This is a good article. Click here for more information.

레드팀

Red team
레드 팀(red team)이라는 별명을 가진 CPU 및 GPU 회사는 AMD를 참조하십시오. 기술 전문가로 구성된 집중 은 타이거 팀을 참조하십시오.기타 용도는 Red Team을 참조하십시오.

레드 팀은 적인 척하며 조직의 지시에 따라 조직에 물리적 또는 디지털 침입을 시도한 다음, 조직이 방어력을 향상시킬 수 있도록 보고하는 그룹입니다.레드 팀은 그 조직을 위해 일하거나 그 조직에 의해 고용됩니다.이들의 업무는 합법적이지만, 레드 팀이 발생하는 것을 모르거나 레드 팀에 속을 수 있는 일부 직원들을 놀라게 할 수 있습니다.레드 팀의 일부 정의는 더 광범위하며, 조직 내에서 기본적인 생각을 하도록 지시된 모든 그룹을 포함하고, 가능성이 낮은 것으로 간주되는 대체 시나리오를 검토합니다.이것은 잘못된 가정과 집단 사고에 대한 중요한 방어책이 될 수 있습니다.레드 팀이라는 용어는 1960년대 미국에서 유래되었습니다.

기술적 레드 팀 구성은 네트워크와 컴퓨터를 디지털 방식으로 손상시키는 데 중점을 둡니다.공격으로부터 조직의 네트워크와 컴퓨터를 방어하는 역할을 하는 사이버 보안 직원들을 지칭하는 용어인 블루 팀도 있을 수 있습니다.기술적 적색 팀 구성에서 공격 벡터는 접근 권한을 얻기 위해 사용된 다음 잠재적으로 손상될 수 있는 더 많은 장치를 발견하기 위해 정찰을 수행합니다.자격 증명 탐색에는 컴퓨터에서 암호 및 세션 쿠키와 같은 자격 증명을 검색하는 작업이 포함되며, 이러한 자격 증명이 발견되면 추가 컴퓨터를 손상시키는 데 사용될 수 있습니다.제3자의 침입이 있을 경우, 적색 팀이 청색 팀과 팀을 이루어 조직 방어에 도움을 줄 수 있습니다.활동 규칙과 표준 운영 절차를 활용하여 레드 팀이 연습 중에 손상을 입히지 않도록 보장하는 경우가 많습니다.

물리적 레드 팀 구성은 제한된 지역으로 진입하기 위해 팀을 보내는 것에 중점을 둡니다.이는 펜스, 카메라, 알람, 잠금 장치, 직원 행동과 같은 물리적 보안을 테스트하고 최적화하기 위해 수행됩니다.기술적 레드 팀과 마찬가지로, 레드 팀이 연습 중에 과도한 손상을 입히지 않도록 보장하기 위해 참여 규칙이 사용됩니다.물리적 레드 팀 구성은 종종 정보가 수집되고 보안의 약점이 식별되는 정찰 단계를 수반하며, 그러한 정보는 일반적으로 야간에 현장에 물리적으로 진입하기 위한 작업을 수행하는 데 사용됩니다.보안 장치는 도구와 기술을 사용하여 식별되고 격퇴됩니다.물리적인 레드 팀에게는 서버 룸에 접근하거나 휴대용 하드 드라이브를 가져가거나, 임원실에 접근하거나 기밀 문서를 가져가는 등의 구체적인 목적이 주어집니다.

레드 팀은 사이버 보안, 공항 보안, 법 집행, 군대, 정보 기관 등 여러 분야에서 사용됩니다.미국 정부에서 레드 은 육군, 해병대, 국방부, 연방항공청, 교통보안청에서 사용합니다.

역사

레드 팀과 블루 팀의 개념은 1960년대 초에 등장했습니다.레드 팀의 초기 예로는 싱크탱크 RAND Corporation이 있는데, RAND Corporation은 냉전 기간 동안 미군을 위해 시뮬레이션을 했습니다."레드 팀"과 "레드 팀"은 소련을, "블루 팀"과 "블루"는 미국을 [1]상징합니다.또 다른 초기 사례로는 로버트 맥나마라국방부 장관이 참여했는데, 그는 어떤 정부 계약자에게 실험용 항공기 [2]계약을 수여해야 하는지 탐구하기 위해 레드 팀과 블루 팀을 구성했습니다.또 다른 초기 사례는 군비통제 조약을 협상하고 그것의 [2]효과를 평가하는 모델입니다.

레드 팀은 때때로 "반대의 사고"와 싸움 집단 사고, 심지어 반대의 증거 앞에서도 추정을 하고 유지하는 집단의 경향과 관련이 있습니다.레드 팀이라고 불리지는 않았지만, 거의 틀림없이 집단 사고와 싸우기 위해 집단을 형성한 초기의 예 중 하나는 1973년 욤키푸르 전쟁 동안 이스라엘의 의사 결정 실패 후 형성된 이스라엘 입차 미스타브라입니다.이스라엘에 대한 공격은 임박한 공격의 충분한 증거에도 불구하고 이스라엘을 거의 놀라게 했고, 거의 이스라엘의 패배를 초래했습니다.입차 미스타브라는 전후에 형성된 것으로 외교정책과 정보보고에 대해 항상 상반되고 예상치 못한, 혹은 비정통적인 분석을 제시해야 하는 의무가 부여되어 있어 [3]앞으로 일이 간과될 가능성이 적었습니다.

