Red team

О компании по производству процессоров и графических процессоров, получившей прозвище "красная команда", см. AMD. О целенаправленной команде технических специалистов см. Tiger team. Для других целей см. Red Team.

Красная команда - это группа, которая выдает себя за врага, пытается осуществить физическое или цифровое вторжение в организацию по указанию этой организации, а затем отчитывается, чтобы организация могла улучшить свою защиту. Красные команды работают на организацию или нанимаются организацией. Их работа легальна, но может удивить некоторых сотрудников, которые могут не знать о создании red teaming или которые могут быть обмануты red team. Некоторые определения red team шире и включают любую группу внутри организации, которая призвана мыслить нестандартно и рассматривать альтернативные сценарии, которые считаются менее правдоподобными. Это может быть важной защитой от ложных предположений и группового мышления. Термин "Красная команда" возник в 1960-х годах в Соединенных Штатах.

Техническая команда red teaming фокусируется на компрометации сетей и компьютеров в цифровом виде. Также может существовать синяя команда, термин, обозначающий сотрудников службы кибербезопасности, которые отвечают за защиту сетей и компьютеров организации от атак. В техническом объединении red используются векторы атак для получения доступа, а затем выполняется разведка, чтобы обнаружить больше устройств, которые потенциально могут быть скомпрометированы. Поиск учетных данных включает в себя поиск на компьютере учетных данных, таких как пароли и сеансовые файлы cookie, и как только они будут найдены, их можно будет использовать для компрометации других компьютеров. Во время вторжений третьих лиц красная команда может объединиться с синей командой для оказания помощи в защите организации. :Правила ведения боевых действий и стандартные операционные процедуры часто используются для гарантии того, что red team не нанесет ущерба во время своих учений.

Физическая команда red teaming фокусируется на отправке команды для доступа в зоны ограниченного доступа. Это делается для тестирования и оптимизации физической безопасности, такой как ограждения, камеры, сигнализации, замки и поведение сотрудников. Как и в случае технической красной команды, правила ведения боя используются для того, чтобы гарантировать, что красные команды не нанесут чрезмерного ущерба во время своих упражнений. Физическое объединение красных часто включает в себя этап разведки, на котором собирается информация и выявляются слабые места в системе безопасности, а затем эта информация будет использована для проведения операции (обычно ночью) по физическому проникновению в помещение. Устройства безопасности будут идентифицированы и уничтожены с помощью инструментов и приемов. Перед физическими сотрудниками red team будут поставлены конкретные задачи, такие как получение доступа в серверную и изъятие портативного жесткого диска или получение доступа в офис руководителя и изъятие конфиденциальных документов.

Красные команды используются в нескольких областях, включая кибербезопасность, безопасность аэропортов, правоохранительные органы, вооруженные силы и спецслужбы. :В правительстве Соединенных Штатов красные команды используются армией, Корпусом морской пехоты, Министерством обороны, Федеральным управлением гражданской авиации и Управлением транспортной безопасности.

История[править]

Концепция объединения красных и синих команд возникла в начале 1960-х годов. Одним из ранних примеров объединения red teaming был аналитический центр RAND Corporation, который проводил симуляции для вооруженных сил США во время холодной войны. "Красная команда" и красный цвет использовались для обозначения Советского Союза, а "синяя команда" и синий цвет использовались для обозначения Соединенных Штатов. Другим ранним примером был министр обороны США Роберт Макнамара, который собрал красную и синюю команды, чтобы выяснить, какой государственный подрядчик должен получить контракт на экспериментальный самолет. :Другой ранний пример моделировал переговоры по договору о контроле над вооружениями и оценку его эффективности.

Красные команды иногда ассоциируются с "противоположным мышлением" и борьбой с групповым мышлением, склонностью групп делать предположения и придерживаться их даже перед лицом доказательств обратного. Одним из примеров группы, которая не называлась red team, но, возможно, была одним из первых примеров формирования группы для борьбы с групповым мышлением, является израильская Ipcha Mistabra, которая была сформирована после неудач в принятии решений Израилем во время войны Судного дня в 1973 году. Нападение на Израиль едва не застало Израиль врасплох, несмотря на многочисленные доказательства готовящегося нападения, и едва не привело к поражению Израиля. Ipcha Mistabra была сформирована после войны, и на нее была возложена обязанность всегда представлять противоречивый, неожиданный или неортодоксальный анализ внешней политики и отчетов разведки, чтобы в дальнейшем было меньше шансов упустить что-либо из виду.

