Red Teaming için bir başka örnek de fiziksel penetrasyondur. Bir çalışanın kartını taklit etmek kolaydır, ancak binaya faklı bir kimliği olan bir yabancı girdiğinde güvenlik nasıl tepki verecek?
Bu nedenle, “gerçek” saldırganlar düzenini uygularken birçok potansiyel risk vardır. Ve sistemlerin karmaşıklığı ve hem teknik hem de organizasyonel ve idari sorunların karışıklığı nedeniyle hepsini öngörmek neredeyse imkansızdır. Ama işin sonunda böyle bir çalışmadan elde edilen kâr bu kadar büyük mü olacak bakmak gerekli?
Bir saldırganı canlandıran sızma testi uzmanı, sadece uzman olarak kalır. Gerçek ihlalcilerin cephaneliğinden bazı teknik yöntemleri ve ideolojik yaklaşımları kullanır, ancak yine de uygun motivasyona sahip bir uzman olarak kalır. Saldırgan ise sadece yakalanmamak için fayda tarafından motive edilir ve onu hangi kaynaktan alacağını umursamaz. Bankalardan para çalmak için ana girişten girme olasılığı çok düşüktür. İnternet üzerinden çalışmak ve belirli bir bankayı değil, yem için düşen ilk bankayı “kırmak” daha kolaydır. Buna ek olarak, bir pentester, test edilen kuruluşun ürünlerine yönelik sıfır günlük güvenlik açıkları için çok özel istismarlar satın almayacak, karaborsadaki büyük şirketlerde “erişim” (Truva atı içeren bilgisayar korsanları) satın almayacak veya çalışanlara rüşvet vermeyecektir. Fakat gerçek saldırgan ihtiyaç duyarsa tüm bunları yapacaktır.
O zaman gerçekte neye ihtiyacın var?
Sızma testlerimizin çoğu, şirketler içindeki güvenlik seviyesinin çok düşük olduğunu gösteriyor. Bilgi güvenliğinin temel ilkeleri bile takip edilmez ve genellikle bir kurumsal ağın “güvenilen bölgesi” binlerce ana bilgisayardan oluşur. Peki müşterilerin gerçekten neye ihtiyacı var?
Çoğu durumda ilk başta gerekli olan sızma / penetrasyon testidir . Uzmanlar, herhangi bir sistemi (web sitesi, uygulama, kurumsal ağ, Wi-Fi, erişim kontrolü, vb.) Sınırlı bir süre içinde analiz ederek, maksimum güvenlik açığı ve yanlış yapılandırmalar ararlar. Sonuç olarak, müşteri bir güvenlik açıkları listesi ve neyin iyileştirilmesi gerektiğine dair bir anlayış alır. Red Teaming’den farklı olarak, tek bir vektör dikkate alınmaz (istenen hedefe ulaşmak için birbirine bağlanan birkaç kritik güvenlik açığı), pek çoğu dikkate alınır. Bir çalışana rüşvet vermenin veya aldatmanın oldukça kolay olduğunu anlayınca, kullanıcı haklarıyla bir sızma testi yapabilir ve kurum içinde çok katmanlı korumanın ne kadar olduğunu kontrol edebilirsiniz.
Bir şirket halihazırda çok katmanlı korumaya sahipse, bilgi güvenliği süreçlerinin çoğu oluşturulmuş ve en önemlisi bir izleme ve yanıtlama sistemi oluşturulmuşsa, Red Teaming yapmak mantıklıdır . Basitleştirilmiş bir formda, görev izleme sistemini kontrol etmeye indirgenir: Bir şirket, bir saldırganın eylemlerini ne kadar hızlı ve doğru bir şekilde tespit edebilir, bir saldırının tüm önemli olaylarını izler mi, Bilişim Güvenliği uzmanlarının tepkisi ne ve ne kadar hızlıdır?
Eylem planı yaklaşık olarak aşağıdaki gibidir. Kırmızı Takım, şirket sistemini çeşitli şekillerde gizlice analiz ediyor ve mavi takım yapabileceği her şeyi izliyor. Sonuçlar, Kırmızı Takım’ın ne bulduğunu ve mavi takımın ne bulduğunu doğrular. Mavi takım daha sonra karşı önlemler önerir ve Kırmızı Takım bunları atlayarak aynı sonuçları elde etmeye çalışır.
Bir şirket için Sızma Testi verimliliği, sızma testi uzmanlarına erişim hakları, bilgi yardımı ve onlarla yakın etkileşim sağlayarak maksimize edilebilir. Böylelikle sistemin maksimum zafiyetlerini ve potansiyel zayıflıklarını tespit etmek, sorunları ortadan kaldırmak ve ileride ortaya çıkmasını engellemek mümkün olacaktır. Aynı şey Red Teaming için de geçerlidir. Ve izlemedeki boşluklar ve yanıt olarak anlamsız eylemler ortaya çıktıkça, bunlar ne kadar sabitlenirse, erken bir aşamada davetsiz misafirleri etkisiz hale getirmek için o kadar fazla fırsat görünür.