Når Red Teams Afslører Det Utænkelige

Mange organisationer tror, de er sikre—indtil en red team beviser det modsatte.

I mine 28 års erfaring med offensiv sikkerhed har jeg set førstehånds, hvor hurtigt tilliden bryder sammen, når virkelige adversarielle taktikker anvendes på corporate forsvar. Red team operationer tester ikke kun systemer; de presser grænserne for adgang, der kan opnås fra et bestemt, sofistikeret, adversarielt perspektiv. Ofte er reglerne for engagement bredere, hvilket tillader ikke kun server-side angreb, men også social engineering, trådløse og fysisk teknik. Det, vi ofte afslører i vores operationer, er, at katastrofale niveauer af adgang er mulige

Mit team og jeg har opnået netværksfodfæste og eskaleret privilegier for at få adgang til og endda kontrollere kommercielle blast furnaces, driver code-signing infrastruktur, lønningsystemer, følsom IP, bankhostsystemer, CCTV-systemer, CFO’s inbox, MRI/X-ray maskinresultater, fildele full of PHI, tællelige interessante filer, 2. hjem af CEOs, der var VPN-linket til corporate netværk, og fuld hash dump af mange, mange Active Directory skove.

Vi har skiftet til on-prem netværk efter at have kompromitteret cloud ressourcer, og vi har haft operationer, der skifter fra on-prem til cloud-baseret fodfæste. Nogle gange er det større mål, desto lettere, uanset størrelsen af deres infosec budget. Dette skyldes den naturlige asymmetri mellem angribere og forsvarere. Større skala betyder flere muligheder for ufrivilligt eksponerede svagheder. Disse er ikke teoretiske risici. De er virkelige, og flere organisationer er sårbare over for dette niveau af kompromittering end de selv erkender.

Fodfæste

Eksterne brud begynder med et fodfæste—et initialt adgangspunkt, der åbner døren til dybere kompromittering. I vores arbejde kategoriserer vi fodfæste i fire primære typer:

1. Social Engineering

Selvom det er almindeligt, ser vi det som det mindst belønnende. At narre brugere til at klikke på links eller afsløre legitimationsoplysninger er effektivt, men det reflekterer ikke en sofistikeret adversariels færdigheder. Alligevel har vi set angribere spoofe CFO emails for at initiere “nødhjælps” pengeoverførsler eller bruge AI-genererede stemmekloner til at omgå hjælpe desk protokoller.

2. Adgangskode Spraying

Denne lav- og langsomme teknik forbliver en af de mest effektive. Ved at gætte almindelige adgangskoder på tværs af store brugerlister, undgår angribere låsninger og lykkes ofte. Vi har brudt netværk ved hjælp af intet andet end “Summer2025!” på tværs af tusinder af brugernavne, der er skrabet fra offentlige kilder. Jeg ville gætte, at mere end 1 af 1000 af corporate brugere ville vælge det, medmindre der er en ordforbudspolitik på plads, der blokerer strengene “summer” og “2025” og “25.” For en længere adgangskodepolitik ville jeg gætte “Summertime2025!” som et eksempel.

3. MFA Svagheder

Multi-factor authentication er essentiel—but ikke ufejlbarlig. Som i alle sikkerheds kontroller er en grundig, konsekvent udrulning nøgle. Vi har omgået MFA ved hjælp af push træthed, betinget adgangsløkker og stagnerede tilmeldingslinks. I et tilfælde tilmeldte vi vores eget enhed ved hjælp af et seks måneder gammelt link fundet i en kompromitteret inbox.

4. Eksploitable Svagheder

Tilpassede web apps er særligt sårbare. Vi har udnyttet alt fra SQL injection til sti-gennemløb til objekt-deserialisering fejl til logikfejl, der tillader grundlæggende brugere at sætte deres egen pris på checkout eller forhøje til admin adgang. Forældede kommercielle softwarekomponenter kan endda føre til fjernkodekørsel, hvis de ikke opdateres.

Realitetscheck: Overholdelse vs. Eksponering

Sikkerhedsaudits maler ofte et rosenrødt billede. Men red teams opererer uden for manuskriptet. Regler for engagement på red team operationer er ofte meget bredere end standard pen testing—vi simulerer adversarielle med præcise mål.

I mange engagementer har klienterne en skat af mange tidligere penetration rapporter fra flere forskellige firmaer, med lidt eller intet demonstration af “penetration.” Det er ikke usædvanligt for os at korrigere denne opfattelse ved at opnå betydelige niveauer af adgang fra grundlæggende uautentificeret, ekstern pen testing. Gapet mellem opfattet og reel risiko kan være enormt. Kvalitets-, dækning-orienteret, penetration testing er mere værdifuld end mål-baseret red team operationer for organisationer med mindre modne sikkerhedsstillinger.

AI’s Rolle i Offensiv Sikkerhed

Selvom AI endnu ikke har erstattet menneskelig ingeniøritet i red teaming, accelererer det vores arbejdsprocesser. Vi bruger generativ AI til at bygge proof-of-concept eksploiter hurtigere, analysere angrebsflader, simulere stemmer under vishing operationer og endda skabe autentisk udseende phishing-kampagner. Stigningen i agensiv offensiv AI, der opnår top rang på offentlige bug bounty-lister, er et tegn på, hvad der kommer.

Medfølelse for Forsvarere

Trods vores offensiv rol respekterer vi dybt forsvarere. Asymmetrien er reel: forsvarere skal være perfekte 24/7; angribere har kun brug for en fejl. Det er derfor, vores rapporter ikke kun fremhæver svagheder, dræberkæder, skærmbilleder og reel verden impact; øverst i vores executive summary er positive praksis, som vi stødte på under testningen. Vi nyder at skrive disse mere end selv fundene. Vi er på dit hold for at uddanne og afhjælpe, ikke afsløre.

Konklusion: Det Utænkelige Er Ofte Lige Foran Dig

Red teams finder ikke kun fejl—de tvinger organisationer til at konfrontere ubehagelige sandheder. Fasaden af sikkerhed gemmer ofte ødelagte systemer, miskonfigurationer og oversete risici. Og når vi afslører det utænkelige, er det ikke for at kritisere—det er for at styrke.

Fordi i cybersikkerhed er realitetscheck ikke valgfrit. Det er det eneste, der står mellem “sikker på papir” og en frontside brud.