Red teaming

Red teaming są to autoryzowane ataki nowej generacji, odzwierciedlające realne możliwości atakujących od warstwy sieciowej i socjotechniki po aspekty fizycznego bezpieczeństwa (CPH) – w tym ataki sieciowe (testy penetracyjne) oraz ataki socjotechniczne (testy socjotechniczne).

Moja firma Red Team Red Team jest pierwszą polską firmą skupioną wokół red teamingu, a jej nazwa nie jest przypadkowa ponieważ realizujemy szereg usług z zakresu ofensywnego cyberbezpieczeństwa.

Zagrożenia cyberatakami można podzielić na dwa postawowe typy – zewnętrzne, na przykład ukierunkowane ataki APT oraz zagrożenia wewnętrzne, na przykład niezadowoleni pracownicy, urządzania zainfekowane przez złośliwe oprogramowanie itd.

Przykładem symulacji zewnętrznego ataku może być wyrafinowana, autoryzowana kampania spear phishing, której celem będzie uzyskanie dostępu do zasobów organizacji, a efektem realizacji prac będzie lepsza edukacja pracowników biurowych z zakresu bezpieczeństwa teleinformatycznego. Prawdziwy udany atak hakerski tego typu, wymierzony na przykład w księgowość firmy, może zaważyć nie tylko na wizerunku organizacji ale również na jej kondycji finansowej. Przykładem może być wyciek listy płac, a do tego dochodzi również szereg problemów prawnych związanych z wyciekiem danych osobowych (rozporządzenie RODO). Atakujący mogą również doprowadzić do bezpośrednich szkód finansowych po przez podmianę numeru konta bankowego należącego do kontrahenta firmy. Warto tutaj zaznaczyć, iż nie jest to przypadek oderwany od rzeczywistości i media opisywały już takie polskie incydenty, kiedy w ten sposób wyciekły środki finansowe z Podlaskiego Zarządu Dróg Wojewódzkich (kradzież 3,7 mln PLN) czy Urządu Miejskiego w Jaworznie (kradzież 940 tys PLN). W ten sposób organizacja, przez wydaje się banalny atak, może utracić płynnośc finansową – dlatego jest to bardzo ważny element audytu bezpieczeństwa organizacji, którą to usługę w tym przypadku realizujemy w ramach ochrony przed phishingiem oraz testów socjotechnicznych.

Z kolei symulacja wewnętrznego ataku może polegać na podłączeniu urządzeń do sieci wewnętrznej klienta, w takim sam sposób w jaki może to zrobić niezawdowolony pracownik, bądź też atakujący w przypadku kiedy uda mu się uzyskać fizyczny dostęp do firmy na przykład po przez realizację ataku socjotechnicznego. Wydawać by się mogło, iż jest to nierealne, jednak nic bardziej mylnego – co jeśli pod pretekstem wspólpracy dopuścimy atakującego na przykład do salki konferencyjnej, w której podepnie się on do sieci wewnętrznej w przypadku braku skutecznej separacji? To tylko jeden z wielu przykładów jak mogą działać atakujący celem uzyskania dostępu do danej organizacji. W dzisiejszych czasach ataki nie są przeprowadzane już tylko i wyłącznie przy pomocy komputera, ale również z elementami fizycznymi oraz socjotechnicznymi. Oferujemy usługi symulacji takich ataków po przez red teaming oraz testy penetracyjne.

Corocznie od 2014 roku jestem prelegentem na konferencji “Techniczne Aspekty Przestępczości Teleinformatycznej” organizowanej przez Wyższą Szkołę Policji w Szczytnie (WSPol) gdzie pokazuję w jaki sposób działają cyberprzestępcy. Jestem autorem książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” (Wydawnictwo Naukowe PWN; recenzja dr hab. inż. Jerzy Kosiński – profesor Wyższej Szkoły Policji w Szczytnie), w której szczegółowo poruszam metody ataków, zacierania śladów przez hakerów oraz ich analizę z zakresu informatyki śledczej. W red teamingu poza wiedzą z zakresu testów penetracyjnych należy również posiadać wiedzę na temat informatyki śledczej, tak aby symulacja ataku była wyrafinowana i odzwierciedlała poziom dzisiejszych cyberprzestępców.

