Penetration Testing Vs Red Team Hacking

Red Team Hacking ဆိုတာဘာလဲ?

Red Team Hacking ဆိုတာက အဖွဲ့အစည်းတစ်ခုရဲ့ လုံခြုံရေးစနစ်ကို စမ်းသပ်ဖို့ ရည်ရွယ်ပြီး တကယ့် Hacker တစ်ယောက်လို ပြုမူတိုက်ခိုက်ခြင်းကို ဆိုလိုပါတယ်။ Red Team ဆိုတာ လုံခြုံရေးအဖွဲ့တစ်ခုဖြစ်ပြီး၊ သူတို့ရဲ့ ရည်ရွယ်ချက်က အဖွဲ့အစည်းရဲ့ အားနည်းချက်တွေကို ဖော်ထုတ်ပြီး၊ လုံခြုံရေးကို ပိုမိုကောင်းမွန်အောင် ကူညီပေးဖို့ပါ။ သူတို့က တကယ့် Hacker တွေလို နည်းလမ်းတွေသုံးပြီး၊ စနစ်ကို ချိုးဖောက်ဖို့ ကြိုးစားပါတယ်။ ဒီနေရာမှာ Red Team က Black Box Testing နဲ့ သွားဆင်ပါတယ်။ ဆင်တူသွားတယ်လို့ ဆိုတာသာ ဖြစ်ပြီး အတိအကျမတူပါဘူး။ Red Team က Black Box Testing ထက် ပိုကျယ်ပြန့်ပြီး၊ ပိုမိုရှုပ်ထွေးတဲ့ လုပ်ငန်းစဉ်တွေ ပါဝင်ပါတယ်။ ဒါကြောင့် Red Team ရဲ့ တစ်စိတ်တစ်ဒေသ အဖြစ် Black Box Testing ကို လုပ်ဆောင်ကြလေ့ ရှိပါတယ်။

Penetration Testing နဲ့ ဘာတွေ ဘယ်လို ကွာလဲ?

Penetration Testing (Pen Testing) နဲ့ Red Team Hacking က ဆင်တူပေမယ့် ရည်ရွယ်ချက်နဲ့ လုပ်ဆောင်ပုံမှာ ကွာခြားချက်တွေ ရှိပါတယ်။

Penetration Testing က သက်ဆိုင်ရာ စနစ်တစ်ခုရဲ့ အားနည်းချက်တွေကို ဖော်ထုတ်ပြီး ဘယ်လို ချိုးဖောက်နိုင်တယ်ဆိုတာကို ပြသပါတယ်။ ပြီးတော့ ဘယ်လို ပြင်ဆင်ရမလဲဆိုတာကို အကြံပေးဖို့ ရည်ရွယ်ပါတယ်။

Red Team Hacking ကတော့ တကယ့် Hacker တွေလို ပြုမူပြီး၊ အဖွဲ့အစည်းရဲ့ လုံခြုံရေးစနစ် တစ်ခုလုံးကို စမ်းသပ်ဖို့ ရည်ရွယ်ပါတယ်။ ဒါကြောင့်မို့ တကယ့် Hacker တွေလို နည်းလမ်းပေါင်းစုံသုံးပြီး၊ စနစ်ကို ချိုးဖောက်ဖို့ ကြိုးစားရပါတယ်။

နောက်ပြီးတော့ Penetration Testing က target ထားထားတဲ့ စနစ်တစ်ခုကိုသာ အဓိကထား စမ်းသပ်ပါတယ်။ Red Team Hacking မှာကတော့ အဖွဲ့အစည်းတစ်ခုလုံးရဲ့ လုံခြုံရေးကို စမ်းသပ်ပါတယ်။

မြင်သာအောင် ဥပမာ ဖြစ်ရပ်နဲ့ နှိုင်းယှဥ်ရှင်းပြရရင်

ဘဏ်တစ်ခုရဲ့ အွန်လိုင်းဘဏ်စနစ် (Online Banking System) ကို Penetration Testing လုပ်မယ်ဆိုပါစို့။

Penetration Tester က ပထမဆုံးအဆင့်အနေနဲ့ ဘဏ်ရဲ့ website & server မှာ အားနည်းချက်တွေကို ရှာဖွေပါတယ်။

• ဝဘ်ဆိုက်မှာ SQL Injection vulnerability ရှိမရှိ၊ Weak Encryption ဖြစ်နေ မနေ၊ လုံခြုံရေးအဆင့်တွေကို သေချာ သတ်မှတ်ထားရဲ့လား စသည်တို့ကို စစ်ဆေးပါတယ်။

