Red Teaming: What?
Red Team.
This is a very interesting topic; however, nowadays it this is used and abused, as a buzzword. The cyber security industry assisted by greedy salespersons managed to corrupt the true meaning of red teaming to sell services. In general IT and technology industries like buzzwords and will do whatever they can to catch attention because it brings people and with them money. Overall, it is as complex as it is interesting, but I will try to do my best to explain the main ideas here.
Red teamers — members of such teams — are self-aware and trained individuals. With critical thinking they aim to challenge the facts and explicit assumptions in order to develop alternative perspectives. Their tasks are as follows:
- Support to operations, planning and decision support;
- Critical review and analysis of already existing plans; and
- Intelligence support
By conduction such tasks, it is possible to identify alternatives in plans, operations, concepts, organisation and capabilities in the context of an operational environment (OE), from different point of views (partner, adversaries, internal threat, etc …). This is the military definition that you can find in The Applied Critical Thinking Handbook (Formerly the Red Team Handbook) - RTHBv7 TRADOC G2.
In the cyber security realm, red team operations will mostly focus on the third task (i.e., intelligence support) to conduct adversary simulation, and not adversary emulate. One of the main misconceptions is that such operations will solely focus on the technological aspect of a company (e.g., IT infrastructure, publicly exposed services, Active Directory configuration, etc …). However, companies are not ruled by their computers and servers but by their employees, and this is an OE constantly evolving and growing. It is also important to note that the use of technology is based on operational requirements. This mean that if the internal processes and requirements are flawed, their technological counterpart, in the way they have been configured, will most likely be flawed as well.
As a result, there is four levels of red teaming that exist: organisational assessment, analytical red team, operational red team and technical assessment. Through these different levels it is possible to identify issues both upstream (organisational) and downstream (technical) within a company in order to have a complete coverage of the OE.
Surprisingly, or not, all of this is not new. From an historical point of view the idea of red teaming can be traced back to 1234, with Pope Gregory IX with whom the idea of advocatus diaboli (Devil’s Advocate) was created. As external investigators, their duty was to assesses each candidates for sainthood prior to their canonization by the Pope and the Church. If the OE and the finality are different the idea remains the same — challenging facts and explicit assumptions.
To conclude, there is few ideas that I want to share and that can provide some insight on how red teamers may operate and think:
- Who am I? What made me be who am I?
- How are my reflections affected by groupthink?
- How ethnocentrism affect my reflection and decision making?
- What do I value and believe? Why?
- What is good and bad? How cultural and religious affiliations and education affect reflections
Additionally, during an operation:
- Act, don’t react
- Problems means solutions
- Plan, execute and vanish
- One plan is not enough, have backups
Red Team.
Это очень интересная тема; однако в наши дни это слово юзают и злоупотребляют, как модное слово. Индустрии кибербезопасности при помощи жадных продавцов удалось исказить истинное значение красной команды для продажи услуг. В целом ИТ-индустрии и технологические отрасли любят модные словечки и делают все возможное, чтобы привлечь внимание, потому что это приносит людей, а с ними и деньги. В общем тема эта такая же сложная, как и интересная, но я постараюсь изо всех сил объяснить здесь основные идеи.
Red teams — члены таких команд — самосознательные и обученные люди. Обладая критическим мышлением, они стремятся оспаривать факты и явные предположения, чтобы выработать альтернативные точки зрения. Их задачи заключаются в следующем:
- Поддержка операций, планирования и поддержки принятия решений;
- Критический обзор и анализ уже существующих планов; а также
- Разведывательная поддержка
Выполняя такие задачи, можно определить альтернативы в планах, операциях, концепциях, организации и возможностях в контексте операционной среды (OС) с разных точек зрения (партнер, противник, внутренняя угроза etc). Это военное определение, которое вы можете найти в The Applied Critical Thinking Handbook (ранее Red Team Handbook) - RTHBv7 TRADOC G2.
В сфере кибербезопасности операции Red Team будут в основном сосредоточены на третьей задаче (то есть разведывательной поддержке) для проведения симуляции противника, а не на имитации противника. Одно из основных заблуждений заключается в том, что такие операции будут сосредоточены исключительно на технологическом аспекте компании (например, ИТ-инфраструктура, публичные службы, конфигурация Active Directory etc). Однако компаниями управляют не их компьютеры и серверы, а их сотрудники, и эта OС, постоянно развивается и растёт. Также важно отметить, что использование технологии основано на эксплуатационных требованиях. Это означает, что если внутренние процессы и требования ошибочны, то их технологический аналог в том виде, в котором они были настроены, скорее всего, также будет некорректным.
В результате существует четыре уровня RedTeam:
- организационная оценка;
- красная аналитическая группа;
- оперативная красная группа; и
- техническая оценка.
Посредством этих различных уровней можно идентифицировать проблемы, как восходящие (организационные), так и последующие (технические) внутри компании, чтобы иметь полный охват OС.
Удивительно или нет, но все это не ново. С исторической точки зрения идея объединения красных может быть прослежена до 1234 года, с папой Григорием IX, с которым была создана идея Advocatus diaboli (адвоката дьявола). Их обязанность как внешних исследователей заключалась в оценке каждого кандидата в святые до его канонизации Папой и Церковью. Если OС в финале отличается, то идея остается той же - сложные факты и явные предположения.
В заключение, есть несколько правильных вопросов, которыми я хочу поделиться и которые могут дать некоторое представление о том, как красные команды могут действовать и думать:
- Кто я? Что заставило меня быть тем, кем я являюсь?
- Как групповое мышление влияет на мои размышления?
- Как этноцентризм влияет на мои размышления и принятие решений?
- Что я ценю и во что верю? Почему?
- Что хорошо, а что плохо? Как культурная и религиозная принадлежность и образование влияют на размышления.
Дополнительно во время операции:
- Действуй, не реагируй
- Проблемы - это решения
- Планируйте, выполняйте и исчезайте
- Одного плана мало, есть резервные копии.