Red Teaming Nedir?

Red Teaming Nedir?

Red Teaming gerçek hayattaki siber saldırılara karşı tüm öğeleriyle kurumunuzun ne kadar dayanıklı olduğunu ölçmeyi amaçlayan geniş kapsamlı ve katmanlı bir simülasyondur. Teknolojiler, ağ, çalışanlar, fiziksel vb. açıkları ayırt etmeksizin; siber güvenlik ekiplerine, saldırılara karşı kurumlarını test etmeleri için destek sunmaktadır.

Takip edilen standartlar NATO Cooperative Cyber Defence Centre of Excellence (NATO CCDCOE), Open Web Application Security Project (OWASP), The Penetration Testing Execution Standard (PTES), ABD Ordusu Red Team El Kitabı v7 (US Army Red Teaming Handbook v7) olarak listelenebilir.

Red Teaming Çalışmalarının Temel Amacı

Red Teaming’de temel amaç, saldırgan gibi düşünebilen ve sistemdeki zafiyetleri veya zafiyete sebep olabilecek durumların keşfedilmesi, kuruluşun algılama ve yanıtlama yeteneklerinin test edilmesidir.

Red Teaming, gerçek dünyadaki saldırıların teknik, taktik ve prosedürleri (TTP) üzerinden gerçek dünya saldırılarını simüle ederek geleneksel sızma testlerinin çok ötesinde ve üzerinde bir çalışma gerçekleştirmeyi hedeflemektedir. Bu çalışma esnasında, birçok kuruma özel geliştirilen yazılımlar ve genele açık yazılımlar kullanılmakla birlikte, bir takım donanımsal araçlar da kullanılmaktadır.

Buna bağlı olarak Red Teaming,

  • SOC veya Blue Team (Mavi Takım) ekibiniz saldırılar karşısında ne kadar çevik?
  • Gelen saldırılara ait yeterli log kayıtlarına ve korelasyon kurallarına sahip misiniz?
  • Sosyal mühendislik saldırılarına karşı çalışanlarınız ne kadar bilinçli?
  • Ağınızdan veri sızdırıldığından haberdar olabiliyor ve sızdırılan verileri tespit edebiliyor musunuz?
  • Bilişim sistemleriniz dışında fiziksel sistem ve tesisleriniz yeterince güvenli mi?

Sorularına cevap verebilmektedir.

Sızma Testi Çalışmalarının Temel Amacı

Bilişim sistemleri genellikle farklı bir bakış açısı ile test edilmelidir. Ne kadar dikkatli olunursa olsun her zaman birkaç şeyin gözden kaçması muhtemeldir. Günümüzde birçok saldırgan türü vardır ve yöntemleri hafife alınamayacak düzeydedir. Bu yüzden saldırgan gibi düşünebilen ve sistemlerdeki zafiyetleri veya zafiyete sebep olabilecek nedenleri gözlemler ve raporlar.

Red Teaming ile Sızma Testi Arasındaki Farklar nedir?

Genel olarak yapılan operasyonlar aynı gibi gözükse de Red Teaming yaklaşım ve sonuç bakımından büyük ölçüde farklılık gösterir.

Sızma testi hizmeti tek başına eksiksiz bir güvenlik denetimi sağlayamayabilir. Sızma testi yapılırken sızma testinin yapıldığı kuruma test yapılacağı bildirilmektedir ve ekip buna karşı hazır bir şekilde kontrollü yapılmaktadır.

Red Teaming hizmetinde ise operasyonun gerçekleştirileceği ekibe bildirilmez ve önceden belirlenmiş 1 veya 2 yönetici tarafından bilinmektedir.

Yapılacak olan operasyon bilgi teknolojileri ekibinden bağımsız yürütülür. Böylece kurumun hedeflenmiş bir saldırı ile karşılaştığında gerçek anlamda ne ile karşılaşacağını görebilme fırsatı yakalar.

Red Teaming, sadece bilişim sistemlerini değil, aynı zamanda insan ve süreç faktörlerini de test etmeyi hedeflemektedir.

Sızma testi çalışmaları 1-2 hafta sürerken, Red Teaming çalışmaları 1-3 aylık çalışma süresine sahiptir.

Red Team Metodolojisi

Red Team Metodolojisi 6 alt başlıkta toplanabilir;

Keşif (Reconnaissance)

Bilgi toplama aşamasıdır. Mümkün olduğunca fazla bilgi toplamaya çalışılırken hedefe özel kullanılanacak araçların da belirlendiği aşamadır.

Silahlanma (Weaponization)

Zararlı yazılım ve donanımların hedefe dair bilgiler ışığında özelleştirilmesi, senaryoların, sahte kimliklerin ve ortamların oluşturulması vb. Çalışma adımlarının yer alacağı aşamadır.

Gönderim (Delivery)

Aktif başlangıç noktasıdır. Red Team bu noktada belirlenen hedeflere ulaşmak için hedef kişi veya kişilere yönelik çalışmaları gerçekleştirirler. Fiziksel, yüz yüze veya uzaktan her türlü siber güvenlik öğesine dair zafiyetlerin analiz edileceği aşamadır.

İstismar (Exploitation)

Hedefe ulaşıldıktan sonra ilerlenerek ne kadar bulaşıcılık sağlandığının ölçülmesi bu aşamada gerçekleştirilir.

Komuta ve Kontrol (Command & Control)

Hedef sistemlere bulaşan zararlı etkileşimlerin Red Team yönetimi ile iletişime geçtiği aşamadır.

Hedefe İlerleme (Actions on Objective)

Bu adımda önceden belirlenmiş bir hedeflere erişmek için çalışılır. Amaç en kısa sürede ve yakalanmadan hedefe ulaşmaktır.

Neden Red Teaming Yapılmalıdır?

Günümüzde siber saldırıya maruz kalmayan kurum bulunmamaktadır, henüz siber saldırı ile karşılaşmadığını düşünen kurumlar ise çok yüksek ihtimal ile siber saldırı kurbanı olduklarının farkında değillerdir. Sızma testi çalışmaları genel olarak sistemlerimizin zafiyet durumunu görebilmek ve bunların istismar edilmesi durumunda ne gibi sonuçlara neden olabileceğini sizlere gösterebilirken, Red Teaming ileri seviye bir siber saldırıda kullanılan teknik, taktik ve prosedürel saldırılar karşısında kurumunuzun durumunu göstermemektedir.

Sadece sistemlerin zafiyetini ve zafiyetler sonucunda oluşacak sorunları görmek dışında SOC ve Blue team ekiplerinin gerçek saldırılar karşısındaki durumunu görmek, gelişmiş bir saldırının hedefi olunması durumunda kurumunuzun karşılaşabileceği durumları gözlemlemek ve gelişmiş siber saldırılar sonucunda yaşanabilecek sorunların önüne geçmek için kurumların düzenli olarak Red Team çalışmaları gerçekleştirmeleri önerilir.