Představte si, že vaše firma investovala do bezpečnosti. Máte firewally, antiviry i pravidelné penetrační testy. Zdá se, že je vše pod kontrolou. Pak přijde někdo opravit třeba klimatizaci, dostane se do technické místnosti, zapojí do firemní sítě nenápadné zařízení a odchází. Následně dostanete důkaz, že někdo měl přístup k vašim nejcitlivějším datům. Co se stalo? Právě jste se stali cílem Red Teamu – naštěstí šlo jen o test. Co je Red Teaming?

Shrnutí pro ty, kteří nemají čas číst celý článek

  • Red Teaming je pokročilá forma penetračního testování, která simuluje reálného a vytrvalého útočníka.
  • Na rozdíl od klasických penetračních testů Red Teaming testuje i schopnost organizace útok detekovat a reagovat na něj.
  • Zahrnuje komplexní přístup včetně sociálního inženýrství, fyzického průniku a dlouhodobé přítomnosti v systémech.

Proč klasické penetrační testy už nestačí

Tradiční penetrační testy jsou jako kontrola zámků na vašich dveřích a oknech. Jsou nezbytné a užitečné, ale mají svá omezení. Především jsou obvykle:

  • Omezené v rozsahu – testují specifické systémy nebo aplikace
  • Časově limitované – probíhají v řádu dnů nebo týdnů
  • Zaměřené na identifikaci zranitelností – ne na jejich reálné zneužití
  • Hlučné – nezaměřují se na skrytý průnik a dlouhodobé setrvání v systému
  • Očekávané – bezpečnostní týmy o nich vědí a jsou ve zvýšené pohotovosti

Penetrační test (PT) je nástroji asistované manuální hodnocení s cílem zneužít jednu nebo více zranitelností a otestovat, jak daleko by útočník dokázal proniknout do organizace. I když jsou pentesty nezbytným základem bezpečnostního programu, moderní útočníci jsou mnohem sofistikovanější a vytrvalejší.

TIP: Penetrační test: Co to je a proč ho vaše firma potřebuje

Co je Red Teaming a jak se liší od pentestů

Red Teaming je pokročilá forma bezpečnostního testování, která simuluje skutečný útok na organizaci – technický i fyzický. Na rozdíl od klasických penetračních testů nejde jen o hledání zranitelností, ale o dosažení konkrétních cílů, například získání citlivých dat, a zároveň o testování schopnosti organizace útok odhalit a reagovat na něj.

Red teaming je tedy komplexní simulace reálného útoku na vaši organizaci v režimu „black box“ – tedy bez znalosti vnitřního prostředí, protože využívá stejné postupy jako reální útočníci: od cíleného phishingu a sociálního inženýrství, přes technické útoky až po fyzický přístup do prostor. Výsledkem je reálný obraz toho, jak by vypadala skutečný útok, a konkrétní doporučení, jak posílit celkovou bezpečnostní odolnost.


TIP: Typy penetračních testů: webové aplikace, infrastruktura, cloud…

Hlavní rozdíly mezi Red Teamingem a penetračními testy

Red team (RT) kampaň je penetrační test vedený hrozbami, kde jsou během RT kampaně testovány také detekční a reakční schopnosti organizace (typicky v rámci vašeho bezpečnostního operačního centra nebo SOC, označovaného jako Blue Team). Jaké jsou tedy hlavní rozdíly mezi Red Teamingem a penetračními testy?

AspektPenetrační testováníRed Teaming
CílIdentifikace co nejvíce zranitelnostíDosažení specifických cílů (např. získání citlivých dat)
RozsahObvykle specifické systémy nebo aplikaceCelá organizace včetně lidí, procesů a technologií
TrváníDny až týdnyTýdny až měsíce
ViditelnostČasto nápadné testováníMaximálně nenápadné s cílem zůstat nedetekován
Vědomost organizaceBezpečnostní týmy jsou informoványPouze nejvyšší management ví o probíhajícím testu
Testované schopnostiTechnická odolnostDetekce, reakce a celková bezpečnostní odolnost
PřístupSystematický, metodickýKreativní, přizpůsobivý, jako skutečný útočník
Red Teaming – evoluce penetračních testů

Red Teaming – evoluce penetračních testů

Proč organizace potřebují Red Teaming

Moderní kybernetické hrozby jsou sofistikované a vytrvalé. Státem sponzorované hackerské skupiny, organizovaný zločin a pokročilí útočníci nepoužívají předvídatelné metody a nesoustředí se jen na technické zranitelnosti. Jaké výhody přináší Red Teaming?

