Bukan masalah apakah suatu organisasi akan dibobol, tetapi kapan. Seorang penyerang yang mahir, dengan sumber daya yang baik, dan banyak pengalaman, bisa menjadi ketakutan ancaman siber terburuk Anda. Untungnya, jika organisasi Anda melibatkan tim merah, peretas etis juga bisa menjadi teman terbaik Anda.
Melakukan pengujian tim merah adalah cara paling realistis untuk memvalidasi pertahanan Anda, menemukan kerentanan, dan meningkatkan postur keamanan siber organisasi Anda. Keterlibatan tim merah memberikan kesempatan bagi tim biru Anda untuk menilai efektivitas program keamanan Anda secara lebih akurat dan melakukan perbaikan. Dengan metode ini, lebih banyak organisasi membawa pola pikir yang mengutamakan ketahanan ke dalam postur keamanan siber mereka.
Cari tahu tentang manfaat latihan tim merah, perbedaan antara tim merah dan biru, serta apa itu tim ungu di postingan blog saya sebelumnya, “Dasar-dasar latihan tim merah: Apa itu latihan tim merah?”
Sebagai bagian dari pengujian keamanan, tim merah adalah staf keamanan yang berperan sebagai "orang jahat" untuk menguji pertahanan organisasi dengan melawan pertahanan tim biru.
Sama terampilnya dengan pelaku ancaman nyata, tim merah menyelidiki permukaan serangan untuk mencari cara untuk mendapatkan akses, memosisikan diri, bergerak secara lateral, dan mengeksfiltrasi data. Pendekatan ini berkebalikan dengan metodologi di balik pengujian penetrasi, yang fokusnya adalah menemukan informasi sensitif atau kerentanan keamanan yang dapat dieksploitasi dan menguji pertahanan keamanan siber untuk mendapatkan akses ke kontrol keamanan.
Tidak seperti penjahat siber, tim merah tidak berniat menyebabkan kerusakan yang sebenarnya. Sebaliknya, tujuan mereka adalah untuk mengekspos celah dalam pertahanan keamanan siber, membantu tim keamanan mempelajarinya, dan menyesuaikan program mereka sebelum serangan sebenarnya terjadi.
Sebuah kutipan terkenal menyatakan: “Secara teori, teori dan praktik adalah sama. Dalam praktiknya, tidak demikian.” Cara terbaik untuk mempelajari cara mencegah dan memulihkan diri dari serangan siber adalah dengan berlatih melakukan latihan tim merah. Jika tidak, tanpa bukti taktik keamanan mana yang berhasil, sumber daya bisa dengan mudah terbuang untuk teknologi dan program yang tidak efektif.
Sulit untuk mengatakan apa yang benar-benar berhasil, apa yang tidak, di bagian mana Anda perlu membuat investasi tambahan, dan investasi mana yang tidak sepadan, sampai Anda memiliki kesempatan untuk menghadapi musuh yang mencoba mengalahkan Anda.
Selama latihan tim merah, organisasi mengadu kontrol, pertahanan, dan praktik keamanan, serta pemangku kepentingan internal mereka dengan musuh khusus yang melakukan simulasi serangan. Ini adalah manfaat sebenarnya dari penilaian tim merah. Hasil latihan ini memberi para pemimpin keamanan penilaian nyata kepada tentang keamanan siber organisasi mereka dan insight tentang bagaimana peretas dapat mengeksploitasi berbagai kerentanan keamanan. Lagi pula, Anda tidak bisa menanyakan apa kelemahan Anda kepada penyerang tingkat negara-bangsa atau apa yang mereka lakukan sehingga serangannya sukses, jadi sulit bagi Anda untuk mendapatkan masukan yang diperlukan untuk benar-benar menilai program.
Selain itu, setiap operasi tim merah menciptakan peluang untuk pengukuran dan peningkatan. Besar kemungkinan untuk mendapatkan gambaran umum tentang apakah sebuah investasi—seperti alat keamanan, penguji, atau pelatihan kesadaran—membantu memitigasi berbagai ancaman keamanan.
Anggota tim merah juga membantu perusahaan berkembang dari mentalitas temukan-dan-perbaiki menjadi mentalitas pertahanan kategoris. Membiarkan para penyerang bebas berkeliaran di keamanan jaringan Anda bisa jadi menakutkan — tetapi para peretas sudah mencoba semua pintu masuk dalam infrastruktur keamanan Anda. Langkah terbaik Anda adalah menemukan pintu yang tidak terkunci sebelum mereka melakukannya.
