Abstrakt: Tradiční penetrační testy zaměřené na vyhledávání zranitelností přestávají stačit moderním útočníkům. Zatímco strukturovaný pentest většinou identifikuje technické nedostatky podle metodiky OWASP nebo PTES, sofistikovaní protivníci dnes využívají kombinaci sociálního inženýrství, dlouhodobé persistence a legitimních administrátorských nástrojů. Red teaming a navazující koncept purple team nabízejí realističtější simulaci útoku, jejímž cílem není pouze nalézt zranitelnosti, ale ověřit schopnost organizace útok detekovat a reagovat na něj. Článek popisuje rozdíly mezi penetračním testováním a red team operacemi, využití rámce MITRE ATT&CK, regulační kontext a doporučení pro CIO a CISO.
1. Od checkbox auditu k simulaci protivníka
Klasický penetrační test trvá obvykle jeden až dva týdny a zaměřuje se na identifikaci známých zranitelností v definovaném rozsahu. Výsledkem je seznam nálezů s hodnocením závažnosti a doporučením k nápravě. Tento přístup je vhodný pro splnění regulatorních požadavků (PCI DSS, ISO 27001), nepostihuje však reálnou dynamiku cíleného útoku.
Red team operace naopak simulují konkrétního protivníka po dobu několika měsíců. Cílem není maximalizovat počet nalezených zranitelností, ale ověřit funkčnost detekčních a reakčních schopností organizace. Měřítkem úspěchu je čas do odhalení (mean time to detect) a kvalita reakce, nikoli pokrytí zranitelností.
Mezi typické rozdíly patří:
| Aspekt | Penetrační test | Red team | |--------|-----------------|----------| | Délka | 1–2 týdny | 3–6 měsíců | | Cíl | Nalézt zranitelnosti | Otestovat detekci a reakci | | Rozsah | Definovaný úzce | Široký, často včetně sociálního inženýrství | | Metrika | Počet nálezů | Čas do odhalení, dopad | | Cena | 25–50 tis. USD | 150–500 tis. USD |
2. Metodika moderního penetračního testu
Standardní rámec PTES (Penetration Testing Execution Standard) definuje sedm fází: pre-engagement, intelligence gathering, threat modeling, vulnerability analysis, exploitation, post-exploitation a reporting. V praxi se tester pohybuje mezi pasivním sběrem informací (OSINT, certifikační logy, veřejné zdrojové kódy), aktivní enumerací (skenování portů, identifikace služeb) a samotnou exploitací.
Důraz se v posledních letech přesouvá z technických nálezů na obchodní dopad. Otázka „co útočník dokáže udělat se získaným přístupem" je relevantnější než „kolik zranitelností jsme našli". Kvalitní zpráva proto obsahuje řetězec útoku, předpokládaný finanční dopad, ovlivnění regulatorních povinností a konkrétní doporučení pro nápravu.
3. Red team operace a rámec MITRE ATT&CK
Rámec MITRE ATT&CK katalogizuje taktiky, techniky a procedury (TTP) používané reálnými útočníky. Red team z něj vychází při emulaci konkrétních hrozebních aktérů. Pro finanční instituce jsou relevantní skupiny zaměřené na finanční zisk (FIN7, Carbanak), pro státní správu a obranu skupiny vázané na zahraniční zpravodajské služby (APT29, APT41).
Typický průběh kampaně:
- Initial access – spear phishing, exploitace veřejně dostupné aplikace, kompromitace dodavatele
- Persistence – plánované úlohy, registry run keys, WMI subscriptions
- Privilege escalation – zneužití chybné konfigurace, kerberoasting
- Defense evasion – process injection, living off the land techniques
- Lateral movement – pass-the-hash, RDP, využití administrátorských sdílení
- Collection a exfiltration – identifikace citlivých dat, simulovaný odtok přes HTTPS nebo DNS
Cílem není data skutečně odcizit, ale prokázat, že to bylo možné. Red team postupuje v dohodnutém režimu (rules of engagement), který přesně vymezuje povolené i zakázané aktivity.
4. Purple team: spolupráce místo soutěže
Purple team je kolaborativní přístup, který spojuje útočnou (red) a obrannou (blue) stranu do jedné cvičící jednotky. Místo izolovaného pokusu uniknout detekci red team v reálném čase informuje blue team o použité technice a obě strany společně vyhodnocují, zda byla zachycena bezpečnostními nástroji a jak reagoval analytik SOC.
