ความแตกต่างระหว่าง Red Team กับ Penetration Test

https://www.itlab.com/blog/is-red-team-testing-more-effective-than-penetration-testing

ผมเชื่อว่าทุกคนคงจะเคยได้ยินคำว่า Red Team และ Penetration Test ผ่านหูกันมาบ้าง แล้วความแตกต่างระหว่าง 2 ทีมนี่แตกต่างกันอย่างไร ในวันนี้ผมจะมาเล่าให้กับทุกท่านที่ผ่านเข้ามากันครับ

เนื่องจากสถานการณ์ในปัจจุบันมี “ภัยคุกคาม” ที่พัฒนาขึ้นอย่างต่อเนื่อง แม้ว่าคุณจะผ่านการทำการทดสอบเจาะระบบมาแล้ว 1–2 ครั้งก็ตาม ในตอนนี้คุณอาจจะกำลังมองหาความเป็นไปได้อื่น อันเนื่องมาจากคุณได้รับรายงานการทดสอบเจาะระบบที่ค่อนข้างน้อย จึงทำคุณอาจจะสงสัยเกี่ยวกับการทดสอบเจาะระบบแบบอื่น ๆ หรือที่คุณอาจจะเคยได้ยินเกี่ยวกับการทดสอบของ Red Team.

Penetration Test คืออะไร?

https://www.tuv.com/algeria/en/penetration-tests-and-it-security-analysis.html

Penetration Test คือ การจำลองการโจมตีทางไซเบอร์ ต่อระบบเครือข่ายคอมพิวเตอร์ อุปกรณ์ และ บุคลากรของบริษัทของคุณ

โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่น่าเชื่อถือ และ มีประสบการณ์ จะพยายามเจาะเข้าสู่ระบบเครือข่ายของคุณ เพื่อค้นหาช่องโหว่ โดยทั้งหมดนี้จะมุ่งเป้าไปที่การหาช่องโหว่ต่าง ๆ แล้วรายงานไปยังคุณ เพื่อให้ทางคุณได้ปรับปรุง และ เสริมความปลอดภัยให้แข็งแกร่งก่อนที่ผู้ไม่ประสงค์ดีจะค้นพบ และ ใช้ประโยชน์จากจุดอ่อนเหล่านี้ เพื่อโจมตีคุณ

Red Team คืออะไร?

https://medium.com/@hashtechcoders/red-team-the-offensive-hackers-d5243131467e

Red Team เปรียบเสมือนศัตรูตัวจริงของคุณ โดยแนวคิด “ Red Team / Blue Team” นี้มาจากการทหาร ที่ซึ่งในการฝึกปฏิบัติการภายในกองทัพ จะดำเนินการเพื่อทดสอบกันเอง เช่น Blue Team สามารถป้องกัน Red Team ได้หรือไม่? หาก Red Team สามารถบุกรุกการรักษาความปลอดภัยของ Blue Team ได้สำเร็จ การป้องกันแบบใดที่ Blue Team ใช้ได้ผลหรือ ไม่ได้ผล นี่เป็นสิ่งเดียวกันสำหรับ Red Teaming ในรูปแบบการทดสอบการเจาะระบบ สิ่งที่ยอดเยี่ยมเกี่ยวกับ Red Teams ก็คือ พวกเขาจะไม่มีข้อจำกัดแบบนั้นเมื่อเทียบกับการทดสอบการเจาะระบบแบบทั่วไป

ความแตกต่างระหว่าง Penetration Test กับ Red Team

https://refabr1k.github.io/learning/post-what-is-pentesting/

เป้าหมาย

ในการทดสอบการเจาะระบบ จะมีเป้าหมายที่แตกต่างจากงานของ Red Team อยู่พอสมควร

เป้าหมายของการทดสอบเจาะระบบขั้นสุดท้าย คือ การค้นหาช่องโหว่ด้านความปลอดภัยให้ได้ “มากที่สุด” โดยจะใช้ประโยชน์จากช่องโหว่เหล่านั้น เพื่อเข้าถึงระดับความเสี่ยงของแต่ละจุดอ่อน

ในทางตรงกันข้าม Red Team จะไม่ได้ พยายามรวบรวมรายการของจุดอ่อนทั้งหมดของบริษัทของคุณ เป้าหมายของการทำงานของ Red Team คือ การหาทางเข้าไปใช้ประโยชน์จากช่องโหว่ แล้วขยายผล ผ่านระบบของคุณเพื่อเข้าถึงข้อมูลที่เป็นความลับ ที่สุดที่พวกเขาสามารถเข้าถึงได้

Attack Vectors (เส้นทาง วิธีการ หรือ สถานการณ์เฉพาะที่สามารถเจาะระบบได้)

https://www.paubox.com/blog/what-is-a-threat-vector/

การทดสอบเจาะระบบ และ Red Team มีกฎที่แตกต่างกัน สำหรับสิ่งที่พวกเขาได้รับอนุญาตให้โจมตี

การทดสอบการเจาะระบบ แบ่งออกเป็น 6 ประเภท โดยที่การทดสอบของบริษัทส่วนใหญ่จะเน้นที่ 1–2 ด้านเท่านั้น ตัวอย่าง เช่น ในภาคธุรกิจอาจจะเลือกที่จะดำเนินการทดสอบในส่วน Internal (ภายใน) และ External (ภายนอก) เท่านั้น โดยทางทีมทดสอบเจาะระบบ จะมีขอบเขตที่ชัดเจนตามที่ตกลงกันไว้ ทำให้สามารถโฟกัสที่เส้นทาง หรือ วิธีการโจมตีที่เฉพาะได้

