Cyberbezpieczeństwo

Gdy czerwone zespoły ujawniają niewyobrażalne

mm
Opublikowano
Zaktualizowano

Wiele organizacji uważa, że są bezpieczne, dopóki czerwony zespół nie udowodni odwrotnie.

W ciągu 28 lat pracy w dziedzinie bezpieczeństwa ofensywnego widziałem na własne oczy, jak szybko zaufanie się załamuje, gdy stosuje się taktyki przeciwnika w środowisku korporacyjnym. Operacje czerwonego zespołu nie tylko testują systemy, ale także pushują granice dostępu możliwego z perspektywy zdeterminowanego, wyrafinowanego przeciwnika. Często reguły zaangażowania są szersze, pozwalające nie tylko na ataki po stronie serwera, ale także na inżynierię społeczną, techniki bezprzewodowe i nawet fizyczne. To, co często ujawniamy w naszych operacjach, to katastrofalne poziomy dostępu, które są możliwe

Moja drużyna i ja zdobyliśmy punkty wejścia do sieci i eskalowaliśmy uprawnienia, aby uzyskać dostęp i nawet kontrolować komercyjne piece hutnicze, infrastrukturę kodowania sterowników, systemy płacowe, wrażliwe własność intelektualną, systemy hostów bankowych, systemy monitoringu CCTV, skrzynki odbiorcze CFO, wyniki badań MRI / RTG, udziały plików wypełnione danymi osobowymi, wiele interesujących plików, domy letniskowe CEO połączone z sieciami firmowymi za pomocą VPN oraz pełne wyświetlenia wielu lasów aktywnych.

Przesunęliśmy się do sieci lokalnych po skompromitowaniu zasobów chmurowych i mieliśmy operacje, które przeniosły się z sieci lokalnych do punktów wejścia opartych na chmurze. Czasem większy cel jest łatwiejszy, niezależnie od skali budżetu bezpieczeństwa informacji. Wynika to z naturalnej asymetrii między atakującymi a obrońcami. Większa skala oznacza więcej możliwości niezamierzonego narażenia na słabości. To nie są teoretyczne ryzyka. Są one realne, a więcej organizacji jest narażonych na ten poziom kompromitacji, niż sobie uświadamiają.

Punkty wejścia

Zewnętrzne naruszenia zaczynają się od punktu wejścia – początkowego punktu dostępu, który otwiera drzwi do głębszego kompromitowania. W naszej pracy klasyfikujemy punkty wejścia na cztery podstawowe typy:

1. Inżynieria społeczna

Chociaż jest to powszechne, uważamy to za najmniej satysfakcjonujące. Przekonywanie użytkowników do klikania linków lub ujawniania poświadczeń jest skuteczne, ale nie odzwierciedla umiejętności wyrafinowanego przeciwnika. Nadal widzieliśmy atakujących, którzy podszywali się pod e-maile CFO, aby zainicjować „pilne” przelewy bankowe lub używali AI-generowanych klonów głosowych, aby ominąć protokoły help desk.

2. Ataki typu password spraying

Ta technika low-and-slow pozostaje jedną z najskuteczniejszych. Przez odgadnięcie częstych haseł wśród dużych list użytkowników, atakujący unikają blokowania i często odnoszą sukces. Skompromitowaliśmy sieci, używając niczego więcej niż „Summer2025!” wśród tysięcy nazw użytkowników pobranych ze źródeł publicznych. Szacuję, że więcej niż 1 na 1000 użytkowników korporacyjnych wybrałoby to, chyba że byłoby wdrożone egzekwowanie zakazanych słów, blokujące ciągi takie jak „lato” i „2025” oraz „25”. Dla dłuższej polityki haseł szacuję „Summertime2025!” jako przykład.

3. Słabości uwierzytelniania wielostopniowego

Uwierzytelnianie wielostopniowe jest niezbędne, ale nie jest niezawodne. Jak we wszystkich kontrolach bezpieczeństwa, ważne jest staranne i spójne wdrożenie. Ominęliśmy uwierzytelnianie wielostopniowe, używając zmęczenia push, luk w dostępie warunkowym i linków do rejestracji, które są nieaktualne. W jednym przypadku zarejestrowaliśmy nasze własne urządzenie, używając sześciomiesięcznego linku znalezionego w skrzynce odbiorczej.