Dikatakan bahwa hanya ada dua jenis perusahaan—perusahaan yang telah diretas dan yang akan diretas. Sayangnya, ini mungkin ada benarnya. Setiap perusahaan, berapa pun besarnya, dapat memperoleh manfaat dari melakukan penilaian tim merah. Namun, agar keterlibatan tim merah memberikan manfaat paling besar, sebuah organisasi harus memiliki dua hal:
Waktu terbaik bagi organisasi Anda untuk melibatkan layanan tim merah adalah ketika Anda ingin memahami pertanyaan tingkat program. Misalnya, seberapa jauh penyerang yang ingin mencuri data sensitif dapat masuk ke dalam jaringan saya sebelum mereka memicu peringatan?
Latihan tim merah juga merupakan pilihan yang baik ketika tim keamanan Anda ingin menguji rencana tanggap insiden atau melatih anggota tim.
Latihan tim merah adalah salah satu cara terbaik untuk menguji keamanan organisasi Anda dan kemampuannya untuk bertahan dari potensi serangan. Jadi, mengapa tidak lebih banyak perusahaan memilihnya?
Meskipun latihan tim merah sangat bermanfaat, dalam lingkungan serbacepat dan selalu berubah saat ini, keterlibatan tim merah mungkin gagal mendeteksi perubahan seiring terjadinya. Program keamanan hanya seefektif seperti saat terakhir kali divalidasi, yang menyebabkan kesenjangan dalam visibilitas dan postur risiko yang lemah.
Membangun kapasitas tim merah internal butuh banyak biaya dan hanya sedikit organisasi yang mampu mendedikasikan sumber daya yang diperlukan. Agar dampaknya signifikan, tim merah membutuhkan personel yang cukup untuk meniru tingkat ancaman yang persisten dan memiliki sumber daya yang memadai dari kelompok kejahatan siber modern dan ancaman selevel negara. Sebuah tim merah harus menyertakan anggota operasi keamanan khusus (atau subtim peretasan etis) untuk penargetan, penelitian, dan latihan serangan.
Ada berbagai vendor pihak ketiga yang menyediakan opsi kontrak layanan tim merah kepada organisasi. Mereka berkisar dari perusahaan besar hingga operator berskala kecil yang khusus bergerak dalam industri atau lingkungan TI tertentu. Meskipun lebih mudah untuk mengontrak layanan tim merah daripada mempekerjakan staf penuh waktu, langkah ini sebenarnya bisa lebih mahal, terutama jika Anda rutin melakukannya. Akibatnya, hanya sejumlah kecil organisasi yang dapat cukup sering melakukan latihan tim merah untuk mendapatkan insight nyata.
Continuously automated red teaming (CART) menggunakan otomatisasi untuk menemukan aset, memprioritaskan penemuan, dan (setelah diotorisasi) melakukan serangan di dunia nyata menggunakan alat dan eksploitasi yang dikembangkan dan dipelihara oleh para pakar industri.
Dengan fokus pada otomatisasi, CART memungkinkan Anda berfokus pada pengujian yang menarik dan baru, membebaskan tim Anda dari pekerjaan yang berulang-ulang dan rawan kesalahan yang menimbulkan frustrasi dan pada akhirnya kelelahan.
CART memberi Anda kemampuan untuk secara proaktif dan berkelanjutan menilai postur keamanan Anda secara keseluruhan dengan biaya yang jauh lebih murah. Latihan red teaming menjadi lebih mudah diakses dan Anda mendapatkan visibilitas terkini mengenai kinerja pertahanan Anda.
IBM Security Randori menawarkan solusi CART yang disebut IBM Security Randori Attack Targeted, yang membantu Anda memahami risiko siber dengan secara proaktif menguji dan memvalidasi keseluruhan program keamanan Anda secara berkelanjutan.
Studi Total Economic Impact™ terhadap IBM Security Randori yang dilakukan Forrester Consulting atas permintaan IBM pada tahun 2023 menemukan penghematan tenaga kerja sebesar 75% berkat peningkatan aktivitas tim merah.
Fungsi solusi secara mulus terintegrasi dengan atau tanpa tim merah internal yang sudah ada. Randori Attack Targeted juga menawarkan insight tentang keefektifan pertahanan Anda, membuat keamanan tingkat lanjut mudah diakses bahkan untuk organisasi berskala sedang.
Postingan blog ini adalah bagian dari seri “All you need to know about red teaming” oleh tim IBM Security Randori.