Red Team

Red Team / Kırmızı Takım Nedir?

Red teaming çalışması, sızma testi kavramına çok benzer bir yaklaşım olup daha çok yönlüdür. Red Team / Kırmızı takımın amacı maksimum sayıda güvenlik açığı bulmak değildir. Amaç, kuruluşun varsa izinsiz girişleri tespit etme ve önleme yeteneğini test etmektir. Ekip, sistemlerde fark edilmeden kalmaya çalışarak hassas bilgilere mümkün olan her şekilde erişmeye çalışır. APT’lere benzer hedefli saldırgan saldırılarını taklit ederler.

Red Team / Kırmızı Takım

Kırmızı ekipler, sistemlere saldırmak ve savunmaları kırmak konusunda uzman olan saldırgan güvenlik uzmanlarıdır. Kırmızı ekip, siber güvenlik kontrollerinin üstesinden gelmek için rakip olarak hareket eden güvenlik uzmanlarından oluşur . Kırmızı takımlar genellikle sistem güvenliğini objektif bir şekilde değerlendiren bağımsız etik hackerlardan oluşur.

Varlıklara yetkisiz erişim sağlamak amacıyla insanlardaki, süreçlerdeki ve teknolojideki zayıflıkları bulmak için mevcut tüm teknikleri kullanırlar. Bu simüle edilmiş saldırıların bir sonucu olarak, kırmızı ekipler bir kuruluşun güvenlik duruşunu nasıl güçlendireceklerine dair önerilerde bulunur ve planlar yapar.

Red Teaming Metodolojisi

Red Team Operasyonu, dünya çapında kabul görmüş ve endüstri standartlarını kullanarak tutarlı bir şekilde yürütülmelidir. Sağlıklı bir operasyon gerçekleştirmek için endüstri standartlarını temel alıp kullanılmalıdır. Temel alınan standartlar NATO Cooperative Cyber Defence Centre of Excellence (NATO CCDCOE), Open Web Application Security Project (OWASP), The Penetration Testing Execution Standard (PTES), ABD Ordusu Red Team El Kitabı v7 (US Army Red Teaming Handbook v7) şeklinde sıralanır.

Red Teaming Metodolojisinin detayları aşağıdaki gibidir.

1. Keşif (Reconnaissance)

Red Team operasyonundaki ilk ve en kritik aşamadır. Bu aşamada hedefle ilgili mümkün olduğunca fazla bilgi toplamaya odaklanılır. Hedefin insanları, teknolojisi, çevresi ve çerçevesi hakkında çok şey öğrenmek genellikle mümkündür. Bu adım ayrıca, hedefe özel belirli araçlar oluşturmayı veya edinmeyi de içermektedir.

2. Silahlanma (Weaponization)

Keşif faaliyetlerinden elde edilen bilgilere dayanarak, hedefe özel komuta kontrol merkezlerinin inşa edilmesi ve zararlıların geliştirilmesi adımıdır. Bu adımlar genellikle şunları içerir; yazılımsal ve donanımsal zararlıların hazırlanması, RFID klonlamalarını cihazlarının hazırlanması, sosyal mühendislik için senaryoların hazırlanması, sahte kişilerin veya şirketlerin oluşturulması…

3. Gönderim (Delivery)

Gönderim aşaması, operasyonun hedef ile ilk temasını içerir ve kritik aşamalardan biridir. Bu, işlemin tümüyle aktif olarak başlatıldığını gösterir. Red Team ekipleri bu adımda belirlenen senaryolardaki hedeflere ulaşmak için hedef kişi veya kişilere yönelik eylemleri gerçekleştirirler. Fiziksel olarak kimlik kartlarını klonlamak, yüz yüze veya iletişim kanallarında sosyal mühendislik saldırıları, teknoloji altyapısındaki zafiyet veya zafiyetlerin analizi gibi eylemler kullanılır.

4. İstismar (Exploitation)

Gönderim aşamasında gerçekleştirilen eylemin veya eylemlerin başarıya ulaşması sonucu hedefin teknoloji altyapısından erişimin elde edilmeye çalışılır. Bu adımda hedef özel geliştirilen zararlı ilgili hedef veya hedeflere bulaşmış olacaktır.

5. Komuta ve Kontrol (Command & Control)

Hedef sistem veya sistemlerde çalışmaya başlayan zararlı yazılım Red Team komuta ve kontrol sunucuları ile iletişime geçtiği aşamadır. Bu aşama için oluşturulan komut ve kontrol sunucuları normal şartlarda legal sistemler gibi görünmektedir. Ayrıca zararlının oluşturduğu ağ trafiğin de legal ağ trafiğine ait gibi görünmesi için çaba sarf edilir.

6. Hedefe İlerleme (Actions on Objective)

Bu adımda kurum tarafından belirlenmiş bir hedeflere erişmek için çalışmaların başladığı adımdır. Amaç en kısa sürede ve açığa çıkmadan ilgili hedef ulaşmaktır.

Red Teaming Hizmetinin Standart Sızma Testlerinden Farkı

Günümüzün güvenlik endüstrisinde Red Teaming ve Sızma Testi terimleri eş anlamlı olarak kullanılmaktadır. Bu iki hizmet bazı ortaklıkları paylaşsa da, gerçekte yaklaşım ve sonuç bakımından büyük ölçüde farklılık gösterirler. Sızma testleri hizmeti tek başına eksiksiz bir güvenlik analizi sağlayamamaktadır. Sızma testleri gerçekleştirilirken tüm bilgi teknolojilerinin ekibinin bilgisi vardır ve testler kontrollü şekilde gerçekleştirilir. Red Teaming hizmetinde ise operasyonun gerçekleştirileceği bilgisi yalnızca önceden belirlenmiş bir veya iki yönetici ile sınırlıdır. Operasyon bilgi teknolojileri ekibinden bağımsız yürütülür. Böylece kurumun insan kaynağının da (güvenlik ve IT birimleri) hedeflenmiş bir saldırıya karşı ne kadar etkin olduğu ortaya çıkartılacaktır.