Lorsqu’il s’agit de rôles de cybersécurité, ils ont tendance à se répartir en trois » équipes » colorées. Ici, nous disséquons les fonctions de chacune, les compétences dont vous avez besoin et la façon dont chaque équipe interagit avec les autres.
Nous déménageons ! Venez nous retrouver sur www.cyberstart.com/blog où vous trouverez encore plus de conseils, d’astuces et de soutien au secteur. A bientôt !
Red Team
Attaque les réseaux et trouve les vulnérabilités ; les rôles de l’équipe rouge sont embauchés pour simuler un pirate qui essaie de s’introduire dans une application, qu’elles soient basées sur le web, installées sur un ordinateur ou sur un téléphone mobile.
Rôle principal : Un « hacker » appelé testeur de pénétration.
Le style de travail : Les experts de l’équipe rouge sont généralement indépendants et engagés par l’entreprise cible pour tester leurs défenses (qui sont créées par l’équipe bleue)
Mais certaines entreprises ont des équipes rouges internes pour tester leurs réseaux et suggérer comment les améliorer.
Objectifs principaux :
– Compromettre la sécurité du système cible
– Exploiter les bogues et les vulnérabilités
– Évaluer les capacités défensives de l’équipe bleue (et éviter leur détection)
Comment : Les équipes rouges travaillent à partir de la reconnaissance initiale et du renseignement de source ouverte (OSINT) pour collecter des informations autour de la cible et identifier les zones de faiblesse potentielles.
Elles s’en servent ensuite pour attaquer ou appliquer des tactiques d’ingénierie sociale (comme le phishing, le prétexte, l’appât ou le quiproquo) pour manipuler les employés et obtenir plus d’informations pour accéder au réseau.
Ils créent également des leurres pour détourner l’équipe bleue de leur piste.
Les attaques des équipes rouges peuvent également être physiques. Les équipes rouges pourraient avoir accès à l’emplacement physique de l’infrastructure d’un client (par filature ou autre) et voir jusqu’où elles peuvent aller.
Équipe bleue
Si vous avez des attaquants, vous avez aussi des défenseurs. L’équipe bleue est chargée de mettre en place une infrastructure réseau sécurisée et de la surveiller, en répondant à toute attaque.
Rôle principal : Analystes de sécurité au sein de leur propre centre d’opérations de sécurité (SOC)
Style de travail : Les équipes bleues travaillent souvent à l’intérieur des organisations, comme les analystes de sécurité au sein de leur propre SOC. Bien que les entreprises puissent externaliser pour les équipes bleues, cela présente ses propres défis et limites, même si en surface, cela permet d’économiser de l’argent.
Objectifs principaux :
– Réussir la défense d’un système
– Détecter, s’opposer et limiter l’équipe rouge / un hacker extérieur
– Comprendre les incidents et comment y répondre
– Remarquer le trafic suspect
– Analyser et entreprendre des tests forensiques à travers différents supports
– Rechercher les » acteurs de la menace » ou les opérations actuelles et appliquer leurs connaissances
Comment : les équipes bleues ont besoin de nombreuses compétences pour réussir la défense d’un système. Elles doivent être en mesure d’assumer un rôle de SOC (Security Operations Centre), en se concentrant sur la criminalistique, de couvrir les unités de réponse aux incidents et de travailler avec les systèmes de gestion des informations et des événements de sécurité (SIEM). Ils doivent également être capables de rechercher des renseignements sur les menaces (généralement des indicateurs de compromission), en les appliquant à leurs réseaux via les règles des systèmes SIEM ou d’autres dispositifs basés sur des règles comme les systèmes de détection ou de prévention des intrusions (IDS/IPS).
Les principales activités quotidiennes comprennent l’analyse du trafic et des données, l’analyse et l’examen des données des journaux, l’utilisation des SIEMS pour la détection des intrusions en direct et la visibilité du réseau, et la création de règles personnalisées au sein de ces SIEMS pour mieux détecter les acteurs de menaces malveillantes actuelles.
L’équipe Purple est une nouvelle approche conjointe ; une combinaison des équipes bleues et rouges assises au milieu de chaque équipe.
Rôle principal : Les membres de l’équipe Purple supervisent et optimisent les équipes rouges et bleues pour établir de plus grands canaux de communication afin qu’ils puissent favoriser une culture plus collaborative.
Le style de travail : L’équipe violette est généralement formée d’analystes de sécurité seniors, d’analystes de renseignements sur les menaces ou de cadres supérieurs au sein d’une organisation. L’équipe violette travaille aux côtés des équipes rouges et bleues pour identifier les faiblesses et suggérer des améliorations dans le fonctionnement intérieur des deux équipes.
Objectifs principaux :
– Encourager la collaboration entre l’équipe rouge et l’équipe bleue
– Travailler aux côtés des équipes rouge et bleue pour identifier les faiblesses
– Suggérer des améliorations dans le fonctionnement intérieur des deux équipes
– Assurer la livraison et les sorties maximales des deux équipes collectivement
Comment : L’équipe violette s’appuie sur l’efficacité des équipes rouge et bleue, ainsi que sur leur potentiel de collaboration, en améliorant leurs contrôles de sécurité et en maximisant les cybercapacités des organisations.
Les équipes violettes supervisent ces améliorations. Par exemple, si un testeur de pénétration veut dire à un analyste de sécurité comment mettre à jour une règle SIEM pour détecter un nouvel adversaire, l’équipe violette s’assurera que cette tâche est menée à bien.
En fin de compte, l’équipe violette assure la livraison et les résultats maximaux des équipes rouges et bleues collectivement. Les équipes violettes sont des résolveurs de casse-tête, s’assurant qu’une entreprise est aussi cyber-sécurisée que possible.
Maintenant que vous savez ce que fait chaque équipe, à laquelle aimeriez-vous appartenir ?