2000년대 초반에는 테이블 상판 운동에 레드 팀을 사용한 예가 있습니다.테이블 상판 운동은 응급 대응자가 주로 사용하며, 테이블 상판 게임을 하는 것과 유사한 최악의 경우에 대비하여 행동하고 계획하는 것을 수반합니다.9·11테러에 대응해 중앙정보부는 대테러를 염두에 두고 새로운 [4]레드셀을 창설하고 테러 [5]비대칭전 대응 모델로 레드팀을 활용했습니다.이라크 전쟁의 실패에 대한 대응으로, 미국 [6]육군에서 레드 팀은 더 흔해졌습니다.

시간이 지나면서, 레드 팀의 관행은 기업, 정부 기관, 그리고 비영리 단체를 포함한 다른 산업과 조직으로 확대되었습니다.이 접근 방식은 조직의 디지털 인프라에 대한 실제 공격을 시뮬레이션하고 사이버 보안 [7]조치의 효과를 테스트하는 데 레드 팀이 사용되는 사이버 보안 분야에서 점점 더 대중화되고 있습니다.

사이버 보안

기술적 레드 팀 구성은 조직의 컴퓨터 네트워크에 디지털 방식으로 침투를 시도하여 조직의 디지털 보안을 테스트하는 것을 포함합니다.

용어.

블루팀은 침입에 대한 방어를 담당하는 그룹입니다.

사이버 보안에서 침투 테스트는 윤리적 해커("펜테스터")가 컴퓨터 시스템에 침입하려고 시도하는 것을 포함하며, 놀라움의 요소는 없습니다.조직은 침투 테스트를 인지하고 있으며 [8]방어 장비를 장착할 준비가 되어 있습니다.

레드 팀은 한 단계 더 나아가 물리적 침투, 사회 공학 및 놀라움의 요소를 추가합니다.블루팀은 레드팀에 대한 사전 경고를 받지 않으며,[8] 실제 침입으로 처리할 것입니다.사내에 상주하는 레드 팀의 역할 중 하나는 [9]조직의 보안 문화를 개선하는 것입니다.

보라색 은 두 팀의 일시적인 조합이며 테스트 [10][11]중에 신속한 정보 응답을 제공할 수 있습니다.보라색 팀 구성의 한 가지 장점은 빨간색 팀이 특정 공격을 반복적으로 시작할 수 있고 파란색 팀은 이를 사용하여 탐지 소프트웨어를 설정하고 보정하며 탐지율을 [12]꾸준히 높일 수 있다는 것입니다.보라색 팀은 빨간색 팀과 파란색 팀 모두 실제 침입자를 찾는 "위협 사냥" 세션에 참여할 수 있습니다.로깅 및 소프트웨어 경고를 처리하는 데 도움이 되는 소프트웨어 엔지니어, 재정적으로 가장 피해가 큰 [13]시나리오를 식별하는 데 도움이 되는 관리자 등 다른 직원을 보라색 팀에 참여시키는 것도 유용합니다.자주색 팀 구성의 한 가지 위험은 자신감과 집단 사고의 발달로, 서로 다른 기술을 가진 사람들을 고용하거나 외부 [14]공급업체를 고용함으로써 해결할 수 있습니다.

화이트 팀은 레드 팀과 블루 팀 사이의 운영을 감독하고 관리하는 그룹입니다.예를 들어, 레드 [15]팀의 참여 규칙을 결정하는 회사의 관리자일 수 있습니다.

공략

레드 팀이나 적수의 처음 진입 지점을 비치헤드라고 합니다.성숙한 블루팀은 종종 교두보를 찾고 공격자를 쫓아내는 데 능숙합니다.레드 팀의 역할은 블루 [16]팀의 실력을 높이는 것입니다.

침투 시 청팀의 레이더 아래에 머물며 명확한 목표를 요구하는 은밀한 '외과적' 접근과 무차별 공격에 가까운 시끄러운 '카펫 폭격' 접근이 있습니다.카펫 폭격은 예상치 못한 [17]취약점을 발견할 수 있기 때문에 레드 팀에게 더 유용한 접근법입니다.

다양한 사이버 보안 위협이 존재합니다.위협은 네트워크의 도메인 컨트롤러 해킹과 같은 전통적인 것이나 암호화폐 채굴 설정과 같은 덜 정통적인 것, 또는 회사를 일반 데이터 보호 규정([18]GDPR) 벌금까지 받을 수 있도록 개방하는 개인 식별 정보(PII)에 대한 직원의 접근을 지나치게 많이 제공하는 것 등 다양합니다.이러한 위협은 문제의 심각성을 파악하기 위해 레드 팀으로 구성될 수 있습니다.보드 게임을 하는 방법과 유사하게 테이블 상판에 관입이 작용하는 테이블 상판 연습은 너무 비싸고 복잡하거나 [19]라이브로 실행하기에는 불법적인 관입을 시뮬레이션하는 데 사용될 수 있습니다.기존의 [20]목표물 이외에도 레드 팀과 블루 팀을 상대로 침입을 시도하는 것이 유용할 수 있습니다.

Diagram of a graph database. Contains three circles with text inside them and lines with arrows between them.
그래프 데이터베이스의 예입니다.레드 팀의 경우 이 소프트웨어를 사용하여 침투한 네트워크의 지도를 만들 수 있습니다.노드(원)는 일반적으로 컴퓨터, 사용자 또는 권한 그룹입니다.

