Red Teaming bir kurumun güvenlik cihazlarını, ağlarını, çalışanlarını, uygulamalarını ve fiziksel güvenlik kontrollerini gerçek hayattaki bir saldırıya ne düzeyde dayanabileceğinin ölçümlenmesi için tasarlanan tam kapsamlı ve çok katmanlı saldırı simülasyonudur. Şirketlerin güvenlik ekiplerinin, kurumun gerçek bir saldırı karşısında ne kadar iyi bir sonuç alacağını test etmeleri için özel bir yol sunmaktadır. İyi kurgulanmış bir Red Teaming aşağıdaki ilgili güvenlik açıklarını ve teknoloji altyapısındaki, insan gücündeki ve fiziksel güvenlik ile alakalı riskleri ortaya çıkaracaktır.
Red Teaming operasyonları sırasında, yüksek eğitimli güvenlik danışmanları potansiyel fiziksel, donanım, yazılım ve insan zafiyetlerini ortaya çıkarmak için saldırı senaryolarını yürürlüğe koymaktadır. Bu sayede Red Teaming, kötü niyetli kişilerin şirket sistemlerini ve ağlarını tehlikeye atma veya veri ihlallerine olanak verme fırsatlarını da ortaya çıkarmaktadır.
Red Teaming Metodolojisi
Red Team Operasyonu, dünya çapında kabul görmüş ve endüstri standartlarını kullanarak tutarlı bir şekilde yürütülmelidir. Sağlıklı bir operasyon gerçekleştirmek için endüstri standartlarını temel alıp kullanılmalıdır. Temel alınan standartlar NATO Cooperative Cyber Defence Centre of Excellence (NATO CCDCOE), Open Web Application Security Project (OWASP), The Penetration Testing Execution Standard (PTES), ABD Ordusu Red Team El Kitabı v7 (US Army Red Teaming Handbook v7) şeklinde sıralanır.
Red Teaming Metodolojisinin detayları aşağıdaki gibidir.
1. Keşif (Reconnaissance)
Red Team operasyonundaki ilk ve en kritik aşamadır. Bu aşamada hedefle ilgili mümkün olduğunca fazla bilgi toplamaya odaklanılır. Hedefin insanları, teknolojisi, çevresi ve çerçevesi hakkında çok şey öğrenmek genellikle mümkündür. Bu adım ayrıca, hedefe özel belirli araçlar oluşturmayı veya edinmeyi de içermektedir.
2. Silahlanma (Weaponization)
Keşif faaliyetlerinden elde edilen bilgilere dayanarak, hedefe özel komuta kontrol merkezlerinin inşa edilmesi ve zararlıların geliştirilmesi adımıdır. Bu adımlar genellikle şunları içerir; yazılımsal ve donanımsal zararlıların hazırlanması, RFID klonlamalarını cihazlarının hazırlanması, sosyal mühendislik için senaryoların hazırlanması, sahte kişilerin veya şirketlerin oluşturulması…
3. Gönderim (Delivery)
Gönderim aşaması, operasyonun hedef ile ilk temasını içerir ve kritik aşamalardan biridir. Bu, işlemin tümüyle aktif olarak başlatıldığını gösterir. Red Team ekipleri bu adımda belirlenen senaryolardaki hedeflere ulaşmak için hedef kişi veya kişilere yönelik eylemleri gerçekleştirirler. Fiziksel olarak kimlik kartlarını klonlamak, yüz yüze veya iletişim kanallarında sosyal mühendislik saldırıları, teknoloji altyapısındaki zafiyet veya zafiyetlerin analizi gibi eylemler kullanılır.
4. İstismar (Exploitation)
Gönderim aşamasında gerçekleştirilen eylemin veya eylemlerin başarıya ulaşması sonucu hedefin teknoloji altyapısından erişimin elde edilmeye çalışılır. Bu adımda hedef özel geliştirilen zararlı ilgili hedef veya hedeflere bulaşmış olacaktır.
5. Komuta ve Kontrol (Command & Control)
Hedef sistem veya sistemlerde çalışmaya başlayan zararlı yazılım Red Team komuta ve kontrol sunucuları ile iletişime geçtiği aşamadır. Bu aşama için oluşturulan komut ve kontrol sunucuları normal şartlarda legal sistemler gibi görünmektedir. Ayrıca zararlının oluşturduğu ağ trafiğin de legal ağ trafiğine ait gibi görünmesi için çaba sarf edilir.
6. Hedefe İlerleme (Actions on Objective)
Bu adımda kurum tarafından belirlenmiş bir hedeflere erişmek için çalışmaların başladığı adımdır. Amaç en kısa sürede ve açığa çıkmadan ilgili hedef ulaşmaktır.
Red Teaming Hizmetinin Standart Sızma Testlerinden Farkı
Günümüzün güvenlik endüstrisinde Red Teaming ve Sızma Testi terimleri eş anlamlı olarak kullanılmaktadır. Bu iki hizmet bazı ortaklıkları paylaşsa da, gerçekte yaklaşım ve sonuç bakımından büyük ölçüde farklılık gösterirler. Sızma testleri hizmeti tek başına eksiksiz bir güvenlik analizi sağlayamamaktadır. Sızma testleri gerçekleştirilirken tüm bilgi teknolojilerinin ekibinin bilgisi vardır ve testler kontrollü şekilde gerçekleştirilir. Red Teaming hizmetinde ise operasyonun gerçekleştirileceği bilgisi yalnızca önceden belirlenmiş bir veya iki yönetici ile sınırlıdır. Operasyon bilgi teknolojileri ekibinden bağımsız yürütülür. Böylece kurumun insan kaynağının da (güvenlik ve IT birimleri) hedeflenmiş bir saldırıya karşı ne kadar etkin olduğu ortaya çıkartılacaktır.
Red Teaming’in amacı sadece çevreyi ve çevredeki sistemleri test etmek değil, aynı zamanda insanlarınızı ve süreçlerinizi de test etmektir.
Red teaming, gerçek dünyadaki saldırıların teknik, taktik ve prosedürleri (TTP) üzerinden gerçek dünya saldırılarını simüle ederek geleneksel sızma testlerinin çok ötesinde ve üzerinde bir çalışma sağlar. Red Teaming;
- SOC veya Mavi Takımınız (Blue Team), hedeflenmiş saldırılarına ne kadar hazır ve nasıl tepki veriyor?
- Enfekte bir USB sürücü sunulması durumunda, çalışanlar veya resepsiyon görevlilerinin bu zararlı cihazları bilgisayarlarına bağlıyor mu?
- Ağınızdan veri sızdırıldığında ekipleriniz bu veriyi fark edebiliyor mu?..
…gibi sorulara cevap arayacak şekilde tasarlanır.
Red teaming, geleneksel testlerden farklı olarak sıfır bilgi perspektifine mümkün olduğu kadar yakın bir şekilde gerçekleştirilir. Sızma testi, sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla gerçekleştirilen güvenlik testleridir. Asıl amaç, zafiyeti tespit etmekten öte ilgili zafiyeti sisteme zarar vermeyecek şekilde istismar etmek ve yetkili erişimler elde etmektir. Sızma testlerinin en büyük dezavantajı korunaklı, izole bir ortamda ve tüm bilgi teknolojilerinin bilgisi dahilinde gerçekleştirilmesidir.