Red Teaming vs Penetration Testing
Red Teaming != Penetration Testing
Banyak kesenjangan yang terjadi didalam sebuah industri keamanan dalam memaknai Penetration Testing, Vulnerabilty Assesment dan Red Teaming. Ada yang bilang Penetration Testing itu sama dengan Red Teaming ataupun yang lebih parahanya 2 kegiatan tersebut kadang disamakan dengan kegiatan Vulnerabilty Assesment haha.
Maka dari itu munculah tulisan ini dalam “Bahasa Indonesia” demi menjawab pertanyaan dan kesenjagan tersebut. Disini kita akan lebih condong membahas perbedaan antara Red Teaming dan Pentesting.
What is Red Teaming
Red Teaming adalah suatu proses untuk mensimulasikan dan meniru ancaman serangan nyata, yang dilakukan oleh threat actor “bad-guy” melalui skenario serangan yang realistis menggunakan tactics, techniques, dan procedures (TTPs) “similiar” dengan serangan Advanced Persistent Threat (APT).
Untuk contoh Tactics, Techniques, dan Procedures (TTPs) yang sering digunakan bisa dilihat melalui report Threat Intelligence dan MITRE ATT&CK®
Kemudian tujuan Red Teaming ini adalah untuk melatih kemampuan tim internal (blue team) dalam mendeteksi, meresponse dan mencegah ancaman serangan tingkat lanjut, serta mengukur tingkat operasi keamanan secara keseluruhan termasuk people, process dan teknologi yang digunakan. Red teaming juga memberikan pemahaman yang mendalam tentang dampak negatif yang ditimbulkan oleh threat actor diluar sana dalam membawa suatu ancaman.
Correlation and Characteristic
Untuk mengilustrasikan hubungan dan perbedaan antara Red Teaming, Penetration Testing dan Vulnerabilty Assesment , kita akan menggunakan piramida terbalik .
Vulnerabilty Assesment cenderung memiliki cakupan yang sangat luas, tetapi tidak terlalu mendalam untuk soal finding vulnerabilty (scan, enumeration & report). Misalnya dalam membedakan false positive dan false negative terhadap suatu vulnerabilty. Dari segi waktu Vulnerabilty Assesment cenderung lebih cepat dibandingkan Penetration Testing.
Dengan adanya Vulnerabilty Assesment sebelumnya, Pentester memanfatkaan Vulnerabilty Assesment sebagai informasi untuk melanjutkan ketingkat yang lebih tinggi dan dalam. Seperti melakukan exploitasi, membuktikan, mengidentifikasi dan mengukur risiko yang terjadi pada suatu vulnerbailty.
Penetration Testing mungkin akan terlihat seperti Red Teaming. Sebagian metode dan teknik yang ada pada proses Penetration testing digunakan juga dalam melakukan Red Teaming. Oleh karena itu, minimal kita harus bisa melakukan Penetration Testing.
Untuk fokus dan tujuanya jauh berbeda, Red Teaming lebih berfokus pada operasi keamanan secara keseluruhan dan mendalam yang mencakup people, proses, dan teknologi yang digunakan. Dengan tujuan untuk melatih kemampuan organisasi dan tim internal (blue team) dalam mendeteksi, meresponse dan mencegah ancaman serangan tingkat lanjut or we can say “make the blue team or process more better”.
Dari sisi serangan, red teaming lebih “deep & stealth” dibandingkan dengan Penetratiton Testing seperti melakukan physical attack (hardware implant, lock picking), social enginering, spear phising dan masih banyak lagi. Untuk segi waktu Red teaming membutuhkan waktu yang cukup lama dibandingkan Penetration Testing, bisa sampai berbulan bulan” demi mencapai tujuan tertentu.
Red teamer akan melakukan apa saja demi mencapai tujuannya. Misalnya dengan memanfaatkan vulnerability & Missconfiguration yang ada untuk mengkompromi suatu network ataupun server ke server lainya (Pivoting), yang bisa saja vulnerability” tersebut hanya sebagai pondasi untuk mencapai tujuan mereka. Tujuan-tujuan ini dapat mencakup meng-compromisie suatu jaringan/server , mencuri data, mensimulasikan advesary, mengukur efektivitas blue team dan masih banyak lagi sesuai dengan agreement yang telah disepakati
Who’s Better
Statement Pirate vs Ninja ini bisa kita gunakan juga untuk membantu kita dalam membedakan Red Teaming dan Penetration Testing.
Perbedaan antara bajak laut dan ninja :
Dalam mencapai suatu tujuan, mereka menggunakan teknik & keahlian yang berbeda beda. Kita tidak mengingikan sebuah bajak laut untuk menjalankan operasi yang sembunyi bunyi (stealth). Demikian pula, kita tidak ingin menggunakan Pentester untuk mengukur tingkat efektivitas kemampuan blue team dalam mendeteksi, meresponse dan mencegah ancaman serangan tingkat lanjut. Kita juga tidak akan menggunakan Red Team hanya untuk menemukan dan mengeksploitasi kerentanan.
Jadi siapa lebih baik Ninja atau Bajak Laut ? keduanya sangat capabale, yang satu belum tentu lebih baik dari yang lain maka dari itu kita harus menempatkan posisinya sesuai dengan tujuan dan misi yang tepat.
Lalu perusahaan apa yang cocok melakukan red teaming dan kapan saat perusahaan harus melakukan red teaming?
Red Teaming digunakan apabila perusahaan tersebut memang maturity level securitynya sudah cukup baik dan yakin terhadap kemananya . Seperti sudah melakukan assesment & Penetration testing terlebih dahulu.
Apabila perusahaanya sudah scopenya sangat besar (enterprise) dan sudah adanya tim internal (blue team, threat hunter) yang membantu kegiatan dalam mendeteksi ancaman tingkat lanjut. Maka Red Teaming sangat dibutuhkan juga, untuk menguji dan melatih kemampuan tim internal tersebut dalam mendeteksi dan meresponse serangan tingkat lanjut yang bisa saja dilakukan oleh threat actor tanpa disadari oleh tim internal.
Masa harus nunggu breach data dulu *cough
Mohon maaf bila ada kata kata yang salah dan kurang berkenan. Terima kasih dan semoga kebermanfaatan ini terus berlanjut!
Reference
- https://www.sans.org/course/red-team-exercises-adversary-emulation
- http://threatexpress.com/redteaming/
- https://blog.rapid7.com/2016/06/23/penetration-testing-vs-red-teaming-the-age-old-debate-of-pirates-vs-ninja-continues/
- https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/pf/ms/ds-red-team-operations.pdf