네트워크에 접속이 되면 정찰을 실시할 수 있습니다.수집된 데이터는 노드, 관계 및 속성을 시각적으로 표시하는 소프트웨어인 그래프 데이터베이스에 배치할 수 있습니다.일반적인 노드는 컴퓨터, 사용자 또는 권한 [21]그룹일 수 있습니다.레드 팀은 일반적으로 자신의 조직에 대한 그래프 데이터베이스를 매우 잘 보유하고 있는데, 블루 팀과 협력하여 네트워크의 철저한 지도를 작성하고 사용자와 [22]관리자의 철저한 목록을 작성하는 등 홈 필드 이점을 활용할 수 있기 때문입니다.그래프 [23]데이터베이스를 만들고 수정하는 데 사이퍼와 같은 쿼리 언어를 사용할 수 있습니다.그래프 데이터베이스에는 Amazon Web Services(AWS)[24]같은 타사 도구의 관리자를 포함하여 모든 유형의 관리자 계정을 사용할 수 있습니다.때로는 도구에서 데이터를 내보낸 다음 그래프 [25]데이터베이스에 삽입할 수도 있습니다.

일단 레드 팀이 컴퓨터, 웹사이트, 또는 시스템을 손상시킨 후 강력한 기술은 자격 증명 찾기입니다.이러한 정보는 일반 텍스트 암호, 암호문, 해시 또는 액세스 토큰의 형태로 제공될 수 있습니다.레드 팀은 컴퓨터에 액세스하여 다른 컴퓨터에 액세스하는 데 사용할 수 있는 자격 증명을 찾고, 이 작업을 반복하여 많은 컴퓨터에 [26]액세스합니다.파일, Git 의 소스 코드 저장소, 컴퓨터 메모리, 추적 및 로깅 소프트웨어 등 여러 위치에서 자격 증명을 도난당할 수 있습니다.쿠키를 전달하고 해시를 전달하는 것과 같은 기술은 암호를 입력하지 않고 웹사이트와 기계에 접근할 수 있도록 하는 데 사용될 수 있습니다.광학 문자 인식(OCR), 기본 암호 악용, 자격 증명 프롬프트 스푸핑, 피싱 의 기술도 [27]사용할 수 있습니다.

레드 팀은 컴퓨터 프로그래밍 및 CLI(명령줄 인터페이스) 스크립트를 활용하여 일부 작업을 자동화할 수 있습니다.예를 들어 CLI 스크립트는 마이크로소프트 윈도우즈 시스템의 COM(Component Object Model)을 활용하여 마이크로소프트 Office 응용 프로그램의 작업을 자동화할 수 있습니다.유용한 작업에는 전자 메일 보내기, 문서 검색, 암호화 또는 데이터 검색 등이 포함될 수 있습니다.레드 팀은 Internet Explorer의 COM, Google Chrome의 원격 디버깅 기능 또는 테스트 프레임워크[28]셀레늄을 사용하여 브라우저를 제어할 수 있습니다.

방어

실제 침입 시 레드 팀은 블루 팀과 함께 방어를 돕기 위해 다른 용도로 사용될 수 있습니다.구체적으로 침입자가 다음에 무엇을 하려고 할지 분석할 수 있습니다.침입 시 레드 팀과 블루 팀 모두 [12]침입자보다 조직의 네트워크와 시스템에 더 익숙하기 때문에 홈 필드에서 이점이 있습니다.

Diagram of a network firewall. Contains computers on the left and right side, a wall icon in the middle, lines connecting the computers that symbolize network connections, and all the lines on each side merge together before going through the firewall.
네트워크 방화벽(사진)을 사용하여 더 넓은 인터넷에서 개인 네트워크로의 액세스를 제한할 수 있습니다.시스템 운영 체제에 내장된 방화벽과 같은 소프트웨어 방화벽을 사용하여 해당 시스템에 대한 원격 액세스를 제한할 수 있습니다.

조직의 레드 팀은 실제 공격자들에게 매력적인 타겟이 될 수 있습니다.빨간색 팀원의 컴퓨터에는 조직에 대한 민감한 정보가 포함되어 있을 수 있습니다.이에 대응하여 레드 팀원의 기계는 보안이 [29]유지되는 경우가 많습니다.컴퓨터 보안에는 운영 체제의 방화벽 구성, SSH(Secure Shell) Bluetooth 액세스 제한, 로깅 및 경고 개선, 파일 안전 삭제,[30] 하드 드라이브 암호화 등이 있습니다.

한 가지 전술은 "적극적인 방어"에 참여하는 것인데,[31] 이것은 침입자의 위치를 추적하는 데 도움이 되도록 미끼와 꿀단지를 설치하는 것을 포함합니다.이러한 허니팟은 탐지되지 않았을 수도 있는 네트워크 침입에 대해 블루 팀에 경고하는 데 도움이 될 수 있습니다.운영 체제에 따라 다양한 소프트웨어를 사용하여 허니팟 파일을 설정할 수 있습니다. macOS 도구에는 OpenBMS, Linux 도구에는 auditd 플러그인, Windows 도구에는 시스템 액세스 제어 목록(SACL)이 있습니다.알림에는 팝업, 전자 메일 및 로그 [32]파일에 쓰기가 포함될 수 있습니다.중요한 로그 파일을 다른 컴퓨터의 로깅 소프트웨어로 신속하게 전송하는 중앙 집중식 모니터링은 유용한 네트워크 방어 [33]기술입니다.

레드팀 관리

업무 수행 규칙을 사용하면 사용 금지된 시스템을 규정하고, 보안 사고를 방지하며,[34] 직원의 사생활을 보호하는 데 도움이 됩니다.표준 운영 절차(SOP)를 사용하면 적절한 직원에게 통지하고 계획에 참여하도록 보장할 수 있으며, 레드 팀 프로세스를 개선하여 성숙하고 [35]반복 가능하게 할 수 있습니다.레드 팀 활동은 일반적으로 규칙적인 [36]리듬을 가집니다.

Photo of a security operations center. Contains 5 computers on tables, 10 televisions on the wall, and 2 cybersecurity personnel.
Maryland 대학의 한 보안 운영 센터(SOC).

