во время вторжений со стороны третьих лиц красная команда может объединиться с синей командой, чтобы помочь в защите организации. Правила ведения боевых действий и стандартные рабочие процедуры часто используются для того, чтобы гарантировать, что красная команда не нанесет ущерба во время своих учений.

Физическая красная команда фокусируется на отправке команды для проникновения в ограниченные зоны. Это делается для проверки и оптимизации физической безопасности, такой как ограждения, камеры, сигнализации, замки и поведение сотрудников. Как и в случае с технической красной командой, правила взаимодействия используются для того, чтобы гарантировать, что красные команды не нанесут чрезмерного ущерба во время своих учений. Физическая красная команда часто включает в себя фазу разведки, на которой собирается информация и выявляются слабые места в системе безопасности, а затем эта информация будет использоваться для проведения операции (обычно ночью) для физического проникновения в помещение. Устройства безопасности будут идентифицированы и обезврежены с помощью инструментов и методов. Физическим красным командам будут даны конкретные задачи, такие как получение доступа в серверную комнату и изъятие портативного жесткого диска или получение доступа в офис руководителя и изъятие конфиденциальных документов.

Красные команды используются в нескольких областях, включая кибербезопасность , безопасность аэропортов , правоохранительные органы , военные и разведывательные агентства . В правительстве Соединенных Штатов красные команды используются армией , корпусом морской пехоты , министерством обороны , Федеральным управлением гражданской авиации и Управлением транспортной безопасности .

История

Концепция объединения красных и синих команд появилась в начале 1960-х годов. Одним из ранних примеров объединения красных команд был аналитический центр RAND Corporation , который проводил симуляции для вооруженных сил США во время Холодной войны . «Красная команда» и красный цвет использовались для представления Советского Союза , а «синяя команда» и синий цвет использовались для представления Соединенных Штатов. ^[1] Еще одним ранним примером был министр обороны США Роберт Макнамара , который собрал красную и синюю команды для изучения того, какому государственному подрядчику следует присудить контракт на экспериментальный самолет. ^[1] Еще одним ранним примером было моделирование переговоров по договору о контроле над вооружениями и оценка его эффективности. ^[1]

Красные команды иногда ассоциируются с «противоположным мышлением» и борьбой с групповым мышлением, склонностью групп делать и придерживаться предположений даже перед лицом доказательств обратного. Одним из примеров группы, которая не называлась красной командой, но которая, возможно, была одним из самых ранних примеров формирования группы для борьбы с групповым мышлением, является израильская Ипча Мистабра, которая была сформирована после израильских ошибок в принятии решений во время войны Судного дня в 1973 году. Нападение на Израиль едва не застало Израиль врасплох, несмотря на многочисленные доказательства надвигающегося нападения, и едва не привело к поражению Израиля. Ипча Мистабра была сформирована после войны, и на нее была возложена обязанность всегда представлять противоположный, неожиданный или неортодоксальный анализ внешней политики и отчетов разведки, чтобы в будущем было меньше вероятности, что что-то будет упущено из виду. ^[2]

В начале 2000-х годов были примеры использования красных команд для настольных учений. Настольные учения часто используются службами быстрого реагирования и включают в себя отыгрыш и планирование наихудших сценариев, что похоже на игру в настольную игру . В ответ на атаки 11 сентября , имея в виду борьбу с терроризмом, Центральное разведывательное управление создало новую Красную ячейку , ^[3] и красные команды использовались для моделирования ответов на асимметричные военные действия , такие как терроризм . ^[4] В ответ на неудачи войны в Ираке , красные команды стали более распространенными в армии Соединенных Штатов . ^[5]

Со временем практика red teaming распространилась на другие отрасли и организации, включая корпорации, государственные учреждения и некоммерческие организации. Этот подход становится все более популярным в мире кибербезопасности, где red team используются для имитации реальных атак на цифровую инфраструктуру организации и проверки эффективности мер кибербезопасности. ^[6]

Кибербезопасность

Техническое «красное командование» подразумевает проверку цифровой безопасности организации путем попытки проникновения в ее компьютерные сети в цифровом виде.

Терминология

Синяя команда — это группа, отвечающая за защиту от вторжений.

