Red teaming je termín převzatý z armády. Při vojenských cvičeních skupina v roli červeného týmu simuluje útočné techniky, aby otestovala reakční schopnosti bránícího se týmu, obecně známého jako modrý tým, proti známým strategiím protivníka. Přeloženo do světa kybernetické bezpečnosti, zapojení červeného týmu spočívá v napodobování taktik, technik a postupů (TTP) skutečných aktérů hrozeb, abychom mohli změřit, jak dobře na ně reaguje náš modrý tým, a nakonec zlepšit všechny zavedené bezpečnostní kontroly.
Cílem Red Teamu je provést útok na organizaci a prolomit bezpečnostní infrastrukturu. Tím je testován Blue Team (Security Operation Center), který musí tomuto útoku čelit. Liší se tak od penetračního testování, při kterém je cílem najít co nejvyšší množství zneužitelných zranitelností. Red Team je časově mnohonásobně náročnější a simuluje reálný a koordinovaný útok tak, aby prolomil bezpečností systémy organizace a dosáhl jejich cenných assetů, aniž by byl zpozorován Blue Teamem. Podstatou služby Red Team je otestovat efektivnost Blue Teamu, jeho nedostatky a schopnost reakce na útok.
Každé zapojení červeného týmu začíná definováním jasných cílů, od kompromitace daného kritického hostitele až po krádež citlivých informací z cíle. Modrý tým obvykle nebude o takových cvičeních informován, aby se zabránilo vnesení jakýchkoli předsudků do jeho analýzy. Červený tým udělá vše pro to, aby dosáhl cílů a zároveň zůstal neodhalen a vyhnul se všem existujícím bezpečnostním mechanismům, jako jsou firewally, antiviry, EDR, IPS a další.
Zapojení červeného týmu také vylepšuje běžné penetrační testy tím, že bere v úvahu několik útočných ploch:
- Technická infrastruktura: Stejně jako při běžném penetračním testu se červený tým snaží odhalit technické zranitelnosti, přičemž klade mnohem větší důraz na skrytí a vyhnutí se.
- Sociální inženýrství: Zaměřuje se na lidi prostřednictvím phishingových kampaní, telefonátů nebo sociálních médií s cílem přimět je k odhalení informací, které by měly být soukromé.
- Fyzické vniknutí: Využití technik, jako je odemykání zámků, klonování RFID, využívání slabých míst v elektronických zařízeních pro kontrolu přístupu k zakázaným oblastem zařízení.