  1. Testuje skutečnou bezpečnostní odolnost – nejde jen o identifikaci děr, ale o prověření celého bezpečnostního systému
  2. Odhaluje slabá místa, která běžné testy nenajdou – kombinace různých přístupů může odhalit i nenápadné slabiny
  3. Poskytuje realističtější pohled na rizika – ukazuje, jak by mohl vypadat skutečný útok
  4. Prověřuje schopnost detekce a reakce – testuje, zda organizace útok vůbec zaregistruje a jak na něj reaguje
  5. Zlepšuje spolupráci bezpečnostních týmů – vytváří scénáře, které vyžadují koordinovanou reakci

TIP: Plánujete Red Teaming vaší společnosti? Obraťte se na ověřeného odborníka. Zkušený tým vám připraví realistický scénář, provede test bez rizika pro provoz a dodá srozumitelný report s konkrétními doporučeními.

Jak probíhá Red Teaming a simulovaný útok

Red Team operace je pečlivě plánovaná a provedená simulace útoku, která se skládá z několika fází. Pojďme se podívat na typický průběh takové operace.

1. Plánování a příprava

Před zahájením samotné operace probíhá důkladné plánování, které může trvat i několik týdnů a zahrnuje:

  • Definice cílů – co přesně chce Red Team dosáhnout (např. získat přístup k finančním datům, instalovat malware na kritické servery)
  • Stanovení pravidel zapojení – co je a není povoleno během testu
  • Vytvoření legendy – falešné identity, společnosti a data, které budou použity
  • Příprava nástrojů a infrastruktury – vytvoření command & control serverů, přípravu malwaru, sociálně-inženýrských materiálů

2. Průzkum a sběr informací

Operace Red Teamu začínají důkladným průzkumem. Cílem je zjistit co nejvíce o firmě, o lidech, technologiích i prostředí. Tým hledá slabá místa, která by mohl využít, a připravuje si nástroje a scénáře útoku, aby byl co nejefektivnější a co nejrealističtější. Hlavní je získat co nejkomplexnější obraz o organizaci a identifikovat potenciální vstupní body. V této fázi Red Team shromažďuje veškeré dostupné informace o cíli:

  • OSINT (Open Source Intelligence) – veřejně dostupné informace z webových stránek, sociálních médií, pracovních portálů
  • Průzkum infrastruktury – identifikace síťových rozsahů, domén, serverů, aplikací
  • Průzkum fyzických lokací – zabezpečení budov, přístupové body, bezpečnostní procedury
  • Analýza zaměstnanců – identifikace klíčových osob, organizační struktura, pracovní návyky

3. Počáteční průnik a prolomení bezpečnosti (execution)

Když má Red Team dostatek informací, přichází na řadu první pokus o průnik do firmy. V tuto chvíli zkouší různé cesty, jak se dovnitř nenápadně dostat. Mezi nejčastější způsoby patří:

  • Spear phishing – cílené phishingové kampaně zaměřené na konkrétní zaměstnance
  • Fyzický průnik – získání přístupu do budovy pod falešnou záminkou
  • Sociální inženýrství – testování, zda by zaměstnanci mohli neúmyslně porušit bezpečnostní pravidla, například prostřednictvím falešných e-mailů nebo telefonátů
  • Technické zranitelnosti – využití neaktualizovaných systémů, špatných konfigurací nebo zranitelného softwaru
  • Dodavatelský řetězec – průnik přes méně zabezpečené dodavatele nebo partnery

Red Team se snaží najít nenápadnou cestu dovnitř a zůstat v systému cíle nedetekován co nejdéle, sbírat stále více informací při eskalaci v síti společnosti.