В кибербезопасности тест на проникновение включает в себя этичных хакеров («тестеров на проникновение»), пытающихся взломать компьютерную систему без элемента неожиданности. Организация знает о тесте на проникновение и готова организовать защиту. ^[7]

Красная команда идет на шаг дальше и добавляет физическое проникновение, социальную инженерию и элемент неожиданности. Синяя команда не получает предварительного предупреждения о красной команде и будет рассматривать ее как реальное вторжение. ^[7] Одна из задач постоянной внутренней красной команды — улучшить культуру безопасности организации. ^[8]

Фиолетовая команда — это временное объединение обеих команд, которое может предоставлять быстрые информационные ответы во время теста. ^{[9] [10]} Одним из преимуществ фиолетовой команды является то, что красная команда может многократно запускать определенные атаки, а синяя команда может использовать это для настройки программного обеспечения обнаружения, его калибровки и постоянного повышения уровня обнаружения. ^[11] Фиолетовые команды могут участвовать в сессиях «охоты за угрозами», где и красная, и синяя команды ищут реальных злоумышленников. Вовлечение других сотрудников в фиолетовую команду также полезно, например, инженеров-программистов, которые могут помочь с регистрацией и оповещениями программного обеспечения, и менеджеров, которые могут помочь определить наиболее финансово разрушительные сценарии. ^[12] Одной из опасностей фиолетовой команды является самоуспокоенность и развитие группового мышления , с которыми можно бороться, нанимая людей с разными наборами навыков или нанимая внешнего поставщика. ^[13]

Белая команда — это группа, которая контролирует и управляет операциями между красными и синими командами. Например, это могут быть менеджеры компании, которые определяют правила взаимодействия для красной команды. ^[14]

Атака

Начальная точка входа красной команды или противника называется плацдармом. Зрелая синяя команда часто искусна в поиске плацдарма и изгнании нападающих. Роль красной команды заключается в повышении навыков синей команды. ^[15]

При проникновении есть скрытый «хирургический» подход, который остается вне поля зрения синей команды и требует четкой цели, и шумный подход «ковровой бомбардировки», который больше похож на атаку грубой силы. Ковровая бомбардировка часто является более полезным подходом для красных команд, потому что она может обнаружить неожиданные уязвимости. ^[16]

Существует множество угроз кибербезопасности. Угрозы могут варьироваться от чего-то традиционного, например, взлома контроллера домена сети , или чего-то менее ортодоксального, например, настройки майнинга криптовалюты или предоставления слишком большого доступа сотрудникам к персонально идентифицируемой информации (PII), что открывает компании возможность штрафов по Общему регламенту по защите данных (GDPR). ^[17] Любая из этих угроз может быть подвергнута красной команде, чтобы изучить, насколько серьезна проблема. Настольные упражнения, в которых вторжения разыгрываются на столе, подобно тому, как играют в настольную игру, могут использоваться для имитации вторжений, которые слишком дороги, слишком сложны или незаконны для выполнения вживую. ^[18] Может быть полезно попытаться осуществить вторжение против красной команды и синей команды, в дополнение к более традиционным целям. ^[19]

Пример графовой базы данных . Для красных команд это программное обеспечение может использоваться для создания карты инфильтрованной сети. Узлы (круги) — это обычно компьютеры, пользователи или группы разрешений.

После получения доступа к сети можно провести разведку. Собранные данные можно поместить в графовую базу данных , которая представляет собой программное обеспечение, визуально отображающее узлы, связи и свойства. Типичными узлами могут быть компьютеры, пользователи или группы разрешений. ^[20] Красные команды обычно имеют очень хорошие графовые базы данных своей собственной организации, поскольку они могут использовать преимущество домашнего поля , включая работу с синей командой для создания полной карты сети и полного списка пользователей и администраторов. ^[21] Для создания и изменения графовых баз данных можно использовать язык запросов, такой как Cypher. [ 22 ] Любой ^тип учетной записи администратора ценен для размещения в графовой базе данных, включая администраторов сторонних инструментов, таких как Amazon Web Services (AWS). ^[23] Иногда данные можно экспортировать из инструментов, а затем вставлять в графовую базу данных. ^[24]

После того, как красная команда скомпрометировала компьютер, веб-сайт или систему, мощным методом становится охота за учетными данными . Они могут быть в форме паролей в виде открытого текста , зашифрованного текста , хэшей или токенов доступа . Красная команда получает доступ к компьютеру, ищет учетные данные, которые можно использовать для доступа к другому компьютеру, затем это повторяется с целью доступа ко многим компьютерам. ^[25] Учетные данные могут быть украдены из многих мест, включая файлы, репозитории исходного кода, такие как Git , память компьютера и программное обеспечение для отслеживания и ведения журналов. Такие методы, как передача cookie и передача хэша, могут использоваться для получения доступа к веб-сайтам и машинам без ввода пароля. Также могут использоваться такие методы, как оптическое распознавание символов (OCR), эксплуатация паролей по умолчанию , подделка запроса на ввод учетных данных и фишинг . ^[26]

Красная команда может использовать компьютерное программирование и сценарии интерфейса командной строки (CLI) для автоматизации некоторых своих задач. Например, сценарии CLI могут использовать Component Object Model (COM) на машинах Microsoft Windows для автоматизации задач в приложениях Microsoft Office . Полезные задачи могут включать отправку писем, поиск документов, шифрование или извлечение данных. Красные команды могут взять под контроль браузер, используя COM Internet Explorer , функцию удаленной отладки Google Chrome или фреймворк тестирования Selenium . ^[27]

Оборона

Во время реального вторжения красная команда может быть переориентирована на работу с синей командой для помощи в обороне. В частности, они могут предоставить анализ того, что злоумышленники, вероятно, попытаются сделать дальше. Во время вторжения и красная, и синяя команды имеют преимущество домашнего поля, поскольку они лучше знакомы с сетями и системами организации, чем злоумышленник. ^[11]

Сетевой брандмауэр (на фото) может использоваться для ограничения доступа к частной сети из более широкого Интернета . Программный брандмауэр, например встроенный в операционную систему компьютера , может использоваться для ограничения удаленного доступа к этому компьютеру.

