Чи потрібен red team engagement і як він відрізняється від пентесту?
Пентест і red team engagement вирішують різні задачі та застосовуються на різних рівнях зрілості безпеки. Пентест відповідає на питання, де є вразливості, тоді як red team перевіряє, чи здатна компанія виявити і зупинити реальну атаку.
Red team engagement імітує поведінку справжнього зловмисника: використання соціальної інженерії, фішингу, обходу захисних механізмів, прихованого руху всередині інфраструктури. Мета — не знайти всі вразливості, а досягти визначеної цілі (наприклад, доступ до критичних даних) і перевірити, чи зможе компанія це вчасно виявити.
На відміну від пентесту, red team оцінює не лише технічний захист, а й процеси реагування, комунікацію між командами, роботу SOC або MDR, швидкість ескалації інциденту та якість прийняття рішень.
Red team має сенс тоді, коли в компанії вже є базові засоби захисту: EDR, SIEM, план реагування на інциденти (IRP). Якщо цих основ немає, класичний пентест дасть значно більше користі як перший і обов’язковий крок.
Пентест — контрольована технічна перевірка системи на наявність уразливостей.
Команда пентесту працює у визначених межах (scope) і намагається знайти способи:● обійти авторизацію;● отримати доступ до чужих даних;● підвищити привілеї;● виконати несанкціоновані дії;● використати помилки конфігурації або коду.
Фактично пентестер відповідає на питання: Де нас можуть зламати?
Типовий процес виглядає так:● Аналіз застосунку або інфраструктури.● Пошук технічних вразливостей.● Спроба їх експлуатації.● Підтвердження ризику.● Формування звіту з рекомендаціями.
Під час пентесту Blue Team зазвичай знає, що тестування відбувається. Активність не приховується, а мета — знайти максимум слабких місць.
В результаті пентесту компанія отримує перелік вразливостей з вичзначеним рівнем критичності; сценарії атак; пріоритети виправлення; технічні рекомендації.
Що перевіряє Red Teaming, чого НЕ перевіряє пентест?
Red team показує речі, які неможливо побачити у звичайному пентесті: ● чи спрацює SIEM/EDR; чи помітить SOC підозрілу активність;● скільки часу потрібно для виявлення атаки;● чи правильно відбудеться ескалація;● чи знає команда, що робити;● чи працює Incident Response Plan;● чи зупиняється атака або атакуючий рухається далі.
І дуже часто результат виглядає так - вразливості були відомі, але атака залишалась непоміченою кілька днів або тижнів.
Коли потрібен пентест, а коли Red Teaming?
Пентест потрібен, якщо немає регулярних перевірок безпеки; запускається новий продукт; є вимоги клієнтів або аудиту; потрібно зрозуміти технічні ризики.
Red Teaming потрібен, якщо вже є EDR / SIEM / SOC; існує IRP; компанія інвестує в detection & response; потрібно перевірити реальну готовність до атаки.
Різницю між тестом на проникнення та Red Teaming пояснюємо в статтях Тест на проникнення, Red Teaming чи Bug Bounty та Red Team, Penetration Testing чи Vulnerability Assessment — що обрати для безпеки бізнесу?