Red Team Security (hay còn gọi là Đội Đỏ) là gì? Vì sao mà dịch vụ Red Team có thể hỗ trợ các tổ chức thuộc mọi quy mô, ngành nghề và cấp độ kỹ thuật khác nhau xác định và giải quyết các mối đe dọa tiềm ẩn trong an ninh mạng? Tất cả sẽ được giải đáp trong bài viết dưới đây.

Red team là gì?

Red team là sự mô phỏng tấn công bao quát và đa tầng, được thiết kế để đo lường mức độ mà con người và hệ thống mạng của một doanh nghiệp, các ứng dụng và bộ điều khiển vật lý dùng trong bảo mật có thể chịu được sự tấn công từ một kẻ thù ngoài đời thực.

Hiểu đơn giản, kiểm thử red team có thể hiểu nôm na là hack “có đạo đức” (ethical hacking) – một phương pháp để các đội bảo mật độc lập kiểm tra xem một tổ chức sẽ ở trong tình trạng như thế nào khi đối mặt với một cuộc tấn công thực sự.

Kiểm thử red team triệt để sẽ giúp phát hiện các lỗ hổng và rủi ro liên quan đến:

• Công nghệ – Mạng, ứng dụng, bộ định tuyến, chuyển mạch, thiết bị, v.v.
• Con người – Nhân viên, các nhà thầu độc lập, phòng ban, đối tác kinh doanh, v.v.
• Tài sản hữu hình – Văn phòng, kho, trạm biến áp, trung tâm dữ liệu, tòa nhà, vv

Tiền đề của kiểm thử red team giống với với một câu ngạn ngữ trong thể thao: “Tấn công là cách phòng thủ tốt nhất”. Kiểm thử red team giúp doanh nghiệp duy trì tính cạnh tranh trong khi vẫn đảm bảo lợi ích kinh doanh của mình bằng việc sử dụng kiểm thử xâm nhập (penetration testing) đối với các tài sản hữu hình nhằm tìm ra phương pháp để tăng cường tuyến phòng thủ.

Trong khi tiến hành kiểm thử red team, các chuyên gia tư vấn bảo mật được đào tạo chuyên sâu sẽ diễn tập các kịch bản tấn công khiến cho các lỗ hổng tiềm ẩn trong các tài sản hữu hình, phần cứng, phần mềm và con người bị lộ ra. Sử dụng kiểm thử red team cũng giúp xác định khả năng mà những kẻ xấu bên ngoài và những kẻ có ác tâm bên trong nội bộ có thể làm hại tới các hệ thống và mạng lưới của công ty hoặc khai thác những lỗ hổng trong cơ sở dữ liệu.

6% đến 28% các cuộc tấn công được thực hiện với sự giúp đỡ của các nhân viên hiện tại hoặc trước đây của các tổ chức bị hại – theo Học viện InfoSec

Ước tính rằng mỗi dự án trung bình khoảng 20% là làm ​​tự động và khoảng 80% là làm thủ công, xâm nhập sâu và mức độ cao.

>> Tham khảo: Red Team và Blue Team khác nhau như thế nào?

Những ai cần sử dụng kiểm thử red team?

Nếu sở hữu doanh nghiệp vừa và nhỏ, các bạn có thể nghĩ rằng kiểm thử red team không phù hợp với mình. Các bạn có thể cho rằng: “Công ty mình quá nhỏ nên không thể trở thành mục tiêu được”. Nhưng trên thực tế, đây chính xác là lối suy nghĩ khiến tổ chức gặp phải những rủi ro. Đặt các bạn vào vị trí của những kẻ xấu đi, liệu các bạn có muốn tấn công những người không bao giờ cảnh giác rằng mình sẽ bị như vậy không?

Cho dù các bạn có thể nghĩ rằng chẳng ai quan tâm đến việc xâm nhập vào công ty của mình cả, các doanh nghiệp thuộc mọi quy mô – và cả các cá nhân – đều có thể là nạn nhân thường xuyên bị tấn công.

Và mục tiêu không chỉ là các thông tin nhạy cảm đâu. Những kẻ xấu cũng đang toan tính chiếm lấy các công nghệ cung cấp năng lượng cho cuộc sống của chúng ta nữa đấy. Chẳng hạn, chúng có thể tìm cách xâm nhập hệ thống mạng của các bạn để che giấu các hoạt động của chúng trong khi vẫn chiếm quyền quản trị của một hệ thống hoặc mạng lưới khác ở một nơi nào đó trên thế giới. Dữ liệu của các bạn không phải điều mà chúng nhắm tới. Mấu chốt chính là ở hệ thống máy tính của các bạn: chúng muốn lây nhiễm các phần mềm độc hại để thêm hệ thống đó vào nhóm botnet của chúng.