Красная команда организации может быть привлекательной целью для настоящих злоумышленников. Машины членов красной команды могут содержать конфиденциальную информацию об организации. В ответ машины членов красной команды часто защищаются. ^{[28] Методы защиты машин включают настройку} брандмауэра операционной системы , ограничение доступа Secure Shell (SSH) и Bluetooth , улучшение ведения журнала и оповещений, безопасное удаление файлов и шифрование жестких дисков. ^[29]

Одна из тактик заключается в использовании «активной обороны», которая включает в себя установку ложных целей и приманок для отслеживания местоположения злоумышленников. ^[30] Эти приманки могут помочь предупредить синюю команду о вторжении в сеть, которое в противном случае могло бы остаться незамеченным. Для настройки файла приманки можно использовать различное программное обеспечение в зависимости от операционной системы: инструменты macOS включают OpenBMS, инструменты Linux включают плагины Auditd, а инструменты Windows включают списки контроля доступа к системе (SACL). Уведомления могут включать всплывающие окна, электронные письма и запись в файл журнала. ^[31] Централизованный мониторинг, при котором важные файлы журнала быстро отправляются в программное обеспечение для регистрации на другой машине, является полезным методом защиты сети. ^[32]

Управление красной командой

Использование правил взаимодействия может помочь определить, какие системы являются закрытыми, предотвратить инциденты безопасности и гарантировать, что конфиденциальность сотрудников соблюдается. ^[33] Использование стандартной операционной процедуры (СОП) может гарантировать, что соответствующие люди будут уведомлены и вовлечены в планирование, а также улучшить процесс работы красной команды, сделав его зрелым и повторяемым. ^[34] Действия красной команды обычно имеют регулярный ритм. ^[35]

Центр безопасности операций (SOC) в Мэрилендском университете

Отслеживание определенных метрик или ключевых показателей эффективности (KPI) может помочь убедиться, что красная команда достигает желаемого результата. Примерами KPI красной команды являются выполнение определенного количества тестов на проникновение в год или увеличение команды на определенное количество тестеров на проникновение в течение определенного периода времени. Также может быть полезно отслеживать количество скомпрометированных машин, машин, которые можно скомпрометировать, и другие показатели, связанные с проникновением. Эти статистические данные можно отобразить в виде графика по дням и разместить на панели мониторинга, отображаемой в центре операций по безопасности (SOC), чтобы мотивировать синюю команду обнаруживать и закрывать нарушения. ^[36]

Чтобы выявить злостных нарушителей, компрометации можно графически изобразить и сгруппировать по месту в программном обеспечении, местоположению офиса компании, должности или отделу. ^[37] Моделирование Монте-Карло можно использовать для определения наиболее вероятных, наиболее разрушительных или обоих сценариев вторжения. ^[38] Тестовая модель зрелости, тип модели зрелости возможностей , может использоваться для оценки того, насколько зрелой является красная команда и каким должен быть следующий шаг для роста. ^[39] MITRE ATT&CK Navigator, список тактик, методов и процедур (TTP), включая передовые постоянные угрозы (APT), можно использовать, чтобы узнать, сколько TTP использует красная команда, и получить дополнительные идеи для TTP, которые можно использовать в будущем. ^[40]

Физическое вторжение

Физическая red teaming или физическое тестирование на проникновение ^[41] включает в себя тестирование физической безопасности объекта, включая методы обеспечения безопасности его сотрудников и охранное оборудование. Примерами охранного оборудования являются камеры безопасности , замки и ограждения . При физической red teaming компьютерные сети обычно не являются целью. ^[42] В отличие от кибербезопасности, которая обычно имеет много уровней безопасности, может присутствовать только один или два уровня физической безопасности. ^[43]

Наличие документа «правила ведения боевых действий», который предоставляется клиенту, полезно для указания того, какие TTP будут использоваться, какие места могут быть объектом атаки, какие не могут быть объектом атаки, какой ущерб оборудованию, такому как замки и двери, разрешен, каков план, каковы основные этапы и обмен контактной информацией. ^{[44] [45]} Правила ведения боевых действий могут быть обновлены после этапа разведки, с еще одним раундом обмена мнениями между красной командой и клиентом. ^[46] Данные, собранные на этапе разведки, могут быть использованы для создания оперативного плана как для внутреннего использования, так и для отправки клиенту на утверждение. ^[47]

Разведка

Двусторонние радиостанции и наушники иногда используются физическими красными командами, проводящими операции ночью. Что-то менее заметное, например, наушники Bluetooth, могут быть предпочтительны в течение дня.

