Red Team vs Ujian Penembusan Tradisional: Mana Yang Terbaik?
Red team dan pentest tradisional sering disamakan, tetapi mereka mempunyai objektif yang sangat berbeza. Pentest mencari kerentanan dalam satu sistem; red team menguji keseluruhan keupayaan pertahanan organisasi terhadap pengulang serangan sebenar. Panduan ini menerangkan perbezaan mendasar antara kedua-dua pendekatan, kos dan tempoh tipikal, dan kepentingan kematangan organisasi sebagai prasyarat red team. Sasaran: ketua keselamatan dan eksekutif Malaysia yang merancang program ujian untuk tahun fiskal mendatang.
Definisi dan objektif yang berbeza
Pentest tradisional mempunyai objektif teknikal: cari sebanyak mungkin kerentanan dalam sasaran yang ditentukan, dalam tempoh yang ditetapkan. Hasilnya ialah senarai penemuan dengan langkah remediation. Penguji menggunakan semua alat dan teknik mereka secara terbuka — pasukan SOC anda mungkin diberitahu, dan WAF mungkin di-whitelist.
Red team mempunyai objektif strategik: simulasi seberapa baik organisasi anda boleh mengesan dan bertindak balas terhadap penyerang sebenar. Matlamat ditakrifkan dalam terma misi — 'akses ke data pelanggan tier-1', 'capai persekitaran SWIFT', 'curi dokumen R&D'. Hampir tiada siapa diberitahu kecuali sponsor eksekutif dan pasukan rahsia kecil.
Ini bermakna red team tidak akan mendedahkan setiap kerentanan dalam alam sekitar anda. Penguji memilih laluan paling tersembunyi untuk mencapai matlamat, mengelakkan pengesanan, dan mendokumentasikan keseluruhan rantai serangan. Output bukan senarai bug — ia adalah peta serangan dan penilaian keupayaan pertahanan.
Intelligence-led testing: TIBER, CBEST dan pendekatan moden
Red team moden adalah intelligence-led — bermakna senario serangan dimaklumkan oleh threat intelligence sebenar tentang penyerang yang relevan kepada sektor anda. Bagi sebuah bank Malaysia, mensimulasi serangan APT yang menggunakan TTPs (Tactics, Techniques, Procedures) yang dilihat dalam serangan sebenar terhadap bank serantau adalah lebih bermakna daripada senario generik.
Rangka kerja seperti TIBER-EU (Bank Pusat Eropah), CBEST (Bank of England) dan AASE (Australia) mendefinisikan red team yang dipandu oleh penyelidikan intelligence formal. Walaupun BNM belum menerbitkan rangka kerja Malaysia yang setara, banyak institusi kewangan utama telah menggunakan pendekatan TIBER sebagai panduan amalan terbaik.
Intelligence-led red team biasanya bermula dengan fasa intelligence (2–4 minggu) di mana penyedia threat intel membuat laporan tentang kumpulan ancaman paling relevan. Senario kemudian dibina untuk mensimulasi TTPs kumpulan tersebut — bukan sekadar 'cuba phish CEO' tetapi 'simulasi phishing menggunakan corak yang dilihat dalam kempen X'.
Perbandingan: pentest vs red team
Untuk membantu pemilihan, jadual berikut meringkaskan perbezaan utama yang patut dipertimbangkan oleh eksekutif keselamatan.
| Dimensi | Pentest Tradisional | Red Team |
|---|---|---|
| Objektif | Cari kerentanan dalam sasaran | Capai misi seperti penyerang sebenar |
| Skop | Aplikasi/network/cloud tertentu | Keseluruhan organisasi (orang, proses, teknologi) |
| Tempoh | 1–4 minggu | 6–12 minggu (atau lebih) |
| Kos | RM18,000 – RM70,000 | RM150,000 – RM400,000+ |
| Pemberitahuan SOC | Biasanya diberitahu | Tidak diberitahu (kecuali sponsor) |
| Output | Laporan kerentanan dengan CVSS | Naratif serangan + keupayaan pertahanan |
| Kematangan diperlukan | Mana-mana | Tinggi (SOC, EDR, IR matang) |
| Frekuensi | Tahunan atau per-release | 1–2 tahun sekali |
Bila menggunakan yang mana
Pentest sesuai bagi kebanyakan organisasi sepanjang masa. Ia adalah ujian asas yang menjawab soalan: 'adakah sistem ini, sekarang, mempunyai kerentanan yang signifikan?' Setiap aplikasi yang menghadap internet, setiap API, setiap perubahan major perlu pentest.
Red team sesuai apabila organisasi telah mencapai tahap kematangan tertentu. Jika anda tidak mempunyai SOC, tidak ada EDR pada endpoint, tidak ada playbook IR, red team akan tidak memberi nilai — penyerang akan masuk dengan mudah dan tiada siapa akan perasan, yang anda sudah tahu.