특정 메트릭 또는 KPI(주요 성과 지표)를 추적하면 레드 팀이 원하는 결과를 달성하는 데 도움이 될 수 있습니다.레드 팀 KPI의 예로는 매년 일정 수의 침투 테스트를 수행하거나 일정 기간 내에 일정 수의 펜 테스터를 늘려 팀을 성장시키는 것 등이 있습니다.또한 손상된 시스템 수, 손상 가능한 시스템 수 및 침투와 관련된 기타 메트릭을 추적하는 데 유용할 수 있습니다.이러한 통계는 요일별로 그래프화하여 보안 운영 센터(SOC)에 표시된 대시보드에 배치하여 블루팀이 [37]위반 사항을 탐지하고 해결할 수 있는 동기를 제공할 수 있습니다.최악의 범죄자를 식별하기 위해 타협점을 그래프로 표시하고 소프트웨어의 발견 위치, 회사 사무실 위치, 직책 또는 [38]부서별로 그룹화할 수 있습니다.몬테카를로 시뮬레이션을 사용하여 어떤 침입 시나리오가 가장 가능성이 높은지, 가장 피해가 큰지, 또는 둘 [39]다를 식별할 수 있습니다.능력 성숙도 모델의 한 종류인 테스트 성숙도 모델을 사용하여 레드 팀이 얼마나 성숙한지,[40] 다음 단계는 무엇인지 평가할 수 있습니다.첨단 지속 위협(APT)을 포함한 전술, 기술, 절차(TTP) 목록MITRE ATT&CK 네비게이터는 레드팀이 얼마나 많은 TTP를 활용하고 있는지 확인할 수 있도록 상담할 수 있으며,[41] 향후 TTP가 활용할 수 있는 추가 아이디어를 제공합니다.

물리적 침입

물리적 적색 팀 구성 또는 물리적 침투[42] 테스트는 직원 및 보안 장비의 보안 관행을 포함한 시설의 물리적 보안 테스트를 포함합니다.보안 장비의 예로는 보안 카메라, 잠금 장치, 울타리 이 있습니다.물리적 레드 팀 구성에서는 일반적으로 컴퓨터 네트워크가 [43]대상이 아닙니다.일반적으로 여러 계층의 보안을 가진 사이버 보안과는 달리 물리적 보안은 한 개 또는 두 개의 계층만 [44]존재할 수 있습니다.

고객과 공유하는 "참여 규칙" 문서를 가지고 있으면 어떤 TTP를 사용할 것인지, 어떤 위치를 대상으로 할 수 있는지, 어떤 것을 대상으로 할 수 있는지, 어떤 것을 대상으로 할 수 없는지, 잠금 장치와 문 등의 장비 손상이 얼마나 허용되는지, 계획이 무엇인지, 이정표가 무엇인지, 연락처 [45][46]정보를 공유하는 데 도움이 됩니다.레드 팀과 [47]고객 사이에 또 한번의 왕복이 있는 정찰 단계 이후에 교전 규칙이 갱신될 수 있습니다.정찰 단계에서 수집된 데이터는 내부용으로 운영 계획을 작성하고 고객에게 전송하여 [48]승인을 받을 수 있습니다.

정찰

Photo of a black handheld radio. Is black with a long black antenna.
야간에 작전을 수행하는 물리적인 레드 팀이 양방향 무전기와 이어폰을 사용하기도 합니다.낮에는 블루투스 이어폰 같은 눈에 잘 띄지 않는 것이 더 좋을 수 있습니다.

물리적인 레드 팀 구성의 일부는 [49]정찰을 수행합니다.수집된 정찰 유형에는 대개 사람, 장소, 보안 장치 및 [50]날씨에 대한 정보가 포함됩니다.정찰은 군사적 기원을 가지고 있으며, 군사적 정찰 기술은 물리적인 레드 팀에 적용 가능합니다.레드 팀 정찰 장비는 쉽게 찢어지지 않기 때문에 군복, 야간 시야를 보호하고 감지하기 쉽도록 붉은 조명, 라디오와 이어폰, 카메라와 삼각대, 쌍안경, 야간 시야 장비, 전천후 [51]수첩 등이 포함될 수 있습니다.현장 통신의 일부 방법으로는 낮에는 휴대 전화 회의 통화로 전화를 거는 블루투스 이어폰, [52]밤에는 이어폰이 달린 양방향 라디오 등이 있습니다.타협의 경우, 레드 팀 구성원들은 종종 레드 팀 [53]활동의 합법성과 정당성을 보증할 수 있는 여러 시간 외 연락처와 신분증을 가지고 다닙니다.

OSINT(Open-Source Intelligence) 수집은 물리적 정찰이 이루어지기 전에 회사의 웹 사이트, 소셜 미디어 계정, 검색 엔진, 매핑 웹 사이트 및 (회사가 [54]사용하는 기술 및 소프트웨어에 대한 힌트를 제공하는) 채용 공고를 포함한 인터넷을 통해 위치 및 직원을 조사하여 발생할 수 있습니다.여러 날 정찰을 하고, 낮과 밤을 가리지 않고 정찰을 하고, 최소 3명의 작전원을 데려오고, 목표물에서 벗어난 인근의 작전구역을 활용하고,[55] 이들을 결합하는 것이 아니라 두 번의 별도의 작전으로 정찰과 침투를 하는 것이 좋은 연습 방법입니다.