Частью физической красной команды является проведение разведки. ^[48] Тип собираемой разведывательной информации обычно включает информацию о людях, местах, устройствах безопасности и погоде. ^[49] Разведка имеет военное происхождение, и военные методы разведки применимы к физической красной команде. Оборудование разведки красной команды может включать военную одежду, поскольку она не рвется легко, красные фонари для сохранения ночного видения и быть менее заметными, радиостанции и наушники, камеру и штатив, бинокли, приборы ночного видения и всепогодный блокнот. ^[50] Некоторые методы полевой связи включают в себя наушник Bluetooth, подключенный к конференц-связи по мобильному телефону в течение дня, и двусторонние радиостанции с наушниками ночью. ^[51] В случае компрометации члены красной команды часто носят с собой удостоверение личности и письмо-разрешение с несколькими контактами в нерабочее время, которые могут поручиться за законность и легитимность действий красной команды. ^[52]

До начала физической разведки может проводиться сбор разведывательной информации с открытым исходным кодом (OSINT) путем исследования местоположений и сотрудников через Интернет, включая веб-сайт компании, аккаунты в социальных сетях, поисковые системы, картографические веб-сайты и объявления о вакансиях (которые дают подсказки о технологиях и программном обеспечении, используемых компанией). ^[53] Хорошей практикой является проведение разведки в течение нескольких дней, разведка как днем, так и ночью, привлечение не менее трех операторов, использование близлежащего плацдарма, который находится вне поля зрения цели, и проведение разведки и проникновения в качестве двух отдельных поездок, а не их объединения. ^[54]

Разведывательные группы могут использовать методы, чтобы скрыть себя и оборудование. Например, можно арендовать пассажирский фургон, а окна можно затемнить, чтобы скрыть фото- и видеосъемку цели. ^[55] Осмотр и видеосъемка замков здания во время обхода могут быть скрыты разведчиком, притворяющимся, что он говорит по телефону. ^[56] В случае раскрытия информации, например, если сотрудники начнут подозревать, историю можно отрепетировать заранее, пока ее не удастся уверенно рассказать. Если команда разделилась, раскрытие информации одним оператором может привести к тому, что руководитель группы вытащит других операторов. ^[57] Скрытые видеокамеры можно использовать для записи отснятого материала для последующего просмотра, а допросы можно проводить быстро после того, как вы покинете территорию, чтобы быстро задокументировать новую информацию. ^[58]

Проникновение

Большинство физических операций «красной команды» происходят ночью из-за сниженной безопасности объекта и из-за того, что темнота может скрыть действия. ^[59] Идеальное проникновение обычно незаметно как снаружи объекта (приближение не обнаруживается прохожими или устройствами безопасности), так и внутри объекта (не наносится ущерб, ничего не толкается и не оставляется не на месте), и не предупреждает никого о том, что там была «красная команда». ^[60]

Подготовка

Использование списка выгрузки может помочь гарантировать, что важное снаряжение красной команды не будет забыто. ^[61] Использование военного снаряжения, такого как жилеты MOLLE и небольшие тактические сумки, может обеспечить полезные места для хранения инструментов, но имеет недостатки, такие как заметность и увеличение обременения. ^[62] Черная одежда или темный камуфляж могут быть полезны в сельской местности, тогда как уличная одежда в оттенках серого и черного может быть предпочтительнее в городских районах. ^[63] Другие предметы городской маскировки включают сумку для ноутбука или пару наушников на шее. Различные типы бахил могут использоваться, чтобы минимизировать следы как на открытом воздухе, так и в помещении. ^[64]

Подход

Световая дисциплина (минимизация света от транспортных средств, фонарей и других инструментов) снижает вероятность раскрытия информации. ^[59] Некоторые тактики световой дисциплины включают использование красных фонарей, использование только одного транспортного средства и выключение фар транспортного средства. ^[59]

Иногда между разведкой и проникновением происходят изменения в безопасности, поэтому для групп, приближающихся к цели, хорошей практикой является «оценка и акклиматизация», чтобы увидеть, можно ли увидеть какие-либо новые меры безопасности. ^[65] Компрометации во время проникновения чаще всего происходят во время подхода к объекту. ^[66] Сотрудники, охрана, полиция и прохожие чаще всего подвергают риску физическую красную команду. ^[67] Прохожие реже встречаются в сельской местности, но и гораздо более подозрительны. ^[68]

Правильное движение может помочь красной команде избежать обнаружения при приближении к цели и может включать в себя спешку, ползание, избегание силуэтов на холмах, ходьбу в строю, например, гуськом, и ходьбу короткими рывками с последующей остановкой. ^[69] Использование сигналов руками может использоваться для снижения шума. ^[70]

Вход на объект

Некоторые красные команды считают взлом замков худшим методом обхода замков из-за шума и времени, которое он занимает по сравнению с использованием атак, требующих меньшего мастерства, например, с использованием прокладок .

