RED TEAM



RED  TEAM NEDİR?

Kırmızı Takım (Red Team) Hizmeti, kurumun siber güvenlik savunmasının gerçek bir saldırıya karşı ne kadar dayanıklı olduğunu ölçmek amacıyla tasarlanmış çok katmanlı bir saldırı simülasyonudur. Kırmızı Takım olarak adlandırılan bir ekibin gerçekleştirildiği bu çalışmada, bilgisayar korsanları gibi davranan ve kurumun siber güvenlik önlem ve kontrollerini aşmaya çalışan güvenlik uzmanları yer almaktadır.

Red Team  Hizmetinde, kurumun teknolojisine, insanlarına ve fiziksel ortamlarına odaklanılarak, bu alanlardaki zafiyetleri bulmak amacıyla çeşitli teknikler kullanılır.

Bu teknikler arasında rakip simülasyonu, kara-kutu sızma testi ve güvenlik açığı sonuç bulguları için oluşturulan ihlal senaryoları,  sosyal mühendislik ile fiziksel güvenlik kontrollerini aşarak hassas verilere erişim sağlama da dahil olmak üzere çeşitli saldırı vektörleri yer almaktadır.

Red Team  Hizmeti, her ölçekteki şirket için kritik öneme sahiptir.  Şirketinizin bir saldırı için "çok küçük" veya "çok ilgisiz" olduğunu düşünebilirsiniz ancak araştırma sonuçları, genellikle küçük ve orta boy şirketlerin de büyük ve çok uluslu şirketler kadar saldırıya açık ve savunmasız olduklarını, çoğunlukla sınırlı güvenlik önlemleri ve kontrolleri nedeniyle olası saldırıların hedefi haline geldiklerini göstermektedir.

 

SİBER GÜVENLİKTE TAKIMLAR

Siber güvenlikte, gerçekleştirdikleri faaliyetler açısından aşağıda belirtilen takım tanımları yapılmıştır:

 

Kırmızı Takım (Red Team)

Kötü niyetli bilgisayar korsanlarının gerçek hayattaki saldırı yöntemlerini kullanarak, kuruluşun güvenlik alanındaki korunma düzeyini ve yeteneğini artırmak için çalışan bir grup insandır.  Beyaz şapkalı (etik) bilgisayar korsanlarının oluşturduğu Kırmızı Takım, gerçek hayattaki bilgisayar saldırganların araçlarını, tekniklerini ve yöntemlerini kullanarak, söz konusu kuruluşun güvenliğini; sistemler, insanlar ve süreçler bağlamında çok boyutlu olarak inceler ve test eder. Kırmızı Takım hücum güvenliği odaklıdır ve olası bir bilgisayar korsanının siber güvenlik savunmalarına nasıl saldıracağının benzeşimini (simülasyonunu) gerçekleştirir.

Blue Team (Mavi Takım)

Koruyucu siber güvenlik altyapısının tasarımını, kurulumunu ve işletimini gerçekleşen ekiptir. Kurumdaki siber güvenlik hatalarını ve zafiyetlerini belirlemek ve gidermek, güvenlikle ilgili yapılandırma sorunlarını ortadan kaldırmak, güvenlik ortamlarını ve olaylarını izlemek ve analiz etmek, sistemleri güncel tutmak gibi temel fonksiyonları yerine getirir. Mavi Takım savunma odaklıdır ve Kırmızı Takım ile çalışarak, kurumda güçlü bir siber güvenlik ortamı oluşturmayı hedefler. 

Mor Takım (Mavi-Kırmızı Takım – Purple Team)

Saldırganlar ve şirket savunucuları arasındaki sinerjinin oluşturulması, operasyonların bütünsel olarak gerçekleştirilmesi ve sağlıklı bilgi alışverişinin sağlanması amacıyla oluşturulur. Hem hücum hem de savunma düşüncesine sahiptir. Genellikle Mor Takım aslında bir takım değildir, Kırmızı ve Mavi Takımlar arasındaki iş birliğinin tanımlanmasıdır.