정찰대는 자신과 장비를 감추기 위해 기술을 사용할 수 있습니다.예를 들어, 승합차를 빌리고 창문을 검게 하여 [56]목표물의 사진과 비디오 사진을 숨길 수 있습니다.걸어 다니는 동안 건물의 자물쇠를 조사하고 비디오를 촬영하는 것은 전화를 [57]하는 척하는 정찰기에 의해 숨겨질 수 있습니다.직원들이 의심스러워지는 등 타협이 있을 경우, 자신 있게 낭송할 수 있을 때까지 미리 이야기를 리허설 할 수 있습니다.팀이 분열된 경우, 한 운영자의 타협으로 인해 팀장이 다른 운영자를 [58]퇴출시킬 수 있습니다.숨겨진 비디오 카메라를 사용하여 나중에 검토할 수 있도록 영상을 캡처할 수 있으며, 해당 지역을 떠난 후 신속하게 보고를 수행하여 새로운 [59]정보를 신속하게 기록할 수 있습니다.

잠입

대부분의 물리적 레드 팀 작업은 시설의 보안이 저하되고 어둠이 [60]활동을 숨길 수 있기 때문에 야간에 수행됩니다.이상적인 침투는 일반적으로 시설 외부와 시설 내부 모두에서 보이지 않으며(접근 방법이 행인이나 보안 장치에 의해 감지되지 않음), (손상되지 않고 부딪히거나 배치되지 않은 것이 없음), 레드 팀이 [61]있다는 사실을 누구에게도 알리지 않습니다.

준비

로드 아웃 목록을 사용하면 중요한 레드 팀 장비가 [62]잊혀지지 않도록 할 수 있습니다.MOLLE 조끼와 작은 전술 가방과 같은 군사 장비의 사용은 도구를 보관하는 데 유용한 장소를 제공할 수 있지만, 눈에 띄고 [63]부담이 증가하는 단점이 있습니다.검은 옷이나 어두운 위장은 시골 지역에서 도움이 될 수 있지만, 회색과 검은색의 음영이 있는 길거리 옷은 [64]도시 지역에서 선호될 수 있습니다.다른 도시의 변장품으로는 노트북 가방이나 목에 두른 헤드폰이 있습니다.다양한 종류의 신발 덮개를 사용하여 야외와 [65]실내 모두에서 발자국을 최소화할 수 있습니다.

접근

가벼운 훈련(차량, 손전등 및 기타 도구의 조명을 최소한으로 유지)으로 인해 [66]손상 가능성이 줄어듭니다.라이트 규율의 몇 가지 전략에는 빨간 손전등 사용, 차량 한 대만 사용, 차량의 전조등 꺼짐 [66]유지 등이 포함됩니다.

때때로 정찰과 침투 사이에 보안 변화가 있기 때문에 목표물에 접근하는 팀은 새로운 보안 조치를 볼 [67]수 있는지 "평가하고 적응"하는 것이 좋은 관행입니다.침투 중에 발생하는 손상은 [68]시설 접근 중에 발생할 가능성이 가장 높습니다.직원, 보안, 경찰 및 방관자는 물리적 레드 [69]팀과 타협할 가능성이 가장 높습니다.방관자들은 시골에서 더 드물지만, 훨씬 더 [70]의심이 많습니다.

적절한 움직임은 붉은 팀이 목표물에 접근할 때 눈에 띄지 않도록 도와주며, 서두르기, 기어가기, 언덕 위에서 실루엣을 피하기, 한 줄로 걷는 것과 같은 대형으로 걷다가 일시 정지하는 [71]것을 포함할 수 있습니다.수동 신호를 사용하면 [72]소음을 줄일 수 있습니다.

시설입장

Diagram of how lock picking works. Contains a lock pick inserted into a cutaway view of a lock. The lock contains 4 small, spring-pushed cylinders on the top. The pick manipulates the cylinders. A tension wrench is also inserted into the lock.
일부 물리적 레드 팀에서는 과 같은 하위 스킬 공격을 사용하는 것에 비해 소음과 시간이 걸리기 때문에 잠금을 우회하는 열등한 방법으로 간주됩니다.

일반적인 보안 장치에는 문, 잠금 장치, 울타리, 경보 장치, 모션 센서 및 접지 센서가 포함됩니다.도어와 잠금 장치는 잠금 장치를 [73]선택하는 보다 도구와 심으로 우회하는 것이 더 빠르고 조용합니다.기업에서는 RFID 잠금장치가 일반적이며, 정찰 중에 사회공학과 결합된 비밀 RFID 리더를 사용하여 공인된 [74]직원의 배지를 복제할 수 있습니다.울타리의 철조망은 두꺼운 담요를 [75]덮어 우회할 수 있습니다.경사 방지 울타리는 [76]사다리로 우회할 수 있습니다.알람은 때때로 알람이 내부 및 외부 [77]통신에 사용하는 주파수를 목표로 하는 무선 방해기로 무력화될 수 있습니다.모션 센서는 사람의 열 [78]신호를 차단하는 특수한 신체 크기의 방패로 물리칠 수 있습니다.접지 센서는 오탐이 발생하기 쉬우므로 보안 담당자가 이를 신뢰하지 않거나 [79]무시할 수 있습니다.

시설내

일단 안에 들어가면 건물 입주가 의심되면 적절한 옷을 입고 청소부나 직원으로 위장하는 것이 좋은 [80]방법입니다.붉은 팀의 [81]소음을 가릴 수 있는 주변 소리가 적기 때문에 건물 내부에서 소음 규율이 중요한 경우가 많습니다.

Photo of computer servers. There are 3 racks containing about 10 blade servers each.
서버 룸은 레드 팀들에게 매력적인 타겟이 될 수 있습니다.서버에 물리적으로 액세스하면 디지털 위협으로부터 잘 보호되는 보안 네트워크로 진입하는 데 도움이 될 수 있습니다.