Обычные устройства безопасности включают двери, замки, ограждения, сигнализацию, датчики движения и датчики уровня земли. Двери и замки часто быстрее и тише обходят с помощью инструментов и прокладок , а не отмычек . ^[71] RFID-замки распространены на предприятиях, и скрытые RFID-считыватели в сочетании с социальной инженерией во время разведки могут использоваться для копирования значка уполномоченного сотрудника. ^[72] Колючую проволоку на заборах можно обойти, накрыв ее толстым одеялом. ^[73] Противоперелазные ограждения можно обойти с помощью лестниц. ^[74]

Сигнализации иногда можно нейтрализовать с помощью радиоглушителя , который нацелен на частоты, используемые сигнализациями для внутренней и внешней связи. ^[75] Датчики движения можно обойти с помощью специального щита размером с тело, который блокирует тепловую сигнатуру человека. ^[76] Наземные датчики склонны к ложным срабатываниям, из-за чего сотрудники службы безопасности могут не доверять им или игнорировать их. ^[77]

Внутри объекта

Оказавшись внутри, если есть подозрение, что здание занято, хорошей тактикой будет маскировка под уборщика или сотрудника, используя соответствующую одежду. ^[78] Шумовая дисциплина часто важна, когда вы находитесь внутри здания, так как там меньше окружающих звуков, которые могли бы замаскировать шумы красной команды. ^[79]

Серверная комната может быть заманчивой целью для красных команд. Физический доступ к серверу может помочь получить доступ к защищенным сетям, которые в противном случае хорошо защищены от цифровых угроз.

У красных команд обычно есть выбранные целевые местоположения и заранее спланированные задачи для каждой команды или члена команды, например, вход в серверную комнату или офис руководителя. Однако может быть сложно определить местоположение комнаты заранее, поэтому это часто выясняется на ходу. Чтение знаков аварийного выхода и использование часов с компасом может помочь в навигации внутри зданий. ^[80]

В коммерческих зданиях часто остаются включенными некоторые огни. Хорошей практикой является не включать и не выключать свет, так как это может кого-то насторожить. Вместо этого для операций красной команды предпочтительнее использовать уже неосвещенные области, при этом для быстрого перемещения по освещенным областям следует использовать методы спешки и замирания. ^[81] Часто избегают стоять в полный рост перед окнами и входить в здания через вестибюли из-за риска быть замеченным. ^[82]

Бороскоп можно использовать для заглядывания за углы и под двери, чтобы обнаружить людей, камеры или датчики движения. [ ^83]

Если после того, как целевая комната будет достигнута, необходимо что-то найти, например, определенный документ или определенное оборудование, комнату можно разделить на секции, и каждый член красной команды сосредоточится на определенной секции. ^[84]

Пароли часто располагаются под клавиатурами. Можно использовать приемы, чтобы не нарушать расположение объектов в офисах, таких как клавиатуры и стулья, поскольку их регулировка часто будет замечена. ^[85] Светильники и замки можно оставить в их первоначальном состоянии: включенными или выключенными, запертыми или разблокированными. ^[86] Можно предпринять шаги, чтобы гарантировать, что оборудование не останется позади, например, составить список всего принесенного оборудования и проверить, что все предметы учтены. ^[87]

Хорошей практикой является передача по радио сообщений о ситуации (SITREP) руководителю группы, когда происходят необычные вещи. Затем руководитель группы может решить, следует ли продолжать операцию, следует ли ее прекратить или следует ли члену группы сдаться, предъявив свое письмо-разрешение и удостоверение личности. ^[88] При столкновении с гражданскими лицами, такими как сотрудники, операторы красной группы могут попытаться применить социальную инженерию. При столкновении с правоохранительными органами хорошей практикой является немедленная сдача из-за возможных правовых последствий и последствий для безопасности. ^[89]

Выход из объекта

Идеальный способ покинуть объект — медленно и осторожно, подобно тому, как был достигнут вход. Иногда возникает желание выскочить после достижения цели миссии, но это нехорошая практика. Медленный и осторожный выход сохраняет ситуационную осведомленность, на случай, если ранее пустая область теперь имеет кого-то в ней или приближается к ней. ^[90] Хотя обычно во время выхода выбирается путь входа, можно также использовать более близкий или альтернативный выход. ^[91]

Целью всех членов команды является достижение точки сбора или, возможно, второй аварийной точки сбора. Точка сбора обычно находится в другом месте, чем точка высадки. ^[92]

Пользователи

Компании и организации

Частные компании иногда используют красные команды для дополнения своих обычных процедур безопасности и персонала. Например, Microsoft и Google используют красные команды для защиты своих систем. ^{[93] [94]} Некоторые финансовые учреждения в Европе используют структуру TIBER-EU. ^[95]

Разведывательные агентства

Террористический лидер Усама бен Ладен в Пакистане. Три красные команды были задействованы для проверки разведданных, которые привели к убийству Усамы бен Ладена в 2011 году.

