Red Team er en gruppe ansatte i et IT-sikkerhetsselskap som utfører et kontrollert angrep på en bedrift. Angrepet er oftest digitalt, men kan også være et fysisk innbrudd, og er designet for å være så realistisk som mulig. Hensikten er å se hvordan ansatte, nettverk, systemer og fysisk adgangskontroll i bedriften fungerer og responderer på en slik situasjon. I denne artikkelen forklarer vi hvordan et Red Team opererer.

Avdekke risiko

Hovedoppdraget for Red Team er å avdekke risiko. Mange tenker kanskje at de kjenner den løpende risikoen i bedriften, men det viser seg at den ofte befinner seg lenger ned i systemet enn man tror. Risikoen er gjerne ikke bare i en webapplikasjon, og trenger ikke være så innlysende som det man selv tror. Risikobildet begrenser seg på ingen måte til mangel på oppdateringer i programvare, men også mennesker, trådløse nettverk eller mangelfull adgangskontroll i bygninger kan utgjøre betydelig risiko. 

Innbrudd med tillatelse

Det første som skjer når en bedrift ønsker å engasjere Red Team, er at vi setter opp en oppdragsperiode. Som regel varer denne minst en måned. På innsiden er det kun daglig leder og sikkerhetssjef som kjenner til avtalen. Sikkerhetssjefen er aktiv i planleggingen, og sammen etablerer vi kjøreregler for prosjektet. Da blir vi enige om tidslinjen, og hvilke verktøy og teknikker vi kan benytte oss av. 

Samtidig passer vi på å få en fullmakt fra en av de ansatte som vet at vi bryter oss inn med tillatelse. Dette blir som et slags “get out of jail card” som vi kan vise frem dersom vi blir stoppet og noen setter spørsmålstegn ved at vi lusker rundt der inne. På det kortet står også telefonnummeret til daglig leder eller sikkerhetsansvarlig, slik at de kan bekrefte at vi er på et oppdrag for dem. 

Objektive innbruddstyver

For at Red Team skal lykkes med å få et realistisk inntrykk av hvordan bedriften opererer i det daglige, er det svært viktig at oppdraget forblir hemmelig.

Vi vet at det er svært vanskelig å undersøke egen virkelighet, fordi man selv er en del av den. Et objektivt blikk er avgjørende for å få et sannferdig bilde, og der kommer Red Team inn. Ved å foreta det som for de ansatte er et helt reelt innbrudd, kan vi sjekke bedriftens respons og evne til å oppdage uregelmessigheter og avvik. 

Hvor er svakhetene våre?

Som en del av den helhetlige forsvarsstrategien bør alle bedrifter ha en oversikt over hva slags eiendeler de har som er verdifulle. Det som er verdifullt for bedriften, er som regel også det som er attraktivt for inntrengere og kriminelle, dermed vil det gi oss et bilde av hva som er et sannsynlig mål for digitale og fysiske innbrudd. 

En annen, like viktig del av denne kartleggingen er å skaffe en oversikt over hvor bedriftens svakheter er. De fleste kjenner nå til de kontinuerlige truslene cyberkriminelle utgjør, og har gode rutiner for brukernavn og passord, multifaktorautentisering, og for å holde programvare oppdatert. Vi vet at hackerne kan komme seg inn via eksterne nettsider eller ansattes e-post, der de plutselig har tatt over hele virksomheten, men det er også andre inngangsportaler for kriminelle. 

Trådløse nettverk blir ofte oversett, selv om de representerer en høyst reell trussel. Har bedriften en åpen garasje eller parkeringsplasser som befinner seg innenfor det trådløse nettverkets rekkevidde, er det ikke vanskelig for uvedkommende å få tilgang. Kanskje er et ubemannet resepsjonsområde åpent, eller det er røykeplass like utenfor inngangen – det finnes utallige måter man kan komme seg relativt ubemerket innenfor det trådløse nettverkets område. 

Noen bedrifter etablerer et åpent gjestenettverk, eller med et passord bestående av bedriftens navn og det nåværende årstallet, og tenker at det sikkert er greit. Dette er en utfordring på størrelse med brødsmuler for en hacker, og i løpet av skremmende kort tid er vedkommende inne i nettverket. Ofte er ikke gjestenettverk tilstrekkelig separert fra hovednettverket, og innen kort tid kan hackeren ta kontroll over alle tenkelige funksjoner i bedriften. 