4. Získání kontroly a pohyb v síti (lateral movement)

Po získání počátečního přístupu se Red Team snaží rozšířit svůj vliv v síti a získat vyšší oprávnění:

  • Eskalace oprávnění – získání administrátorských práv
  • Laterální pohyb – přesun mezi různými systémy v síti
  • Perzistence – zajištění dlouhodobého přístupu i v případě restartů nebo změn hesel
  • Krádež přihlašovacích údajů – získání hesel, tokenů nebo klíčů pro další přístup

Tato fáze může trvat celé týdny a postupuje se velmi opatrně, aby Red Team zůstal skrytý. Používá stejné postupy jako skuteční útočníci – využívá běžné nástroje, které ve firmě nevzbudí podezření, a dává si pozor, aby jeho aktivity nevyvolaly bezpečnostní poplach.

Red Teaming – evoluce penetračních testů

Red Teaming – evoluce penetračních testů

5. Dosažení cílů a odnesení dat

Když už má Red Team potřebný přístup, začíná plnit to, co si předem stanovil. Vyhledá citlivá data, otestuje, jestli je dokáže získat, a ukáže, jaký by mohl být skutečný dopad útoku. Někdy také instaluje „zadní vrátka“, aby si udržel přístup, ale vždy jen v rámci testu. Během této fáze tedy probíhá:

  • Identifikace a přístup k citlivým datům
  • Instalace backdoorů nebo jiného malwaru
  • Demonstrace potenciálního dopadu úspěšného útoku
  • Bezpečná exfiltrace získaných dat

Na rozdíl od skutečných útočníků nic neničí ani nepoškozuje. Všechny kroky pečlivě zaznamenává, aby je bylo možné později vyhodnotit a použít k posílení bezpečnosti.

6. Testování detekce

Jednou z nejcennějších částí Red Team cvičení je ověření, zda si organizace vůbec všimne, že k útoku dochází. Tým proto postupně pokračuje, začíná velmi nenápadně a pak záměrně dělá viditelnější aktivity, aby zjistil, kdy si jich bezpečnostní tým všimne. Současně zkouší obejít různá bezpečnostní opatření, například antiviry, firewally nebo systémy detekce útoků, a napodobuje známé hackerské techniky.

Na závěr předá Red Team bezpečnostnímu týmu (blue team) kompletní seznam stop, které po sobě v systému zanechal. Tyto informace se pak porovnají s tím, co se skutečně podařilo detekovat, a vznikne časová osa útoku, která pomůže zlepšit detekční schopnosti organizace do budoucna.

7. Reporting a vyhodnocení

Poslední fáze je stejně důležitá jako samotný útok. Red Team v ní připraví podrobný report, kde popíše všechny své kroky, vytvoří časovou osu a ukáže, jak se mu podařilo dosáhnout cílů. Součástí je i přehled zranitelností a slabých míst, analýza toho, co se blue teamu podařilo odhalit a kde naopak selhal, a hlavně konkrétní doporučení, jak bezpečnost zlepšit.

Na závěr obvykle probíhá workshop s bezpečnostním týmem, kde se předávají zkušenosti a znalosti přímo z průběhu cvičení. Díky tomu nejde jen o seznam problémů, ale o skutečnou příležitost posílit celkovou odolnost organizace proti útokům.

TIP: Automatizovaný scan zranitelností vs. manuální penetrační test

Blue Team: druhá strana mince

V kontextu Red Teamingu je Blue Team označení pro obranný tým organizace. Jeho úkolem je detekovat, analyzovat a reagovat na bezpečnostní incidenty. Koho v Blue Teamu najdete?

  • Bezpečnostní analytiky – sledují bezpečnostní události a vyšetřují podezřelé incidenty
  • Operátory SOC (Security Operations Center) – zajišťují nepřetržitý monitoring systémů
  • Forenzní specialisty – zkoumají důkazy a pomáhají zrekonstruovat průběh útoku
  • Incident response team – řídí samotnou reakci na incidenty a koordinuje nápravná opatření

Jaké výzvy Blue Team řeší

Při Red Team cvičení je ve stejné situaci jako při skutečném útoku, a to je záměr. Musí pracovat v běžném režimu, neví, že jde o test, a proto se snaží odlišit běžný provoz od útoků. Pracuje pod tlakem běžných provozních povinností.