Применительно к разведывательной работе, red teaming иногда называют альтернативным анализом . ^[96] Альтернативный анализ подразумевает привлечение новых аналитиков для перепроверки выводов другой команды, для оспаривания предположений и для того, чтобы убедиться, что ничего не было упущено. Три red team были задействованы для проверки разведданных, которые привели к убийству Усамы бен Ладена в 2011 году, включая red team из-за пределов Центрального разведывательного управления, поскольку существовали серьезные дипломатические и общественные последствия для начала военной операции в Пакистане, поэтому было важно перепроверить разведданные и выводы первоначальной команды. ^[97]

После неудачных попыток предвидеть войну Судного дня, Разведывательное управление Армии обороны Израиля сформировало красную команду под названием Ипча Мистабра («наоборот»), чтобы пересмотреть отвергнутые предположения и избежать самоуспокоенности. ^[2] Организация Североатлантического договора (НАТО) использует альтернативный анализ. ^[98]

Военные

Военные обычно используют red teaming для альтернативного анализа, моделирования и зондирования уязвимости. ^[99] В военных варгеймах противостоящая сила ( OPFOR) в моделируемом конфликте может называться Red Cell. ^[100] Ключевая тема заключается в том, что противник (красная команда) использует тактику, методы и оборудование по мере необходимости, чтобы имитировать желаемого актера. Красная команда бросает вызов оперативному планированию, играя роль осознанного противника.

В Министерстве обороны Соединенного Королевства действует программа «красной команды». ^[101]

Красные команды использовались в Вооруженных силах США гораздо чаще после того, как в 2003 году Совет по обзору оборонной науки рекомендовал их для предотвращения недостатков, которые привели к атакам 11 сентября. В 2004 году армия США создала Управление направленных исследований армии. Это была первая красная команда на уровне службы, и до 2011 года она была крупнейшей в Министерстве обороны (DoD). ^[102] Университет иностранных военных и культурных исследований предоставляет курсы для членов и лидеров красных команд. Большинство очных курсов проводятся в Форт-Ливенворте и нацелены на студентов из Командно-штабного колледжа армии США (CGSC) или эквивалентных средних и старших школ. ^[103] Курсы включают такие темы, как критическое мышление, смягчение группового мышления, культурная эмпатия и саморефлексия. ^[104]

Концепция красной команды Корпуса морской пехоты началась в 2010 году, когда командующий Корпуса морской пехоты (CMC) генерал Джеймс Ф. Амос попытался реализовать ее. ^[105] Амос составил проект белой книги под названием « Red Teaming in the Marine Corps» . В этом документе Амос обсудил, как концепция красной команды должна бросать вызов процессу планирования и принятия решений, применяя критическое мышление от тактического до стратегического уровня. В июне 2013 года Корпус морской пехоты укомплектовал должности красной команды, описанные в проекте белой книги. В Корпусе морской пехоты все морские пехотинцы, назначенные на должности красной команды, проходят либо шестинедельные, либо девятинедельные курсы подготовки красной команды, предоставляемые Университетом иностранных военных и культурных исследований (UFMCS). ^[106]

Оперативники Красной команды во время учений по кибервойне Европейского командования США

Министерство обороны использует киберкрасные команды для проведения состязательных оценок своих сетей. ^[107] Эти красные команды сертифицированы Агентством национальной безопасности и аккредитованы Стратегическим командованием США . ^[107]

Безопасность в аэропорту

Красные команды используются некоторыми организациями по безопасности аэропортов, такими как Администрация транспортной безопасности США, для проверки точности досмотра в аэропорту .

