Red Team hizmeti, kurumların gerçek hayatta yaşanabilecek her türlü saldırıya ne kadar hazırlıklı olduğunu mümkün olan bütün senaryolarla kontrol eden bir saldırı simülasyon hizmetidir. İyi kurgulanmış bir Red Teaming metodolojisi; teknoloji altyapısındaki, insan faktöründeki ve fiziksel güvenlik ile alakalı riskleri ortaya çıkaracaktır. Kuruluşların fiziksel, operasyonel ve siber güvenlik altyapılarının mimari ve konfigürasyonel verimliliğini artırmak amacıyla önceden tasarlanmış saldırı simülasyonları düzenlenmesi olarak tanımlanmaktadır.
Amerikan Savunma Bakanlığı (DoD) tarafından geliştirilen bu terim zamanla kritik altyapıya ve güvenliğe önem veren kamu ve özel sektör kuruluşları tarafından da kullanılmaya başlanmıştır. Bağımsız güvenlik uzmanlarından oluşan ekipler (RED Team) ile organize edilen saldırı simülasyonları aşağıdaki başlıkları kapsayabilmektedir;
• Veri Hırsızlığı
• Yetkisiz Erişim
• Servis/Hizmet Kesintisi
• Sabotaj
• Espiyonaj
RED Teaming’i sızma testlerinden ayıran en önemli özellik herhangi bir sınırı olmamasıdır. Farklı saldırı vektörlerinin bir araya getirilerek uygulandığı derinlemesine bir hizmettir. Kurumların tüm sistemlerine detaylı testler yapılırken lokasyonlarda geçen süre zarfında kurumun iş yapış şekilleri de inceleme altına alınarak olası zafiyetler tespit edilmeye ve istismar edilmeye çalışılmaktadır.
RED Team projelerin büyüklüğüne göre uzman sayısı da artmaktadır. CEH, OSCP, OSWP gibi global geçerliliğe sahip sertifika sahibi uzmanlardan seçilen müşteri referansına sahip ekip üyeleri birden fazla konuda uzmanlığa sahiptirler. Bu uzmanlıklar aşağıdakiler ile sınırlı kalmamak kaydıyla şunları kapsamaktadır;
• Yerel Ağ Sistemleri
• Kablosuz Ağ Sistemleri
• IT Güvenlik Sistemleri
• İnterneti Karşılayan ve Trafiği Yöneten Sistemler (Traffic Shaper vb. dahildir)
• Endüstriyel Kontrol Sistemleri
• Gömülü Sistemler
• Santral Sistemleri
• Fiziksel Güvenlik Sistemleri
• VoIP Sistemleri
• Bulut Sistemleri
• Otomasyon Sistemleri
• Veri Merkezlerine Özgün Sistemler
• İzleme ve Analiz Sistemleri
• Web ve Mobil Uygulamalar
• SAP gibi Özgünleşmiş altyapılar
• Sosyal Mühendislik Yapılabilecek Hedefler
• Kablosuz Bağlantı Yöneten Sistemler
RED Team üyelerinin eğitimi ve gelişimi Cyberforce tarafından desteklenmekte ve motive edilmektedir. Bu sebeple yurt içi ve yurt dışı eğitimler, sertifikasyon teşvikleri gibi çeşitli destek çalışmaları yürütülmektedir. Güncel siber tehditlerin sürekli olarak takip edilmesinin bir zorunluluk olduğu birimde hayal gücünün sınırlarının zorlanması ve farklı senaryolar geliştirilmesi için sürekli araştırma ve geliştirme öncelikli hedefler arasında yer almaktadır.
RED Team tarafından gerçekleştirilen testlerde fiziksel, operasyonel ve siber sistemlerdeki zafiyetler tek tek aranır. Bu zafiyetlere örnekler vermek gerekirse;
- Fiziksel Zafiyetler
• Yetersiz güvenliğe sahip personel giriş/çıkış kapıları ve pencereler
• Yetersiz personelin bulunduğu alanlar
• Erişilebilir telefon ve veri hatları
- Operasyonel Zafiyetler
• Yetersiz kontrole sahip kargo paketleri
• Sosyal mühendislik konusunda bilgisiz çalışanlar
• Kimlik kartlarının güvenliğini önemsemeyen çalışanlar
• Gizli bilginin, istemsiz şekilde ifşası
• Kötü niyetli yazılımcının, uygulamaya arka kapı yerleştirmesi
• İşten ayrılan, kötü niyetli bir çalışanın sistemden veri çalma girişimleri
- Siber Zafiyetler
• Hatalı konfigürasyona sahip IT Güvenlik Sistemleri (FW, WAF, SIEM, vb.)
