Gondolkodj úgy, mint egy valódi támadó.
APT-szintű támadásszimuláció hatókör nélkül, a teljes szervezetre fókuszálva. A célunk nem egy sérülékenység — egy konkrét crown jewel megszerzése.
Nem teszt — gyakorlat.
A Red Teaming nem audit és nem pentest. Egy ellenfél-szimuláció: úgy viselkedünk, ahogy egy valódi APT viselkedne. Időt szánunk a felderítésre, mozgunk a hálózaton belül, és a célunk nem a riport, hanem a crown jewel.
- White team modell: a SOC és az IT nem tud rólunk — a védelmi reakció valódi marad
- MITRE ATT&CK alapú TTP-katalógus
- Több vektor egyszerre: phishing, credential leak, fizikai, szállítói lánc
- A végén attack narrative — egy érthető történet az igazgatóságnak is
Hat jel, hogy itt az idő egy vizsgálatra
A SOC-ot tesztelnéd
Van védelmi csapat, EDR, SIEM — de még senki nem próbálta ténylegesen átverni. Itt az ideje, hogy egy próbán átmenjen.
Új rendszert vezettél be
XDR, ZTNA, Identity Provider — a marketing szerint mindent megold, a Red Team megmondja, mit nem.
Megnőttetek vagy átszerveztek
Új csapatok, új rendszerek, új jogosultságok — a támadási felület más, mint egy éve. Érdemes újra felmérni.
Incidens után vagytok
Történt valami, lekezeltétek, és tudnotok kell: most már tényleg ott van-e a védelem. Vagy maradt még gap.
NIS2 / DORA bevezetés
A szabályozás threat-led penetration testet (TLPT) kér. Egy formális Red Team gyakorlat ennek a fókuszált változata.
Vezetői láthatóság
Az igazgatóság érzi, hogy „valami nincs rendben”, de számokkal és attack narrative-vel tudod alátámasztani.
Öt fázis — átláthatóan, fegyelmezetten
A teljes gyakorlat általában 6–12 hét, de minden fázis dokumentált, és minden lépésnek van „abort gate”-je.
Crown jewels & szabályok
Megbeszéljük, mi a szervezet legértékesebb digitális vagyona — és milyen szabályok mentén közelítheti meg egy „támadó”.
OSINT & passzív felderítés
Külső támadó szemével mérjük fel a rendszert: nyilvános adatok, kiszivárgott jelszavak, infrastruktúra, beosztottak. Mindent, ami nyilvánosan elérhető.
Initial access — több vektoron
Spear-phishing, fizikai hozzáférés vagy szállítói lánc. Annyi vektoron támadunk párhuzamosan, ahányon egy valódi APT is próbálkozna.
Lateral movement & persistence
A célunk nem egy szerver — a célunk a crown jewel. Csendben mozgunk, eszközöket telepítünk, és így teszteljük, hogy mit észlel a SOC.
Attack narrative & debrief
Az összes tevékenység áttekintése: hol voltak a gyenge pontok, miken lehetne változtatni, fejleszteni. A könnyebb érthetőség kedvéért egy történetbe is belefoglalva.
Négy konkrét deliverable — és egy beszélgetés.
Attack narrative
A teljes támadási történet egy 20–30 oldalas, filmes formátumban — minden lépés idővonalon.
Detection gap analízis
Hol látta a SOC, hol nem — minden TTP-re egy konkrét javaslat a logging vagy a use-case javítására.
Lateral movement térkép
Vizuális gráf az initial access-től a crown jewelig — látható, melyik privilegizálás-lépcsőt érdemes leszedni.
Vezetői debrief
2 órás session a CISO + igazgatóság számára — minden kérdésre válasz, prioritáslistával.
Melyik kell most? Összehasonlítás
A két szolgáltatás nem helyettesíti egymást. A pentest a sérülékenységekről szól, a Red Team az ellenfél szimulálásáról.
Honnan tudod, melyik kell?
Red Team — ha…
- Van SOC vagy MSSP-vel dolgoztok, és kell egy próba
- EDR, SIEM, ZTNA bevezetése után vagytok
- NIS2 / DORA TLPT követelménynek kell megfelelni
- Az igazgatóság attack narrative-et akar, nem CSV-listát
- A „crown jewel” megvédésére kíváncsiak vagytok, nem a port-listára
Inkább pentest — ha…
- Most fejlesztett alkalmazás megy élesbe
- Még nincs SOC, és a védelem alap-réteg kell
- Auditra kell egy strukturált sérülékenység-lista
- Egy konkrét rendszerre koncentrálnál (AD, M365, web)
- A költségvetés / időkeret nem fér 6–12 hetes engagementbe
Vedd fel velünk a kapcsolatot.
Egy kötetlen beszélgetésen átnézzük, hol tart most a védelmi szervezet, és hogy reális-e a 6–12 hetes engagement most.