Tổng số vụ tấn công DDoS bởi botnet đang gia tăng và ngày càng phức tạp – theo Security List.

Để thực hiện tốt kiểm thử red team, cần phải xem xét quy mô tổ chức của các bạn bên cạnh các mối đe dọa trong những ngành nghề nhất định mà các bạn đang tham gia, nhằm điều chỉnh riêng từng loại kiểm thử sao cho đáp ứng được nhu cầu để từ đó tiến hành thực hiện.

Nếu doanh nghiệp của các bạn không phải là trạm phát điện thì việc kiểm tra lỗ hổng trong CrashOverride (tạm dịch: Sự cố ghi đè) là không cần thiết. Tuy nhiên, có thể doanh nghiệp của các bạn là mục tiêu mà BEC scam (lừa đảo qua hệ thống email doanh nghiệp) nhắm đến nhiều hơn thì red team sẽ tập trung vào đó.

Kiểm thử red team mang tính toàn diện sẽ bao gồm Kiểm thử xâm nhập (mạng, ứng dụng, di động, thiết bị), Tấn công phi kỹ thuật (ngay tại cơ sở, điện thoại, email / văn bản, cuộc trò chuyện) và Xâm nhập các tài sản hữu hình (mở khóa, tránh camera, tắt báo động).

Những lý do khác mà mọi người thường dùng để phản đối việc sử dụng red team là gì? “Nó quá đắt” hoặc là “Có vẻ như nó hơi quá lố đấy’’. Tuy nhiên rất nhiều lần các doanh nghiệp lại tách riêng các tài sản hữu hình khỏi hoạt động bảo mật về mặt kỹ thuật. Những người giám sát IT – hệ thống mạng, ứng dụng và những thiết bị khác – lại không phải là những người phụ trách bảo mật cho các tài sản hữu hình, camera, cảm biến chuyển động hoặc khóa cửa.

Điều này có thể dẫn đến trường hợp các tài sản hữu hình của một doanh nghiệp có an ninh vào hạng bậc nhất trên hành tinh (vệ sĩ có vũ trang, tháp canh, đèn, tất cả mọi thứ), nhưng trên internet thì cửa lại bị “mở toang” hết. Và điều ngược lại cũng có thể xảy ra.

Phương pháp kiểm thử red team mang tính toàn diện và chi phí không hề cao. Do hoạt động được tùy chỉnh theo nhu cầu cụ thể của tổ chức, chi phí có thể tăng hoặc giảm theo yêu cầu.

Kiểm thử red team chỉ sử dụng các chiến lược mà những kẻ xấu thực sự sẽ sử dụng để tấn công doanh nghiệp. Điều này có nghĩa là không phải tất cả các loại kiểm thử red team đều được tạo ra giống nhau. Không phải tất cả các công ty đều yêu cầu các hoạt động chiến thuật cao như một bộ phim về gián điệp đầy gay cấn mới nhất trên kênh phim truyện Netflix.

Kiểm thử red team hỗ trợ các doanh nghiệp như thế nào?

Red team không chỉ đóng vai trò tìm kiếm những lỗ hổng trong tuyến phòng thủ của doanh nghiệp. Cũng giống như các đội tuyển thể thao, một “đội đỏ” xuất sắc cũng sẽ phải đưa ra được những chiến thuật để cải thiện khả năng phòng thủ đó trong tương lai.

Hoạt động kiểm thử red team hiệu quả không chỉ dừng lại ở giai đoạn phát hiện ra lỗ hổng. Các doanh nghiệp đều mong muốn làm việc với các bên tư vấn red team hỗ trợ khắc phục và kiểm thử lại. Xét tổng thể thì công việc đòi hỏi nhiều nỗ lực này sẽ kéo dài vài tuần hoặc thậm chí vài tháng sau lần tiến hành ban đầu để thực hiện các biện pháp kiểm soát khắc phục.

Thay vì tiếp tục công việc của mình ngay khi bản báo cáo cuối cùng vừa ráo mực, hãy bắt tay với những nhóm kiểm thử xâm nhập liên tục hỗ trợ và đảm bảo doanh nghiệp của các bạn nắm được một cách đầy đủ về các phát hiện (tác động, khả năng, mức độ quan trọng) và đang khắc phục theo đúng hướng.