В начале 2000-х годов появились примеры использования красных команд для настольных упражнений. Настольное упражнение часто используется сотрудниками служб быстрого реагирования и включает в себя разыгрывание и планирование наихудших сценариев, аналогично игре в настольную игру. В ответ на теракты 11 сентября, имея в виду борьбу с терроризмом, Центральное разведывательное управление создало новую Красную ячейку, а red teams использовались для моделирования ответов на асимметричные боевые действия, такие как терроризм. В ответ на неудачи войны в Ираке объединение в красную команду стало более распространенным явлением в армии Соединенных Штатов.

Со временем практика объединения в красную команду распространилась на другие отрасли и организации, включая корпорации, правительственные учреждения и некоммерческие организации. Этот подход становится все более популярным в мире кибербезопасности, где красные команды используются для имитации реальных атак на цифровую инфраструктуру организации и проверки эффективности их мер кибербезопасности.

Кибербезопасность[править]

Техническая красная команда предполагает тестирование цифровой безопасности организации путем попытки проникнуть в их компьютерные сети в цифровом виде.

Терминология[править]

Синяя команда - это группа, отвечающая за защиту от вторжений.

В кибербезопасности в тестировании на проникновение участвуют этичные хакеры ("тестировщики пера"), пытающиеся взломать компьютерную систему без элемента неожиданности. Организация осведомлена о тестировании на проникновение и готова организовать защиту.

Красная команда идет на шаг дальше и добавляет физическое проникновение, социальную инженерию и элемент неожиданности. Синяя команда не получает предварительного предупреждения о красной команде и будет рассматривать это как реальное вторжение. Одной из функций постоянной внутренней команды red является повышение культуры безопасности в организации.

Фиолетовая команда представляет собой временное сочетание обеих команд и может быстро реагировать на информацию во время теста. Одним из преимуществ фиолетовой команды является то, что красная команда может многократно запускать определенные атаки, а синяя команда может использовать это для настройки программного обеспечения обнаружения, его калибровки и неуклонного увеличения частоты обнаружения. Фиолетовые команды могут участвовать в сеансах "поиска угроз", во время которых и красная, и синяя команды ищут настоящих злоумышленников. Привлечение других сотрудников в фиолетовую команду также полезно, например, инженеров-программистов, которые могут помочь с протоколированием и оповещениями о программном обеспечении, и менеджеров, которые могут помочь выявить наиболее финансово разрушительные сценарии. Одной из опасностей объединения в команду purple является самоуспокоенность и развитие группового мышления, с которыми можно бороться, нанимая людей с разным набором навыков или внешнего поставщика.

Белая команда - это группа, которая контролирует и управляет операциями между красными и синими командами. Например, это могут быть менеджеры компании, которые определяют правила взаимодействия для red team.

Атака[править]

Начальная точка входа красной команды или противника называется плацдармом. Зрелая синяя команда часто умеет находить плацдарм и вытеснять нападающих. Роль красной команды заключается в повышении навыков синей команды.

При проникновении используется скрытый "хирургический" подход, который остается вне поля зрения синей команды и требует четкой цели, и шумный подход "ковровой бомбардировки", который больше похож на атаку грубой силой. Ковровые бомбардировки часто являются более полезным подходом для красных команд, потому что они могут обнаружить неожиданные уязвимости.