ဒီလိုစစ်ဆေးတဲ့နေရာမှာ Online Systems, Network, serers စသည်ဖြင့် Online Banking system နဲ့ ပတ်သက်တာတွေ ပါဝင်ပါတယ်။

PenTester က SQL Injection vulnerability ကို ရှာတွေ့ပြီး dabtabase ထဲက သတင်းအချက်အလက်တွေ e.g. ဘဏ်ဝန်ထမ်းတွေရဲ့ username တွေနဲ့ password တွေကို ထုတ်ယူပြတာမျိုး စသည်ဖြင့် လုပ်ဆောင်ကြည့်ရပါတယ်။

အဲနောက်မှာတော့ Tester က သူ့ရဲ့ ရှာဖွေတွေ့ရှိချက်တွေနဲ့ ပြင်ဆင်သင့်တဲ့ အကြံပြုချက်တွေကို report ရေးပြီး သက်ဆိုင်ရာ ဘဏ်ရဲ့ တာဝန်ရှိသူတွေဆီ တင်ပြပါတယ်။

ဒါဆိုရင် Penetration Testing အပိုင်းကို အနည်းငယ်လောက်တော့ သဘောပေါက်ပြီထင်ပါတယ်။ ဒီခါ Red Team Hacking ကိုပဲ အပေါ်က ဘဏ်စနစ်နဲ့ နှိုင်းယှဥ်ပြီး ဆွေးနွေးကြည့်ပါမယ်။

ဘဏ်တစ်ခုရဲ့ လုံခြုံရေးစနစ်တစ်ခုလုံးကို Red Team အနေနဲ့ စမ်းသပ်မယ်ဆိုပါစို့။

• ပထမဆုံးအနေနဲ့ Red Team က ဘဏ်ရဲ့ ဝန်ထမ်းတွေရဲ့ အချက်အလက်တွေကို လူမှုကွန်ရက်ကနေ ရှာဖွေပါတယ်။
• ဥပမာ: LinkedIn မှာ ဘဏ်ဝန်ထမ်းတွေရဲ့ အမည်တွေ၊ ရာထူးတွေကို ရှာဖွေတာမျိုးတွေ၊ contact information တွေကို ရှာဖွေတာတွေ စသည်ဖြင့် လိုအပ်တဲ့အချက်အလက်တွေကို ရှာဖွေဖော်ထုတ်တဲ့ Information Gathering အဆင့်ကို လုပ်ဆောင်ပါတယ်။

ပြီးတော့ Online banking app, web server, ... စသည်ဖြင့် အဆိုပါ bank နဲ့ သက်ဆိုင်နေတဲ့အရာတွေအားလုံးကို ရှာဖွေစုဆောင်းပြီး အားနည့်ချက်တွေကို လိုက်ရှာ တိုက်ခိုက်ရပါတယ်။ Pentesting မှာတုန်းကထက် target area ပိုကျယ်လာတဲ့ သဘောပါ။

• gather လုပ်ထားတဲ့ contact information တွေကို သုံးပြီး "ဘဏ်ရဲ့ လုံခြုံရေးစနစ်ကို အဆင့်မြှင့်တင်နေပါတယ်။ ကျေးဇူးပြု၍ သင့်ရဲ့ စကားဝှက်ကို ပြန်လည်ထည့်သွင်းပေးပါ" ဆိုတဲ့ Phishing Email မျိုးတွေ ပို့ပြီး credential တွေ သိအောင် ကြိုးစားလုပ်ဆောင်တာမျိုးတွေပေါ့။

ဝန်ထမ်းတစ်ယောက်ယောက်က password ကို ထည့်လိုက်တဲ့အခါ Red Team က ဘဏ်ရဲ့ စနစ်ထဲကို ဝင်ရောက်နိုင်သွားပါတယ်။

နောက်ပြီး Security Guard ကို လိမ်လည်ပြီး၊ "ကျွန်တော်က IT Support ပါ၊ ကွန်ပျူတာပြဿနာကို ပြင်ဆင်ဖို့ လာပါတယ်" ဆိုပြီး ရုံးခန်းထဲကို ဝင်ရောက်တာမျိုးတွေကိုလည်း လုပ်ဆောင်နိုင်ပါသေးတယ်။ ဘဏ်ရဲ့ စနစ်တစ်ခုခုထဲကို ရောက်သွားတဲ့အခါ အဲသည်ကနေ ဘယ်လောက်အတိုင်းအတာအထိ ဆက်သွားနိုင်တယ်ဆိုတာတွေကို ဖော်ထုတ်ပြီးတော့ ဘဏ်ကို အစီရင်ခံစာတစ်စောင် ပေးပါတယ်။

Red Team Hacking မှာ ဘဏ်ရဲ့ လုံခြုံရေးစနစ်တစ်ခုလုံးကို စမ်းသပ်တာဖြစ်ပြီး၊ ဝန်ထမ်းတွေရဲ့ အပြုအမူ၊ ရုပ်ပိုင်းဆိုင်ရာ လုံခြုံရေး စတာတွေပါ ပါဝင်ပါတယ်။

Red Team ဘယ်လို အလုပ်လုပ်လဲ?

