Что включает услуга

Red Teaming (Киберучения) и Adversary Emulation (Кибероперации) — услуги для компаний с высоким уровнем зрелости процессов ИБ, которые будут полезны организациям с командой мониторинга и реагирования (SOC) в штате или в рамках управляемого сервиса, заинтересованным в оценке и развитии навыков ИБ-специалистов.

Тестирование на проникновение (пентест) — услуга «базового» уровня, направленная на поиск критичных уязвимостей с целью продемонстрировать возможность проникновения в инфраструктуру и оказания на нее негативного воздействия. Рекомендована компаниям, для которых в данный момент не стоит задача по оценке центра мониторинга или самой компании на готовность к отражению целенаправленных атак. Тестирование на проникновение проводится по заранее оговоренным ключевым узлам сети и не учитывает действий по внутреннему реагированию команды заказчика.

Обе услуги представляют собой моделирование целенаправленных атак, но с одним принципиальным отличием:

• Red Teaming (Киберучения) проходят с анонсированием работ и направлены на тренировку сотрудников с помощью реализации конкретного сценария или более длительных противостояний.
• Adversary Emulation (Кибероперации) проходят без анонсирования действий команде защиты, атакующие проводят более скрытные атаки, имитируя действия реальных злоумышленников. Кибероперации позволяют смоделировать наиболее реалистичную кибератаку на организацию, чтобы выявить слабые места, способствующие успешному проведению атаки.

Частота проведения подобных работ зависит от целей и задач организации, но можно выделить три основных подхода.

• Разовые проекты подходят для разовой проверки эффективности работы центра мониторинга и реагирования (SOC) организаций. Можно проводить на разных этапах построения собственного SOC или проверки эффективности стороннего сервиса
• Периодические работы позволяют получать актуальные данные о состоянии процессов мониторинга и реагирования и обновлять знания о техниках, тактиках и процедурах злоумышленников
• Непрерывный процесс — безостановочное моделирование различных действий злоумышленников. В этом случае команда атакующих постоянно проводит атаки и воздействует на инфраструктуру, что позволяет команде защищающихся в непрерывном режиме совершенствовать навыки реагирования и устранения последствий атак

В зависимости от целей проекта от 1–2 до 6 месяцев.

Работы выполняются только на ресурсах, принадлежащих заказчику: внешняя и внутренняя инфраструктура, сотрудники, почтовые серверы, с ограничениями по работе в сегментах АСУ ТП. В остальном действует принцип «разрешено все, что не запрещено».