Существуют различные угрозы кибербезопасности. Угрозы могут варьироваться от чего-то традиционного, такого как взлом контроллера домена сети, или чего-то менее ортодоксального, такого как настройка майнинга криптовалюты, или предоставления слишком широкого доступа сотрудников к информации, позволяющей установить личность (PII), что подвергает компанию штрафам за Общие правила защиты данных (GDPR). С любой из этих угроз можно объединить red teamed, чтобы выяснить, насколько серьезна проблема. Настольные упражнения, в которых вторжения разыгрываются на столе, подобно тому, как играют в настольную игру, могут использоваться для имитации вторжений, которые слишком дороги, слишком сложны или незаконны для выполнения вживую. Может быть полезно предпринять попытки вторжения против красной команды и синей команды в дополнение к более традиционным целям

После получения доступа к сети можно проводить разведку. Собранные данные можно поместить в базу данных graph, которая представляет собой программное обеспечение, визуально отображающее узлы, взаимосвязи и свойства. Типичными узлами могут быть компьютеры, пользователи или группы разрешений. У красных команд обычно есть очень хорошие графические базы данных своей организации, потому что они могут использовать преимущество домашнего поля, включая работу с синей командой для создания подробной карты сети и подробного списка пользователей и администраторов. Язык запросов, такой как Cypher, может использоваться для создания и модификации графических баз данных. В базе данных graph полезно разместить учетную запись администратора любого типа, включая администраторов сторонних инструментов, таких как Amazon Web Services (AWS). Иногда данные можно экспортировать из инструментов, а затем вставить в базу данных graph.

Как только красная команда взломала компьютер, веб-сайт или систему, мощным методом является поиск учетных данных. Это могут быть открытые текстовые пароли, зашифрованный текст, хэши или токены доступа. Красная команда получает доступ к компьютеру, ищет учетные данные, которые можно использовать для доступа к другому компьютеру, затем это повторяется с целью доступа ко многим компьютерам. Учетные данные могут быть украдены из многих мест, включая файлы, хранилища исходного кода, такие как Git, память компьютера, а также программное обеспечение для отслеживания и ведения журнала. Такие методы, как передача файла cookie и передача хэша, могут использоваться для получения доступа к веб-сайтам и компьютерам без ввода пароля. Также могут использоваться такие методы, как оптическое распознавание символов (OCR), использование паролей по умолчанию, подделка запроса учетных данных и фишинг.

Команда Red может использовать компьютерное программирование и скрипты интерфейса командной строки (CLI) для автоматизации некоторых своих задач. Например, скрипты CLI могут использовать компонентную объектную модель (COM) на компьютерах с Microsoft Windows для автоматизации задач в приложениях Microsoft Office. Полезные задачи могут включать отправку электронных писем, поиск документов, шифрование или извлечение данных. Red teams могут управлять браузером с помощью COM Internet Explorer, функции удаленной отладки Google Chrome или платформы тестирования Selenium.

Защита[править]

Во время реального вторжения красная команда может быть перепрофилирована для работы с синей командой, чтобы помочь в защите. В частности, они могут предоставить анализ того, что злоумышленники, вероятно, попытаются сделать дальше. Во время вторжения как у красной, так и у синей команды есть преимущество на домашнем поле, потому что они лучше знакомы с сетями и системами организации, чем злоумышленник.

Сетевой брандмауэр (на фото) можно использовать для ограничения доступа к частной сети из более широкого Интернета. Программный брандмауэр, такой как брандмауэр, встроенный в операционную систему компьютера, может использоваться для ограничения удаленного доступа к этому компьютеру.

Команда red организации может быть привлекательной мишенью для настоящих злоумышленников. Машины членов Red team могут содержать конфиденциальную информацию об организации. В ответ машины членов red team часто оказываются под защитой. Методы защиты компьютеров включают настройку брандмауэра операционной системы, ограничение доступа к Secure Shell (SSH) и Bluetooth, улучшение ведения журнала и оповещений, безопасное удаление файлов и шифрование жестких дисков.

Одна из тактик заключается в "активной обороне", которая включает в себя установку приманок и ловушек, помогающих отслеживать местоположение злоумышленников.Эти приманки могут помочь предупредить blue team о вторжении в сеть, которое в противном случае могло бы остаться незамеченным. Для настройки файла honeypot можно использовать различное программное обеспечение в зависимости от операционной системы: инструменты macOS включают OpenBMS, инструменты Linux включают плагины auditd, а инструменты Windows включают списки контроля доступа к системе (SACL). Уведомления могут включать всплывающие окна, электронные письма и запись в файл журнала. Централизованный мониторинг, при котором важные файлы журналов быстро отправляются в программное обеспечение для ведения журнала на другом компьютере, является полезным методом защиты сети.

