Purple Teaming: a reálisabb biztonsági tesztek alapja
Kovács Erik
2021.08.10
Ahogy az korábbi bejegyzéseinkből kiderülhetett, a kiberbűnözők eszköztára folyamatosan fejlődik, s adott esetben képes akár teljesen átalakulni – vegyük csak példának a zsarolóvírusok szolgáltatássá avanzsálását – , hogy minél hatékonyabb és profitálóbb támadásokat hajthassanak végre. Szerencsére ezzel egy időben az infosec iparág is mindig előrukkol új megoldásokkal. Olykor ezek nem is feltétlenül jelentenek teljesen új technológiákat, egyszerűen csak a korábbi, bevált módszerek továbbfejlesztését. Az egyik ilyen, egyre többeket foglalkoztató biztonságtechnikai eszköz a Purple Teaming, amelyről a SOC’s Summiton tartottunk előadást. Éppen ezért úgy gondoltuk, röviden összefoglaljuk az ott elhangzottakat.
Amikor a pentest nem elég
Kezdjük az elején, s nézzük meg, mi hívta életre a Purple Teaminget. Bizonyára nem mondunk vele újdonságot, de sok vállalatnál a biztonsági felméréseknél még mindig csak a penetrációs tesztekben gondolkodnak. A sebtében elvégzett pentest persze jó eséllyel kiszűri a befoltozandó hibákat, de hatalmas hiba, ha ezek eliminálása után a cégvezetés és a vállalat biztonsági szakértői kényelmesen hátradőlnek a karosszékben, annak biztos tudatában, hogy innentől kezdve sebezhetetlenek.
Sajnos a pentest, s ugyanígy a vulnerability scanning, illetve vulnerability assessment egyaránt megmarad a vállalat technológiai rétegében. S bár ilyen módon a technikai problémák kiszűrésére kiválóan alkalmasak, ám nem szabad elfeledkezni arról, hogy a vállalati működés nem pusztán technológiai háttérből áll: ott van az emberi tényező is.
A hacker támadások legtöbbje nem feltétlenül azért lesz sikeres, mert a kiberbűnözők aprólékos munkával feltörnek webes alkalmazásokat, majd onnan lépésenként eljutnak egészen a domain controllerig. A legtöbb támadás sikerének kulcsa a munkatársak, avagy a felhasználók felkészületlenségének köszönhető: gyanútlan kíváncsisággal kattintanak rá a legprimitívebb phising e-mailben található linkre is, amivel a hackerek részéről gyakorlatilag le is van tudva az initial access megszerzése. S ha a kezdeti hozzáférés megvan, a támadónak már csak annyi a feladata, hogy elhelyezzen a rendszerben egy kódot, amely biztosítja számára a későbbi lépések megtételének lehetőségét, a folyamatos hozzáférést.
Sajnos a felhasználót, mint leggyengébb láncszemet nem tesztelik a pentestekkel és a vulnerability assessmentekkel, ezekkel csak a technológiai layer problémái szűrhetők.
A megoldás: a piros és a kék keverése
Nem, nem arra gondolunk, hogy minden cég folyosóját érdemes pirosra és kékre, vagy a két színből kikeverhető lilára mázolni. A megoldást csak átvitt értelemben jelenti e két szín összekeverése. A Red Teaming és Blue Teaming fogalmak bizonyára mindenkinek ismerősek az infosec témák iránt érdeklődők köreiben. Ha valakinek mégsem, akkor röviden a lényegük: a katonaságtól eredeztethető fogalmak, ahol a gyakorlatok során egy piros (támadó) és egy kék (védekező) csapatra osztották a bakákat, s ily módon igyekeztek valós harci helyzeteket szimulálni. Kiberbiztonsági szempontból a dolog nagyon hasonló, vagyis adott a Red Team (jelesül a hackerek) és a Blue Team (például egy vállalat védelmét ellátó csapat), akik modellezik, hogy mi történne egy kibertámadás során. Sok esetben a támadás tényéről előre csak a cégvezetők tudnak, hogy a dolog minél életszerűbb legyen. Így a kék csapat reális támadásnak érzékeli a cégvezetés által megbízott hackerek furmányait, s ennek megfelelően védekeznek.
Ez önmagában is hatékony lehet a hibák és hátsó kapuk feltárására, ám a mostanában egyre népszerűbb úgynevezett Purple Teaming egy fokkal tovább viszi ezt a gondolatmenetet. Nevezetesen azzal, hogy a Purple Teaming esetében a piros és a kék csapat tagjai tudnak egymásról. Ennek megfelelően együtt elterveznek minden egyes lépést, átbeszélik a várható eseményeket, hogy melyik lépésnél milyen eredményre számíthatnak. Így például ha a Red Team egy credential dumping során igyekszik kinyerni valamelyik gépről a jelszavakat, akkor a Blue Team arra számíthat, hogy az antivírus vagy az EDR (Endpoint Detection & Response) rendszer sipákolni kezd, s megpróbálja automatikusan blokkolni a támadást. Ha eljutnak ehhez a lépéshez, s az antivírus illetve az EDR egyaránt néma marad, máris kivizsgálhatják, mi lehet ennek az oka.
Viszont talán ennél is nagyobb dolog, hogy ezzel a módszerrel az is felmérhető, a felhasználók mekkora elánnal kattintanak az adathalász levelek linkjeire. A teszt során kiderülhet, hogy a kollégák képtelenek felismerni a nem kívánatos linkeket, amiből a cégvezetés leszűrheti a tanulságot és szervezhet pár órányi képzést a munkatársaknak.
Emellett kiváló megoldás ez a folyamatok tesztelésére is, hiszen fény derülhet rá, hogy a Helpdesk tisztában van-e azzal, bizonyos események bekövetkeztekor kihez kell fordulni, vagy épp milyen a SOC (Security Operations Center), a Helpdesk és a felhasználók közötti kapcsolat és információáramlás. A Purple Teaming tehát jóval túlmutat a technológiai réteg tesztelésén, ami hatalmas gyakorlati előnyt jelenthet a biztonság fokozásához.
Szemben a pentest és a vulnerability assessments tesztekkel a Purple Teaming bevetésével az APT támadásokat is hatékonyan lehet megelőzni, ahol – szemben mondjuk egy szórakozásból vagy erőfitogtatásból elkövetett script kiddie próbálkozással – a támadóknak anyagi támogatásuk és idejük (olykor pedig állami hátszelük) is van a támadás kivitelezéséhez. A fejére látványosan fekete kapucnit húzó és így klimpírozó script kiddie közel nem jelent olyan mértékű fenyegetést egy cégre nézve, mint amire egy APT képes. Az APT-k módszerei ellen pedig hatékonyabb védelmet lehet kidolgozni a Purple Teaming eszköztárával, mint a korábban elterjedt tesztelési módszerekkel.
Kapcsolódó bejegyzések
Purple Teaming: a red teaming új megközelítése
Kovács Erik
2023.02.21
A Purple Teaming a red és blue teamek közötti együttműködés révén hatékonyabb kiberbiztonsági tesztelést tesz lehetővé, feltárva a sebezhetőségeket és javítva a védekezést.