Федеральное управление гражданской авиации США (FAA) начало использовать красные команды с момента крушения рейса 103 авиакомпании Pan Am над Локерби , Шотландия , который подвергся террористической атаке в 1988 году. Красные команды ежегодно проводят испытания примерно в 100 аэропортах США. Испытания были приостановлены после терактов 11 сентября 2001 года и возобновлены в 2003 году Управлением транспортной безопасности, которое взяло на себя роль FAA по обеспечению авиационной безопасности после 11 сентября. ^[108] До терактов 11 сентября использование FAA красных команд выявило серьезные недостатки в системе безопасности в международном аэропорту Логан в Бостоне, откуда прибыли два из четырех угнанных рейсов 11 сентября. Некоторые бывшие следователи FAA, участвовавшие в работе этих команд, считают, что FAA намеренно игнорировало результаты испытаний, и что это частично привело к террористической атаке 11 сентября на США . ^[109]

Администрация транспортной безопасности США использовала red teaming в прошлом. В ходе одной операции red team агенты под прикрытием смогли обмануть сотрудников транспортной безопасности и пронести оружие и фальшивые взрывчатые вещества через охрану 67 из 70 раз в 2015 году. ^[110]

Смотрите также

• Богдан Дзакович – осведомитель ФАУ и член организации «Ветеранские специалисты по разведке за здравомыслие»
• Черный хакерский взлом
• Приемлемый получатель 97
• Эксплойт (компьютерная безопасность)
• Серая шляпа
• Групповое мышление
• Хакер (компьютерная безопасность)
• Хакерская этика
• ИТ-риск
• Метасплоит
• Доска по убийствам
• Уязвимость (вычисления)
• Кража беспроводных персональных данных

Ссылки

1. Zenko, стр. 56
2. Хоффман, стр. 37
3. Хоффман, стр. 39
4. Зенко, стр. 57
5. Хоффман, стр. 32
6. "Что такое red teaming?". WhatIs.com . Получено 14 мая 2023 г. .
7. "Тестирование на проникновение против Red Teaming: устранение путаницы". Security Intelligence . Получено 23 декабря 2020 г. .
8. Ребергер, стр. 3
9. «Разница между красными, синими и фиолетовыми командами». Дэниел Мисслер . Получено 3 апреля 2022 г.
10. «Что такое Purple Teaming? Как он может усилить вашу безопасность?». Redscan . 14 сентября 2021 г. Получено 3 апреля 2022 г.
11. Rehberger, стр. 66
12. Ребергер, стр. 68
13. Ребергер, стр. 72
14. "White Team – Glossary | CSRC". Национальный институт стандартов и технологий , Министерство торговли США . Получено 23 мая 2023 г.
15. Ребергер, стр. 40–41.
16. Ребергер, стр. 44
17. Ребергер, стр. 117
18. Ребергер, стр. 132
19. Ребергер, стр. 127
20. Ребергер, стр. 140
21. Ребергер, стр. 138
22. Ребергер, стр. 165
23. Ребергер, стр. 178
24. Ребергер, стр. 180
25. Ребергер, стр. 203
26. Ребергер, стр. 245
27. Ребергер, стр. 348
28. Ребергер, стр. 70
29. Ребергер, стр. 349
30. Ребергер, стр. 70–71.
31. Ребергер, стр. 447
32. Ребергер, стр. 473
33. Ребергер, стр. 23
34. Ребергер, стр. 26
35. Ребергер, стр. 73
36. Ребергер, стр. 93–94.
37. Ребергер, стр. 97–100.
38. Ребергер, стр. 103
39. Ребергер, стр. 108
40. Ребергер, стр. 111
41. Таламантес, стр. 24–25
42. Таламантес, стр. 26–27
43. Таламант, стр. 153
44. Таламант, стр. 41
45. Таламант, стр. 48
46. Таламантес, стр. 110
47. Таламантес, стр. 112–113
48. Таламант, стр. 51
49. Таламант, стр. 79
50. Таламантес, стр. 58–63
51. Таламант, стр. 142
52. Таламантес, стр. 67–68.
53. Таламант, стр. 83
54. Таламантес, стр. 72–73
55. Таламантес, стр. 89–90.
56. Таламант, стр. 98
57. Таламантес, стр. 100–101
58. Таламант, стр. 102
59. Таламант, стр. 126
60. Таламант, стр. 136
61. Таламант, стр. 137
62. Таламантес, стр. 133–135
63. Таламант, стр. 131
64. Таламант, стр. 287
65. Таламант, стр. 153
66. Таламант, стр. 160
67. Таламант, стр. 173
68. Таламант, стр. 169
69. Таламантес, стр. 183–185
70. Таламант, стр. 186
71. Таламант, стр. 215
72. Таламант, стр. 231
73. Таламант, стр. 202
74. Таламант, стр. 201
75. Таламант, стр. 213
76. Таламант, стр. 208
77. Таламант, стр. 199
78. Таламант, стр. 238
79. Таламант, стр. 182
80. Таламантес, стр. 242–243
81. Таламант, стр. 247
82. Таламант, стр. 246
83. Таламант, стр. 249
84. Таламант, стр. 253
85. Таламант, стр. 284
86. Таламант, стр. 286
87. Таламант, стр. 296
88. Таламант, стр. 266
89. Таламант, стр. 267
90. Таламант, стр. 272
91. Таламант, стр. 273
92. Таламант, стр. 274
93. "Microsoft Enterprise Cloud Red Teaming" (PDF) . Microsoft.com .
94. «Хакеры Google: Внутри красной команды по кибербезопасности, которая обеспечивает безопасность Google». ZDNET . Получено 2 июня 2023 г.
95. Европейский центральный банк (23 марта 2023 г.). Что такое TIBER-EU? (Отчет).
96. Mateski, Mark (июнь 2009 г.). "Red Teaming: A Short Introduction (1.0)" (PDF) . RedTeamJournal.com . Архивировано из оригинала (PDF) 5 декабря 2017 г. . Получено 19 июля 2011 г. .
97. Зенко, стр. 127–128.
98. Справочник альтернативного анализа НАТО (PDF) (2-е изд.). 2017. ISBN 978-92-845-0208-0.
99. Зенко, стр. 59
100. Министерство обороны Соединенного Королевства, стр. 67.
101. Министерство обороны Соединенного Королевства, стр. 6.
102. Малвани, Брендан С. (июль 2012 г.). «Укрепленные через вызов» (PDF) . Marine Corps Gazette . Marine Corps Association . Архивировано из оригинала (PDF) 28 сентября 2013 г. . Получено 23 октября 2017 г. – через HQMC.Marines.mil.
103. "Запись на курс UFMCS".
104. "Курсы Университета иностранных военных и культурных исследований". army.mil . Получено 23 октября 2017 г. .
105. «Red Team: To Know Your Enemy and Yourself». Совет по международным отношениям . Получено 24 мая 2023 г.
106. Амос, Джеймс Ф. (март 2011 г.). «Красная команда в корпусе морской пехоты».
107. "Руководство председателя Объединенного комитета начальников штабов 5610.03" (PDF) . Архивировано из оригинала (PDF) 1 декабря 2016 г. . Получено 25 февраля 2017 г. .
108. Шерман, Дебора (30 марта 2007 г.). «Тестовые устройства проходят проверку службой безопасности DIA». Denver Post .
109. "Национальная комиссия по террористическим атакам на Соединенные Штаты". govinfo.library.unt.edu . Университет Северного Техаса . Получено 13 октября 2015 г. .
110. Беннетт, Брайан (2 июня 2015 г.). «Агенты Red Team используют маскировку и изобретательность, чтобы раскрыть уязвимости TSA». Los Angeles Times . Получено 3 июня 2023 г.

