Redteam OPSEC

Redteam OPSEC

E7|C0RS

Привет, с вами C0RS. Сегодня мы разберемся, что такое OPSEC и как его применять в деятельности RedTeam.

Безопасность операций (OPSEC) - термин, введенный военными США. В области кибербезопасности начнем с определения, данного NIST:

"Систематический и проверенный процесс, с помощью которого потенциальные противники могут быть лишены информации о возможностях и намерениях путем выявления, контроля и защиты обычно несекретных свидетельств планирования и выполнения секретной деятельности. Процесс включает пять этапов: идентификация критической информации, анализ угроз, анализ уязвимостей, оценка рисков и применение соответствующих контрмер".


Не дать потенциальному противнику собрать информацию о наших возможностях и намерениях - имеет решающее значение для поддержания OPSEC (Operation Security). OPSEC - процесс идентификации, контроля и защиты любой информации, связанной с планированием и выполнением наших действий. Такие системы, как Cyber Kill Chain компании Lockheed Martin и MITRE ATT&CK, помогают защитникам определить цели, которые пытается достичь противник.

Процесс OPSEC состоит из пяти этапов:

  • Определение критической информации
  • Анализ угроз
  • Анализ уязвимостей
  • Оценка рисков
  • Применение соответствующих контрмер

Например, если противник обнаружит, что вы сканируете его сеть с помощью Nmap, он легко сможет определить используемый IP-адрес. Если вы используете этот же IP-адрес для размещения фишингового сайта, для BlueTeam не составит труда связать эти два события и приписать их одному и тому же субъекту.

OPSEC - это не решение или набор правил; OPSEC - это пятиэтапный процесс, позволяющий лишить противников доступа к любой критически важной информации. Посмотрим, как мы можем улучшить OPSEC в рамках работы RedTeam.

Определение критической информации

То, что сотрудник RedTeam считает критической информацией, которую стоит защищать, зависит от операции и используемых инструментов. В данной ситуации критическая информация включает, но не ограничивается, намерениями, возможностями, действиями и ограничениями красной команды. Критическая информация это любая информация, которая, будучи полученной BlueTeam, может помешать или осложнить миссию красной команды.

Чтобы определить критическую информацию, RedTeam должна использовать подход, основанный на состязательности, и спросить себя, какую информацию противник хотел бы знать о миссии. Если она будет получена, противник окажется в выгодном положении, чтобы сорвать атаки нашей команды. Таким образом, критическая информация - это не обязательно секретная информация; однако это любая информация, которая может поставить под угрозу ваши планы в случае утечки к противнику. Например:

  •  Тактика, техника и процедуры (TTP), которые ваша команда использует для имитации атаки. Не стоит использовать слишком типичные сценарии атак.
  • ОС, провайдер облачного хостинга или структура C2, которую испоьзует ваша команда. Допустим, ваша команда использует Parrot для тестирования на проникновение, и защитник знает об этом. Следовательно, они могут следить за журналами, в которых ОС раскрывается как Parrot. Не нужно раскрывать свою ОС, если в этом нет необходимости.
  •  Публичные IP-адреса, которые будет использовать ваша команда. Если синяя команда получит доступ к такой информации, она может быстро ослабить атаку, заблокировав весь входящий и исходящий трафик на ваши IP-адреса, оставив вас разбираться, что произошло.
  •  Доменные имена, которые зарегистрировала ваша команда, и их хостинги. Доменные имена играют важную роль в таких атаках, как фишинг. Аналогичным образом, если "синяя" команда узнает, какие доменные имена вы будете использовать для своих атак, они могут просто заблокировать или закрыть ваши вредоносные домены, чтобы нейтрализовать вашу атаку.

Анализ угроз для RedTeam

После определения критической информации нужно проанализировать угрозы. Анализ угроз относится к определению потенциальных противников, их намерений и возможностей. Адаптированный из Руководства по программе обеспечения безопасности операций (OPSEC) Министерства обороны США (DoD), анализ угроз направлен на то, чтобы ответить на следующие вопросы:

  • Кто является противником?
  • Каковы цели противника?
  • Какую тактику, технику и процедуры использует противник?
  • Какую критическую информацию получил противник, если таковая имеется?

Учитывая задачу красной команды, синяя команда считается нашим противником, поскольку у каждой команды есть свои цели. Следует отметить, что возможности синей команды не всегда могут быть известны в самом начале. Ответив на эти вопросы мы сможем принять наиболее эффективные контр-меры, чтобы не быть обнаруженными противником.

Анализ уязвимостей

После выявления критической информации и анализа угроз можно приступить к третьему шагу - анализу уязвимостей. Это не нужно путать с уязвимостями, связанными с кибербезопасностью. Уязвимость OPSEC существует, когда противник может получить критическую информацию, проанализировать полученные данные и действовать так, чтобы повлиять на ваши планы.

