Červená vs. modrá vs. Fialový tým

CyberStart
CyberStart

Sledovat

21. května, 2019 – 4 minuty čtení

Pokud jde o role v oblasti kybernetické bezpečnosti, obvykle se dělí do tří barevných „týmů“. Zde rozebereme povinnosti každého z nich, dovednosti, které potřebujete, a způsob, jakým spolu jednotlivé týmy spolupracují.

Jsme v pohybu! Najděte nás na www.cyberstart.com/blog, kde najdete ještě více tipů, triků a podpory v oboru. Uvidíme se tam!

Červený tým

Atakování sítí a hledání zranitelností; role v červeném týmu jsou najímány, aby simulovaly hackera, který se snaží proniknout do aplikace, ať už webové, nainstalované v počítači nebo v mobilním telefonu.

Hlavní role:

Styl práce:

Hlavní cíle:
– Prolomit zabezpečení cílového systému
– Využít chyby a zranitelnosti
– Posoudit obranné schopnosti modrého týmu (a vyhnout se jejich odhalení)

Jak:

– Prolomit zabezpečení cílového systému: Červené týmy pracují na základě počátečního průzkumu a zpravodajských informací z otevřených zdrojů (OSINT), aby shromáždily informace o cíli a identifikovaly potenciální slabá místa.
Ty pak využijí k útoku nebo použijí taktiky sociálního inženýrství (jako je phishing, záminka, návnada nebo quid pro quo) k manipulaci zaměstnanců a získání dalších informací pro přístup do sítě.
Vytvářejí také návnady, aby modrý tým svedli ze stopy.
Útoky červeného týmu mohou být i fyzické. Červené týmy mohou získat přístup k fyzickému umístění infrastruktury klienta (tailováním nebo jiným způsobem) a zjistit, jak daleko se tam mohou dostat.

Modrý tým

Pokud máte útočníky, máte také obránce. Modrý tým je zodpovědný za nastavení bezpečné síťové infrastruktury, její monitorování a reakci na případné útoky.

Hlavní role: Bezpečnostní analytici v rámci vlastního bezpečnostního operačního centra (SOC)

Styl práce: Modré týmy často pracují uvnitř organizací, například jako bezpečnostní analytici v rámci vlastního SOC. Společnosti sice mohou modré týmy outsourcovat, ale představuje to své vlastní problémy a omezení, i když to navenek šetří peníze.

Hlavní cíle:
– Úspěšně bránit systém
– Odhalit, oponovat a omezit červený tým / externího hackera
– Porozumět incidentům a jak na ně reagovat
– Všímat si podezřelého provozu
– Analyzovat a provádět forenzní testování prostřednictvím různých médií
– Zkoumat aktuální „aktéry hrozeb“ nebo operace a aplikovat své znalosti

Jak: Modré týmy potřebují k úspěšné obraně systému mnoho dovedností. Musí být schopny převzít roli SOC (Security Operations Centre) se zaměřením na forenzní analýzu, pokrýt jednotky reakce na incidenty a pracovat se systémy pro správu bezpečnostních informací a událostí (SIEM). Musí být také schopni zkoumat informace o hrozbách (typicky indikátory kompromitace) a aplikovat je na své sítě prostřednictvím pravidel systému SIEM nebo jiných zařízení založených na pravidlech, jako jsou systémy detekce narušení nebo prevence narušení (IDS/IPS).

Hlavní každodenní činnosti zahrnují provádění analýzy provozu a analýzy dat, analýzu a přezkoumávání dat protokolů, používání systémů SIEMS pro detekci živých narušení a viditelnost sítě a vytváření vlastních pravidel v rámci těchto systémů SIEMS pro lepší detekci aktuálních škodlivých aktérů hrozeb.

Fialový tým

Fialový tým je nový společný přístup; kombinace modrého a červeného týmu, který sedí uprostřed každého týmu.

Hlavní role: Členové fialového týmu dohlížejí na červený a modrý tým a optimalizují jejich činnost s cílem vytvořit lepší komunikační kanály, aby mohli podporovat kulturu spolupráce.

Styl práce: Fialový tým se obvykle skládá ze seniorních bezpečnostních analytiků, analytiků zpravodajství o hrozbách nebo vrcholového managementu organizace.
– Podporovat spolupráci mezi červeným a modrým týmem
– Pracovat po boku červeného i modrého týmu a identifikovat slabá místa
– Navrhovat zlepšení vnitřního fungování obou týmů
– Zajišťovat maximální výkon a výstupy obou týmů společně

Jak: Fialový tým staví na efektivitě červeného i modrého týmu a také na jejich potenciálu spolupráce, posiluje jejich bezpečnostní kontroly a maximalizuje kybernetické schopnosti organizace.

Fialový tým na tato zlepšení dohlíží. Pokud chce například penetrační tester říci bezpečnostnímu analytikovi, jak aktualizovat pravidlo SIEM, aby detekoval nového protivníka, fialový tým zajistí, aby byl tento úkol úspěšně splněn.

Fialový tým nakonec zajišťuje maximální výkon a výstupy červených i modrých týmů společně. Fialové týmy řeší hádanky a starají se o to, aby byla společnost co nejlépe kyberneticky zabezpečena.

Teď už víte, co jednotlivé týmy dělají, do kterého z nich byste chtěli patřit?