Kaplan Takımı (Tiger Team)

Kırmızı Takım ile benzerdir ancak onunla aynı değildir. Belirli bir siber güvenlik sorununu çözmek amacıyla bir araya gelen uzmanlardan oluşur.

 

RED TEAM HİZMETİNİN FAYDALARI

Kuruluşlardaki siber güvenlik düzeyinin kapsamlı bir resmini sunmayı hedefleyen Kırmızı Takım Hizmeti ile elde edilecek temel kazanımlar aşağıda özetlenmiştir:

  • Çok Yönlü: Tipik bir Kırmızı Takım Hizmeti, teknoloji, sosyal (insan) ve fiziksel boyutları kapsamına alarak, kurumun bu katmanlarda güvenlik açığı olup olmadığını ortaya çıkarır. Teknolojik sistemler üzerinden gerçekleştirilen sızma testi (ağ, sistem, web uygulaması, mobil, vb.) gibi çalışmaların yanı sıra, sosyal mühendislik (telefon, e-posta, sms, yüz yüze iletişim kurma, vb.) ve fiziksel izinsiz girişler (kameradan kaçınma, alarmı atlatma, yetkisiz erişim sağlama, vb.) gibi güvenlik bileşenlerinin kötü niyetli unsurlara karşı ne nerece hazırlıklı oldukları belirlemeye çalışılır.
  • Gerçeğe En Yakın Saldırı: Gerçek hayattaki tehdit aktörlerinin teknikleri, taktikleri ve prosedürleri kullanılarak, kurumun gerçeğe en yakın olacak şekilde gerçekleştirilen siber saldırılara karşı ne kadar hazırlıklı olduğunu ortaya koyar.
  • Risk: Kurumun siber saldırılara karşı zafiyetlerini ve risklerini belirleyerek, ilgili tüm varlıkların riske maruz kalma düzeyleri ve hassasiyet önceliklerine göre sınıflandırılmasını sağlar.
  • Algılama - Yanıt Verme: Gerçek hayattaki karmaşık ve hedef odaklı saldırı senaryolarını, kurumunuzdaki ekiplerin ve ürünlerin algılama, yanıt verme ve önleme yeteneğini/performansını göstermek ve değerlendirmek için veri sunarak, siber saldırılara karşı kurumun ne kadar hazır olduğunu ortaya çıkarır.
  • Süreç Etkinliği: Kurumun güvenlik süreçlerinin denetimini gerçekleştirir. Süreçlerin olgunluk seviyesinin ve etkinliğinin ölçülmesini sağlar ve bu sonuçlardan hareketle kurumun süreçlerini olgunlaştırılması için veri sunar.
  • Altyapı Geliştirme: Mevcut güvenlik açıklarının belirlenmesi sonrasında, güvenlik altyapınızı iyileştirilmesi/geliştirilmesi için yapılması gereken uygulamalar konusunda bir yol haritası oluşturulmasına yardımcı olur.
  • Eğitim - Gelişim:  Bu çalışma, kurumun siber güvenlik ekibi (Mavi Takım) için iyi bir eğitim ortamı sağlar. Profesyonel ve deneyimli siber saldırganlar ile çalışma imkanı bulan güvenlik ekiplerinin, gerçek saldırganların kuruma  ve gizli verilere erişmek için kullanılabilecekleri araç, yöntem ve teknikleri öğrenmelerini sağlar.
  • Farkındalık Oluşturma: Kurumunuzdaki bilgi güvenliği farkındalığının düzeyi hakkında geri bildirim sağlayarak, farkındalığın yayılması/artırılması konusunu destekler. 
  • Mevzuata Uyum: Kurumun siber güvenlik alanında uymakla zorunlu olduğu yasalara/mevzuatlara uyum gereksinimini karşılar.
  • Bütçe - Onay: Gerçek hayattaki (ciddi) bir siber saldırının kuruma ve verilerine nasıl zarar verebileceğinin sergilenmesi, sağlam bir güvenlik altyapısına sahip olmak için yapılması gereken yatırımların ortaya çıkmasını ve daha kolay onaylanmasını sağlar.
  • Yatırımın Dönüşü: Siber güvenlik teknolojilerine yapılan yatırımların ne derece olumlu bir yatırım getirisine sahip olduğunun görülmesini sağlar.

