Red Teaming on tietoturvaharjoitus, jonka tavoitteena on arvioida organisaation tietoturvakyvykkyyttä kokonaisvaltaisesti. Red Teaming -harjoituksessa käytetään oikeiden hyökkääjien taktiikoita, tekniikoita ja toimintatapoja (Tactics, Tecniques and Procedures, TTPs), kun arvioidaan kohdeorganisaation tietoturvaa. Teknisten hyökkäysten lisäksi harjoituksen osana voidaan simuloida fyysistä tunkeutumista käyttäen esimerkiksi sosiaalista manipulointia tai muita keinoja, joiden avulla tavoitellaan pääsyä kohdeorganisaation toimistotiloihin tai muihin kriittisiin tiloihin. Organisaation sähköpostitileihin voidaan kohdistaa kehittyneitä tietojenkalastelutekniikoita, jotka joissain tapauksissa voivat ohittaa jopa monivaiheisen tunnistautumisen. Testaus kattaa siis koko organisaation laajalti, sillä se ottaa huomioon ihmiset, prosessit ja teknologiat.
Tavoite on arvioida kohdeorganisaation kykyä hyökkäysten havainnointiin ja niihin reagoimiseen
Yksi harjoituksen tärkeimmistä päätavoitteista on arvioida kohdeorganisaation havainnointi- ja reagointikyvykkyyttä erilaisiin tietoturvapoikkeamiin ja -häiriöihin.
Harjoitukset perustuvat yhteistyöhön eri tiimien välillä, jotka osallistuvat projektiin varmistaakseen, että kohdeorganisaatio saa projektista täyden hyödyn. Nämä tiimit ovat yleensä:
- Red Team: Simuloi hyökkääjän toimia organisaation tietoturvan arvioimiseksi. Usein Red Team on organisaation ulkopuolinen tiimi puolueettoman näkökulman varmistamiseksi.
- Blue Team: Tietoturvatiimi, joka puolustaa organisaatiota uhkia vastaan. Yleensä Blue Team ei tiedä Red Teaming -projektista realistisuuden säilyttämiseksi. Tiimi koostuu organisaation sisäisistä tietoturva-asiantuntijoista ja ulkoisista palveluntarjoajista, kuten MSSP SOC, joka seuraa ympäristön tietoturvaa.
- White Team: Pieni ryhmä kohdeorganisaatiossa, joka on tietoinen Red Teaming -projektista. Osallistuu projektin suunnitteluun yhdessä Red Teamin kanssa ja toteutuksen aikaiseen seurantaan ja ohjaukseen.
Merkittävää lisäarvoa organisaation tietoturvalle
Red Teaming voi tuottaa merkittävää lisäarvoa organisaatiolle, sillä se tarjoaa näkyvyyttä tietoturvan eri tasoille. Joitakin keskeisiä hyötyjä ovat esimerkiksi seuraavat asiat:
- Heikkouksien tunnistaminen: Paljastaa haavoittuvuuksia ja heikkouksia, joita ei ehkä havaita perinteisillä tietoturvatestauksilla.
- Tietoturvatapahtumien hallinnan parantaminen: Parantaa organisaation kykyä havaita, reagoida ja palautua tietoturvatapahtumista.
- Kyberpuolustuksen vahvistaminen: Tarjoaa käytännönläheisiä havaintoja, jotka auttavat parantamaan tietoturvakontrolleja, -käytäntöjä ja -prosesseja.
- Resilienssin rakentaminen: Valmistaa organisaatiota selviytymään ja palautumaan oikeista kyberhyökkäyksistä nopeasti.
- Tietoturvakulttuurin edistäminen: Kasvattaa tietoisuutta ja edistää tietoturvakulttuuria organisaation sisällä.
Onko Red Teaming oikea valinta organisaatiollesi?
Red Teamingia ei yleensä suositella ensimmäiseksi tietoturvatestaukseksi organisaation aloittaessa tietoturvakykynsä testaamisen. Useimmissa tapauksissa on järkevää suorittaa haavoittuvuuksiin keskittyviä testejä, kuten penetraatiotestausta, ennen Red Teaming -harjoituksen toteutusta. Red Teaming edellyttää kohdeorganisaatiolta korkeaa kypsyyden tasoa tietoturvan osalta, jotta organisaatio kykenee saamaan maksimaalisen hyödyn irti testauksesta. Organisaation tulisi esimerkiksi olla tietoinen tietoturvatapahtumistaan, mikä voi tarkoittaa omaa SOCia (Security Operations Center), joka seuraa ympäristön tietoturvaa ympäri vuorokauden.
Milloin organisaation tulisi harkita Red Teaming -testausta?
Kun organisaation tietoturvan kypsyystaso nousee, Red Teaming -testaus voi olla tehokas tapa arvioida kokonaisvaltaisesti organisaation tietoturvaa ja varmistaa, että organisaatio pystyy havaitsemaan ja reagoimaan nykyaikaiset hyökkäykset.
Red Teaming -testausta käytetään usein esimerkiksi seuraavissa tilanteissa:
- Organisaatio on panostanut huomattavasti tietoturvaan, mutta ei ole varma nykyisestä kyvykkyydestään tai siitä, toimivatko käytetyt tietoturvaratkaisut suunnitellusti ja ovatko ne oikein määritettyjä. Tällöin Red Teamingia käytetään organisaation tietoturvakyvykkyyksien ja teknologioiden toimivuuden vahvistamiseen, sillä niitä voi olla vaikeaa varmistaa ilman hyökkäyksellistä tietoturvatestausta.
- Organisaatiolla on ulkoinen SOC-palvelu MSSP:ltä tai se rakentaa sisäistä kyvykkyyttä, mutta ei ole varma, pystyykö nykyinen valvonta havaitsemaan ja torjumaan hyökkäyksen. Red Teamingillä haetaan vastauksia muu muassa seuraaviin kysymyksiin: Kertyvätkö kaikki tarvittavat lokit ja analysoidaanko niitä? Onko SIEM-säännöt määritetty oikein? Onko EDR asennettu kaikkiin yrityksen järjestelmiin ja onko se konfiguroitu oikein? Toimivatko SOCin toimenpideohjeet ja prosessit? Pystyykö SOC ilmoittamaan oikeille tahoille nopeasti?
- Joissakin tapauksissa Red Teaming voi olla sääntelyn vaatimuksena. Esimerkkinä tästä on Euroopan unionin DORA-asetus, joka vaatii finanssialan organisaatioita, kuten luotto- ja maksulaitoksia sekä vakuutusyhtiöitä, toteuttamaan uhkatiedusteluun perustuvaa Red Teamingia. DORA-asetusta aletaan soveltaa 17.1.2025 alkaen. DORA-asetuksen puitteissa käytettäneen todennäköisesti TIBER-EU- tai paikallisia viitekehyksiä, kuten Suomen Pankin TIBER-FI-viitekehystä. TIBER-viitekehykset antavat ohjeita viranomaisille, finanssialan yrityksille sekä uhkatiedustelu- ja Red Team -palveluntarjoajille siitä, miten yhteistyötä tehdään asiakkaan kyberresilienssin testaamiseksi ja parantamiseksi.
Red Team -testaus voi tuoda merkittävää arvoa organisaatiolle, mutta se vaatii korkeaa tietoturvakypsyyttä ja on oiva työkalu, kun organisaatio tarvitsee kattavaa tietoturvatestausta. Red Teaming on hyvä valinta, kun tietoturvaa halutaan arvioida laajasti, sillä se tuo näkyvyyttä turvallisuuden eri tasoille.