Apa itu Tim Merah dan Bagaimana Meningkatkan Keamanan Siber?

Tim merah adalah tindakan menguji, menyerang, dan menembus jaringan komputer, aplikasi, dan sistem. Tim merah adalah peretas etis yang disewa oleh organisasi untuk menguji arsitektur keamanan mereka. Tujuan akhir dari tim merah adalah untuk menemukan—dan terkadang menimbulkan—masalah dan kerentanan di komputer dan mengeksploitasinya.

Mengapa Tim Merah Penting?

Untuk organisasi yang perlu melindungi data dan sistem sensitif, tim merah melibatkan perekrutan operator keamanan siber untuk menguji, menyerang, dan menembus arsitektur keamanannya sebelum berbahaya hacker lakukan. Biaya komparatif untuk mendapatkan persahabatan untuk mensimulasikan serangan secara eksponensial lebih kecil daripada jika penyerang melakukannya.

Jadi, tim merah pada dasarnya memainkan peran sebagai peretas luar; hanya niat mereka yang tidak jahat. Sebaliknya, operator menggunakan trik, alat, dan teknik peretasan untuk menemukan dan mengeksploitasi kerentanan. Mereka juga mendokumentasikan prosesnya, sehingga perusahaan dapat menggunakan pelajaran yang dipetik untuk meningkatkan arsitektur keamanannya secara keseluruhan.

Kerja tim merah penting karena perusahaan (dan bahkan individu) dengan rahasia tidak dapat membiarkan musuh mendapatkan kunci kerajaan. Paling tidak, pelanggaran dapat mengakibatkan hilangnya pendapatan, denda dari lembaga kepatuhan, hilangnya kepercayaan klien, dan rasa malu publik. Paling buruk, pelanggaran permusuhan dapat mengakibatkan kebangkrutan, keruntuhan korporasi yang tidak dapat dipulihkan, dan pencurian identitas mempengaruhi jutaan pelanggan.

Apa Contoh Tim Merah?

Tim merah sangat berfokus pada skenario. Misalnya perusahaan produksi musik dapat menyewa operator tim merah untuk menguji perlindungan untuk mencegah kebocoran. Operator membuat skenario yang melibatkan orang yang memiliki akses ke drive data yang berisi kekayaan intelektual artis.

Sasaran dalam skenario ini mungkin untuk menguji serangan yang paling efektif dalam mengorbankan hak akses ke file tersebut. Tujuan lain mungkin untuk menguji seberapa mudah penyerang dapat bergerak secara lateral dari satu titik masuk dan mengekstraksi rekaman master yang dicuri.

Apa Tujuan Tim Merah?

Tim merah berangkat untuk menemukan dan mengeksploitasi kerentanan sebanyak mungkin dalam waktu singkat, tanpa ketahuan. Meskipun tujuan sebenarnya dalam latihan keamanan siber akan bervariasi antar organisasi, tim merah umumnya memiliki tujuan berikut:

• Buat model ancaman dunia nyata.
• Identifikasi kelemahan jaringan dan perangkat lunak.
• Mengidentifikasi area untuk ditingkatkan.
• Nilai efektivitas protokol keamanan.

Bagaimana Cara Kerja Tim Merah?

Tim merah dimulai ketika sebuah perusahaan (atau individu) menyewa operator keamanan siber untuk menguji dan mengevaluasi pertahanan mereka. Setelah dipekerjakan, pekerjaan melewati empat tahap keterlibatan: perencanaan, pelaksanaan, sanitasi, dan pelaporan.

Tahap Perencanaan

Pada tahap perencanaan, klien dan tim merah menentukan tujuan dan ruang lingkup keterlibatan. Di sinilah mereka menentukan target resmi (serta aset yang dikecualikan dari latihan), lingkungan (fisik dan digital), durasi keterlibatan, biaya, dan logistik lainnya. Kedua belah pihak juga membuat aturan keterlibatan yang akan memandu latihan.

Tahap Eksekusi

Tahap eksekusi adalah saat operator tim merah menggunakan semua yang mereka bisa untuk menemukan dan mengeksploitasi kerentanan. Mereka harus melakukan ini secara diam-diam dan menghindari penangkapan oleh tindakan balasan atau protokol keamanan target mereka yang ada. Tim merah menggunakan berbagai taktik dalam matriks Adversarial Tactics, Techniques, dan Common Knowledge (ATT&CK).

Matriks ATT&CK termasuk kerangka kerja yang digunakan penyerang untuk mengakses, bertahan, dan juga berpindah melalui arsitektur keamanan bagaimana mereka mengumpulkan data dan menjaga komunikasi dengan arsitektur yang dikompromikan mengikuti an menyerang.

Beberapa teknik yang mungkin mereka terapkan termasuk serangan wardriving, rekayasa sosial, phishing, mengendus jaringan, pembuangan kredensial, dan pemindaian port.

Tahap Sanitasi

Ini adalah periode pembersihan. Di sini, operator tim merah mengikat ujung yang longgar dan menghapus jejak serangan mereka. Misalnya, mengakses direktori tertentu dapat meninggalkan log dan metadata. Tujuan tim merah pada tahap sanitasi adalah untuk menghapus log ini dan scrub metadata.

Selain itu, mereka juga membalikkan perubahan yang mereka buat pada arsitektur keamanan selama tahap eksekusi. Itu termasuk mengatur ulang kontrol keamanan, mencabut hak akses, menutup jalan pintas atau pintu belakang, menghapus malware, dan memulihkan perubahan pada file atau skrip.

Seni sering meniru kehidupan. Sanitasi penting karena operator tim merah ingin menghindari membuka jalan bagi peretas jahat sebelum tim pertahanan dapat memperbaiki keadaan.

Tahap Pelaporan

Pada tahap ini, tim merah menyiapkan dokumen yang menjelaskan tindakan dan hasil mereka. Laporan lebih lanjut mencakup pengamatan, temuan empiris, dan rekomendasi untuk menambal kerentanan. Mungkin juga menampilkan arahan untuk mengamankan arsitektur dan protokol yang dieksploitasi.

Format laporan tim merah biasanya mengikuti template. Sebagian besar laporan menguraikan tujuan, ruang lingkup, dan aturan keterlibatan; log tindakan dan hasil; hasil; kondisi yang memungkinkan hasil tersebut; dan diagram serangan. Biasanya ada bagian untuk menilai risiko keamanan target resmi dan juga aset keamanan.

Apa Selanjutnya Setelah Tim Merah?

Korporasi sering menyewa tim merah untuk menguji sistem keamanan dalam lingkup atau skenario yang ditentukan. Setelah keterlibatan tim merah, tim pertahanan (yaitu tim biru) menggunakan pelajaran yang dipetik untuk meningkatkan kemampuan keamanan mereka terhadap ancaman yang diketahui dan ancaman zero-day. Tapi penyerang tidak menunggu. Mengingat perubahan keadaan keamanan siber dan ancaman yang berkembang pesat, pekerjaan pengujian dan peningkatan arsitektur keamanan tidak pernah benar-benar selesai.