레드 팀은 일반적으로 목표 장소를 선택하고 서버실이나 임원실 출입 등 각 팀 또는 팀원별로 미리 계획된 작업을 수행합니다.하지만 방의 위치를 미리 파악하는 것은 어려울 수 있기 때문에, 이것은 종종 즉석에서 파악됩니다.비상구 경로 표시를 읽고 나침반이 달린 시계를 사용하면 [82]건물 내부를 탐색하는 데 도움이 될 수 있습니다.

상업용 건물들은 종종 불이 켜져 있을 것입니다.누군가에게 경고할 수 있으므로 불을 켜거나 끄지 않는 것이 좋습니다.대신, 조명이 켜진 [83]지역을 빠르게 이동하기 위해 러시와 프리징 기술을 사용하는 것이 레드 팀 작업에 선호됩니다.창문 앞에 높이 서 있고 로비를 통해 건물 안으로 들어가는 것은 [84]눈에 보이는 위험 때문에 종종 피할 수 있습니다.

보어스코프는 사람, 카메라 또는 움직임 [85]감지기를 감지하는 데 도움이 되도록 구석과 문 밑을 둘러보는 데 사용될 수 있습니다.

목표 룸에 도달하면 특정 문서나 특정 장비 등을 찾아야 할 경우 룸을 섹션으로 나눌 수 있으며, 각 레드 팀 구성원은 [86]섹션에 초점을 맞출 수 있습니다.

암호는 키보드 아래에 있는 경우가 많습니다.키보드나 의자와 같은 사무실에 물건을 놓는 것을 방해하지 않도록 기술을 사용할 수 있습니다. 이러한 기술을 조정하는 것이 종종 눈에 [87]띄기 때문입니다.조명과 잠금 장치는 원래의 켜짐 또는 꺼짐 상태, 잠김 [88]또는 잠금 해제 상태를 유지할 수 있습니다.반입되는 모든 장비의 목록을 작성하고 모든 항목이 [89]설명되었는지 확인하는 등 장비가 뒤쳐지지 않도록 하는 조치를 취할 수 있습니다.

비정상적인 일이 발생했을 때 팀장에게 상황 보고(SITREP)를 전달하는 것이 좋습니다.그런 다음 팀 리더는 작업을 계속할지, 중단할지, 또는 팀 구성원이 승인 편지와 [90]ID를 보여줌으로써 항복할지를 결정할 수 있습니다.레드팀 운영자는 직원 등 민간인과 대면했을 때 사회공학을 시도할 수 있습니다.법 집행에 직면했을 때, 법적이고 안전한 [91]결과를 초래할 수 있기 때문에 즉시 항복하는 것이 좋은 방법입니다.

설비를 나가는 중

시설을 빠져나가는 이상적인 방법은 천천히 그리고 조심스럽게, 진입이 이루어진 방법과 비슷합니다.때때로 미션 목표를 달성한 후에 서둘러 나가고 싶은 충동이 생기지만, 이것은 좋은 연습이 아닙니다.이전에 비어 있던 공간에 누군가가 들어 있거나 [92]접근하는 경우를 대비하여 천천히 조심스럽게 상황 인식을 유지합니다.일반적으로 출구 중에 입구 통로를 이용하지만, 더 가까운 출구나 대체 출구를 [93]이용할 수도 있습니다.

모든 팀원들의 목표는 랠리 포인트, 혹은 가능하면 두 번째 긴급 랠리 포인트에 도달하는 것입니다.일반적으로 랠리 지점은 드롭오프 [94]지점과 다른 위치에 있습니다.

사용자

기업 및 조직

민간 기업들은 때때로 정상적인 보안 절차와 인력을 보충하기 위해 레드 팀을 사용하기도 합니다.예를 들어, 마이크로소프트와 구글은 시스템 보안을 [95][96]위해 레드 팀을 활용합니다.유럽의 일부 금융기관은 TIBER-EU 프레임워크를 [97]사용합니다.

정보기관

Diagram of terrorist Osama Bin Laden's compound. Contains one large three-story building and several smaller outbuildings. There are large yards on the right and left. Everything is surrounded by a high concrete wall. There are internal walls separating some courtyards for defensive purposes.
테러 지도자 오사마라덴의 파키스탄 영내.2011년 오사마 빈 라덴을 살해한 정보를 검토하기 위해 세 팀의 붉은 팀이 사용되었습니다.

지능화 작업에 적용할 경우 레드 팀 구성을 대안 [98]분석이라고 부르기도 합니다.다른 분석은 새로운 분석가를 불러들여 다른 팀의 결론을 다시 확인하고, 가정에 이의를 제기하며, 간과한 사항이 없는지 확인하는 것입니다.2011년 오사마 빈 라덴 사살을 주도한 정보를 검토하기 위해 3개의 레드팀이 투입되었는데, 이 중에는 중앙정보국 외부의 레드팀도 포함되어 있는데, 이는 파키스탄에 군사작전을 개시한 것에 대한 외교적, 홍보적 결과가 컸기 때문입니다.그래서 원래 팀의 지능과 [99]결론을 다시 확인하는 것이 중요했습니다.

이스라엘 방위군 정보국은 욤키푸르 전쟁을 예측하지 못하자, 폐기된 가정을 재검토하고 자만하지 않기 위해 [3]입차 미스타브라(Ipcha Mistabra)라는 붉은 팀을 만들었습니다.북대서양조약기구(NATO)는 대체 [100]분석을 활용합니다.

밀리터리

일반적으로 군대는 대체 분석, 시뮬레이션 및 취약점 [101]탐색을 위해 레드 팀을 사용합니다.군사적 워게이밍에서, 시뮬레이션된 충돌에서의 반대 세력(OPFOR)은 레드 셀([102]Red Cell)로 지칭될 수 있습니다.핵심 주제는 상대(레드 팀)가 원하는 배우를 본받기 위해 적절한 전술, 기술, 장비를 활용한다는 것입니다.레드 팀은 신중한 적수의 역할을 수행함으로써 운영 계획에 도전합니다.