Управление красной командой[править]

Использование правил взаимодействия может помочь определить, какие системы недоступны, предотвратить инциденты безопасности и обеспечить соблюдение конфиденциальности сотрудников. Использование стандартной операционной процедуры (SOP) может гарантировать, что соответствующие люди будут уведомлены и вовлечены в планирование, а также улучшить процесс red team, сделав его зрелым и воспроизводимым. Деятельность Red team обычно имеет регулярный ритм

Отслеживание определенных метрик или ключевых показателей эффективности (KPI) может помочь убедиться, что команда red достигает желаемого результата. Примеры ключевых показателей эффективности red team включают выполнение определенного количества тестов на проникновение в год или увеличение команды за счет определенного количества тестировщиков пера в течение определенного периода времени. Также может быть полезно отслеживать количество скомпрометированных машин, компрометируемых компьютеров и другие показатели, связанные с проникновением. Эту статистику можно отобразить в виде графика по дням и разместить на информационной панели, отображаемой в центре операций безопасности (SOC), чтобы мотивировать синюю команду обнаруживать и устранять нарушения. Чтобы выявить злостных нарушителей, компромиссы могут быть нанесены на график и сгруппированы по тому, где в программном обеспечении они были обнаружены, местоположению офиса компании, должности или отделу. Моделирование методом Монте-Карло может использоваться для определения того, какие сценарии вторжения наиболее вероятны, наиболее разрушительны или и то, и другое. Модель зрелости тестирования, разновидность модели зрелости возможностей, может использоваться для оценки того, насколько зрелой является red team и каков следующий шаг к росту. Навигатор MITRE ATT & CK, список тактик, приемов и процедур (TTP), включая с расширенными постоянными угрозами (APT) можно ознакомиться, чтобы узнать, сколько TTP используется red team, и дать дополнительные идеи для использования TTP в будущем.

Физическое вторжение[править]

Физическое объединение в красную команду или тестирование на физическое проникновение включает в себя тестирование физической безопасности объекта, включая методы обеспечения безопасности его сотрудников и охранное оборудование. Примеры охранного оборудования включают камеры слежения, замки и заборы. При физическом объединении red компьютерные сети обычно не являются целью. В отличие от кибербезопасности, которая обычно имеет много уровней безопасности, может присутствовать только один или два уровня физической безопасности.

Полезно иметь документ "правила взаимодействия", которым можно поделиться с клиентом, чтобы указать, какие TTP будут использоваться, какие местоположения могут быть нацелены, какие не могут быть нацелены, насколько допустимо повреждение оборудования, такого как замки и двери, каков план, каковы этапы и как поделиться контактной информацией. Правила ведения боя могут быть обновлены после этапа разведки с еще одним раундом переговоров между red team и клиентом. Данные, собранные на этапе разведки, могут быть использованы для создания оперативного плана, как для внутреннего использования, так и для отправки клиенту на утверждение.

Разведка[править]

Частью физической работы красной команды является проведение разведки. Тип собранной разведки обычно включает информацию о людях, местах, устройствах безопасности и погоде. Разведка имеет военное происхождение, и методы военной разведки применимы к физическому объединению красных. Разведывательное снаряжение Red team может включать военную одежду, поскольку она нелегко рвется, красные фонари для сохранения ночного видения и меньшей заметности, радиоприемники и наушники, камеру и штатив, бинокль, приборы ночного видения и всепогодный ноутбук. Некоторые методы полевой связи включают наушник Bluetooth, подключаемый к конференц-связи по сотовому телефону в течение дня, и двустороннюю радиосвязь с наушниками ночью. В случае компромисса члены red team часто имеют при себе удостоверение личности и доверенность с несколькими контактами в нерабочее время, которые могут поручиться за законность деятельности red team.

