Gammaorg logo

Red Teaming – DORA / ThreatLed Penetration Testing (TLPT)

  • CISA SILENTSHIELD – szövetségi ügynökség hosszú ideig nem észlelt behatolás
  • A CISA red teamje egy “nonotice, longterm” felmérést végzett egy szövetségi ügynökségnél. IT Pro
  • A csapat egy Oracle Solaris webkiszolgáló ismert sebezhetőségét használta ki kezdeti behatolásra. Ezen felül phishinggel is szereztek hozzáférést Windows hálózaton, adminisztrátori jogosultságokkal. IT-szakértő
  • A legkritikusabb eszközök (tier-zero / domain controller jellegű) kompromittálása után öt hónapig maradtak észrevétlenek. IT-szakértő+ 1
  • Tanulság: gyenge hálózati szegmentáció, hiányos loggyűjtés/elemzés, lassú reagálás, rosszul monitorozott adminisztratív tevékenységek jelentős kockázatot jelentenek. IT-szakértő
  • CISA – kritikus infrastruktúrájú szervezet felmérése
  • Egy nagy kritikus infrastruktúrájú szervezetet vizsgáltak meg threemonth “red team assessment” keretében. therecord.media
  • A szervezet “érett” biztonsági posturelal rendelkezett, de a red team tevékenységeit nem észlelték, még akkor sem, amikor azok tudatosan provokálták a védelmi reagálásokat. A feljegyzés a Recorded Future-től
  • A támadás spearphishinggel indult, adminisztratív felhasználók áldoztak bele. A red team több állomáson keresztül mozgott a hálózaton, kihasználva a partnerkapcsolatokat is. A feljegyzés a Recorded Future-től
  • CISA felmérés – kritikus infrastruktúra, hiányosságok a Windows környezetben / DMZn
  • Egy szervezetnél a Red Team a DMZből belépve tudott SMB / LDAPS portokon keresztül közlekedni, mert a DMZ és belső hálózat között nem volt megfelelő IDS/IPS, nem volt jól elkülönített proxy vagy belső határ. cisa.gov+ 1
  • Az Active Directory / Kerberostevékenységeket (pl. golden ticket, DCSync, S4U2Self, asktgs) nem monitorozták kellőképp, így a támadó mozgása rejtve maradt. cisa.gov+ 1
  • Nem publikált példa egy európai banknál (saját belső forrásként)
  • Egy nagy európai bank TLPTelésre készült (a DORA követelményeinek megfelelően). Még jó SOC és SOC eszközeik voltak, rendszeres sebezhetőségvizsgálatokkal, mégis a TLPT során olyan valós támadó eszközöket/modelleket alkalmaztak, amelyek a korábbi tesztek nem fedtek fel.
  • A forgatókönyv: vezetői phishing, egy IT szolgáltató beszállító kihasználása, belső hozzáférések mozgatása, valamint az incident detection és lateral movement (oldalirányú mozgás) gyengeségeinek feltárása. equilibrium-security.co.uk
  • Ennek következtében a banknak komoly fejlesztéseket kellett végrehajtania a reagálási idejében, valamint a SOCmonitoringban. equilibrium-security.co.uk

Kapcsolódó tanulságok és mit mutatnak ezek az incidensek

  • TLPT (fenyegetésvezérelt behatolástesztelés)
  • Gyakori hiányosság: reagálási késés, nem megfelelő loggyűjtés/elemzés, hiányos hálózati elkülönítés (network segmentation), valamint olyan tevékenységek, mint a Kerberosabúzusok, amelyek észrevétlenül maradnak, ha nincs rá megfelelő figyelés.
  • A TLPThez (pl. DORA alatt) hasonló szabályozási keretek segítenek abban, hogy ezek a tesztek rendszeresek legyenek, és ne csak sebezhetőségvizsgálatok, hanem valós támadó eljárásokat imitáljanak.
© 2025 Gammaorg Zrt.
Adatkezelési nyilatkozat | Impresszum