Библиография

• Хоффман, Брайс (2017). Red Teaming: Как ваш бизнес может победить конкурентов, бросая вызов всему . Crown Business . ISBN 9781101905982.
• Ребергер, Иоганн (2020). Атаки на кибербезопасность – стратегии Red Team . Packt Publishing. ISBN 978-1-83882-886-8.
• Таламантес, Джеремия (2019). Физические операции Красной команды . Hexcode Publishing. ISBN 978-0-578-53840-2.
• Министерство обороны Соединенного Королевства (2010). DCDC Guidance Note: A Guide to Red Teaming (PDF) . Архивировано из оригинала (PDF) 26 октября 2012 г.
• Зенко, Мика (2015). Красная команда: как добиться успеха, думая как враг . Базовые книги . ISBN 978-0-465-07395-5.

Дальнейшее чтение

• Крейг, Сьюзен (март–апрель 2007 г.). «Размышления лидера красной команды». Military Review . Получено 17 июня 2023 г. .
• «Научный совет по обороне – целевая группа по роли и статусу деятельности DoD Red Teaming» (PDF) . Министерство обороны США. Сентябрь 2003 г. Получено 17 июня 2023 г.
• Малвани, Брендан С. (1 ноября 2012 г.). «Не боксируйте в красной команде». Armed Forces Journal . Получено 17 июня 2023 г.
• The Red Team Handbook: The Army's Guide to Making Better Decisions (PDF) (Девятое изд.). Университет иностранных военных и культурных исследований . Получено 17 июня 2023 г.
• Red Teaming Handbook (PDF) (Третье изд.). Министерство обороны Великобритании. Июнь 2023 г.
• Рикс, Томас Э. (5 февраля 2007 г.). «Офицеры с докторской степенью консультируют военные усилия». Washington Post . Получено 17 июня 2023 г.
• "Роль и статус деятельности DoD Red Teaming" (PDF) . Целевая группа Совета по оборонной науке . Министерство обороны США. Сентябрь 2003 г. Архивировано из оригинала (PDF) 19 апреля 2009 г. . Получено 17 июня 2023 г. .
• Второе публичное слушание Национальной комиссии по террористическим атакам на Соединенные Штаты: заявление Богдана Джаковича (отчет). Национальная комиссия по террористическим атакам на Соединенные Штаты. 22 мая 2003 г. Получено 17 июня 2023 г.
• ^{[ нерабочая ссылка ]} Команда GAO Red Team обнаружила, что ядерные материалы можно легко ввезти в Соединенные Штаты контрабандой спустя годы после атаки 11 сентября