Прежде чем приступить к физической разведке, сбор разведданных с открытым исходным кодом (OSINT) может осуществляться путем изучения местоположений и сотрудников через Интернет, включая веб-сайт компании, аккаунты в социальных сетях, поисковые системы, картографические веб-сайты и объявления о вакансиях (которые дают подсказки о технологиях и программном обеспечении, используемых компанией). Хорошей практикой является проведение рекогносцировки в течение нескольких дней, вести разведку как днем, так и ночью, привлекать по крайней мере трех операторов, использовать близлежащий плацдарм, который находится вне поля зрения цели, и проводить разведку и проникновение как две отдельные поездки, а не комбинировать их.

Разведывательные группы могут использовать методы маскировки себя и оборудования. Например, можно арендовать пассажирский фургон, а окна затемнить, чтобы скрыть фото- и видеосъемку цели. Проверка и видеосъемка замков здания во время обхода может быть скрыта разведчиком, притворяющимся, что разговаривает по телефону. В случае компромисса, например, когда сотрудники начинают что-то подозревать, историю можно отрепетировать заранее, пока ее нельзя будет уверенно пересказывать. Если команда разделилась, компромисс одного оператора может привести к тому, что руководитель группы уволит других операторов. Скрытые видеокамеры можно использовать для съемки отснятого материала для последующего просмотра, а после выезда из района можно быстро провести разбор полетов, чтобы свежая информация была быстро задокументирована.

Проникновение[править]

Большинство физических операций red team проводятся ночью из-за снижения уровня безопасности объекта и из-за того, что темнота может скрывать действия. Идеальное проникновение обычно незаметно как снаружи объекта (приближение не обнаруживается сторонними наблюдателями или устройствами безопасности), так и внутри объекта (не наносится никакого ущерба, ничто не задето и не оставлено не на своем месте), и это никого не предупреждает о том, что там была красная команда.

Подготовка[править]

Использование списка загрузки может помочь гарантировать, что важное снаряжение red team не будет забыто. Использование военного снаряжения, такого как жилеты MOLLE и небольшие тактические сумки, может обеспечить полезные места для хранения инструментов, но имеет и недостатки, заключающиеся в том, что оно бросается в глаза и увеличивает нагрузку. Черная одежда или темный камуфляж могут быть полезны в сельской местности, в то время как в городах может быть предпочтительнее уличная одежда серых и черных оттенков. Другие предметы городской маскировки включают сумку для ноутбука или пару наушников на шее. Различные типы покрытий для обуви можно использовать для минимизации следов как на улице, так и в помещении.

Подход[править]

Световая дисциплина (сведение к минимуму освещения транспортных средств, фонарей и других инструментов) снижает вероятность компромисса. Некоторые тактики световой дисциплины включают использование красных фонарей, использование только одного транспортного средства и выключение фар транспортного средства.

Иногда между разведкой и проникновением происходят изменения в системе безопасности, поэтому для команд, приближающихся к цели, хорошей практикой является "оценка и акклиматизация", чтобы увидеть, видны ли какие-либо новые меры безопасности. Компромиссы во время проникновения, скорее всего, произойдут при подходе к объекту. Сотрудники, охрана, полиция и случайные прохожие, скорее всего, компрометируют красную команду физически. Случайные прохожие встречаются реже в сельской местности, но и гораздо более подозрительны.

Правильное движение может помочь красной команде не быть замеченной при приближении к цели и может включать в себя бегство, ползание, избегание силуэтов на холмах, ходьбу строем, например, гуськом, и ходьбу короткими очередями с последующей остановкой. Для уменьшения шума можно использовать сигналы руками.

Вход на объект[править]

Распространенные устройства безопасности включают двери, замки, заборы, сигнализацию, датчики движения и датчики заземления. Двери и замки часто обходятся быстрее и тише с помощью инструментов и прокладок, чем взломом замков. RFID-замки широко распространены на предприятиях, и скрытые RFID-считыватели в сочетании с социальной инженерией во время разведки могут использоваться для дублирования значка авторизованного сотрудника. Колючую проволоку на заборах можно обойти, накрыв ее толстым одеялом. Ограждения, препятствующие подъему, можно обойти с помощью лестниц. Сигналы тревоги иногда можно нейтрализовать с помощью глушителя радиопомех, который настраивается на частоты, используемые сигнализациями для внутренней и внешней связи. Датчики движения можно победить с помощью специального экрана размером с тело, который блокирует тепловую сигнатуру человека. Наземные датчики подвержены ложным срабатываниям, что может привести к тому, что сотрудники службы безопасности не будут им доверять или проигнорируют их.