Red Team က တကယ့် Hacker တွေလို အလုပ်လုပ်ပါတယ်။ သူတို့ရဲ့ အဓိက ရည်ရွယ်ချက်က အဖွဲ့အစည်းတစ်ခုလုံးရဲ့ လုံခြုံရေးကို စမ်းသပ်ဖို့ပါ။ သူတို့ရဲ့ လုပ်ငန်းစဉ်ကို ဒီလိုမျိုး ခွဲမြင်နိုင်ပါတယ်။

• 1. Tgarget ရွေးချယ်သတ်မှတ်ခြင်း - Red Team က အဖွဲ့အစည်းရဲ့ လုံခြုံရေးစနစ်တစ်ခုလုံးကို ပစ်မှတ်ထားပါတယ်။ ဒါကြောင့်မို့ ကုမ္ပဏီတစ်ခုရဲ့ ကွန်ပျူတာစနစ်၊ ကွန်ရက်၊ ဝန်ထမ်းတွေရဲ့ အပြုအမူ၊ ရုပ်ပိုင်းဆိုင်ရာ လုံခြုံရေး စသည်တို့ကို ပစ်မှတ်ထားလေ့ရှိပါတယ်။
• 2. အချက်အလက်စုဆောင်းခြင်း - Red Team က target ထားထားတဲ့ အဖွဲ့အစည်းအကြောင်း အချက်အလက်တွေကို စုဆောင်းပါတယ်။ ဥပမာ: ဝဘ်ဆိုဒ်မှာ ရှာဖွေခြင်း၊ လူမှုကွန်ရက်များမှာ သတင်းအချက်အလက်ရှာဖွေခြင်း၊ ကုမ္ပဏီဝန်ထမ်းတွေနဲ့ ဆက်သွယ်ခြင်း စသည်တို့ပါဝင်ပါတယ်။
• 3. တိုက်ခိုက်မှုစမ်းသပ်ခြင်း - Red Team က တကယ့် Hacker တွေလို နည်းလမ်းတွေသုံးပြီး၊ စနစ်ကို ချိုးဖောက်ဖို့ ကြိုးစားပါတယ်။ ဥပမာ: Phishing Email ပို့ခြင်း၊ အခြားအားနည်းချက်တွေကို အသုံးချခြင်း၊ ရုပ်ပိုင်းဆိုင်ရာ လုံခြုံရေးကို ချိုးဖောက်ခြင်း စသည်တို့ပါဝင်ပါတယ်။
• 4. ရလဒ်များကို အစီရင်ခံခြင်း - Red Team က သူတို့ရဲ့ တွေ့ရှိချက်တွေကို အစီရင်ခံစာတစ်စောင်အနေနဲ့ ပြုစုပါတယ်။ ဥပမာ: ဘယ်လို ချိုးဖောက်ခဲ့တယ်၊ ဘယ်လို အားနည်းချက်တွေ တွေ့ရှိခဲ့တယ်၊ ဘယ်လို ပြင်ဆင်သင့်တယ်ဆိုတာကို အသေးစိတ်ဖော်ပြပါတယ်။

ဒီတော့ Penetration Testing နဲ့ Red Team Hacking ရဲ့ ကွာခြားချက်ကို ပိုရှင်းအောင် ပြောရရင် Penetration Testing က ပိုပြီး ပစ်မှတ်တစ်ခုတည်းကို အာရုံစိုက်ပြီး အားနည်းချက်တွေကို ရှာဖွေတာဖြစ်ပြီး၊ Red Team Hacking က အဖွဲ့အစည်းတစ်ခုလုံးရဲ့ လုံခြုံရေးကို စမ်းသပ်တာဖြစ်ပါတယ်။

ဒီလောက်ဆိုရင် Red Team နဲ့ Pentesting ရဲ့ လုပ်ဆောင်မှု မတူညီပုံအချို့ကို အကြမ်းဖျင်းတော့ နားလည်သွားမယ်လို့ မျှော်လင့်ပါတယ်။

ဆက်လက်ဖော်ပြပါဦးမယ်။