רד טים מול בדיקת חדירות - מה באמת ההבדל, ומתי כל אחד מהם רלוונטי¶
אחת השאלות שאני מקבל הכי הרבה היא "מה ההבדל בין Red Team לבדיקת חדירות, זה לא אותו דבר?" התשובה הקצרה היא לא, ממש לא, למרות שהם חולקים הרבה כלים וטכניקות. בואו נפרק את זה.
בדיקת חדירות - כיסוי רחב בזמן קצוב¶
בדיקת חדירות היא תהליך ממוקד עם מטרה ברורה - למצוא כמה שיותר חולשות בהיקף מוגדר, בתוך פרק זמן קבוע, בדרך כלל שבוע עד שלושה שבועות. הלקוח יודע שאתם בודקים אותו, מתי, ועל מה בדיוק. המטרה היא סקירה רחבה - לבדוק כמה שיותר נתיבי תקיפה אפשריים ולתעד אותם בדוח מסודר.
זה כמו בדיקה רפואית מקיפה - אתם רוצים לבדוק כמה שיותר דברים, לתעד כל בעיה שנמצאה, ולתת לרופא (או במקרה הזה, לצוות ה-IT) רשימה מלאה של מה צריך לתקן.
Red Team - עומק וחמקנות במקום רוחב¶
Red Team הוא תרגיל שונה לגמרי במהות שלו. במקום לבדוק כמה שיותר חולשות, המטרה היא לדמות תוקף אמיתי, מתוחכם, שמנסה להשיג יעד ספציפי - למשל לגנוב מידע רגיש מסוים, או להשתלט על מערכת קריטית - תוך התחמקות מגילוי לאורך כל הדרך.
ההבדל המרכזי הוא שברוב מקרי ה-Red Team, רק קומץ אנשים בארגון יודעים שהתרגיל מתרחש בכלל. צוות האבטחה וה-SOC לא יודעים, כי חלק מהמטרה היא לבדוק אם הם בכלל יזהו את התקיפה. זה תרגיל שבודק לא רק את החולשות הטכניות, אלא גם את יכולת הזיהוי והתגובה של הארגון כולו.
אז מה בפועל שונה בעבודה היומיומית¶
- משך זמן - בדיקת חדירות נמשכת שבועות, Red Team יכול להימשך חודשים.
- חשאיות - בבדיקת חדירות אין באמת דגש על התחמקות מגילוי. ב-Red Team, חמקנות היא חלק מהותי מהמטרה.
- היקף - בדיקת חדירות מכסה רוחב, Red Team מתמקד בהשגת יעד ספציפי, לפעמים דרך נתיב תקיפה אחד בלבד.
- כלים ושיטות - Red Team משתמש הרבה יותר בטכניקות של הנדסה חברתית, פישינג ממוקד, ותשתית תקיפה שמדמה תוקף אמיתי (Command and Control).
- הדוח בסוף - בבדיקת חדירות מקבלים רשימת חולשות מסודרת. ב-Red Team מקבלים ניתוח של איך הארגון הגיב, מתי זיהה את התקיפה (אם בכלל), ואיפה נכשל.
אז לאיזה מהם כדאי לכוון אם אני רק מתחיל¶
התשובה הפשוטה - תתחילו בבדיקת חדירות. זה לא מקרי שכמעט כל אנשי ה-Red Team המנוסים התחילו שם. בדיקת חדירות מלמדת אתכם את כל היסודות - איך תוקפים מערכות, איך מסלימים הרשאות, איך תוקפים דומיין שלם - בסביבה מובנית יחסית עם היקף ברור.
Red Team דורש את כל היכולות האלה, ועוד הרבה מעליהן - סבלנות לתכנון ארוך טווח, יכולת לבנות תשתית תקיפה מורכבת, והבנה עמוקה של איך צוותי הגנה עובדים כדי לדעת איך להתחמק מהם. זה תחום שבו קשה מאוד להצליח בלי כמה שנות ניסיון מוצק בבדיקות חדירות מאחוריכם.
טעות נפוצה שכדאי להימנע ממנה¶
הרבה מתחילים נמשכים ל"קסם" של Red Team - זה נשמע יותר מתוחכם, יותר סרטי ריגול, פחות "עוד בדיקה משעממת". אבל לרדוף אחרי זה לפני שיש לכם בסיס טכני אמיתי זו טעות. מעסיקים בתפקידי Red Team רציניים מחפשים אנשים שכבר הוכיחו את עצמם בבדיקות חדירות, לא מתחילים נלהבים.
תבנו קודם את הבסיס - הבנה מלאה של תקיפת מערכות, הסלמת הרשאות, ותקיפת Active Directory - ורק אחר כך תשקלו את הכיוון של Red Team. קורס בודק חדירות שלי בנוי בדיוק כדי לתת לכם את הבסיס הזה, מקצה לקצה.
לסיכום¶
בדיקת חדירות ו-Red Team הם לא אותו תחום עם שם שונה, הם שני כלים שונים לגמרי לצרכים שונים. אבל הדרך אל Red Team כמעט תמיד עוברת דרך בדיקת חדירות קודם. תתמקדו בבניית הבסיס הזה, ותתקדמו משם.
בואו לדבר על זה בקהילה, יש שם גם אנשים שכבר עברו את המסלול הזה בפועל.