Ha kiberbiztonsági szerepekről van szó, általában három színes “csapatba” sorolhatók. Itt boncolgatjuk az egyes csapatok feladatait, a szükséges készségeket és azt, hogy az egyes csapatok hogyan működnek együtt egymással.
Mozgunk! Keress minket a www.cyberstart.com/blog oldalon, ahol még több tippet, trükköt és iparági támogatást találsz. Ott találkozunk!
Vörös csapat
Hálózatok megtámadása és a sebezhetőségek felkutatása; a vörös csapat szerepkörét azért veszik fel, hogy egy hackert szimuláljanak, aki megpróbál betörni egy alkalmazásba, legyen az webalapú, számítógépre vagy mobiltelefonra telepített alkalmazás.
Főszerep:
Munkastílus: Penetrációs tesztelőnek nevezett “hacker”.
Munkastílus:
Fő célok:
– A célrendszer biztonságának veszélyeztetése
– Hibák és sebezhetőségek kihasználása
– A kék csapat védelmi képességeinek felmérése (és a felfedezésük elkerülése)
Hogyan: A vörös csapatok a kezdeti felderítés és a nyílt forrású hírszerzés (OSINT) alapján dolgoznak, hogy információkat gyűjtsenek a célpont körül és azonosítsák a potenciális gyenge pontokat.
Aztán ezt támadásra használják fel, vagy social engineering taktikákat alkalmaznak (például adathalászat, pretexting, csalogatás vagy quid pro quo), hogy manipulálják az alkalmazottakat, és több információt szerezzenek a hálózathoz való hozzáféréshez.
Azért csalikat is készítenek, hogy a kék csapatot félrevezessék a nyomukból.
A vörös csapat támadásai lehetnek fizikaiak is. A vörös csapatok hozzáférhetnek az ügyfél infrastruktúrájának fizikai helyéhez (követéssel vagy más módon), és megnézhetik, milyen messzire tudnak eljutni.
Kék csapat
Ha vannak támadók, akkor vannak védők is. A kék csapat feladata a biztonságos hálózati infrastruktúra kiépítése és felügyelete, valamint a támadásokra való reagálás.
Főszerep: Biztonsági elemzők a saját biztonsági műveleti központjukban (SOC)
Munkastílus: A kék csapatok gyakran dolgoznak szervezeten belül, például biztonsági elemzők a saját SOC-jukon belül. Bár a vállalatok kiszervezhetik a kék csapatokat, ez saját kihívásokkal és korlátokkal jár, még akkor is, ha a felszínen ez pénzt takarít meg.
Fő célkitűzések:
– Egy rendszer sikeres védelme
– A vörös csapat / külső hacker észlelése, szembeszállása és korlátozása
– Az incidensek megértése és a válaszadás módja
– A gyanús forgalom észlelése
– Különböző médiumokon keresztül történő elemzése és törvényszéki vizsgálatok elvégzése
– Az aktuális “fenyegető szereplők” vagy műveletek felkutatása és a tudásuk alkalmazása
Hogyan: A kék csapatoknak számos készségre van szükségük egy rendszer sikeres védelméhez. Képesnek kell lenniük a SOC (Security Operations Centre) szerepének vállalására, a törvényszéki vizsgálatokra összpontosítva, az incidensre reagáló egységeket lefedve, valamint a biztonsági információ- és eseménykezelő rendszerekkel (SIEM) együttműködve. Képesnek kell lenniük a fenyegetésekkel kapcsolatos információk (jellemzően a kompromittálódásra utaló jelek) felkutatására is, amelyeket a SIEM rendszer szabályain vagy más szabályalapú eszközökön, például behatolásérzékelő vagy behatolásmegelőző rendszereken (IDS/IPS) keresztül alkalmaznak a hálózataikban.
A fő napi tevékenységek közé tartozik a forgalomelemzés és az adatelemzés elvégzése, a naplóadatok elemzése és felülvizsgálata, a SIEMS-ek használata az élő behatolások észlelésére és a hálózat láthatóságára, valamint egyéni szabályok létrehozása ezeken a SIEMS-eken belül az aktuális rosszindulatú fenyegető szereplők jobb észlelése érdekében.
Lila csapat
A Lila csapat egy új közös megközelítés; a kék és a piros csapat kombinációja, amely az egyes csapatok közepén ül.
Fő szerep: A lila csapat tagjai felügyelik és optimalizálják a piros és kék csapatokat, hogy nagyobb kommunikációs csatornákat hozzanak létre, így elősegíthetik az együttműködésen alapuló kultúrát.
Munkastílus: A lila csapat jellemzően vezető biztonsági elemzőkből, fenyegetéselemző elemzőkből vagy a szervezeten belüli felsővezetőkből áll. A lila csapat a piros és a kék csapatokkal együtt dolgozik, hogy azonosítsa a gyenge pontokat, és javításokat javasoljon mindkét csapat belső működésében.
Fő célkitűzések:
– A piros és kék csapat közötti együttműködés ösztönzése
– Mind a piros, mind a kék csapat mellett dolgozik a gyenge pontok azonosítása érdekében
– Mindkét csapat belső működésének javítását javasolja
– Biztosítja a két csapat együttes maximális teljesítményét és eredményeit
Hogyan: A lila csapat a piros és kék csapat hatékonyságára, valamint együttműködési lehetőségeire épít, javítja a biztonsági ellenőrzéseket és maximalizálja a szervezetek kiberképességeit.
A lila csapat felügyeli ezeket a fejlesztéseket. Ha például egy behatolás-tesztelő meg akarja mondani egy biztonsági elemzőnek, hogyan frissítsen egy SIEM-szabályt egy új ellenfél észlelése érdekében, a lila csapat gondoskodik arról, hogy ez a feladat sikeresen teljesüljön.
A lila csapat végül biztosítja, hogy mind a piros, mind a kék csapatok együttesen maximális teljesítményt és kimenetet nyújtsanak. A lila csapatok rejtvényfejtők, akik gondoskodnak arról, hogy a vállalat a lehető legbiztonságosabb legyen a kibertérben.
Most már tudod, mit csinálnak az egyes csapatok, melyiknek szeretnél a részese lenni?