영국 국방부에는 레드 팀 [103]프로그램이 있습니다.

레드 팀은 9/11 테러를 초래한 단점을 예방하기 위해 2003년 국방과학심의위원회가 권고한 이후 미국 군대에서 훨씬 더 자주 사용되었습니다.미 육군은 2004년에 육군 지도 연구실을 만들었습니다.이것은 최초의 서비스 레벨 레드 팀이었고, 2011년까지는 국방부(DoD)[104]에서 가장 큰 규모였습니다.외국 군사 문화 대학은 레드 팀 멤버들과 지도자들을 위한 과정을 제공합니다.대부분의 레지던트 과정은 포트 레번워스에서 이루어지며,육군 사령부와 일반 참모 대학(CGSC) 또는 이와 동등한 중고등 [105]학교의 학생들을 대상으로 합니다.비판적 사고, 집단 사고 완화, 문화적 공감, 자기성찰 [106]등의 주제로 수업이 진행됩니다.

해병대 레드팀 개념은 2010년 제임스 F 해병대 사령관(CMC)이 창설하면서 시작됐습니다. 아모스는 [107]그것을 실행하려고 시도했습니다.아모스는 해병대의 레드 팀이라는 제목의 백서 초안을 작성했습니다.이 문서에서 Amos는 레드 팀의 개념이 전술적 차원에서 전략적 차원에 이르기까지 비판적 사고를 적용하여 계획하고 결정하는 과정에 어떻게 도전해야 하는지에 대해 논의했습니다.2013년 6월 해병대는 백서 초안에 명시된 레드 팀 빌렛을 작성했습니다.해병대의 경우, 레드 팀 자리를 채우도록 지정된 모든 해병대는 6주 또는 9주간의 레드 팀 훈련 과정을 외국 군사 문화 대학(UFMCS)[108]에서 제공합니다.

국방부는 사이버 레드 팀을 사용하여 네트워크에 대한 [109]적대적 평가를 수행합니다.이 레드 팀들은 국가안보국의 인증을 받고 미국 [109]전략사령부의 인증을 받습니다.

공항 보안

Photo of airport bag screening equipment. Two monitors are shown, and the images on the screens are color x-rays of carry-on baggage.
붉은 팀은 미국 교통보안국과 같은 일부 공항 보안 기관에서 공항 심사의 정확성을 테스트하기 위해 사용됩니다.

미국 연방항공청(FAA)은 1988년 테러를 당한 스코틀랜드 로커비 상공팬암 103편부터 레드팀을 시행하고 있습니다.레드 팀은 매년 약 100개의 미국 공항에서 테스트를 수행합니다.2001년 9.11 테러 이후 시험은 잠시 중단되었다가, 9.[110]11 이후 FAA의 항공 보안 역할을 맡게 된 교통안전국 하에서 2003년 재개되었습니다.9/11 테러가 발생하기 전, FAA가 레드 팀을 사용한 것은 납치된 4대의 9/11 항공편 중 2대가 출발한 보스턴의 로건 국제 공항의 보안에 심각한 약점을 드러냈습니다.이들 팀에 참여했던 일부 전직 FAA 수사관들은 FAA가 의도적으로 실험 결과를 무시했고,[111] 이것이 미국에 대한 9/11 테러 공격의 결과를 가져왔다고 생각합니다.

미국 교통보안국은 과거에 레드 팀을 사용했습니다.한 레드 팀 작전에서 잠복 요원들은 2015년 [112]70차례 중 67차례에 걸쳐 교통보안관을 속이고 무기와 가짜 폭발물을 보안을 통해 가져올 수 있었습니다.