Red Team på oppdrag

Det er lett å lese historier om folk som har blitt lurt trill rundt av Red Team eller av reelle svindlere, og tenke at en selv nok hadde luktet lunten. Går du rundt med en oppfatning om at du er smartere enn andre, eller at det er lite sannsynlig at bedriften din blir offer for et angrep, blir sjokket desto større når det blir din tur. Alle bedrifter som er tilkoblet internett, utgjør et mål for hackerne, og alle ansatte med en e-postadresse representerer en potensiell angrepsflate.  

Ett eksempel fra et angrep vi gjorde, viser hvor lett det kan være for uvedkommende å snike seg inn et sted uten adgang. Jeg kjørte til en av bedriftens lokasjoner, et stykke unna allfarvei, og fra parkeringsplassen fikk jeg tilgang til nettverket, et internt nettverk som er fryktelig sårbart. For å teste hvor langt jeg kunne komme, banket jeg på vinduet og vinket til han som satt der, spurte om jeg kunne komme inn. Jeg sa jeg var fra IT, og at jeg prøvde å finne det trådløse nettverket. Ved å følge det som høres ut som en ventilasjonslyd, fant jeg serverrommet, og spurte vedkommende om jeg kunne gå inn, jeg sa jeg trodde nettverket befant seg der inne. Han låste meg inn, og jeg sa til ham at det ikke ville ta meg så mange minutter, jeg kunne komme ut når jeg var ferdig. Så da satt jeg der, alene i serverrommet, med tilgang til absolutt alt, og kunne gjøre hva jeg ville. Sikkerhetsvakten der hadde ingen planer om å stoppe meg, han trodde jo jeg var utsendt fra deres egen IT-avdeling. 

Flere ganger har vi brutt oss inn et sted og møtt på en vekter. Som regel spør de hvem vi er, men svært sjelden ber de om identifikasjon eller bevis for at vi har rett til å være der. Dette er noe mange ledere blir overrasket over, og avdekker en trussel bedriften selv ikke var klar over. Den typen skjerping av eksisterende beredskap og rutiner som kommer som et resultat av slike oppdagelser, er en viktig form for risikoredusering.

Disse eksemplene viser hvor avgjørende det er å teste de kontrollene og rutinene som er implementert. Det hjelper lite å ha sikkerhetspersonell på plass, dersom de ikke utviser skepsis og sørger for at de som kommer innom, kan bevise at de har noe der å gjøre. 

Hvem trenger Red Team? 

En vanlig holdning til diskusjoner omkring trusselbildet og faren for å bli angrepet, enten det er digitalt eller ved fysisk innbrudd, er at “vår bedrift er nok ikke stor nok til å være interessant.” Som på så mange andre områder i livet, er det heller ikke her størrelsen det kommer an på. Hackerne bryr seg ikke nødvendigvis om hvor mange ansatte du har, de vil ha tilgang til verdiene dine.

Jobber du i en bedrift med flere bransjekontorer og spredte lokasjoner, er det vanskeligere å ha kontroll og oversikt. Du får ikke en mer realistisk test enn med Red Team, så kanskje er det verdt å finne ut hva slags angrepsflater bedriften din eksponerer, og hvor de kriminelle kommer fra?

Et rungende wake up-call

På mange måter kan vi si at Red Team tester de ansattes skepsisnivå og naivitet. Det digitale forsvarsverket er en viktig komponent for alle bedrifter, men det hjelper ikke om alt av systemer og programvare er i tråd med anbefalinger, dersom de ansatte slipper ukjente gjennom adgangskontrollen. Dette har jeg selv testet, å stå utenfor en inngangsdør som krever id-kort for å komme inn, late som jeg snakker i telefonen og bare gestikulere vennlig til de som kommer. Det var overraskende enkelt å bli sluppet inn. 

Dette viser hvordan ansatte på samme tid utgjør en ressurs og en trussel, og her er det viktig å sørge for god intern opplæring. Ved å sende Red Team inn i bedriften din, vil du få et unikt bilde av hvor svakhetene ligger, og kan skreddersy opplæringen av ansatte basert på dette. Erfaringsmessig er folk svært interessert i å lære om hvordan de kan ivareta bedriftens sikkerhet etter selv å ha sett, eller til og med kjent på kroppen, hvor galt det kan gå.