 

RED TEAM ÇALIŞMA METODOLOJİSİ

Kırmızı Takım Hizmeti kapsamında gerçekleştirilen güvenlik testlerinin türleri, müşterinin güvenlik ihtiyaçlarına göre belirlenir. Örneğin, bir kurumda tüm sistemler ve ağ altyapısı veya bunların yalnızca belirli bölümleri kapsama alınırken, başka bir kurumda kritik olarak nitelendirilen bir yazılımın veya web uygulamasının test edilmesi hedeflenebilir.

Planlanan kapsamdan bağımsız olarak her türlü çalışmada kullanılabilen ve aşağıda detaylı olarak sunulan Kırmızı Takım çalışma metodolojisi, dünya çapında kabul görmüş ve endüstri standartları ile uyumlu olarak geliştirilmiştir.

 

Red TEAM METODOLOJİSİ

 

Adım-1. Keşif (Reconnaissance) :

Kırmızı Takım operasyonunun ilk aşaması olan ve bilgi toplama olarak da bilinen keşif, en kritik adımlardan biridir.  Bu amaçla kullanılan çeşitli araç ve yöntemlerle genellikle hedefin teknoloji altyapısı, çalışanları ve tesisleri hakkında mümkün olduğunca fazla bilgi toplanmaya çalışılır.

Keşif sırasında pasif ve aktif bilgi toplama yöntemleri kullanılır. Pasif bilgi toplamada Linked-in, Google, Twitter, Facebook, Google Earth, forumlar, haber siteleri, vb. açık kaynak istihbarat toplama araçları kullanılır. Aktif bilgi toplamada ise hedefteki sistemler (web siteleri, sunucular, güvenlik cihazları, vb.) üzerinde gerçekleştirilen taramalar ile çeşitli bilgiler (çalışan işletim sistemi, açık servisler, port numaraları, kullanılan yazılımlar ve versiyonları, vb.) edinilir. Ayrıca kurumun faaliyetleri, iş ortakları ve paydaşları, arazi durumu, sızma noktaları, fiziksel/mantıksal güvenlik kontrolleri gibi konular hakkında da veriler toplanır.

Bilgi toplama sürecinde, ihtiyaç duyulması durumunda özel araçların edinilmesi veya geliştirilmesi de söz konusu olabilir. Keşif aşamasında toplanan tüm verilerin detaylı analizi yapılarak, hedefe yönelik tehditlerin ve hedefin en zayıf giriş noktalarının belirlenmesine çalışılır.

Adım-2. Silahlanma (Weaponization):

Hedefin güvenlik açıkları ve zafiyetleri tespit edildikten sonra, bu açıklardan yararlanmak için ihtiyaç duyulan araçların belirlendiği süreçtir. Kırmızı Takım çalışmasında kullanılacak teknolojik kaynakların özellikleri ve yetenekleri saldırının gücünü belirleyeceğinden,  gerçekleştirilmesi planlanan senaryolar için en uygun araçların seçilmesi ve/veya oluşturulması, sonucun başarısı açısından önem taşımaktadır.

Kullanılacak gönderim yöntemine bağlı olarak farklı yöntemler seçilebilir. Örneğin kötü amaçlı bir içerik, meşru olarak görünen bir belgenin içine gizlenerek, kurbanın makinesine gönderilmek üzere hazırlanabilir. Diğer yandan, kullanıcıya e-posta ile bir bağlantı gönderilerek, zararlı kod içeren dosyayı makinasına kendisinin kopyalaması sağlanabilir veya kullanıcı, virüslü bir içerik barındıran web sitesini ziyaret etmesi için teşvik edilebilir.

