Rød vs. Blå vs. Blå vs. Lilla hold

CyberStart
CyberStart

Follow

21. maj, 2019 – 4 min read

Når det kommer til cybersikkerhedsroller, har de en tendens til at falde ind i tre farvede ‘teams’. Her dissekerer vi opgaverne for hvert af dem, de færdigheder, du har brug for, og den måde, som hvert team interagerer med hinanden.

Vi flytter! Kom og find os på www.cyberstart.com/blog, hvor du vil finde endnu flere tips, tricks og branchestøtte. Vi ses der!

Red Team

Angreb på netværk og finde sårbarheder; Red Team-roller ansættes for at simulere en hacker, der forsøger at bryde ind i en applikation, uanset om de er webbaserede, installeret på en computer eller på en mobiltelefon.

Hovedrolle: En “hacker” kaldet en penetrations-tester.

Arbejdsstil: Red team-eksperter er normalt freelance og ansættes af målvirksomheden for at teste deres forsvar (som er oprettet af blue teamet)
Hvorimod nogle virksomheder har interne red teams til at teste deres netværk og foreslå, hvordan de kan gøre dem bedre.

Hovedmål:
– At kompromittere målsystemets sikkerhed
– Udnytte fejl og sårbarheder
– Vurdere blue teamets forsvarsmuligheder (og undgå, at de opdages)

Hvordan: En penetrerende ekspert er normalt freelance og ansættes af målvirksomheden for at teste deres forsvarsmuligheder (som er oprettet af blue teamet)

Hvordan: Røde hold arbejder ud fra indledende rekognoscering og efterretninger fra åbne kilder (OSINT) for at indsamle oplysninger om målet og identificere potentielle svage områder.
Derpå bruger de dette til at angribe eller anvende social engineering-taktikker (som phishing, pretexting, baiting eller quid pro quo) for at manipulere medarbejdere og få flere oplysninger for at få adgang til netværket.
De skaber også lokkeduer for at aflede det blå hold fra deres spor.
Angreb fra det røde hold kan også være fysiske. Røde hold kan få adgang til den fysiske placering af en kundes infrastruktur (ved at følge efter eller på anden måde) og se, hvor langt de kan komme derhen.

Blue Team

Hvis man har angribere, har man også forsvarere. Det blå hold er ansvarlig for at oprette en sikker netværksinfrastruktur og overvåge den og reagere på eventuelle angreb.

Hovedrollen: Sikkerhedsanalytikere i deres eget Security Operations Centre (SOC)

Arbejdsstil: Blue teams arbejder ofte inden for organisationer, f.eks. som sikkerhedsanalytikere inden for deres eget SOC. Selv om virksomheder kan outsource til blå teams, giver det sine egne udfordringer og begrænsninger, selv om det på overfladen sparer penge.

Hovedmål:
– At forsvare et system med succes
– At opdage, modsætte sig og begrænse det røde hold/en udefrakommende hacker
– At forstå hændelser, og hvordan man reagerer
– At bemærke mistænkelig trafik
– At analysere og foretage kriminalteknisk testning gennem forskellige medier
– At undersøge aktuelle “trusselsaktører” eller operationer og anvende deres viden

Hvordan: Blå hold kræver mange færdigheder for at forsvare et system med succes. De skal være i stand til at påtage sig en SOC-rolle (Security Operations Centre) med fokus på kriminaltekniske undersøgelser, dække incident response-enheder og arbejde med SIEM-systemer (Security Information and Event Management). De skal også være i stand til at undersøge trusselsoplysninger (typisk indikatorer for kompromittering) og anvende dem på deres netværk via SIEM-systemregler eller andre regelbaserede enheder som f.eks. indbrudsdetektions- eller indbrudsforebyggelsessystemer (IDS/IPS).

De vigtigste daglige aktiviteter omfatter udførelse af trafikanalyse og dataanalyse, analyse og gennemgang af logdata, brug af SIEMS til detektion af levende indbrud og netværksvisibilitet samt oprettelse af brugerdefinerede regler i disse SIEMS for bedre at opdage aktuelle ondsindede trusselsaktører.

Purple Team

Det lilla team er en ny fælles tilgang; en kombination af både blå og røde teams, der sidder i midten af hvert team.

Hovedrolle: Lilla teammedlemmer overvåger og optimerer røde og blå teams for at etablere større kommunikationskanaler, så de kan fremme en mere samarbejdsorienteret kultur.

Arbejdsstil: Lilla teamet er typisk sammensat af senior sikkerhedsanalytikere, Threat Intelligence-analytikere eller den øverste ledelse i en organisation. Det lilla team arbejder sammen med både røde og blå teams for at identificere svagheder og foreslå forbedringer i det indre arbejde i begge teams.

Hovedmål:
– Fremme samarbejdet mellem rødt og blåt team
– Arbejde sammen med både rødt og blåt team for at identificere svagheder
– Foreslå forbedringer i det indre arbejde i begge teams
– Sikre maksimal levering og output fra begge teams i fællesskab

Sådan: Det lilla team bygger på effektiviteten af både rødt og blåt team samt deres potentiale for samarbejde, forbedrer deres sikkerhedskontrol og maksimerer organisationens cyberkapaciteter.

Det lilla team fører tilsyn med disse forbedringer. Hvis en penetrationstester f.eks. ønsker at fortælle en sikkerhedsanalytiker, hvordan han skal opdatere en SIEM-regel for at opdage en ny modstander, sørger det lilla team for, at denne opgave gennemføres med succes.

I sidste ende sikrer det lilla team den maksimale levering og de maksimale resultater fra både røde og blå teams i fællesskab. Purple teams er puslespilsopløsere, der sørger for, at en virksomhed er så cybersikker som muligt.

Nu ved du, hvad hvert team laver, hvilket team vil du gerne være en del af?