Kyberturvallisuuden rooleissa on tapana jakautua kolmeen värilliseen ”tiimiin”. Tässä analysoimme kunkin tehtävät, tarvittavat taidot ja tavan, jolla kukin tiimi on vuorovaikutuksessa toistensa kanssa.
Me liikumme! Tule etsimään meidät osoitteesta www.cyberstart.com/blog, josta löydät vielä enemmän vinkkejä, niksejä ja alan tukea. Nähdään siellä!
Punainen tiimi
Verkkoihin hyökkääminen ja haavoittuvuuksien löytäminen; punaisen tiimin tehtäviin palkataan simuloimaan hakkeria, joka yrittää murtautua sovelluksiin, olivatpa ne sitten verkkopohjaisia, tietokoneelle tai matkapuhelimeen asennettuja.
Päärooli:
Työskentelytapa: ”Hakkeri”, jota kutsutaan penetraatiotestaajaksi.
Työskentelytyyli: Työskentelytapa: Punaisen tiimin asiantuntijat ovat yleensä freelance-asiantuntijoita, jotka kohdeyritys palkkaa testaamaan niiden puolustusta (jonka sininen tiimi on luonut)
Mutta joillakin yrityksillä on sisäisiä punaisia tiimejä, jotka testaavat verkkojaan ja ehdottavat, miten niitä voitaisiin parantaa.
Päätavoitteet:
– Kohdejärjestelmän tietoturvan vaarantaminen
– Virheiden ja haavoittuvuuksien hyväksikäyttö
– Sinisen tiimin puolustuskyvykkyyksien arvioiminen (ja niiden huomaamatta jättämisen välttäminen)
Miten: Punaiset tiimit työskentelevät alustavan tiedustelun ja avoimen lähdetiedustelun (OSINT) pohjalta kerätäkseen tietoa kohteen ympäriltä ja tunnistaakseen mahdolliset heikkousalueet.
Sitten he käyttävät tätä hyökätäkseen tai soveltaakseen sosiaalisen suunnittelun taktiikoita (kuten phishing, pretexting, baiting tai quid pro quo) manipuloidakseen työntekijöitä ja saadakseen lisää tietoa päästäkseen verkkoon.
He myös luovat houkutuslintuja harhauttaakseen sinisen tiimin pois jäljiltään.
Punaisen tiimin hyökkäykset voivat olla myös fyysisiä. Punaiset tiimit voivat päästä käsiksi asiakkaan infrastruktuurin fyysiseen sijaintiin (varjostamalla tai muilla keinoilla) ja katsoa, kuinka pitkälle he pääsevät sinne.
Sininen tiimi
Jos on hyökkääjiä, on myös puolustajia. Sininen tiimi vastaa turvallisen verkkoinfrastruktuurin perustamisesta ja sen valvonnasta sekä hyökkäyksiin vastaamisesta.
Päärooli: Tietoturva-analyytikot omassa tietoturvaoperaatiokeskuksessa (SOC)
Työskentelytyyli: Siniset tiimit työskentelevät usein organisaatioiden sisällä, kuten tietoturva-analyytikot omassa SOC:ssaan. Yritykset voivat ulkoistaa sinisiä tiimejä, mutta siinä on omat haasteensa ja rajoituksensa, vaikka päällisin puolin säästetäänkin rahaa.
Päätavoitteet:
– Järjestelmän puolustaminen menestyksekkäästi
– Punaisen tiimin / ulkopuolisen hakkerin havaitseminen, vastustaminen ja rajoittaminen
– Häiriötilanteiden ymmärtäminen ja niihin reagoiminen
– Epäilyttävän liikenteen havaitseminen
– Analysointi ja rikosteknisen testauksen suorittaminen eri välineillä
– Nykyisten ”uhkatekijöiden” tai -operaatioiden tutkiminen ja tietojen soveltaminen
Miten: Siniset tiimit tarvitsevat monia taitoja puolustaakseen menestyksekkäästi järjestelmää. Heidän on kyettävä omaksumaan SOC-rooli (Security Operations Centre, tietoturvatoimintakeskus), keskityttävä rikostekniseen tutkimukseen, katettava vaaratilanteisiin reagoivat yksiköt ja työskenneltävä tietoturvatietojen ja -tapahtumien hallintajärjestelmien (SIEM, Security Information and Event Management) kanssa. Heidän on myös pystyttävä tutkimaan uhkatietoja (tyypillisesti vaarantumisen indikaattoreita) ja soveltamaan niitä verkkoihinsa SIEM-järjestelmän sääntöjen tai muiden sääntöihin perustuvien laitteiden, kuten tunkeutumisen havaitsemis- tai estojärjestelmien (IDS/IPS), avulla.
Pääasiallisiin päivittäisiin tehtäviin kuuluu liikenteen analysointi ja data-analyysi, lokitietojen analysointi ja tarkastelu, SIEMS-järjestelmien käyttäminen elävien tunkeutumisten havaitsemiseen ja verkon näkyvyyteen sekä mukautettujen sääntöjen luominen näissä SIEMS-järjestelmissä, jotta nykyiset pahantahtoiset uhkatekijät voidaan havaita paremmin.
Purple Team
Purple Team on uusi yhteinen lähestymistapa; yhdistelmä sekä sinistä että punaista tiimiä, jotka istuvat kummankin tiimin puolivälissä.
Pääasiallinen tehtävä: Purple-tiimin jäsenet valvovat ja optimoivat punaisia ja sinisiä tiimejä luodakseen laajemmat viestintäkanavat, jotta ne voivat edistää yhteistyökulttuuria.
Työskentelytyyli: Työskentelytapa: Violetti tiimi muodostuu tyypillisesti organisaation vanhemmista tietoturva-analyytikoista, uhkatietoanalyytikoista tai ylimmästä johdosta. Violetti tiimi työskentelee sekä punaisen että sinisen tiimin rinnalla havaitakseen heikkouksia ja ehdottaakseen parannuksia molempien tiimien sisäiseen toimintaan.
Päätavoitteet:
– Kannustaa punaisten ja sinisten tiimien välistä yhteistyötä
– Työskennellä sekä punaisten että sinisten tiimien rinnalla heikkouksien tunnistamiseksi
– Ehdottaa parannuksia molempien tiimien sisäiseen toimintaan
– Varmistaa maksimaalisen toimituksen ja tuotoksen molemmilta tiimeiltä yhdessä
Miten: Purppuraryhmä rakentaa sekä punaisten että sinisten tiimien tehokkuuden sekä niiden yhteistyöpotentiaalin varaan tehostaen niiden tietoturvakontrollia ja maksimoidakseen organisaation kybervalmiudet.
Purppurat tiimit valvoo näitä parannuksia. Jos esimerkiksi tunkeutumistestaaja haluaa kertoa tietoturva-analyytikolle, miten SIEM-sääntöä päivitetään uuden vastustajan havaitsemiseksi, violetti tiimi huolehtii siitä, että tämä tehtävä saadaan onnistuneesti suoritettua.
Viime kädessä violetti tiimi varmistaa, että sekä punaiset että siniset tiimit tuottavat yhdessä mahdollisimman paljon tuloksia ja tuotoksia. Violetit tiimit ovat pulmanratkaisijoita, jotka varmistavat, että yritys on mahdollisimman kyberturvallinen.
Nyt tiedät, mitä kukin tiimi tekee, mihin niistä haluaisit kuulua?