Rot vs. Blau vs. Lila Team

CyberStart
CyberStart

Follow

21. Mai, 2019 – 4 min read

Wenn es um Cybersecurity-Rollen geht, neigen sie dazu, in drei farbige „Teams“ zu fallen. Hier analysieren wir die Aufgaben der einzelnen Teams, die erforderlichen Fähigkeiten und die Art und Weise, wie jedes Team miteinander interagiert.

Wir ziehen um! Finden Sie uns auf www.cyberstart.com/blog, wo Sie noch mehr Tipps, Tricks und Unterstützung aus der Branche finden. Wir sehen uns dort!

Red Team

Angriffe auf Netzwerke und Auffinden von Schwachstellen; Red Team-Rollen werden angeheuert, um einen Hacker zu simulieren, der versucht, in eine Anwendung einzubrechen, egal ob sie webbasiert, auf einem Computer oder auf einem Mobiltelefon installiert ist.

Hauptrolle: Ein „Hacker“, der Penetrationstester genannt wird.

Arbeitsstil: Red-Team-Experten sind in der Regel freiberuflich tätig und werden vom Zielunternehmen angeheuert, um dessen Verteidigungssysteme zu testen (die vom Blue-Team erstellt werden).
Einige Unternehmen haben jedoch interne Red-Teams, die ihre Netzwerke testen und Vorschläge zu deren Verbesserung machen.

Hauptziele:
– Die Sicherheit des Zielsystems kompromittieren
– Bugs und Schwachstellen ausnutzen
– Die Verteidigungsfähigkeiten des Blue-Teams bewerten (und deren Entdeckung vermeiden)

Wie: Rote Teams arbeiten auf der Grundlage von anfänglicher Aufklärung und Open-Source-Intelligence (OSINT), um Informationen über das Ziel zu sammeln und potenzielle Schwachstellen zu identifizieren.
Diese Informationen nutzen sie dann für Angriffe oder Social-Engineering-Taktiken (wie Phishing, Vorwände, Köder oder Gegenleistungen), um Mitarbeiter zu manipulieren und mehr Informationen für den Zugriff auf das Netzwerk zu erhalten.
Sie schaffen auch Lockvögel, um das blaue Team auf die falsche Fährte zu locken.
Angriffe der roten Teams können auch physisch erfolgen. Rote Teams könnten sich Zugang zum physischen Standort der Infrastruktur eines Kunden verschaffen (durch Beschattung oder andere Mittel) und sehen, wie weit sie dorthin gelangen können.

Blaues Team

Wenn man Angreifer hat, gibt es auch Verteidiger. Das blaue Team ist für die Einrichtung einer sicheren Netzinfrastruktur und deren Überwachung zuständig und reagiert auf Angriffe.

Hauptaufgabe: Sicherheitsanalysten in ihrem eigenen Security Operations Centre (SOC)

Arbeitsstil: Blaue Teams arbeiten oft innerhalb von Unternehmen, z. B. als Sicherheitsanalysten in ihrem eigenen SOC. Unternehmen können zwar blaue Teams auslagern, aber das bringt seine eigenen Herausforderungen und Einschränkungen mit sich, auch wenn es vordergründig Geld spart.

Hauptziele:
– Ein System erfolgreich zu verteidigen
– Das rote Team / einen externen Hacker zu erkennen, zu bekämpfen und einzuschränken
– Vorfälle zu verstehen und darauf zu reagieren
– Verdächtigen Datenverkehr zu bemerken
– Zu analysieren und forensische Tests über verschiedene Medien durchzuführen
– Aktuelle „Bedrohungsakteure“ oder Operationen zu recherchieren und ihr Wissen anzuwenden

Wie: Blaue Teams benötigen viele Fähigkeiten, um ein System erfolgreich zu verteidigen. Sie müssen in der Lage sein, die Rolle eines SOC (Security Operations Centre) zu übernehmen, das sich auf Forensik konzentriert, Incident-Response-Einheiten abdecken und mit SIEM-Systemen (Security Information and Event Management) arbeiten. Sie müssen auch in der Lage sein, Bedrohungsdaten zu recherchieren (typischerweise Indikatoren für eine Kompromittierung) und diese über SIEM-Systemregeln oder andere regelbasierte Geräte wie Intrusion Detection oder Intrusion Prevention Systeme (IDS/IPS) auf ihre Netzwerke anzuwenden.

Zu den wichtigsten täglichen Aktivitäten gehören die Durchführung von Verkehrs- und Datenanalysen, die Analyse und Überprüfung von Protokolldaten, die Verwendung von SIEMS für die Erkennung von Live-Eindringlingen und die Netzwerktransparenz sowie die Erstellung benutzerdefinierter Regeln innerhalb dieser SIEMS, um aktuelle bösartige Bedrohungsakteure besser zu erkennen.

Purple Team

Das Purple Team ist ein neuer gemeinsamer Ansatz; eine Kombination aus dem blauen und dem roten Team, die jeweils in der Mitte des Teams sitzen.

Hauptaufgabe: Die Mitglieder des Purple-Teams überwachen und optimieren die roten und blauen Teams, um bessere Kommunikationskanäle zu schaffen, damit sie eine Kultur der Zusammenarbeit fördern können.

Arbeitsstil: Das violette Team setzt sich in der Regel aus Senior Security Analysts, Threat Intelligence Analysts oder dem Senior Management eines Unternehmens zusammen. Das violette Team arbeitet sowohl mit dem roten als auch mit dem blauen Team zusammen, um Schwachstellen zu ermitteln und Verbesserungen in der internen Arbeitsweise beider Teams vorzuschlagen.

Hauptziele:
– Förderung der Zusammenarbeit zwischen dem roten und dem blauen Team
– Zusammenarbeit mit dem roten und dem blauen Team, um Schwachstellen zu ermitteln
– Verbesserungsvorschläge für das Innenleben beider Teams
– Sicherstellung der maximalen Leistung und des maximalen Outputs beider Teams zusammen

Wie: Das violette Team baut auf der Effektivität des roten und des blauen Teams sowie auf ihrem Potenzial für die Zusammenarbeit auf, verbessert ihre Sicherheitskontrollen und maximiert die Cyberfähigkeiten der Organisation.

Die violetten Teams überwachen diese Verbesserungen. Wenn beispielsweise ein Penetrationstester einem Sicherheitsanalysten mitteilen möchte, wie eine SIEM-Regel zu aktualisieren ist, um einen neuen Angreifer zu erkennen, sorgt das violette Team dafür, dass diese Aufgabe erfolgreich abgeschlossen wird.

Letztendlich sorgt das violette Team dafür, dass sowohl die roten als auch die blauen Teams gemeinsam ein Maximum an Leistung erbringen. Violette Teams sind Rätsellöser, die dafür sorgen, dass ein Unternehmen so sicher wie möglich ist.

Nun wissen Sie, was die einzelnen Teams tun, in welchem würden Sie gerne mitarbeiten?