Adım-3. Gönderim (Delivery):

Saldırının gerçekten başlatıldığı aşamadır. Belirlenen senaryolar kapsamında seçilen araçlarla tespit edilmiş olan güvenlik açıklarına saldırılar düzenlenir. 

Bu adımda genellikle sosyal mühendislik tekniklerini kullanan iyi hazırlanmış kimlik avı      e-postaları aracılığıyla virüslü dosyalar veya bağlantılar göndermek, kaba kuvvet saldırısı ile çalışanların şifrelerini elde etmek,  zararlı yazılım içeren dosyayı kullanıcıya göndermek, ağın veya sistemlerin kontrolünü ele geçirmek amacıyla bilinen güvenlik açıklarını istismar etmek için kötü amaçlı yazılımlarla uzaktan erişim sağlamak, fiziksel güvenliği ihlal etmek için sosyal mühendislik saldırısı yapmak gibi aktiviteler gerçekleştirilebilir.

Adım-4. İstismar (Exploitation):

Bir önceki adımda belirlenen silah hedefe teslim edildikten sonra, istismar aşamasına geçilir. Amaç, teknoloji altyapısına yayılmak, ayrıcalıklar elde etmek ve sonraki aşamalarda ihtiyaç duyulacak yetkileri elde etmek ve mevcut yetkileri yükseltmektir.

İstismar aşamasında kullanılan kötü amaçlı yazılımlar, uygulamalardaki veya işletim sistemlerindeki bilinen veya henüz bilinmeyen (sıfırıncı gün) güvenlik açıklarını hedef alır. Bu aşamada Kırmızı Takım, sunuculara/uygulamalara/ağlara sızmak, fiziksel kontrolleri (örneğin kapıları, kilitleri, hareket algılama ve kamera sistemlerini) atlatmak ve belirlenen hedefe ulaşmak için aktif olarak çalışır. 

Diğer yandan, yüz yüze iletişim ve çevre incelemesi/gözlemi ile bilgi edinme, e-posta gönderilerek kimlik avı, telefonla arama yapılarak veya SMS mesajları gönderilerek bilgi alma veya kullanıcıyı bazı aktiviteleri gerçekleştirmesi için yönlendirme gibi sosyal mühendislik yoluyla hedef personelden yararlanılmaya çalışılır.

Adım-5. Kurulum (Installation):

Hedefe erişim sağlandıktan sonra, ortamlarda kalıcı tehdit oluşturarak bilgi sızdırmak amacıyla çalışmalar gerçekleştirilir.

Bu aşamada saldırganlar sık sık uzaktan erişim araçları ve arka kapılar kullanarak ağdaki kalıcılıklarını sürdürmeye çalışırlar. Erişim noktalarından birinin tespit edilmesi (keşfedilmesi) durumunda, çalışmalarının devamlılığını sağlamak için birden fazla aracın dağıtımı ve kurulumu yoluna da başvurabilirler.

Adım-6.  Komuta ve Kontrol (Command and Control – C2):

Sistemlere girildikten ve gerekli yetkilendirmeler elde edilerek güvenlik aşıldıktan sonra, çalışma yapan ekibin komuta ve kontrol sunucu ortamı ile veri iletişim kanalı oluşturularak bağlantı sağlandığı aşamadır. Bu bağlantı, hedefle doğrudan iletişim kurularak bilgi sızdırılması veya ortama kötü amaçlı yeni yazılımların yüklenmesi için kullanılabilir.

Adım-7. Hedefe İlerleme (Actions on Objective):

Bundan önceki adımlar tamamlandığında, belirlenmiş olan hedefler üzerinde kalıcı tehditler aktif hale getirilmiştir.

