En “Red Team”-övning är ett simulerat angrepp på en organisation, och kan innefatta många olika delar som phishing, social engineering, attacker mot externt exponerad infrastruktur samt interna system. Simuleringen är tänkt att vara så verklighetstrogen som möjligt, där metoder/tekniker, verktyg och tillvägagångssätt emulerar riktiga angripare (ofta baserat på hotbilden mot företagets verksamhetsområde).
Vad är en Red Team-övning
En “Red Team”-övning blandas ofta ihop med det nära besläktade ordet pentest eller penetrationstest, men skiljer sig markant på ett flertal punkter som: utförande, metodik, mål och syfte. Medan ett penetrationstest syftar till att identifiera så många säkerhetsbrister i ett system eller nätverk som möjligt, är en “Red Team”-övning till för att på ett så realisiskt sett som möjligt testa en hel organisations motståndskraft mot att en angripare kommer åt ett eller flera specifika mål.
Målen kan vara allt från att komma åt skyddsvärd information, en specifik mailkorg eller att ta över ett känsligt konto. Detta innebär ofta att säkerhetsgranskaren använder andra metoder som på ett mer realistiskt sett simulerar riktiga avancerade angripare.
Under en “Red Team”-övning är även bara en begränsad skara på företaget medvetna om att testet utförs, så att beteendet hos personalen på företaget kan utvärderas och eventuella processer och metoder kan förbättras.
Varför och när skall vi utföra en Red Team-övning?
Vi rekommenderar att en “Red Team”-övning utförs först när företaghet har genomfört säkerhetsgranskningar av den interna ifrastrukturen och åtgärdat de brister som identifierats. Att få en bra säkerhetsgrund att stå på genom att utföra en intern säkerhetgranskning, där en större bredd av säkerhetbrister identifieras ger ofta mer valuta för pengarna i ett tidigt skede.
När företaget känner att miljön håller god säkerhet och processer och verktyg är på plats för att motverka angripare, så kan det vara värt att genomföra ett test för att se att dessa lever upp till den förväntade standarden.
Utöver dessa tillfällen finns det även regulatoriska krav som kommer ställas på att utföra “Red Team”-övningar för särskilda branscher, som exempelvis TIBER.
Rapportering och resultat
Rapporteringen av resultatet från en “Red Team”-övning skiljer sig ganska markant från den av ett penetrationstest, då målsättningen och tillvägagångssättet skiljer sig mellan de olika testtyperna. I denna typ av test fokuserar rapporteringen kring en berättelse av den simulerade attacken (eng. Attack Narrative) där testarna resonerar kring vilka attacker som utförts, varför de valdes, när de genomfördes och vilken reaktion det väckte från företagets organisation. Detta görs så att organisationen får en uppfattning om hur en attack riktad mot dem kan se ut från en angripares sida, men även för att kunna identifiera brister, både tekniska och organisatoriska.