Проект Red Team: роли и области экспертизы. Колонка Дениса Макрушина

Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной реализации kill chain и демонстрации результатов.

В прошлый раз мы познакомились с ключевыми целями и показателями эффективности Red Team для процессов ИБ и бизнеса в целом. Мы рассмотрели особенности взаимодействия экспертов наступательной безопасности c Blue Team, нюансы ведения проектов и коммуникации во время работ. При этом мы практически не коснулись внутренней структуры красной команды. Пора исправить это!

 

Области экспертизы

Рабочий процесс Red Team мало чем отличается от работы R&D-отдела обычной IT-компании: та же стандартная схема «исследование — разработка — развертывание — поддержка — анализ результатов».

Если не брать в расчет специфику некоторых наступательных мероприятий, требующих экзотической экспертизы (например, эксперта по управлению дронами для доставки «полезной нагрузки» в целевую физическую инфраструктуру), то можно выделить ряд базовых специализаций:

  • проектный менеджер — отвечает за планирование и организацию рабочего процесса внутри команды, а также взаимодействие с ключевыми фигурами в компании (на английском их обычно называют stakeholders);
  • инженер — берет на себя разработку тулз, требующихся для реализации проекта, и автоматизацию задач;
  • оператор — отвечает за развертывание, поддержку инструментов автоматизации и их конфигурирование в соответствии с потребностями проекта;
  • аналитик — обрабатывает полученные данные, а также составляет TTPs (tactics, techniques and procedures) для достижения целей на каждом из этапов kill chain.

Если бюджет ограничен, некоторые из перечисленных специализаций могут прекрасно сочетаться в одном человеке. Но мы не будем заострять внимание на количестве людей в команде, а выделим области экспертиз Red Team, чтобы на их основе вывести роли.

Ключевое отличие эксперта красной команды от коллег в индустрии — это «наступательная» специфика в его задачах. Другими словами, разработчик в Red Team применяет свои знания для достижения, казалось бы, деструктивных целей (к примеру, выполнение произвольного кода на рабочей станции сотрудника и сокрытие этого от средств защиты, чтобы создать еще одну «точку присутствия» в инфраструктуре), но при этом в масштабах бизнеса эти цели конструктивны и служат оценке эффективности средств защиты и процессов реагирования на инциденты. Или, например, DevOps-инженер превращается в ботмастера и деплоит фермы C2-серверов для вывода данных из инфраструктуры и последующей их обработки. Надеюсь, ты уловил эту специфику.

Если разбить множество экспертиз внутри красной команды на четыре больших домена (Research, Engineering, Operations, Management), то получится картина, в которой каждый из этих доменов связан с другими.

Области «красной» экспертизы

Области менеджмента и исследования в определенной степени необходимы для любого эксперта Red Team. Каждый участник команды должен уметь оценить ключевые этапы своей части работ и необходимые ресурсы на каждом из этих этапов, а также уметь донести результаты работы до ключевых лиц (своего руководителя, экспертов Blue Team, бизнес-персон) в понятной им форме.

При этом каждый эксперт не живет в вакууме и во время работы тесно взаимодействует с другими экспертами красной команды. Это значит, что управление проектами — важная компетенция для любого специалиста наступательной безопасности.

Область исследований также фундаментальная и касается спецов любого профиля внутри Red Team. Даже проектный менеджер должен регулярно проводить исследовательские работы в области наступательной безопасности, чтобы понимать TTPs и быть в тренде их развития. Это поможет ему составлять дорожную карту проекта, оценивать ключевые этапы и время на реализацию каждого этапа. При этом очевидно, что все технические специалисты должны вести регулярные исследования в релевантных областях.

Менеджмент и исследования — фундаментальные задачи, с которыми столкнется любой эксперт Red Team. Поэтому при планировании работ всегда необходимо закладывать время на исследования (в большей степени) и управление проектами (в меньшей степени на классический менеджмент и в большей — на прокачку навыков репортинга и коммуникации).

Engineering и Operations — разделы экспертизы, среди которых эксперту придется сделать выбор. Наверняка можно быть девопсом в области наступательных операций, но вот качество и эффективность этих операций требуют узкого фокуса. Рассмотрим возможные роли, которые так или иначе находятся в рамках этих областей.

Источник: xakep.ru

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *