Red Team
Что такое Red Team?
Red TeamНаступательная команда безопасности, имитирующая реальных противников полного цикла, чтобы оценить, как организация обнаруживает, сдерживает и реагирует на атаки.
Концепция Red Team пришла из военных учений времён Холодной войны, где «красные» играли противника против дружественной «синей» стороны. В кибербезопасности red team занимается эмуляцией противника: задаёт цели (например, получить администратора домена или вытащить ключевые данные) и использует реалистичные TTP, чтобы их достичь, при этом blue team и SOC обычно не предупреждены. В отличие от пентеста, red team нацелена на цели, действует скрытно и измеряет качество обнаружения и реагирования, а не количество уязвимостей. Результаты — нарративные отчёты, тепловые карты ATT&CK и рекомендации, влияющие на инженерию обнаружения, IR и архитектуру.
● Примеры
- 01
Получение администратора домена с фишинговой почты через цепочку ошибок конфигурации AD.
- 02
Демонстрация эксфильтрации данных из SaaS-среды без срабатывания DLP.
● Частые вопросы
Что такое Red Team?
Наступательная команда безопасности, имитирующая реальных противников полного цикла, чтобы оценить, как организация обнаруживает, сдерживает и реагирует на атаки. Относится к категории Защита и операции в кибербезопасности.
Что означает Red Team?
Наступательная команда безопасности, имитирующая реальных противников полного цикла, чтобы оценить, как организация обнаруживает, сдерживает и реагирует на атаки.
Как защититься от Red Team?
Защита от Red Team обычно сочетает технические меры и операционные практики, как описано в определении выше.