Tanda-tanda anda sudah bersedia untuk red team: anda telah menjalankan beberapa pusingan pentest dan tidak lagi menemui kritikal, anda mempunyai SOC dengan kapasiti tindak balas, anda mempunyai EDR pada majoriti endpoint, dan anda ingin menguji keupayaan deteksi dan tindak balas, bukan sekadar kerentanan.
Purple team: peralihan praktikal
Purple team adalah pendekatan kolaboratif di mana 'red team' (penyerang) dan 'blue team' (pembela) bekerjasama secara terbuka. Penguji menjalankan TTPs tertentu dan pasukan SOC mempunyai peluang segera untuk melihat sama ada kawalan mereka mengesan ia. Apabila ia tidak dikesan, sebab dianalisis dan kawalan diperbaiki.
Untuk organisasi Malaysia yang baru meningkatkan kapasiti pertahanan, purple team adalah lebih bernilai daripada red team penuh. Ia membina kapasiti pasukan dalaman dengan cepat sambil masih menguji kawalan secara teknikal.
Format tipikal: 1–2 minggu engagement dengan beberapa senario yang dipersetujui (contohnya phishing yang menyerahkan implant, lateral movement, eksfiltrasi). Setiap senario dijalankan, pasukan SOC diperiksa, dan analisis pasca-senario dibuat. Hasilnya adalah peningkatan kemahiran konkrit dan kawalan deteksi yang dipertingkatkan, bukan sekadar laporan.
Pertimbangan untuk eksekutif
Apabila merancang bajet keselamatan tahunan, kebanyakan eksekutif perlu mengasingkan beberapa kategori pengujian. Cadangan tipikal untuk organisasi pertengahan-besar di Malaysia: pentest aplikasi tahunan untuk setiap sistem kritikal, pentest cloud tahunan, ditambah satu engagement strategik (purple atau red team) setiap 12–24 bulan.
Bagi institusi kewangan di bawah BNM, RMiT secara implicit menjangkakan pengujian yang melebihi pentest aplikasi sahaja — terutama bagi bank dengan ancaman serius dari kumpulan jenayah siber dan APT. Inilah sebabnya banyak bank tier-1 Malaysia kini melaksanakan red team tahunan.
Kunci untuk mendapatkan nilai daripada red team ialah komitmen eksekutif untuk bertindak atas penemuan. Jika red team menunjukkan SOC anda gagal mengesan eksfiltrasi 5GB dalam tempoh 8 minggu, tetapi pelaburan dalam SOC tidak dipertingkatkan, engagement adalah pembaziran. Red team memberi bukti untuk pelaburan kapasiti pertahanan — gunakannya sedemikian.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Berapakah masa antara red team yang patut kami rancang?
Bagi kebanyakan organisasi matang, 12–24 bulan adalah selang yang munasabah. Lebih kerap daripada 12 bulan kerap menjadi kurang bernilai kerana pembaikan yang dipelajari daripada engagement sebelumnya belum sempat diuji dalam operasi. Kurang daripada 24 bulan berisiko bahawa kapasiti deteksi anda tertangkap dengan TTPs lama. Bagi bank tier-1 atau organisasi yang sasaran kerap, tahunan adalah norma; bagi enterprise yang lain, 18 bulan adalah biasa. Jadual juga patut menggandingkan dengan perubahan major: selepas migrasi cloud, akuisisi, atau pelancaran platform baharu adalah masa untuk red team mengesahkan keselamatan model operasi baharu.
Adakah red team boleh menjejaskan operasi perniagaan?
Boleh, dan inilah sebabnya rules of engagement yang ketat adalah penting. Sebelum engagement, sponsor eksekutif dan penyedia red team mempersetujui tindakan yang tidak boleh dilakukan: tiada gangguan kepada produksi pelanggan, tiada penghentian perkhidmatan, tiada penggantungan akaun pengguna sebenar, dan ramai kawalan lain. Jika senario memerlukan tindakan berisiko (contohnya membuktikan akses kepada sistem pembayaran), penguji akan berhenti sebelum tindakan dan mengesahkan dengan sponsor. Red team yang profesional akan mengambil masa untuk memahami risiko operasi dan tidak akan melakukan apa-apa yang menjejaskan pelanggan atau pendapatan.
Adakah kami perlu memberitahu pengawal selia tentang engagement red team?
Bergantung kepada yurisdiksi dan sektor anda. Bagi institusi kewangan di bawah BNM, tiada keperluan eksplisit untuk memberitahu pengawal selia sebelum red team, tetapi penemuan biasanya akan dilaporkan dalam audit dan tinjauan risiko teknologi tahunan. Bagi sektor lain seperti telekomunikasi (MCMC) atau utiliti, tiada keperluan formal. Walau bagaimanapun, jika engagement red team menyebabkan tindak balas SOC palsu yang mencetuskan pelaporan insiden, ini boleh mencipta kekeliruan. Praktik baik: dokumenkan red team sebagai aktiviti yang diketahui dalam jurnal IR, walaupun pasukan SOC sendiri tidak diberitahu.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.