Vid Grosek

Strokovno podrocje

Red Team Operations

Q: Kakšna je razlika med penetracijskim testom in red team angažmajem?

Penetracijski test cilja na odkritje čim več ranljivosti v definiranem obsegu in časovnem okviru. Red team angažma simulira realnega napadalca s specifičnimi cilji (npr. dostop do e-pošte direktorja, eksfiltracija podatkov strank) z uporabo vseh sredstev — vključno s socialnim inženiringom, fizičnim dostopom in večstopenjskimi napadi.

Q: Kako dolgo traja red team angažma?

Red team angažma običajno traja 2-6 tednov aktivnega testiranja, plus čas za izvidništvo in poročanje. Za razliko od 1-2 tedenskega penetracijskega testa, red team deluje počasneje, da se izogne detekciji, testira odzivne zmogljivosti blue teama in simulira realistično vedenje napadalcev.

Red Team vs Pentest vs Revizija - brez marketinških laži.

Prodajalci varnostnih storitev pogosto mešajo termine. Revizija ni pentest. Pentest ni red team. In nobeden od teh ni "rešitev vseh problemov". Razumevanje razlik je ključno za izbiro prave storitve.

Kaj je kaj - jasna definicija

Revizija (Audit)

Cilj: Preverjanje skladnosti s standardi (ISO 27001, PCI-DSS, SOC2)
Metoda: Pregled dokumentacije, intervjuji, checklist
Rezultat: Poročilo o skladnosti
Omejitev: Vam pove, ali ste skladni - ne, ali ste varni

Penetracijski test

Cilj: Iskanje tehničnih ranljivosti v definiranem obsegu
Metoda: Aktivno testiranje sistemov, aplikacij, omrežja
Rezultat: Seznam ranljivosti s PoC in remediacijo
Omejitev: Časovno omejen, fokusiran na tehnične pomanjkljivosti

Red Team

Cilj: Simulacija realnega napadalca z določenim ciljem
Metoda: Vse tehnike (OSINT, socialni inženiring, fizični dostop, tehnični napadi)
Rezultat: Dokaz, kaj napadalec dejansko lahko stori
Omejitev: Dražje, dolgotrajnejše, zahteva zrelo varnostno organizacijo

Red Team faze

1. Reconnaissance (OSINT)

Zbiranje informacij o tarči brez direktnega stika.

Pasivni OSINT: LinkedIn, socialna omrežja, javne baze, Google dorks
Aktivni OSINT: DNS enumeration, certificate transparency, subdomain discovery
Tehnični OSINT: Shodan, Censys, leaked credentials, code repositories
Človeški OSINT: Organizacijska struktura, ključni ljudje, navade

Kaj iščem

Email formati (ime.priimek@domena.si)
Uporabljena tehnologija (LinkedIn objave, GitHub, job ads)
Ključne osebe (IT admin, finance, HR)
Fizične lokacije, delovni čas, obiski
Poslovni partnerji, dobavitelji

2. Initial Access

Pridobitev prvega dostopa v ciljno okolje.

Socialni inženiring

Spear phishing: Ciljani phishing emaili z raziskanimi pretvezy
Vishing: Telefonski klici za pridobitev informacij ali akcij
Smishing: SMS napadi
Pretexting: Lažna identiteta za pridobitev zaupanja

Tehnični pristopi

Izpostavljene storitve: VPN, email gateway, web aplikacije
Password spraying: Pogosta gesla proti znanim uporabnikom
Credential stuffing: Poverilnice iz preteklih vdorov
Supply chain: Kompromitacija dobavitelja

Fizični dostop

Tailgating: Sledenje zaposlenemu skozi vrata
Impersonation: Predstavljanje kot dostavljavec, vzdrževalec
USB drop: Puščanje okuženih USB ključev
Lock bypass: Odpiranje ključavnic, badge cloning

3. Execution & Persistence

Izvajanje kode in zagotavljanje trajnega dostopa.

Payload delivery: Macro dokumenti, HTA, ISO, LNK
C2 establishment: Vzpostavitev command & control komunikacije
Persistence: Registry, scheduled tasks, services, startup folders
Backup access: Več neodvisnih poti nazaj v okolje

4. Lateral Movement

Premikanje med sistemi proti cilju.

Credential harvesting: Mimikatz, LSASS dump, cached credentials
Pass-the-hash/ticket: Uporaba hashev namesto gesel
Remote execution: PSExec, WMI, WinRM, DCOM
Network pivoting: SOCKS proxy, port forwarding, tunneling

5. Objective Completion

Doseganje definiranega cilja.

Data exfiltration: Kraja občutljivih podatkov
Domain dominance: Domain Admin, Enterprise Admin
Business impact: Simulacija ransomware, business disruption
Proof: Screenshot, dokumenti, hashi kot dokaz

Threat Intelligence-led Red Team

Naprednejši pristop, ki temelji na realnih grožnjah.

Threat modeling: Identifikacija relevantnih threat actor-jev
TTP mapping: MITRE ATT&CK tehnike, ki jih uporabljajo
Emulacija: Posnemanje konkretnega napadalca (APT skupina)
Purple team: Sodelovanje z blue team za izboljšanje detekcije

Kdaj potrebujete Red Team

Red team ni za vsakogar. Potrebujete:

Zrelo varnostno organizacijo: Če nimate osnovne varnosti, najprej pentest
SOC/SIEM: Nekdo mora detektirati napade
Incident response proces: Sposobnost odziva na najdbe
Management buy-in: Razumevanje, da gre za realno simulacijo
Budget in čas: Red team traja tedne do mesece

Tipični cilji Red Team-a

Dostop do domene (Domain Admin)
Dostop do kritičnih podatkov (finance, HR, IP)
Kompromitacija specifičnega sistema (CEO laptop, production DB)
Simulacija ransomware napada
Test incident response sposobnosti

Moj pristop

Realistična simulacija: Ne iščem vseh ranljivosti - iščem pot do cilja
OPSEC: Izogibanje detekciji kot pravi napadalec
Dokumentacija: Vsak korak dokumentiran za post-mortem
Kontrola: Jasni stop pogoji, out-of-band komunikacija
Etika: Nobenih dejanskih škodljivih dejanj

Potrebujete Red Team simulacijo?

Preverite, kaj napadalec dejansko lahko stori v vašem okolju.

Kontaktiraj me