Внутри объекта[править]

Оказавшись внутри, если есть подозрение, что здание занято, хорошей тактикой будет переодеться уборщиком или служащим в соответствующей одежде. Шумовая дисциплина часто важна внутри здания, поскольку там меньше окружающих звуков, маскирующих шум red team.

У красных команд обычно выбраны места для достижения целей и заранее спланированы задачи для каждой команды или члена команды, например, вход в серверную или кабинет руководителя. Однако бывает трудно определить местоположение комнаты заранее, поэтому часто это выясняется на лету. Чтение указателей маршрута аварийного выхода и использование часов с компасом могут помочь в навигации внутри зданий.

В коммерческих зданиях часто остается включенным немного света. Рекомендуется не включать и не выключать свет, так как это может кого-то насторожить. Вместо этого для операций red team предпочтительнее использовать уже неосвещенные участки, при этом для быстрого перемещения по освещенным участкам следует использовать методы ускорения и замораживания. Часто избегают стоять в полный рост перед окнами и входить в здания через вестибюли из-за риска быть замеченными.

Бороскоп можно использовать для заглядывания за углы и под двери, чтобы помочь обнаружить людей, камеры или детекторы движения.

Как только целевая комната достигнута, если нужно что-то найти, например, определенный документ или конкретное оборудование, комнату можно разделить на секции, при этом каждый член red team сосредоточится на своей секции.

Пароли часто располагаются под клавиатурами. Можно использовать методы, позволяющие не нарушать размещение предметов в офисах, таких как клавиатуры и стулья, поскольку их изменение часто будет замечено. Подсветку и замки можно оставить в их первоначальном состоянии включенными или выключенными, заблокированными или незапертыми. Можно предпринять шаги для обеспечения того, чтобы оборудование не было оставлено, например, составить список всего привезенного оборудования и проверить, что все предметы учтены.

Хорошей практикой является передача по радио отчетов о ситуации (SITREPs) руководителю команды, когда происходят необычные вещи. Затем руководитель группы может решить, следует ли продолжить операцию, прервать ее или члену команды следует сдаться, предъявив свое авторизационное письмо и удостоверение личности.Сталкиваясь с гражданскими лицами, такими как сотрудники, операторы red team могут прибегнуть к социальной инженерии. При столкновении с правоохранительными органами рекомендуется немедленно сдаваться из-за потенциальных юридических последствий и безопасности.

Выходим из объекта[править]

Идеальный способ покинуть объект - медленно и осторожно, аналогично тому, как был достигнут вход. Иногда возникает желание выбежать после достижения цели миссии, но это не очень хорошая практика. Выход медленно и осторожно поддерживает ситуационную осведомленность на случай, если в ранее пустой зоне теперь кто-то есть или приближается к ней. Хотя при выходе обычно используется входной путь, также можно использовать более близкий или альтернативный выход.

Цель всех членов команды - добраться до точки сбора или, возможно, до второй точки экстренного сбора. Точка сбора обычно находится в другом месте, чем точка высадки.

Пользователи[править]

Компании и организации[править]

Частные компании иногда используют red teams в дополнение к своим обычным процедурам обеспечения безопасности и персоналу. Например, Microsoft и Google используют red teams для защиты своих систем. Некоторые финансовые учреждения в Европе используют систему TIBER-EU.

