Vörös vs. Kék vs. Lila csapat

CyberStart
CyberStart

Follow

május 21, 2019 – 4 min read

Ha kiberbiztonsági szerepekről van szó, általában három színes “csapatba” sorolhatók. Itt boncolgatjuk az egyes csapatok feladatait, a szükséges készségeket és azt, hogy az egyes csapatok hogyan működnek együtt egymással.

Mozgunk! Keress minket a www.cyberstart.com/blog oldalon, ahol még több tippet, trükköt és iparági támogatást találsz. Ott találkozunk!

Vörös csapat

Hálózatok megtámadása és a sebezhetőségek felkutatása; a vörös csapat szerepkörét azért veszik fel, hogy egy hackert szimuláljanak, aki megpróbál betörni egy alkalmazásba, legyen az webalapú, számítógépre vagy mobiltelefonra telepített alkalmazás.

Főszerep:

Munkastílus: Penetrációs tesztelőnek nevezett “hacker”.

Munkastílus:

Fő célok:
– A célrendszer biztonságának veszélyeztetése
– Hibák és sebezhetőségek kihasználása
– A kék csapat védelmi képességeinek felmérése (és a felfedezésük elkerülése)

Hogyan: A vörös csapatok a kezdeti felderítés és a nyílt forrású hírszerzés (OSINT) alapján dolgoznak, hogy információkat gyűjtsenek a célpont körül és azonosítsák a potenciális gyenge pontokat.
Aztán ezt támadásra használják fel, vagy social engineering taktikákat alkalmaznak (például adathalászat, pretexting, csalogatás vagy quid pro quo), hogy manipulálják az alkalmazottakat, és több információt szerezzenek a hálózathoz való hozzáféréshez.
Azért csalikat is készítenek, hogy a kék csapatot félrevezessék a nyomukból.
A vörös csapat támadásai lehetnek fizikaiak is. A vörös csapatok hozzáférhetnek az ügyfél infrastruktúrájának fizikai helyéhez (követéssel vagy más módon), és megnézhetik, milyen messzire tudnak eljutni.

Kék csapat

Ha vannak támadók, akkor vannak védők is. A kék csapat feladata a biztonságos hálózati infrastruktúra kiépítése és felügyelete, valamint a támadásokra való reagálás.

Főszerep: Biztonsági elemzők a saját biztonsági műveleti központjukban (SOC)

Munkastílus: A kék csapatok gyakran dolgoznak szervezeten belül, például biztonsági elemzők a saját SOC-jukon belül. Bár a vállalatok kiszervezhetik a kék csapatokat, ez saját kihívásokkal és korlátokkal jár, még akkor is, ha a felszínen ez pénzt takarít meg.

Fő célkitűzések:
– Egy rendszer sikeres védelme
– A vörös csapat / külső hacker észlelése, szembeszállása és korlátozása
– Az incidensek megértése és a válaszadás módja
– A gyanús forgalom észlelése
– Különböző médiumokon keresztül történő elemzése és törvényszéki vizsgálatok elvégzése
– Az aktuális “fenyegető szereplők” vagy műveletek felkutatása és a tudásuk alkalmazása

Hogyan: A kék csapatoknak számos készségre van szükségük egy rendszer sikeres védelméhez. Képesnek kell lenniük a SOC (Security Operations Centre) szerepének vállalására, a törvényszéki vizsgálatokra összpontosítva, az incidensre reagáló egységeket lefedve, valamint a biztonsági információ- és eseménykezelő rendszerekkel (SIEM) együttműködve. Képesnek kell lenniük a fenyegetésekkel kapcsolatos információk (jellemzően a kompromittálódásra utaló jelek) felkutatására is, amelyeket a SIEM rendszer szabályain vagy más szabályalapú eszközökön, például behatolásérzékelő vagy behatolásmegelőző rendszereken (IDS/IPS) keresztül alkalmaznak a hálózataikban.

A fő napi tevékenységek közé tartozik a forgalomelemzés és az adatelemzés elvégzése, a naplóadatok elemzése és felülvizsgálata, a SIEMS-ek használata az élő behatolások észlelésére és a hálózat láthatóságára, valamint egyéni szabályok létrehozása ezeken a SIEMS-eken belül az aktuális rosszindulatú fenyegető szereplők jobb észlelése érdekében.

Lila csapat

A Lila csapat egy új közös megközelítés; a kék és a piros csapat kombinációja, amely az egyes csapatok közepén ül.

Fő szerep: A lila csapat tagjai felügyelik és optimalizálják a piros és kék csapatokat, hogy nagyobb kommunikációs csatornákat hozzanak létre, így elősegíthetik az együttműködésen alapuló kultúrát.

Munkastílus: A lila csapat jellemzően vezető biztonsági elemzőkből, fenyegetéselemző elemzőkből vagy a szervezeten belüli felsővezetőkből áll. A lila csapat a piros és a kék csapatokkal együtt dolgozik, hogy azonosítsa a gyenge pontokat, és javításokat javasoljon mindkét csapat belső működésében.

Fő célkitűzések:
– A piros és kék csapat közötti együttműködés ösztönzése
– Mind a piros, mind a kék csapat mellett dolgozik a gyenge pontok azonosítása érdekében
– Mindkét csapat belső működésének javítását javasolja
– Biztosítja a két csapat együttes maximális teljesítményét és eredményeit

Hogyan: A lila csapat a piros és kék csapat hatékonyságára, valamint együttműködési lehetőségeire épít, javítja a biztonsági ellenőrzéseket és maximalizálja a szervezetek kiberképességeit.

A lila csapat felügyeli ezeket a fejlesztéseket. Ha például egy behatolás-tesztelő meg akarja mondani egy biztonsági elemzőnek, hogyan frissítsen egy SIEM-szabályt egy új ellenfél észlelése érdekében, a lila csapat gondoskodik arról, hogy ez a feladat sikeresen teljesüljön.

A lila csapat végül biztosítja, hogy mind a piros, mind a kék csapatok együttesen maximális teljesítményt és kimenetet nyújtsanak. A lila csapatok rejtvényfejtők, akik gondoskodnak arról, hogy a vállalat a lehető legbiztonságosabb legyen a kibertérben.

Most már tudod, mit csinálnak az egyes csapatok, melyiknek szeretnél a részese lenni?