Чтобы лучше понять уязвимость OPSEC в отношении RedTeam, рассмотрим следующий сценарий. Вы используете Nmap для обнаружения живых узлов в целевой подсети и поиска открытых портов на живых узлах. Более того, вы рассылаете различные фишинговые письма, ведущие жертву на фишинговую веб-страницу, которую вы размещаете. Кроме того, вы используете фреймворк Metasploit, чтобы попытаться использовать определенные уязвимости программного обеспечения. Это три отдельных вида деятельности; однако, если вы используете один и тот же IP-адрес для осуществления этих видов деятельности, это приведет к уязвимости OPSEC. После обнаружения любой вредоносной активности "синяя" команда должна принять меры, например, временно или постоянно заблокировать IP-адрес источника. Следовательно, достаточно заблокировать один IP-адрес источника, чтобы все другие действия, использующие этот IP-адрес, потерпели неудачу. Другими словами, это заблокирует доступ к IP-адресу назначения, используемому для фишингового сервера, и IP-адресу источника, используемому Nmap и Metasploit Framework. Следовательно, мы должны избегать подобного поведения и децентрализовать нашу инфраструктуру.

Другим примером уязвимости OPSEC может быть незащищенная база данных, которая используется для хранения данных, полученных от жертв фишинга. Если база данных не защищена должным образом, это может привести к тому, что злонамеренная третья сторона скомпрометирует операцию, в результате чего данные могут быть эксфильтрированы и использованы против вас.

Оценка рисков

В OPSEC оценка риска требует изучения возможности наступления события наряду с ожидаемой стоимостью этого события. Следовательно, это предполагает оценку способности противника использовать уязвимости в вашей безопасности.

После определения уровня риска можно рассмотреть контрмеры для снижения этого риска. При этом необходимо учитывать следующие три фактора:

  • Эффективность контрмеры в снижении риска.
  • Стоимость контрмеры по сравнению с последствиями эксплуатации уязвимости в вашей безопасности.
  •  Возможность того, что контрмера может раскрыть информацию противнику.

Давайте вернемся к двум примерам из предыдущего пункта. В примере мы рассмотрели уязвимость сканирования сети с помощью Nmap, использования фреймворка Metasploit и размещения фишинговых страниц с использованием одного и того же публичного IP-адреса. Мы проанализировали, что это уязвимость, поскольку противнику проще заблокировать три наших действия, просто обнаружив одно действие. Теперь давайте оценим этот риск. Чтобы оценить риск, связанный с этой уязвимостью, нам нужно узнать вероятность обнаружения одного или нескольких из этих видов деятельности. Мы не можем ответить на этот вопрос, не получив некоторую информацию о возможностях противника. Рассмотрим случай, когда у клиента установлена система управления информацией и событиями безопасности (SIEM). SIEM - это система, которая позволяет в режиме реального времени отслеживать и анализировать события, связанные с безопасностью, из различных источников по всей сети. Мы можем ожидать, что SIEM позволит достаточно просто обнаружить подозрительную активность и связать три события. В результате мы оцениваем соответствующий риск как высокий. С другой стороны, если мы знаем, что у противника минимальные ресурсы для обнаружения событий безопасности, мы можем оценить риск, связанный с этой уязвимостью, как низкий.

В примере с базой данных мы можем быть полностью скомпрометированы, если эта база данных будет обнаружена, поэтому эта уязвимость будет иметь высокую степень риска по умолчанию.

Контрмеры

Последний шаг - применение контрмер. Руководство по программе безопасности операций (OPSEC) Министерства обороны США гласит:

"Контрмеры предназначены для того, чтобы помешать противнику обнаружить критическую информацию, предоставить альтернативную интерпретацию критической информации или индикаторов (обман), или лишить противника системы сбора информации".

Давайте вернемся к двум примерам, которые мы представили в задании "Анализ уязвимостей". В первом примере мы рассмотрели уязвимость при запуске Nmap, использовании фреймворка Metasploit и размещении фишинговых страниц с использованием одного и того же публичного IP-адреса. Контрмера для этого случая кажется очевидной: используйте разные IP-адреса для каждого вида деятельности. Таким образом, вы можете гарантировать, что если при обнаружении одного вида деятельности публичный IP-адрес будет заблокирован, другие виды деятельности могут продолжаться без ущерба.

Во втором примере мы рассмотрели уязвимость незащищенной базы данных, используемой для хранения данных, полученных с фишинговой страницы. С точки зрения оценки риска, мы посчитали ее высокорисковой, поскольку при обнаружении базы нас смогут скомпрометировать. Контрмерами в данном случае будет обеспечение надлежащей защиты базы данных, чтобы доступ к данным могли получить только участники вашей команды.

Outro

OPSEC - это процесс, который может применяться и за пределами вооруженных сил. В этой статье мы рассмотрели, как он применяется в операциях RedTeam. Кроме того, его несложно применить и в других областях, таких как маркетинг или промышленность. Этот процесс поможет помешать противнику собрать все части воедино, что не позволит ему предпринять своевременные действия и помешать осуществлению ваших задач.

На этом всё, берегите себя ;)

C0RS|E7





Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org