Пентест может проводиться методами чёрного (black box), серого (grey box) или белого (white box) ящиков:

• при проникновении методом чёрного ящика у пентестера нет никакой информации об организации, и получить доступ в сеть ему необходимо самостоятельно,
• метод серого ящика подразумевает какой-либо доступ в корпоративную сеть, например, учётные данные одного из пользователей. Дальнейшая задача пентестера состоит в том, чтобы найти максимально возможное количество уязвимостей и векторов атаки, которые могут по отдельности или в совокупности дать ему возможность получить доступ к чувствительной информации или захватить инфраструктуру. Т.е., за отведённое время пентестеру необходимо проверить как можно больше вариантов атак, а не ограничиться одной успешной. В основном, при пентесте не требуется нахождение каких-либо 0-day уязвимостей или хитрых обходов систем защиты. Пентест направлен на проверку всех возможных векторов атак, эксплуатацию найденных уязвимостей;
• метод белого ящика требуется при анализе защищенности, который больше напоминает аудит безопасности. Исполнитель наделяется привилегированными правами. При использовании этого метода проверяется, какие злоумышленные действия доступны пользователю с административными правами.

Услуга RedTeam подразумевает только тестирование методом чёрного ящика. Эта процедура проводится обычно командой подготовленных специалистов, где каждый имеет свою роль и сильные стороны. Эту команду и называют RedTeam. Ни рядовые сотрудники компании, ни сотрудники информационной безопасности не знают о проведении тестирования. Суть его сводится к тому, чтобы проверить работу как сотрудников ИБ (BlueTeam), так и средств защиты информации в организации. Атака RedTeam максимально приближена к реальной. Заранее обговаривается цель атаки – например, получение персональных данных клиентов организации. Как правило, для атакующих нет практически никаких ограничений. Т.е., можно использовать все средства для получения результата – пытаться проникнуть в здание организации для получения доступа к сети, осуществлять выведывание данных и т.д.

С помощью периодических тестов на проникновение методом RedTeam можно тренировать BlueTeam-команду Заказчика и повышать защищённость чувствительных данных. Но самое главное отличие от классического пентеста заключается в том, что RedTeam не проверяет все векторы атак и не использует каждую уязвимость. Для RedTeam достаточно найти, хотя бы, одну брешь в безопасности, приводящую к конечной цели. И, конечно же, в отличие от классического пентеста, RedTeam действует максимально скрытно и бесшумно – именно так, как ведут себя злоумышленники.

Резюмируя вышесказанное, заметим, что сходств у описанных методик гораздо больше, чем отличий. Если требуется проверить уязвимости текущей инфраструктуры, используя стандартные методологии, то классический пентест справится с этой задачей. Но инфраструктура постоянно меняется, поэтому совершенно не будет лишним периодическое проведение RedTeam-атак для проверки её в боевых условиях. Разумеется, лучше всего проводить RedTeam-атаки после пентеста и исправления указанных при его проведении недочётов.

Важно понимать, что имитация действий злоумышленника не равна влиянию настоящего злоумышленника. В процессе согласования допустимых действий при пентесте в формате RedTeam, всё же, не дается полная свобода, и пентестеры ограничены договором, а также этическими нормами – ими движет не желание наживы, а профессиональный интерес. Вряд ли пентестеры будут покупать информацию или эксплоиты в Darknet. К тому же пентестеры ограничены во времени, а злоумышленники – как правило, нет. Поэтому лучшим вариантом проведения пентеста в формате RedTeam будет взаимодействие с BlueTeam. Чтобы было нагляднее, представим ситуацию, что проводится тестирование на проникновение, о котором знает только руководство. В таком формате можно проверить, насколько подготовлены к внезапным атакам ИБ-специалисты заказчика, насколько быстро они смогут определить попытки проникновения в инфраструктуру организации, как будут реагировать на инциденты. Затем, сравнив результаты RedTeam и BlueTeam, можно будет увидеть, насколько эффективно действовали защитники и их недоработки, что позволит провести внутреннюю работу над ошибками и значительно улучшить защищённость корпоративной сети.