Bu tehditler arasında veri sızdırma, belirli bir zamana kadar gizli kalma, sistemleri devre dışı bırakma veya yok etme amaçlı zararlı yazılım yükleme, ele geçirilen sisteme bağlı daha yüksek öncelikli hedeflere veya sistemlere yönelme yer alabilir.

Adım-8. Temizlik (Clean Up):

Bu aşamada ortamların çalışma öncesindeki durumuna getirilmesi hedeflenir.

Gerçekleştirilen çalışmalar sırasında yüklenen yazılımların ve kopyalanan dosyaların kaldırılması, oluşturulan hesapların devre dışı bırakılması,  yapılan tüm konfigürasyon değişikliklerinin geri alınması gibi çalışmalarla kapsamlı bir temizlik gerçekleştirilir ve söz konusu ortamların özgün durumlarına geri döndürülmesi sağlanır.

Adım-9. Raporlama (Reporting):

Çalışmanın bu son aşamasında hazırlanan raporun amacı, Kırmızı Takım Hizmeti kapsamında gerçekleştirilen tüm çalışmaların detaylı olarak müşteriye aktarımının sağlanmasıdır.

Tespit edilen her bir güvenlik bulgusu, risk ve önem önceliğine göre kategorize edilerek ve azaltıcı/giderici yöntemleriyle birlikte ayrıntılı olarak raporda sunulur. Çalışmanın hedefi ve takip edilen metodoloji, keşif aşamasında öğrenilen bilgiler, uygulanan saldırı planı, istismar ve sonrasında kullanılan yöntemler ve araçlar gibi bilgilerin yanı sıra, şirketin güvenlik süreçlerini geliştirmek/iyileştirmek için oluşturulan önerilere de raporda yer verilir.

 

RED TEAM ÇALIŞMASI İLE SIZMA TESTİ ARASINDAKİ FARKLAR

Kırmızı Takım çalışması ile sızma testi sıklıkla karıştırılmaktadır. İkisinin de amacı güvenlik zafiyetlerinin belirlenmesi olsa da uygulama yönünden aralarında önemli farklılıklar vardır.  Klasik sızma testi, teknolojiyi odağına alırken, Kırmızı Takım çalışması teknolojinin yanı sıra, sosyal (insan faktörü), fiziksel araçlar ve ortamlar gibi alanları da içine alan daha kapsamlı bir içerik sunar.  

Klasik bir sızma testi ile Kırmızı Takım çalışması arasında öne çıkan farklılıklar aşağıdaki tabloda özet olarak sunulmaktadır:

sızma testi  red team

 

Kırmızı Takım çalışmasının, Uyumluluk ( kontrol ve denetim) ve Risk Azaltma (zafiyet taraması, sızma testi, güvenlik altyapı analizi, yazılım kod analizi)  kategorilerinde gerçekleştirilen test çalışmalarının her biri için kapsam ve kurumdan sağlanan bilgi bağlamında birbirleriyle karşılaştırmaları aşağıdaki grafikte gösterilmiştir. Buna göre, içerik açısından en kapsamlı olan, en çok çalışma zamanı gerektiren ve gerçek hayattaki tehditlere en yakın benzeşimi sağlayan test, Kırmızı Takım tarafından gerçekleştirilen çalışmadır.

 

Gerçek bir saldırıya uğrayana kadar sistemlerinizin ne kadar güvenli olduğunu bilemezsiniz ve kötü niyetli bir saldırının risklerini üstlenmek yerine, gelişen siber tehditleri yenmek için yenilikçi çözümler geliştiren Center On Digital Bilişim Hizmetleri A.Ş.’nin sunduğu Kırmızı Takım Hizmetini alarak, gerçek bir saldırı simülasyonu yaptırabilir, güvenlik zafiyetlerinizi öğrenebilir ve bu alandaki risklerinizi azaltabilirsiniz.