4. Eksploatowalne słabości

Niestandardowe aplikacje internetowe są szczególnie narażone. Wykorzystaliśmy wszystko, od iniekcji SQL po przejście ścieżki do bugów deserializacji obiektów, które pozwalają użytkownikom podstawowym na ustawienie własnej ceny w trakcie kasowania lub na podniesienie do poziomu administratora. Nieaktualne komponenty oprogramowania komercyjnego mogą również prowadzić do zdalnej wykonania kodu, jeśli pozostaną niepoprawione.

Rzeczywistość: zgodność a narażenie

Audity bezpieczeństwa często malują różowy obraz. Ale czerwone zespoły działają poza scenariuszem. Reguły zaangażowania w operacjach czerwonego zespołu są często znacznie szersze niż standardowe testy penetracyjne – symulujemy przeciwników z precyzyjnymi celami.

W wielu zaangażowaniach klienci mają wiele raportów z poprzednich testów penetracyjnych z różnych firm, z niewielką lub żadną demonstracją „przeniknięcia”. Nie jest rzadkością, gdy poprawiamy tę percepcję, osiągając znaczne poziomy dostępu z podstawowych, nieuwierzytelnionych testów penetracyjnych. Przerwa między postrzeganym a rzeczywistym ryzykiem może być ogromna. Jakościowe, zorientowane na pokrycie testy penetracyjne są bardziej wartościowe niż operacje czerwonego zespołu oparte na celach dla organizacji o mniej dojrzałych postawach bezpieczeństwa.

Rola AI w bezpieczeństwie ofensywnym

Chociaż AI jeszcze nie zastąpiło ludzkiej pomysłowości w czerwonym zespole, przyspiesza nasze przepływy pracy. Używamy generatywnego AI, aby budować szybsze dowody koncepcyjne, analizować powierzchnie ataku, symulować głosy podczas operacji vishing oraz nawet tworzyć autentycznie wyglądające kampanie phishingowe. Wzrost ofensywnego AI agentyzowanego, który osiąga najwyższe rangi na publicznych listach bug bounty, jest znakiem tego, co nadchodzi.

Współczucie dla obrońców

Pomimo naszej ofensywnej roli, głęboko szanujemy obrońców. Asymetria jest realna: obrońcy muszą być perfekcyjni 24/7; atakujący potrzebują tylko jednego błędu. Dlatego nasze raporty nie tylko podkreślają słabości, łańcuchy zabójstw, zrzuty ekranu i realny wpływ; na górze naszego podsumowania wykonawczego znajdują się pozytywne praktyki, które spotkaliśmy podczas testowania. Lubię pisać te bardziej niż same wyniki. Jesteśmy w Twoim zespole, aby edukować i usuwać, a nie ujawniać.

Podsumowanie: niewyobrażalne jest często tuż przed nami

Czerwone zespoły nie tylko znajdują błędy – zmuszają organizacje do konfrontacji z niekomfortowymi prawdami. Fasada bezpieczeństwa często ukrywa kruche systemy, błędy konfiguracyjne i pomijane ryzyko. A gdy ujawniamy niewyobrażalne, nie robi się tego, aby krytykować – robi się to, aby wzmocnić.

Ponieważ w cyberbezpieczeństwie kontrole rzeczywistości nie są opcjonalne. Są one jedyną rzeczą, która stoi między „bezpiecznym na papierze” a naruszeniem, które trafia na pierwszą stronę.

mm

Jake Reynolds jest Dyrektorem Usług Bezpieczeństwa Ofensywnego w All Covered. Z ponad 28-letnim doświadczeniem w testowaniu penetracyjnym i strategii cyberbezpieczeństwa, Jake kieruje zespołem elitarnych czerwonych zespołów, którzy specjalizują się w ujawnianiu realnych luk w zabezpieczeniach. Jest częstym prelegentem na temat taktyk przeciwnika i pomógł setkom organizacji przemyśleć swoją postawę w zakresie bezpieczeństwa.