Red team operace je simulovaný útok, při kterém se chováme jako skutečný protivník: nehledáme všechny zranitelnosti, hledáme cestu k cíli. Tenhle příběh je anonymizovaný a sanitizovaný, bez jména klienta i citlivých detailů. Ukazuje ale dobře, proč kybernetickou a fyzickou bezpečnost nejde oddělit.
Zadání
Klient, středně velká organizace s vlastní serverovnou, si byl jistý svou IT obranou. Měl firewall, segmentaci sítě, dvoufaktorové přihlašování. Chtěl po nás ověřit, jestli se k jeho nejcitlivějším systémům dokáže dostat útočník zvenčí. Domluvili jsme si cíl: získat přístup do interní sítě a dokázat, že se z ní dá ovládnout doménový řadič. Pravidla zapojení jsme měli písemně, včetně toho, kam až smíme zajít.
Co se stalo
Z internetu to bylo poctivé. Žádný rychlý průlom, obrana držela. Tak jsme zkusili jinou cestu, kterou skuteční útočníci milují a obránci podceňují: dveře.
Ráno přišel náš člověk na recepci s krabicí a vizitkou dodavatele tiskáren. Recepční byla milá a vstřícná, přesně jak má dobrý zaměstnanec být. Pustila ho dál, aby prý vyměnil toner ve druhém patře. Nikdo nekontroloval, jestli návštěva odpovídá objednávce. Nikdo ho nedoprovázel.
Ve druhém patře nebyla serverovna, ale byla tam volná zasedačka se síťovou zásuvkou. Do ní jsme připojili malé zařízení velikosti krabičky od sirek, které vytvořilo skrytý kanál ven. Od té chvíle jsme byli uvnitř sítě, jako bychom seděli za jedním ze stolů. Firewall na obvodu nás nezajímal, protože jsme byli za ním.
Zbytek byl klasická práce. V interní síti běžela služba se starým, neaktualizovaným softwarem. Z ní jsme získali první přihlašovací údaje, ty otevřely další systém a po několika krocích jsme měli přístup, který nám stačil k převzetí kontroly nad doménou. Dvoufaktorové přihlašování, na které klient spoléhal, chránilo jen vstup zvenčí, ne pohyb uvnitř.
Co z toho plyne
Tahle operace nebyla o tom, že klient něco zanedbal z hlouposti. Jeho IT tým odvedl slušnou práci na perimetru. Problém byl v tom, že obrana končila tam, kde začínala fyzická budova.
Obvodová bezpečnost nestačí: Jakmile je útočník uvnitř sítě, většina firewallů ho už neřeší. Vnitřní segmentace a princip nejmenších oprávnění rozhodují o tom, jak daleko se dostane.
Recepce je součást bezpečnosti: Lidé na vstupu potřebují jasný postup, jak ověřit návštěvu, a oporu vedení, aby se nebáli říct ne. Sociální inženýrství cílí přesně na vstřícnost.
Fyzické a kybernetické patří k sobě: Útočník nerozlišuje. Když nejde dveřmi, jde sítí, a naopak. Proto testujeme obojí v jednom řetězci.
Jak to dopadlo
Klient dostal zprávu s celým řetězcem útoku, fotodokumentaci průniku a konkrétní doporučení. Zavedl doprovázení návštěv, vypnul nepoužívané síťové zásuvky v dostupných prostorách, doplnil vnitřní segmentaci a proškolil recepci. Při opakovaném testu o půl roku později jsme stejnou cestou neprošli.
To je smysl red teamingu. Ne nachytat, ale ukázat reálnou cestu útočníka dřív, než ji najde někdo, komu o vaše data opravdu jde. Chcete vědět, kudy by se k vám dostal protivník? Ozvěte se nám na nezávaznou konzultaci.