Mục đích của Red Teaming là để giúp Blue Team của doanh nghiệp có thể phòng thủ tốt hơn bằng việc cung cấp góc nhìn hoàn toàn mới của những kẻ tấn công. Kiểm tra và đánh giá mức độ hiệu quả của con người, quy trình và công nghệ của doanh nghiệp.
Các lỗ hổng không chỉ đến từ các công nghệ lỗi thời, lỗ hổng từ các quy trình bảo mật hoặc ý thức bảo mật thấp của nhân viên. Mà nó đến từ sự kết hợp của cả ba nguyên nhân chính này, nó giúp kẻ xấu có thể khai thác và làm rò rỉ hoặc tấn công dữ liệu của bạn.
Về cơ bản, nếu ai đó muốn tấn công, họ sẽ tấn công… bạn cần chấp nhận điều đó. Bước tiếp theo là làm cách nào để bạn phát hiện và ứng phó với những mối đe dọa này.
Ở bước này, chúng tôi sẽ chọn ra mục tiêu, các kịch bản tấn công, mục đích, quy tắc tương tác và White Team. White Team bao gồm các thành viên có kinh nghiệm của doanh nghiệp để có thể hiểu rõ được các mục kiểm tra và có thể dừng việc tấn công lại nếu hệ thống bị tổn hại.
Thông thường, Red Team sẽ bắt đầu với việc thu thập thông tin của doanh nghiệp thông qua các nguồn mở (OSI) – thu thập thông tin từ các nguồn công khai, và thông qua nguồn nhân sự (HI) – thu thập thông tin từ việc tương tác trực tiếp với các cá nhân trong doanh nghiệp.
Việc khai thác & tấn công sẽ được gộp lại thành các payload và được phân phối qua các hướng sau:
(i) Tấn công lừa đảo dựa trên email
(ii) Tấn công lừa đảo dựa trên điện thoại
(iii) Mang theo Thiết bị Riêng của Bạn (BYOD) như là nguồn lây nhiễm. hoặc hoặc
(iv) Bản chất không độc hại; chỉ hoạt động như một lá cờ, sẽ thông báo cho Red Team rằng người dùng đã mở email có tệp tin độc hại đính kèm
Đến giai đoạn này, các lỗ hổng sơ bộ đã được thu thập. Các kỹ thuật phổ biến được sử dụng trong giai đoạn này có thể bao gồm:
(i) lợi dụng tính yếu ớt trong phân quyền
(ii) Lợi dụng sự tin cậy trong mối quan hệ
(iii) Thao túng quy trình
(iv) Thu thập thông tin xác thực
(v) Khai thác lỗ hổng bảo mật
Thực thi các bước tấn công để lấy được kết quả cuối cùng. Kết quả cuối cùng này chính là mục tiêu đã được thống nhất trước khi tiến hành đánh giá.
(i) Quyền truy cập quản trị miền
(ii) Quyền truy cập quản trị cục bộ của một hệ thống nhất định
(iii) Lọc dữ liệu, nhằm mục đích kiểm tra độ mạnh của các biện pháp giám sát và bảo vệ đầu ra của doanh nghiệp; và Blue Team có thể xác định tốc độ lưu lượng mạng bất thường; Các kỹ thuật phổ biến bao gồm: Vượt qua các bộ lọc của web & lạm dụng điều khiển di động
Kết quả của Red Team sẽ được trình bày đầy đủ trong một bản báo cáo. Lời khuyên cho các hướng khắc phục cũng sẽ được liệt kê đầy đủ. Blue Team sẽ được thông báo về bài test, và trong một vài trường hợp, Blue Team sẽ tự cung cấp 1 bản báo cáo riêng.
Đây không phải là đợt test lại hoặc Verification Test. Nó thường được triển khai trong các buổi worksshop. Mục tiêu: học kinh nghiệm của Red hoặc Blue Team.