• Kopyalanabilir RFID kartları
• Oltalama (phishing) ile fidye saldırılarına maruz kalınması
• Güncelleme eksiği olan sistemler
• Yanlış geliştirilmiş web uygulamaları
• Sessionless web uygulamalarının, veri enkapsülasyon algoritmalarında çıkan zafiyetleri (Örn: JWT)
• Yeni çıkan zafiyetlerin, IPS imzalarının atlatılma olasılıkları
Ağ üzerinde gerçekleşen siber saldırılarının temeli bir noktada fiziksel Red Team saldırılarını da kapsamaktadır. Kablo ya da kablosuz ağlar üzerinden saldırı metodolojisi başlamaktadır. Kurumdan gelecek talebe göre saldırı koşulları hazırlanmak ile beraber kablosuz ağlara saldırı için kurum içinden ya da herhangi bir önlem alınmadıysa kuruma yakın yerler üzerinden kablosuz ağlara anonim saldırılar gerçekleştirilir. Kablolu ağlara yapılan saldırılarda ise kurum içerisinde bulunan boş portlara kablo bağlantısı yaparak ağda bulunan güvenlik tedbirlerini (izolasyon) atlatmaya çalışılmaktadır.
Hazırlanan simülasyonların uygulaması sırasında birçok araç ve teknoloji kullanılabilmektedir. Aşağıdakiler ile sınırlı kalmamakla birlikte birçok araç ve teknoloji testlerin icrası sırasında ihtiyaca göre kullanılabilmektedir. Altyapılar ile iletişime geçilirken kullanılabilecek cihazların listesi aşağıda paylaşılmıştır.
• Maymuncuk
• Yazılım Tanımlı Radyo (SDR)
• RFID Okuyucu/Yazıcı
• Jammer
• Gizli Kamera
• Ses Kayıt Cihazları
• Wi-Fi Pentest ToolKit
• Bluetooth Test Dongle
Testlerin niteliğine göre, siber saldırılar için kullanılan birçok altyapı bulunmaktadır. Bu altyapılar, araç veya teknoloji bu çalışmalara dahil edilecektir.
Çalışma Yöntemi / Metodoloji
Red Teaming’in amacı, teknoloji, insan ve fiziksel varlıklara karşı gerçekçi bir risk ve tehdit bilgisi elde etmektir.
• Teknoloji: Ağlar, uygulamalar, yönlendiriciler, anahtarlar, aletler vb.
• İnsan: Çalışanlar, departmanlar, iş ortakları vb.
• Fiziksel: Ofisler, depolar, trafo merkezleri, veri merkezleri, binalar vb.
Cyberforce Red Team’i fiziksel ve dijital testler sırasında, tüm kapsam içi uygulamalarda bulunan kritik güvenlik açıklarını manuel olarak tanımlamak için kapsamlı, risk tabanlı bir yaklaşım kullanır.
RED Teaming hizmeti kapsamında aşağıda yer alan işleyiş ile çalışmalar yürütülmektedir. Red Team çalışması temel olarak 7 adımda gerçekleşmektedir. Fiziksel Red Team saldırılarının temelini oluşturan yapı keşiftir. Saldırının yapılacağı kurum ile alakalı mümkün olduğunca bilgi toplayıp fiziksel güvenliği aşmak için fazlasıyla veri toplanmaya çalışılır sonrasında tespit edilen zafiyete göre (güvenlik prosedür eksikliği, doğru ayarlanmamış görüntüleme sistemi, ID kontrol sistemi yetersizliği vb.) sızma için gerekli senaryolar belirlenir ve simülasyon geliştirilir. Geliştirilen simülasyon sonrası planlamalar yapılarak uygulama aşamasında geçilir. Saldırı düzenlenerek sistem üzerindeki boşluklar tespit edilir. Saldırı sonrasında başarılı olunduğu takdirde kurumun talebi olan noktaya kadar ilerlenir. Tüm süreç raporlanarak kurumun çalışmadan maksimum verim alması amaçlanır.