PENETRAČNÉ TESTOVANIE
NA ZÁKLADE KONKRÉTNEJ HROZBY

Open-Source Intelligence (OSINT):
Aktívne vyhľadávame verejne dostupné informácie o vašej organizácii – od sociálnych sietí zamestnancov až po dark web, kde monitorujeme úniky dát a technické zraniteľnosti. Využívame službu Brand Intelligence na detekciu rizík spojených s vašou značkou, vrátane phishingu, falošných certifikátov či uniknutých citlivých údajov.

MITRE ATT&CK:
Mapujeme kritické funkcie a hrozby na taktiky, techniky a postupy (TTP) reálnych útočníkov podľa rámca MITRE ATT&CK, čo umožňuje presné plánovanie scenárov útokov. Využívame štandardizované nástroje ako ATT&CK Navigator či Attack Flow, aby boli výstupy plne kompatibilné s Red Team testovaním. ESET patrí medzi najaktívnejších prispievateľov do databázy MITRE ATT&CK, čo zaručuje aktuálne znalosti o hrozbách.

Na základe získaných informácií navrhneme minimálne šesť vysokoúrovňových scenárov útoku, z ktorých v spolupráci s Kontrolným tímom (CT), Testovacími manažérmi (TM) a Red Team Testers (RTT) vyberieme minimálne tri. Scenáre sú cielené na každú kritickú alebo dôležitú funkciu a líšia sa podľa identifikovaných aktérov hrozieb a súvisiacich taktík, techník a postupov. Tieto scenáre sú podrobne rozpracované a odrážajú rôzne kritické funkcie a typy útočníkov. Ideálne by mal každý zo scenárov narušiť iný bezpečnostný aspekt – dôvernosť, integritu alebo dostupnosť.

Hlavným výstupom našej práce je Targeted Threat Intelligence Report (TTIR). Tento dokument podrobne opisuje scenáre útokov, ktoré sú založené na reálnych hrozbách pre Vašu konkrétnu inštitúciu. TTIR sa vytvára počas fázy zhromažďovania spravodajských informácií a slúži ako východiskový bod pre testovanie červeným tímom. TTIR obsahuje:

• Kontextualizácia: Popis celkového prostredia vrátane Kontextualizácia: Popis celkového prostredia vrátane geografických lokalít, používaných jazykov, kľúčových externých poskytovateľov služieb, geopolitických, ekonomických a technologických trendov.
• Akčné informácie: Detaily ako typy mien, užívateľské mená, e-mailové adresy, politiky hesiel, návrhy podobných domény pre phishingové útoky a všeobecné zraniteľnosti.
• Technický prieskum, ktorý odhalí potenciálne zraniteľnosti (napr. zraniteľný softvér, systémy, technológie).
• Informácie zverejnené zamestnancami na sociálnych sieťach s cieľom získať informácie použiteľné pre Red Team.
• Profily aktérov hrozieb: Popis aktérov, ich taktiky, techník a procedúr (TTP) v súlade s MITRE ATT&CK frame-workom, vysvetlené zrozumiteľným spôsobom aj pre netechnické publikum.
• Fyzický prieskum (voliteľné): V prípade zahrnutia fyzického preniknutia, TTIR môže obsahovať predbežnú prípravu ako kopírovanie alebo falšovanie prístupových kariet/tokenov/preukazov, harmonogramy prestávok či možnosti nepozorovaného vstupu.
• Scenáre útoku: Zvolené scenáre detailne rozpracujeme podľa technického prieskumu a kontextu Vašej inštitúcie, výsledkom čoho bude end-to-end spracovaný priebeh útoku podľa reálnych hrozieb, ktorý Red Team Testers využije pri emulovaní útokov na Vašu inštitúcií.

Na základe schválenej Cielenej správy o spravodajských informáciách (TTIR), ktorú vytvoril TIP tím, pripravíme detailný Plán testu (RTTP), v ktorom špecifikujeme taktiky, techniky a postupy (TTP) pre každý krok útoku. Táto fáza zahŕňa:

• Aktívne skenovanie: Vo fáze prípravy plánu už môžeme diskrétne vykonávať aktívne skenovanie tak, aby nás Modrý tím (BT) neodhalil.
• Leg-up: V pláne sú zahrnuté "leg-upy" – vopred dohodnuté body, kde Kontrolný tím (CT) môže poskytnúť asistenciu, ak sa pri útoku narazí na prekážku (napr. robustná sieťová segmentácia). To zabezpečuje, že test pokračuje a maximalizuje sa vzdelávací efekt.
• Manažment rizika: Každá plánovaná akcia, ktorá by mohla ovplyvniť produkčné systémy (napr. pokus o vymazanie dát), je vopred konzultovaná a schválená Kontrolným tímom. Našou najvyššou prioritou je nespôsobiť žiadne škody na produkčnom prostredí.

V tejto fáze realizujeme tri vybrané scenáre navrhnuté v TTIR, ktoré ideálne pokrývajú narušenie všetkých troch bezpečnostných aspektov – dôvernosti, integrity a dostupnosti.

• Realistické taktiky, techniky a postupy (TTP): Využívame celú škálu TTP, vrátane prieskumu, využitia informácií, realizácie (aktívny štart operácie), exploitácie (napadnutie serverov, sietí, sociálne inžinierstvo zamestnancov), laterálneho pohybu (presun k ďalším zraniteľným systémom), a akcií zameraných na cieľ (získanie prístupu k citlivým informáciám).
• Fyzické testovanie: Na Slovensku je povolené fyzické preniknutie do pobočiek, dátových centier atď., ak je to súčasťou dohodnutého rozsahu.
• Pravidelná komunikácia: Minimálne raz týždenne (podľa dohody denne) podávame správy Kontrolnému tímu a Testovacím manažérom.
• Scenár X: Umožňujeme flexibilitu pre neplánované cesty útoku, ktoré sa môžu objaviť počas testu, s cieľom dosiahnuť cieľ čo najefektívnejšie. Takéto odchýlky od plánu sú konzultované a dokumentované.
• Purple Teaming: V prípade odhalenia Červeného tímu sa môže použiť Purple Teaming cvičenie (chyť a pusti, vojnové hry, kolaboratívne overenie konceptu) s cieľom pokračovať v teste a maximalizovať vzdelávací efekt.

Na záver testovania od nás získate výstupy, ktoré vám prinesú zlepšenie bezpečnosti a zvýšenie odolnosti voči hrozbám. V tejto fáze vyhodnotíme testovanie v troch krokoch:

• Správa o teste Červeného tímu (Red Team Test Report – RTTR): Po ukončení testovania vypracujeme RTTR, ktorý sumarizuje dosiahnuté vlajky, úspešné a neúspešné TTP, odchýlky od plánu, využité leg-upy, objavené zraniteľnosti a dáta. Poskytujeme analýzu príčin úspešnosti útokov a konkrétne odporúčania pre nápravu.
• Replay Exercise a Purple Teaming: Prezentujeme celý priebeh útoku Modrému tímu, aby mohli rekonštruovať udalosti a vidieť ich v reálnom čase. Následne sa uskutočňuje Purple Teaming workshop, kde sa diskutujú alternatívne scenáre a potenciálne zlepšenia.
• 360° spätná väzba: Aktívne sa zapájame do stretnutí na poskytovanie a prijímanie spätnej väzby o celom procese TLPT.