Metriky úspěšnosti Blue Teamu

Aby cvičení dávalo smysl, vyhodnocuje se, jak si obránci vedli. Sledují se zejména tyto ukazatele:

  • Čas k detekci (TTD – Time to Detect) – jak rychle si tým všiml útoku
  • Čas k reakci (TTR – Time to Respond) – jak rychle spustil reakční opatření
  • Úroveň detekce – kolik aktivit Red Teamu dokázal zachytit
  • Kvalita reakce – jak efektivní byla reakce v zastavení útoku

Purple Team: most mezi útočníky a obránci

V posledních letech se objevil nový koncept tzv. Purple Team, který kombinuje prvky Red a Blue Teamu. Jeho hlavní úkol je dohlížet na činnost obou ostatních týmů, aby se optimalizovaly výsledky. To znamená zajistit celkový pohled z perspektivy, která je odlišná jak od pozice útočníka, tak obránce. Purple Team zajišťuje:

  • Lepší komunikaci mezi oběma týmy
  • Sdílení znalostí o tom, jak útoky i obrana fungují
  • Okamžitou zpětnou vazbu, aby se Blue Team mohl učit už během cvičení
  • Co největší přínos cvičení pro bezpečnost celé organizace

Jak funguje Purple Teaming v praxi

Spolupráce může mít různé podoby od pravidelných debriefingů, kde Red Team ukazuje své techniky a Blue Team vysvětluje, jak je detekoval, přes společné analýzy konkrétních scénářů až po cílené testování vybraných bezpečnostních kontrol. Důležitou součástí je také dokumentace taktik a postupů (tzv. TTPs), které pak slouží jako podklad pro školení a zlepšení procesů.

TIP: Apple vydává aktualizace opravující aktivně zneužívané Zero-Day zranitelnosti

Red Teaming – evoluce penetračních testů

Red Teaming – evoluce penetračních testů

Kdy je správný čas na Red Teaming

Red Teaming není vhodný pro každou organizaci. Je to pokročilá technika, která vyžaduje určitou úroveň bezpečnostní zralosti. Organizace by měla splňovat několik předpokladů, než zváží Red Team cvičení:

  1. Základní bezpečnostní opatření jsou implementována – firewally, antiviry, patch management
  2. Pravidelné penetrační testy jsou již součástí bezpečnostního programu
  3. Existuje alespoň základní SOC (bezpečnostní operační centrum) nebo bezpečnostní monitoring
  4. Firma má připravený plán, jak postupovat při kybernetickém incidentu, a tým, který je schopný tento plán rychle uvést do praxe
  5. Management chápe účel a očekávání od Red Teamingu

Bezpečnostní testování není něco, co by měla firma zkoušet na vlastní pěst. Neodborně provedený penetrační test může vést k výpadkům systémů, ztrátě dat nebo dokonce k právním problémům. Red Teaming navíc zahrnuje postupy, které jsou bez řádného povolení nelegální. Proto je vždy lepší obrátit se na zkušeného experta, který má správné know-how, nástroje i právní rámec. Díky tomu proběhne test bezpečně, bez rizika pro chod firmy a s jasnými, použitelnými výstupy.

Indikátory, že vaše organizace potřebuje Red Teaming

Red Teaming je obzvláště vhodný, pokud:

  • Vaše organizace je cílem sofistikovaných útočníků (státem sponzorované skupiny, APT)
  • Pracujete s vysoce citlivými daty nebo v regulovaném odvětví
  • Chcete otestovat efektivitu významných investic do bezpečnosti
  • Potřebujete realistické hodnocení vaší schopnosti detekovat a reagovat na útoky
  • Vaše organizace má pokročilou bezpečnostní kulturu a chce ji dále rozvíjet

Praktické aspekty Red Teamingu

Silný Red Team je složený z technických expertů, specialistů na sociální inženýrství, odborníků na fyzickou bezpečnost a lidí, kteří dokážou naplánovat a provést složitou operaci od začátku do konce. Často se vyplatí najmout externí tým – přináší nezávislý pohled, zkušenosti z jiných prostředí a odhalí slabiny, které by internímu týmu mohly uniknout.

