Введение
Red Team – команда (внешняя или внутренняя), выступающая в роли реального противника и проводящая контролируемые атаки на инфраструктуру организации-заказчика. В отличие от классического пентеста, Red Team engagement не ограничен временем, конкретными системами или методами – атака ведётся «как в жизни», с использованием TTP реальных APT-группировок (на основе MITRE ATT&CK) и всех доступных векторов: технических, социальных, физических.
Ключевая ценность Red Team – не в обнаружении уязвимостей, а в проверке реальной способности организации обнаружить и остановить атаку, измерить время обнаружения (Time to Detect) и время реагирования (Time to Respond).
История и контекст
Термин пришёл из военной практики: «красная команда» имитировала противника на учениях ещё в холодную войну. В ИБ Red Team engagement популяризировался в конце 2000-х с ростом APT-угроз. Регуляторы – особенно финансовые (ЦБ РФ, EBA в ЕС, CBEST в Великобритании) – начали требовать Red Team учений как части оценки устойчивости к киберугрозам. В России ЦБ ввёл методологию TIBER-RU для финансовых организаций.
Red Team vs Pentest
- Pentest – ограниченный по времени и scope (список целевых систем) поиск уязвимостей.
- Red Team – неограниченное (по договорённости) использование всех векторов для проверки ВСЕЙ системы защиты, включая людей и процессы.
- Цель Pentest – максимальное покрытие уязвимостей.
- Цель Red Team – достижение конкретной цели (получение доступа к критическим данным, имитация утечки) и измерение реагирования.
Где применяется
- Финансовые организации – регуляторные требования ЦБ, TIBER-RU.
- КИИ – проверка устойчивости к APT-угрозам.
- Крупный корпоративный сектор – оценка зрелости SOC.
- Государственные органы – проверка национальных систем и ГИС.
Преимущества и ограничения
Даёт реалистичную картину уровня защищённости, недостижимую при формальных аудитах. Ограничения: высокая стоимость; требует зрелой ИБ-функции (иначе нет смысла – не с чем сравнивать); стресс для Blue Team без надлежащей подготовки; юридические риски без чёткого scope и signed-off разрешения.
Связь с другими понятиями
Red Team противостоит Blue Team; их совместная работа называется Purple Team. Использует MITRE ATT&CK для планирования и Kill Chain для структурирования атак. Требует Threat Intelligence для выбора релевантных TTP. Более глубокий формат, чем Pentest.