참고 항목

참고문헌

  1. ^ 젠코, 페이지 56
  2. ^ a b 젠코, 페이지 56
  3. ^ a b 호프만, 37쪽
  4. ^ 호프만, 페이지 39
  5. ^ 젠코, 57쪽
  6. ^ 호프만, 32쪽
  7. ^ "What is red teaming?". WhatIs.com. Retrieved May 14, 2023.
  8. ^ a b "Penetration Testing Versus Red Teaming: Clearing the Confusion". Security Intelligence. Retrieved December 23, 2020.
  9. ^ 레베르거, 페이지 3
  10. ^ "The Difference Between Red, Blue, and Purple Teams". Daniel Miessler. Retrieved April 3, 2022.
  11. ^ "What is Purple Teaming? How Can it Strengthen Your Security?". Redscan. September 14, 2021. Retrieved April 3, 2022.
  12. ^ a b Rehberger, 페이지 66
  13. ^ Rehberger, 페이지 68
  14. ^ 레베르거, 페이지 72
  15. ^ "White Team – Glossary CSRC". National Institute of Standards and Technology, United States Department of Commerce. Retrieved May 23, 2023.
  16. ^ Rehberger, 페이지 40–41
  17. ^ Rehberger, 페이지 44
  18. ^ Rehberger, 페이지 117
  19. ^ Rehberger, 페이지 132
  20. ^ Rehberger, 페이지 127
  21. ^ Rehberger, 페이지 140
  22. ^ Rehberger, 페이지 138
  23. ^ Rehberger, 페이지 165
  24. ^ Rehberger, 페이지 178
  25. ^ Rehberger, 페이지 180
  26. ^ Rehberger, 페이지 203
  27. ^ Rehberger, 페이지 245
  28. ^ Rehberger, 페이지 348
  29. ^ 레베르거, 페이지 70
  30. ^ Rehberger, 페이지 349
  31. ^ Rehberger, pp. 70–71
  32. ^ Rehberger, 페이지 447
  33. ^ Rehberger, 페이지 473
  34. ^ 레베르거, 페이지 23
  35. ^ Rehberger, 페이지 26
  36. ^ Rehberger, 페이지 73
  37. ^ Rehberger, 페이지 93-94
  38. ^ Rehberger, 페이지 97–100
  39. ^ Rehberger, 페이지 103
  40. ^ Rehberger, 페이지 108
  41. ^ Rehberger, 페이지 111
  42. ^ 탈라만테스, 24-25쪽
  43. ^ 탈라만테스, 26-27쪽
  44. ^ 탈라만테스, p. 153
  45. ^ 탈라만테스, p. 41
  46. ^ 탈라만테스, 페이지 48
  47. ^ 탈라만테스, p 110
  48. ^ 탈라만테스, 112-113쪽
  49. ^ 탈라만테스, 51쪽
  50. ^ 탈라만테스, p. 79
  51. ^ 탈라만테스, 58-63쪽
  52. ^ 탈라만테스, 페이지 142
  53. ^ 탈라만테스, 67-68쪽
  54. ^ 탈라만테스, 83쪽
  55. ^ 탈라만테스, 72-73쪽
  56. ^ 탈라만테스, 페이지 89-90
  57. ^ 탈라만테스, 페이지 98
  58. ^ 탈라만테스, 페이지 100-101
  59. ^ 탈라만테스, 102쪽
  60. ^ 탈라만테스, 페이지 126
  61. ^ 탈라만테스, 페이지 136
  62. ^ 탈라만테스, 페이지 137
  63. ^ 탈라만테스, 133-135쪽
  64. ^ 탈라만테스, 페이지 131
  65. ^ 탈라만테스, 페이지 287
  66. ^ a b 탈라만테스, 페이지 126
  67. ^ 탈라만테스, p. 153
  68. ^ 탈라만테스, 페이지 160
  69. ^ 탈라만테스, 173쪽
  70. ^ 탈라만테스, 169쪽
  71. ^ 탈라만테스, 183-185쪽
  72. ^ 탈라만테스, 186쪽
  73. ^ 탈라만테스, 215쪽
  74. ^ 탈라만테스, 231쪽
  75. ^ 탈라만테스, 페이지 202
  76. ^ 탈라만테스, p. 201
  77. ^ 탈라만테스, 페이지 213
  78. ^ 탈라만테스, p. 208
  79. ^ 탈라만테스, p. 199쪽
  80. ^ 탈라만테스, 238쪽
  81. ^ 탈라만테스, 182쪽
  82. ^ 탈라만테스, 242-243쪽
  83. ^ 탈라만테스, 247쪽
  84. ^ 탈라만테스, 페이지 246
  85. ^ 탈라만테스, 249쪽
  86. ^ 탈라만테스, 페이지 253
  87. ^ 탈라만테스, 페이지 284
  88. ^ 탈라만테스, 페이지 286
  89. ^ 탈라만테스, 페이지 296
  90. ^ 탈라만테스, 페이지 266
  91. ^ 탈라만테스, 페이지 267
  92. ^ 탈라만테스, 272쪽
  93. ^ 탈라만테스, 273쪽
  94. ^ 탈라만테스, 페이지 274
  95. ^ "Microsoft Enterprise Cloud Red Teaming" (PDF). Microsoft.com.
  96. ^ "Google's hackers: Inside the cybersecurity red team that keeps Google safe". ZDNET. Retrieved June 2, 2023.
  97. ^ European Central Bank (March 23, 2023). What is TIBER-EU? (Report).
  98. ^ Mateski, Mark (June 2009). "Red Teaming: A Short Introduction (1.0)" (PDF). RedTeamJournal.com. Archived from the original (PDF) on December 5, 2017. Retrieved July 19, 2011.
  99. ^ 젠코, 127-128쪽
  100. ^ The NATO Alternative Analysis Handbook (PDF) (2nd ed.). 2017. ISBN 978-92-845-0208-0.
  101. ^ 젠코, 페이지 59
  102. ^ 영국 국방부, 67쪽
  103. ^ 영국 국방부, 페이지 6
  104. ^ Mulvaney, Brendan S. (July 2012). "Strengthened Through the Challenge" (PDF). Marine Corps Gazette. Marine Corps Association. Retrieved October 23, 2017 – via HQMC.Marines.mil.
  105. ^ "UFMCS Course Enrollment".
  106. ^ "University of Foreign Military and Cultural Studies Courses". army.mil. Retrieved October 23, 2017.
  107. ^ "Red Team: To Know Your Enemy and Yourself". Council on Foreign Relations. Retrieved May 24, 2023.
  108. ^ Amos, James F. (March 2011). "Red Teaming in the Marine Corps".
  109. ^ a b "Chairman of the Joint Chiefs of Staff Manual 5610.03" (PDF). Archived from the original (PDF) on December 1, 2016. Retrieved February 25, 2017.
  110. ^ Sherman, Deborah (March 30, 2007). "Test devices make it by DIA security". Denver Post.
  111. ^ "National Commission on Terrorist Attacks Upon the United States". govinfo.library.unt.edu. University of North Texas. Retrieved October 13, 2015.
  112. ^ Bennett, Brian (June 2, 2015). "Red Team agents use disguises, ingenuity to expose TSA vulnerabilities". Los Angeles Times. Retrieved June 3, 2023.

Public Domain 이 기사는 퍼블릭Public Domain 도메인 자료를 통합합니다. 이 기사는 퍼블릭 도메인 자료를 통합합니다.

서지학

추가열람