Jaké nástroje Red Team používá

Red Team využívá podobné nástroje jako reální útočníci jen s tím rozdílem, že vše dělá legálně a dokumentuje každý krok. Patří sem například:

  • Průzkumné nástroje (Maltego, Shodan, TheHarvester) pro sběr informací
  • Phishingové a sociálně-inženýrské platformy (GoPhish, SET)
  • Exploitační frameworky (Metasploit, Cobalt Strike, Empire) pro využití zranitelností
  • Post-exploitační nástroje (Mimikatz, BloodHound, PowerSploit) pro krádež hesel a rozšíření přístupu
  • C2 servery (Command and Control infrastruktura), které řídí celou operaci
  • Fyzické pomůcky jako RFID klonery, lockpicking sady nebo skryté kamery

Po fázi průzkumu je Red Team připraven spustit akce – od phishingových kampaní, přes sociální inženýrství až po nasazení hardwarových trojských koní. Vše pečlivě zaznamenává, aby mohl následně popsat příležitosti, které během testu objevil.

Právní a etické aspekty

Red Teaming zahrnuje aktivity, které by bez řádného povolení byly nelegální. Proto je nezbytné:

  • Mít podepsanou smlouvu s jasně definovaným rozsahem a pravidly zapojení
  • Získat písemné povolení od nejvyššího vedení organizace
  • Mít připraveny oficiální dokumenty pro případy fyzického průniku
  • Definovat eskalační procedury pro případ, že by test způsobil neočekávané problémy
  • Zajistit důvěrnost všech zjištění a získaných dat

TIP: Čínští hackeři pronikli k poskytovatelům telekomunikačních služeb v USA

Porovnání: Red Teaming vs. Penetrační testování

Pro lepší pochopení rozdílů mezi těmito dvěma přístupy se podívejme na detailní srovnání:

KritériumPenetrační testováníRed Teaming
ČasKratší testovací okna, typicky od dnů po několik týdnů.Několik týdnů a potenciálně více než měsíc.
CílIdentifikace všech zneužitelných zranitelností, jako jsou chybějící patche, špatné konfigurace a slabiny ve správě uživatelských přístupů, s cílem identifikovat bezpečnostní rizika, která je třeba napravit. Zaměřuje se na systémy a používané technologie.Přístup ke konkrétním systémům nebo datům využitím zranitelností, chování a obcházením technických kontrol s cílem otestovat detekci, reakci a bezpečnostní povědomí a kulturu. Více holistický přístup s více času na průzkum a pohled na celkové bezpečnostní praktiky organizace.
TaktikyV závislosti na rozsahu testu – například: externí infrastruktura, webová aplikace, mobilní aplikace a testy úniku z remote desktop budou sledovat různé metodiky nejlepších postupů a používat různé nástroje a techniky.Kombinace taktik, nástrojů a postupů z reálného světa včetně detailního sběru informací z otevřených zdrojů, sociálního inženýrství, techniky rozptýlení, identifikace a využití technických zranitelností a exfiltrace dat, to vše při zajištění, aby zůstali neodhaleni.
VýsledekIdentifikace zneužitelných bezpečnostních zranitelností – hodnocených podle jejich úrovně rizika pro organizaci – spolu s radami k nápravě a technickými doporučeními.Poskytuje vhled do celkového bezpečnostního postoje cílové organizace (pokrývá silné a slabé stránky) včetně detekčních a reakčních schopností, logické a fyzické bezpečnosti, bezpečnostního povědomí a kultury. Zahrnuje doporučení pro klíčové identifikované problémy.
NákladyObvykle levnější, protože je dohodnut omezený časový rámec pro testování na základě cílů klienta a dostupného rozpočtu.Obvykle dražší, protože je zapojeno více konzultantů a trvá déle s využitím více nástrojů a technik, které pomáhají vyhnout se detekci.

Případová studie: Red Teaming v akci

Pro lepší pochopení, jak Red Teaming funguje v praxi, se podívejme na anonymizovanou případovou studii:

Výchozí situace

Velká finanční instituce s více než 5 000 zaměstnanci a desítkami poboček po celé zemi. Firma investovala miliony do bezpečnostních technologií, pravidelně provádí penetrační testy a má dedikovaný SOC tým.

Cíle Red Team cvičení

  1. Získat přístup k interním finančním systémům
  2. Extrahovat vzorky dat zákazníků
  3. Otestovat schopnost organizace detekovat a reagovat na sofistikovaný útok

Průběh operace

Jak vše probíhalo?