แต่ในการโจมตีของ Red Team นั้นเหมือนกับการโจมตีแบบฟรีสไตล์ สำหรับ Red Team จะมีอิสระอย่างเต็มที่ในวิธีการ ที่พวกเขาใช้เพื่อเจาะระบบ พวกเขาจะใช้ทุกวิถีทางที่ทำได้ ไม่ว่าจะใช้ช่องโหว่ของแอปพลิเคชันของคุณ ส่งอีเมลหลอกลวง(ฟิชชิง) เป็นต้น เพื่อจะเจาะเข้าไปในเซิร์ฟเวอร์ของคุณ และ ขโมยข้อมูลที่เป็นความลับ

ทรัพยากร

เนื่องจากการทำงานของ Red Team ทำให้ผู้โจมตีต้องจำลองวิธีการโจมตีในหลาย ๆ สถานการณ์ และ ขอบเขตที่กว้าง การทดสอบความปลอดภัยเหล่านี้ จึงต้องใช้ทรัพยากรเป็นอย่างมาก

การทำงานของ Red Team จะใช้งานทีมเจาะระบบ เป็นจำนวนมาก โดยแต่ละทีมจะแยกกันทำงาน และ พิชิตช่องทางการทดสอบการเจาะระบบที่ แตกต่างกัน โดยทีมหนึ่งที่จะเน้นการโจมตีเครือข่ายภายใน ในขณะที่อีกทีมจะใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชัน ทำให้แต่ละทีมสามารถทำงานได้อย่างอิสระ ในการโจมตีที่มุ่งเน้นของตนเอง โดยมีเทคโนโลยีเข้ามาเกี่ยวข้องที่มากขึ้น จำนวนคนที่มากขึ้น และ เวลาที่มากขึ้น

เวลา

จะมีความแตกต่างกันอย่างมาก ในส่วนของเวลาที่ใช้ให้กับการปฏิบัติงานของ Red Team กับ การทดสอบเจาะระบบ

การทดสอบการเจาะระบบ จะเน้นไปที่ประเภทของการนัดหมาย และ ทำในขอบเขตที่กำหนดไว้ การทดสอบเจาะระบบจะใช้เวลาเฉลี่ย 2–3 สัปดาห์ หรือ มากกว่านั้นขึ้นอยู่กับระบบตามที่ได้ตกลงกันไว้

Red Team ทั่วไปจะใช้เวลาจาก 3–6 สัปดาห์ ซึ่งบางครั้งอาจจะกินเวลายาวนานถึง 3–6 เดือน ขึ้นอยู่กับขนาดของบริษัท และ ความซับซ้อนของระบบ

การตรวจจับ

เป้าหมายหลักของการทดสอบการเจาะระบบ คือ การรวบรวมจุดอ่อนให้ได้มากที่สุดในช่วงเวลาที่จำกัด เมื่อคำนึงถึงสิ่งนี้ ควรระมัดระวังการทดสอบเจาะระบบเพื่อไม่ให้กระทบต่อระบบ และ คำนึงถึงเวลาให้ดี ไม่ให้เกินตามที่นัดหมายไว้ ดังนั้นการทดสอบเจาะระบบจะเป็นเรื่องปกติที่จะถูกตรวจพบได้

ในส่วนของ Red Teams ต้องหาวิธีการเจาะเข้าไปยังเซิร์ฟเวอร์ และ ต้องไม่ถูกตรวจจับในระบบของเป้าหมาย จากนั้นพยายามฝังตัวอยู่ในระบบให้นานเท่าที่ทำได้ โดยระหว่างนั้นจะรวบรวมข้อมูลที่จำเป็นให้มากที่สุด เพื่อนำไปต่อยอดในการเข้ายึดไปทั่วเครือข่ายของลูกค้า ดังนั้นพวกเขาจึงต้องทำงานอย่างเงียบ ๆ เพื่อไม่ให้ถูกตรวจพบ

ประสบการณ์ก่อนเข้าทดสอบ Red Team

บริษัทที่เคยทำการประเมินช่องโหว่ และ ทำการทดสอบการเจาะระบบ แบบ เจาะจง 2–3 อย่างก่อนเท่านั้น ถึงควรที่จะพิจารณาการทดสอบของ Red Team เพราะการทดสอบแบบเจาะจงเหล่านี้จะเปิดเผยจุดอ่อนให้ทราบมากยิ่งขึ้น เมื่อลูกค้าได้ค้นพบจุดอ่อนและดำเนินการแก้ไขแล้ว พวกเขาถึงสามารถพิจารณาที่จะเข้าสู่การทดสอบของ Red Team เพราะว่าการทดสอบของ Red Team มีไว้ให้ซึ่งสร้างความมั่นใจในการป้องกันที่พวกเขาสร้างขึ้น

ค่าใช้จ่าย

สุดท้าย ค่าใช้จ่าย มีความแตกต่างอย่างมีนัยสำคัญ ในค่าใช้จ่ายระหว่างการทดสอบ Red Team กับ การทดสอบการเจาะระบบ

เนื่องจากการทดสอบของ Red Team นั้นยาวนาน และ กว้างขวางกว่าในแง่ของทรัพยากร ขอบเขต และ อื่น ๆ จึงเข้าใจได้ว่าจะมีราคาที่แพงกว่าการทดสอบเจาะระบบโดยทั่วไปเป็นแน่

ขอบคุณครับ

Ref

• https://www.mitnicksecurity.com/blog/red-team-operations-vs.-penetration-testing/
• https://refabr1k.github.io/learning/post-what-is-pentesting/