Přínosy purple team cvičení jsou měřitelné: zvýšení účinnosti detekčních pravidel, snížení počtu falešných pozitiv a zrychlení vývoje analytiků SOC. V praxi se osvědčuje formát čtvrtletního cvičení v délce dvou až tří dnů s konkrétními scénáři vycházejícími z aktuálního threat intelligence reportu.
5. Sociální inženýrství
Lidský faktor zůstává nejčastějším vstupním vektorem reálných útoků. Phishing, vishing (telefonické útoky), smishing (SMS) a fyzické infiltrace patří do standardního repertoáru red teamu. Cílem testu není zostudit zaměstnance, ale identifikovat slabiny v procesech, školeních a technických opatřeních.
Sofistikovaný phishing zohledňuje organizační strukturu, komunikační vzorce a aktuální události v organizaci. Generická hromadná kampaň poskytuje jen omezenou výpovědní hodnotu. Naopak cílená spear-phishingová kampaň proti finančnímu oddělení s realistickým pretextem (faktura od skutečného dodavatele, požadavek od existujícího vedoucího) odhaluje skutečnou míru rizika.
6. Compliance a regulatorní kontext
Většina rámců vyžaduje pravidelné penetrační testování:
- PCI DSS – minimálně jednou ročně a po každé významné změně
- ISO 27001 – v rámci kontroly A.12.6.1
- NIS2 – pro subjekty kritické infrastruktury
- DORA – pro finanční sektor v EU, včetně threat-led penetration testing (TLPT)
- HIPAA – v rámci hodnocení bezpečnostních opatření
Regulátoři stále častěji explicitně vyžadují i red team aktivity, zejména pro systémově významné instituce. Rámec TIBER-EU vydaný ECB definuje strukturovaný přístup k threat-intelligence-led red teamingu pro evropský finanční sektor.
7. Ekonomika a návratnost
Náklady na program ofenzivního testování závisí na velikosti organizace a regulačních požadavcích. Pro střední podnik představuje roční náklad 50 až 200 tisíc eur na kombinaci penetračních testů a purple team cvičení. Návratnost se měří snížením rizika reálného incidentu, jehož průměrný náklad podle zprávy IBM Cost of a Data Breach 2024 dosahuje 4,88 milionu USD.
Z pohledu CIO a CISO lze argumentovat třemi způsoby:
- Compliance – splnění regulatorních povinností a vyhnutí se sankcím
- Snížení dopadu incidentu – kratší doba detekce přímo koreluje s nižším finančním dopadem
- Zvyšování kvalifikace týmu – purple team cvičení zrychlují vývoj analytiků SOC i o desítky procent
8. Doporučení pro implementaci
Organizace by měla postupovat podle své úrovně zralosti. Začínající programy pokrývají roční externí penetrační test, automatizované skenování a phishingové simulace. Zralejší organizace přidávají kvartální purple team cvičení a interní red team kapacitu. Nejvyšší úroveň představuje kontinuální adversary simulation s integrací threat intelligence a automatizovaných platforem typu Breach and Attack Simulation (BAS).
Klíčové faktory úspěchu:
- Jasné rules of engagement schválené vedením
- Definice měřitelných cílů (čas do detekce, kvalita reakce)
- Integrace výstupů do procesu vývoje detekčních pravidel
- Pravidelné re-testování již opravených zranitelností
- Spolupráce s právním oddělením, zejména u sociálního inženýrství
Závěr
Penetrační testování a red teaming nejsou konkurenční přístupy, ale doplňující se nástroje. Penetrační test odpovídá na otázku „kde máme zranitelnosti", red team na otázku „dokážeme odhalit a zastavit reálný útok". Purple team kombinuje oba pohledy a generuje nejvyšší přírůstek hodnoty na vynaloženou korunu.
Pro CIO a CISO platí jednoduché pravidlo: investujte nejprve do hygienických základů (záplatování, segmentace, identita), poté do měřitelného testování a teprve nakonec do pokročilých simulací. Bez funkční obrany nemá smysl testovat sofistikované útoky, bez testování zase nelze prokázat, že obrana skutečně funguje.
Zdroje
- MITRE ATT&CK Framework: https://attack.mitre.org
- PTES: Penetration Testing Execution Standard
- OWASP Web Security Testing Guide: https://owasp.org/www-project-web-security-testing-guide/
- NIST SP 800-115: Technical Guide to Information Security Testing
- TIBER-EU Framework, European Central Bank
- IBM Cost of a Data Breach Report 2024