Спецслужбы[править]

Применительно к разведывательной работе красную команду иногда называют альтернативным анализом.[98] Альтернативный анализ предполагает привлечение новых аналитиков для перепроверки выводов другой команды, оспаривания предположений и проверки того, что ничего не было упущено из виду. Три красные команды использовались для проверки разведданных, которые привели к убийству Усамы бен Ладена в 2011 году, включая красные команды, не входящие в Центральное разведывательное управление, поскольку начало военной операции в Пакистане имело серьезные дипломатические последствия и последствия для связей с общественностью, поэтому было важно перепроверить разведданные и выводы первоначальной команды.

После неудачных попыток предвидеть войну Судного дня, Разведывательное управление Армии обороны Израиля сформировало красную команду под названием Ипча Мистабра ("наоборот"), чтобы пересмотреть отвергнутые предположения и избежать самоуспокоенности. В Организации Североатлантического договора (НАТО) используется альтернативный анализ.

Военные[править]

Военные обычно используют red teaming для альтернативного анализа, моделирования и проверки уязвимостей. В military wargaming противостоящая сила (OPFOR) в моделируемом конфликте может называться Red Cell.[102] Ключевой темой является то, что противник (red team) использует тактику, приемы и снаряжение соответствующим образом, чтобы имитировать желаемого действующего лица. Красная команда бросает вызов оперативному планированию, играя роль внимательного противника.

У Министерства обороны Соединенного Королевства есть программа red team.

Красные команды стали использоваться в Вооруженных силах США гораздо чаще после того, как в 2003 году Совет по обзору оборонной науки рекомендовал их для предотвращения недостатков, которые привели к терактам 11 сентября. Армия США создала Управление армейских исследований в 2004 году. Это была первая команда red уровня обслуживания, и до 2011 года она была крупнейшей в Министерстве обороны (DoD). Университет иностранных военных и культурных исследований проводит курсы для членов и лидеров red team. Большинство курсов для резидентов проводятся в Форт-Ливенворте и предназначены для студентов Колледжа командования и генерального штаба армии США (CGSC) или эквивалентных школ среднего и старшего уровня. Курсы включают такие темы, как критическое мышление, смягчение последствий группового мышления, культурная эмпатия и саморефлексия.

Концепция красной команды Корпуса морской пехоты появилась в 2010 году, когда комендант Корпуса морской пехоты (CMC) генерал Джеймс Ф. Амос попытался реализовать ее. Амос составил технический документ под названием "Объединение красных в корпусе морской пехоты". В этом документе Амос обсудил, как концепция red team должна усложнять процесс планирования и принятия решений путем применения критического мышления от тактического до стратегического уровня. В июне 2013 года Корпус морской пехоты укомплектовали кадрами red team, описанными в проекте белой книги. В Корпусе морской пехоты все морские пехотинцы, назначенные на должности в red team, проходят шестинедельные или девятинедельные курсы подготовки red team, предоставляемые Университетом иностранных военных и культурных исследований (UFMCS).

Министерство обороны использует cyber red teams для проведения состязательных оценок в своих сетях. Эти красные команды сертифицированы Агентством национальной безопасности и аккредитованы Стратегическим командованием США.

Безопасность в аэропортах[править]

Федеральное авиационное управление США (FAA) внедряет red teams с тех пор, как рейс 103 авиакомпании Pan Am пролетел над Локерби, Шотландия, который подвергся террористической атаке в 1988 году. Красные команды ежегодно проводят тесты примерно в 100 аэропортах США. Тесты были приостановлены после терактов 11 сентября 2001 года и возобновлены в 2003 году при Управлении транспортной безопасности, которое взяло на себя роль FAA в обеспечении авиационной безопасности после 11 сентября. Перед терактами 11 сентября использование FAA red teaming выявило серьезные недостатки в системе безопасности в международном аэропорту Логан в Бостоне, откуда вылетели два из четырех захваченных рейсов 11 сентября.. Некоторые бывшие следователи FAA, участвовавшие в этих командах, считают, что FAA намеренно проигнорировало результаты тестов, и что это частично привело к теракту 11 сентября в США.

Управление транспортной безопасности США в прошлом использовало red teaming. В ходе одной операции red team агентам под прикрытием удалось обмануть сотрудников службы безопасности на транспорте и пронести оружие и муляжи взрывчатки через систему безопасности 67 раз из 70 в 2015 году.