test bezpieczeństwa, audyt bezpieczeństwa, red teaming, red teamer, pentester, pentest, redteam

Usługi w obszarze cyberbezpieczeństwa

Moja firma Red Team Red Team realizuje eksperckie usługi z zakresu bezpieczeństwa teleinformatycznego, a szczególnie red team (atak, ofensywne bezpieczeństwo) i blue team (obrona, defensywne bezpieczeństwo) w zakresie takim jak m.in. testy penetracyjne, red teaming, testy socjotechniczne, analiza powłamaniowa, threat hunting, informatyka śledcza, reagowanie na incydenty, biegły sądowy informatyk – poparte doświadczeniem zawodowym w pracy na najwyższych technicznych stanowiskach, referencjami oraz powszechnie uznanymi na świecie branżowymi certyfikatami.

Osoby z wąską specjalizacją nie są w stanie rzetelnie wykonać prac związanych z większością dziedzin bezpieczeństwa IT. Przykładowo nie ma możliwości wykonania na wysokim poziomie analizy powłamaniowej bez doświadczenia w testach penetracyjnych. Związane jest to z faktem, że osoba posiadająca praktyczne doświadczenie w autoryzowanych atakach od pierwszego rzutu okiem widzi ślady ataków. Analizując logi włamania na stronę internetową nie ma możliwości pełnego zrozumienia sytuacji jeśli nie dysponuje się praktyczną wiedzą na temat ataków na aplikacje webowe.

Z drugiej strony wykonując ataki red teamingowe trzeba posiadać wiedzę na temat analizy takich ataków. W efekcie czego możliwe jest stworzenie wyrafinowanych scenariuszy ataków, na poziomie wyższym od przeciętnie spotykanych, realnych zagrożeń czekających na pracowników organizacji.

To tylko przykłady jak wszystkie aspekty w dziedzinie jaką jest bezpieczeństwo teleinformatyczne przeplatają się wzajemnie w znacznym stopniu, dlatego tak ważne jest posiadanie szerokich kompetencji, a nie jedynie wąskiej specjalizacji.

Moje doświadczenie z zakresu red team:

  • Testy penetracyjne aplikacji webowych oraz infrastruktury sieciowej wykonane przede wszystkim dla sektora finansowego m.in. w trakcie pracy jako starszy konsultant dla firmy z tzw. „wielkiej czwórki” Deloitte oraz pentester (tester penetracyjny) dla dużego brytyjskiego banku Royal Bank of Scotland (RBS)
  • Red teaming w trakcie pracy w firmie Deloitte
  • Dziesiątki podziękowań za znalezione błędy m.in. od Adobe (2014), Apple (2012), BlackBerry (2013), Deutsche Telekom (2013), eBay (2012), Uniwersytet Harvarda (2013), Netflix (2013), Nokia (2013), VMware (2014), Yahoo (2013), również polskich np. Onet (2013), Interia (2014), Wirtualna Polska (2013), Empik (2013) i Home.pl (2013)
  • Znajomość powszechnie wykorzystywanych metodyk testów penetracyjnychOWASP i PTES
  • Posiadane certyfikaty:
    • OSCP (Offensive Security Certified Professional) od 2015 roku – jest to najbardziej uznany certyfikat z zakresu testów penetracyjnych
    • OSWP (Offensive Security Wireless Professional) – jedyny certyfikat z ataków na sieci bezprzewodowe (Wi-Fi)
    • eWPT (eLearnSecurity Web application Penetration Tester) – certyfikat z zakresu audytów bezpieczeństwa aplikacji webowych

Moje doświadczenie z zakresu blue team:

