In English

Red team testing - en introduktion

Red Team Testing har blivit ett viktigt komplement till traditionell säkerhetstestning. I den här artikeln får du en introduktion till metoden, samt hur den kan hjälpa dig att stärka din organisations motståndskraft.

Det ökade värdet av av digitala tillgångar har gjort cyberkriminalitet till en mångmiljardindustri som exploateras av aktörer världen över. Statsfinansierade APT-grupper med så gott som obegränsade resurser är inte längre ett avlägset hot, men även mindre etablerade aktörer med begränsade medel kan genomföra framgångsrika attacker när företags och organisationers systemdjungler växer sig bortom kontroll. Ibland räcker det med en öppen port eller ett välformulerat phishingmail för att en obehörig ska få fotfäste i miljön, och därigenom ha möjlighet att eskalera intrånget till en omfattande attack.

I takt med att hotbilden förändras har även kraven på organisationers förmåga att hantera nya säkerhetsrisker ökat. Ett sätt att möta dessa krav är att tillämpa så kallad Red Team Testing; en slags variant av traditionella penetrationstester med målet att simulera kontinuerliga attacker med hjälp av samma verktyg och metoder som verkliga angripare använder. Genom att använda denna typ av förlängd säkerhetstestning kan organisationen få en större förståelse och uppskattning av sannolikheten för att utsättas för en framgångsrik attack, vilka typer av angripare den kan ställas inför och hur väl den är rustad för att svara på och hantera ett sådant hot. 

Red Team som metod

Ursprungligen är Red Team en militär term som representerar den grupp som spelar den fientliga, offensiva rollen under militära övningar i motsats till det blå, defensiva laget. Med tiden utvecklades det röda lagets uppdrag och kapacitet, och så småningom utvecklades en styrka som har till uppgift att utmana säkerheten i militära baser, utposter och andra mål.

En viktig del av det röda lagets roll är att tänka utanför ramarna. Det innefattar dels att se ett problem - eller en lösning - ur flera perspektiv samtidigt för att hitta alternativa vägar som motståndaren inte har tagit i beaktning. Dessa övningar resulterar således i bättre förståelse för potentiella hot och hjälper därmed det blåa, beskyddande laget att förbättra sin motståndskraft mot dem. 

Idag appliceras Red Team även inom IT-säkerhetsvärlden där metoden används för att mäta organisationers fysiska och digitala säkerhet genom att kontinuerligt utmana dess anställda, processer och teknik över tid. Genom att simulera verklighetstrogna attacker som ständigt anpassas efter cyberhotens utveckling kan organisationers IT-säkerhet testas på ett så realistiskt sätt som möjligt, och adekvata åtgärder tillämpas därefter.

Red Team vs Blue Team

I motsats till det röda teamet har det blå teamet i uppgift att proaktivt och reaktivt försvara organisationen mot attacker. Detta sker vanligtvis via ett Security Operations Center (SOC) bestående av säkerhetsexperter som övervakar nätverk och trafik för att upptäcka och hantera misstänkt aktivitet. Blue Team har i regel inga förkunskaper om det röda lagets planerade aktiviteter, och kan därmed inte förbereda sig genom att leta efter specifik aktivitet eller öka medvetenheten bland anställda. På så vis kan man uppnå så realistiska scenarion som möjligt. 

Genom att testa olika angreppsytor kan Red Team förse Blue Team med information om eventuella brister och luckor i detektionen, samt hur de kan utnyttjas. Med hjälp av sådan information kan exempelvis nya use-cases skapas och viktiga loggkällor som tidigare saknats identifieras och implementeras, som tillsammans bidrar till att Blue Teams detektionsförmåga stärks.

Ramverk för Red Team Testing

Red Team är som tidigare nämnt inte ett nytt koncept, men det har blivit mer framträdande i Sverige och flera andra länder under de senaste åren. Mycket av det beror på den tilltagande andelen formaliserade ramverk som tillämpar metoden. Bland annat så utfärdade den Europeiska Centralbanken* i maj 2018 ett ramverk för “Threat Intelligence-based Ethical Red Teaming”, förkortat TIBER-EU. Ramverket syftar till att förbättra motståndskraften mot cyberattacker inom den finansiella sektorn genom att genomföra verklighetstrogna angrepp mot ovetande organisationer - och att genom detta lära sig vad som fungerar och vad som behöver förbättras.

Där tidigare finansiella säkerhetsramverk lagt mycket fokus på processer, rutiner och uppfyllande av krav, så lägger TIBER-EU istället fokus på förmågan att avvärja faktiska intrång, där attackfasen föregås av en djupare studie av vilka hot som finns för den specifika organisationen, och hur dessa angripare beter sig ner på teknisk detaljnivå. Genom att sedan simulera dessa specifika metoder och verktyg kan man träna på säkerhet - på riktigt. Trots att ramverket är utvecklat för finansiella institutioner rekommenderar ECB företag och organisationer inom alla sektorer att tillämpa TIBER på sina verksamheter.

I slutet av 2019 publicerade Riksbanken riktlinjer för den svenska tillämpningen av TIBER-EU, kallad TIBER-SE, med det uttalade målet är att börja genomföra tester enligt standarden under de närmaste åren. Sedan tidigare har även Bank of England och Hong Kong Monetary Authority sina egna motsvarigheter till TIBER, förkortade CBEST respektive iCast.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.