  • Týden 1-2: Průzkum – Red Team shromáždil informace z veřejných zdrojů – LinkedIn profily zaměstnanců, pracovní nabídky odhalující používané technologie, sociální média. Identifikovali klíčové zaměstnance IT oddělení a managementu.
  • Týden 3: Počáteční průnik – Tým vytvořil cílenou phishingovou kampaň zaměřenou na HR oddělení, která obsahovala škodlivou přílohu maskovanou jako životopis. Jeden ze zaměstnanců HR soubor otevřel, což umožnilo Red Teamu získat počáteční přístup do sítě.
  • Týden 4-5: Eskalace a laterální pohyb – S použitím získaného přístupu tým identifikoval doménový řadič, eskaloval oprávnění a pohyboval se laterálně napříč sítí. Získali přístup k různým systémům včetně e-mailových serverů a interních portálů.
  • Týden 6-7: Dosažení cílů – Red Team identifikoval finanční systémy a databáze zákazníků. Vytvořili nenápadný tunel pro exfiltraci vzorků dat a udržovali perzistentní přístup do sítě.
  • Týden 8: Testování detekce – Tým postupně zvyšoval nápadnost svých aktivit, aby otestoval detekční schopnosti. Začali provádět více skenování, vytvářeli nové uživatelské účty a přistupovali k citlivým systémům během pracovní doby.

Výsledky

  • Blue Team detekoval některé z pozdějších aktivit, ale počáteční průnik zůstal neodhalen
  • Průměrný čas k detekci byl 6 dní od začátku více nápadných aktivit
  • Red Team úspěšně dosáhl všech stanovených cílů
  • Byly identifikovány kritické nedostatky v detekčních mechanismech a procesech reakce na incidenty

Na základě cvičení organizace implementovala:

  1. Vylepšené systémy pro detekci phishingu
  2. Pokročilé monitorování chování uživatelů a entit (UEBA)
  3. Zdokonalené procesy reakce na incidenty
  4. Rozšířené bezpečnostní školení pro zaměstnance
  5. Vylepšené kontroly pro exfiltraci dat

Budoucnost bezpečnostního testování

Red Teaming je další krok v evoluci bezpečnostního testování. Penetrační testy zůstávají důležité pro hledání známých zranitelností, ale samy o sobě nestačí. Red Teaming přidává realistický pohled: ověřuje, jestli útok vůbec odhalíte a jak rychle na něj zareagujete.

Budoucnost patří kombinaci obou přístupů, hlubší spolupráci s Blue Teamy a využívání nových technologií, třeba i umělé inteligence. Investice do Red Teamingu není jen náklad, je to způsob, jak zjistit, jak odolná je vaše organizace proti skutečným hrozbám.

FAQ: Často kladené otázky

Je Red Teaming vhodný pro každou organizaci?

Ne, Red Teaming je pokročilá technika vhodná především pro organizace s určitou úrovní bezpečnostní zralosti. Menší organizace nebo ty, které teprve budují základní bezpečnostní opatření, by měly nejprve investovat do standardních penetračních testů a základních bezpečnostních kontrol.

Jaké jsou typické náklady na Red Team cvičení?

Náklady se výrazně liší v závislosti na rozsahu, délce a komplexitě operace. Typicky se pohybují od stovek tisíc do milionů korun. Je to výrazně více než běžné penetrační testy, ale investice se vrátí v podobě realističtějšího obrazu bezpečnostní odolnosti organizace.

Jak často by organizace měla provádět Red Team cvičení?

Pro většinu organizací je vhodné provádět Red Team cvičení jednou ročně nebo po významných změnách v infrastruktuře či bezpečnostních procesech. Mezitím by měly probíhat pravidelné penetrační testy a kontinuální monitorování bezpečnosti.

Může Red Teaming způsobit provozní problémy nebo výpadky?

Existuje určité riziko, že některé aktivity Red Teamu mohou způsobit problémy. Proto je důležité mít jasně definovaná pravidla zapojení a eskalační procedury. Profesionální Red Team vždy upřednostňuje bezpečnost a stabilitu testovaných systémů před dosažením svých cílů.

Jak vybrat správného poskytovatele Red Team služeb?

Hledejte poskytovatele s prokazatelnými zkušenostmi, referencemi od podobných organizací a týmem s různorodými dovednostmi. Důležitá je také transparentnost metodiky, schopnost přizpůsobit se vašim specifickým potřebám a kvalita reportingu a debriefingu.