  • Biegły sądowy z zakresu informatyki z listy Sądu Okręgowego w Warszawie ze szczególnym uwzględnieniem specjalizacji:
    • informatyka śledcza
    • analiza powłamaniowa w systemach Linux
    • hacking
    • cyberprzestępczość
    • zabezpieczanie sprzętu komputerowego we współpracy z organami ścigania
  • Dziesiątki analiz śledczych incydentów w trakcie pracy jako biegły sądowy jak również starszy konsultant w Deloitte oraz w dalszej przeszłości także jako ekspert informatyki śledczej
  • Autor książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux”, ISBN 9788301193478, 2017 Wydawnictwo Naukowe PWN
  • Współautor materiałów dydaktycznych ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji) poświęconych m.in. informatyce śledczej oraz zwalczaniu cyberprzestępczości
  • Członek zwycięskiej drużyny na największych cywilnych ćwiczeniach z zakresu ochrony cyberprzestrzeni ENISA Cyber Europe 2014
  • Ekspert bezpieczeństwa w amerykańskim startupie budującym oprogramowanie IDS/SIEM nowej generacji; gdzie zajmuje się przede wszystkim trenowaniem algorytmu uczenia maszynowego oraz tworzeniem reguł do wyszukiwania zagrożeń (threat hunting)
  • Corocznie prelegent na naukowej konferencji Techniczne Aspekty Przestępczości Teleinformatycznej organizowanej przez Wyższą Szkołę Policji w Szczytnie
  • Członek organizacji non-profit MMD zwalczającej sieciowe zagrożenia
  • Certyfikat z obsługi programu klasy enterprise X-Ways Forensics służącego do profesjonalnej informatyki śledczej
  • Doświadczenie jako administrator Linux zdobyte m.in. w trakcie pracy dla największego polskiego portalu Onet.pl, posiadającego jedną z największych infrastruktur w kraju

Pracowałem na pełny etat minimum rok w następujących specjalizacjach:

  • Testy penetracyjne aplikacji webowych oraz infrastruktury – Starszy Konsultant Cyberbezpieczeństwa w Deloitte; Specjalista ds. Testów Penetracyjnych w Royal Bank of Scotland (RBS)
  • CERT/CSIRT, w tym reagowanie na incydenty – usługi dla największego polskiego banku oraz polskiego rządu
  • Informatyka śledcza – etatowy informatyk śledczy i biegły sądowy
  • Administracja systemami Linux – w największym polskim portalu Onet.pl oraz w dalszej przełości również w placówce medycznej

Od początku swojej kariery zawodowej w bezpieczeństwie IT zawsze zajmowałem najwyższe techniczne stanowiska. Posiadam rozległe doświadczenie pomiędzy atakiem, a obroną co pozwala mi na rzetelne wykonanie różnego rodzaju prac. Moje doświadczenie to nie tylko aspekty zawodowe ale kilkunastoletnie zainteresowanie tematyką bezpieczeństwa teleinformatycznego (od końca lat 90.) i pierwszą publikację poświęconą ofensywnemu bezpieczeństwu opublikowałem już na początku 2008 roku, w nieistniejącym już dziś magazynie Xploit [1, 2].

Chętnie podejmuję się niestandardowych zleceń. Większe projekty wykonuję ze stałymi współpracownikami o nie mniejszych kwalifikacjach, co pozwala nam na eksperckie pokrycie właściwie wszystkich możliwych specjalizacji z zakresu technicznego bezpieczeństwa IT – zapraszam do zapoznania się z usługami polskiej firmy Red Team Red Team, za usługi wystawiam faktury VAT (VAT-PL i VAT-UE).

Referencje

onet
Onet
interia
Interia
wp
Wirtualna Polska
ipn
Instytut Pamięci Narodowej (IPN)
reserved
Reserved (LPP)
empik
Empik
home
Home.pl
askberry
Askberry
rbs
Royal Bank of Scotland (RBS)
comcert
ComCERT
procertiv
ProCertiv
onet2
Onet
wsb
Wyższa Szkoła Biznesu (WSB)
prezi
Prezi
coinnext
Coinnext
riskio
Risk I/O
syntax21
Syntax21
allcinema
ALLCinema
terra
Terra
luminos
Luminos
tapt2016
Wyższa Szkoła Policji – TAPT 2016
tapt2017
Wyższa Szkoła Policji – TAPT 2017