Quando si tratta di ruoli di cybersecurity, tendono a rientrare in tre “squadre” colorate. Qui, sezioniamo i compiti di ciascuno, le competenze necessarie e il modo in cui ogni team interagisce con gli altri.
Ci stiamo muovendo! Vieni a trovarci su www.cyberstart.com/blog dove troverai ancora più consigli, trucchi e supporto industriale. Ci vediamo lì!
Red Team
Attaccare le reti e trovare le vulnerabilità; i ruoli del red team sono assunti per simulare un hacker che cerca di penetrare un’applicazione, sia essa basata sul web, installata su un computer o su un telefono cellulare.
Ruolo principale: Un ‘hacker’ chiamato Penetration Tester.
Stile di lavoro: Gli esperti del team rosso sono di solito freelance e vengono assunti dall’azienda bersaglio per testare le loro difese (che sono create dal team blu)
Tuttavia, alcune aziende hanno team rossi interni per testare le loro reti e suggerire come migliorarle.
Obiettivi principali:
– Compromettere la sicurezza del sistema bersaglio
– Sfruttare bug e vulnerabilità
– Valutare le capacità difensive del team blu (ed evitare il loro rilevamento)
Come: Le squadre rosse lavorano sulla base della ricognizione iniziale e dell’intelligence open-source (OSINT) per raccogliere informazioni sull’obiettivo e identificare potenziali aree di debolezza.
Poi usano questo per attaccare o applicare tattiche di ingegneria sociale (come phishing, pretexting, baiting o quid pro quo) per manipolare i dipendenti e ottenere più informazioni per accedere alla rete.
Creano anche esche per depistare la squadra blu.
Gli attacchi della squadra rossa possono anche essere fisici. Le squadre rosse potrebbero ottenere l’accesso alla posizione fisica dell’infrastruttura di un cliente (tramite pedinamento o altri mezzi) e vedere quanto lontano possono arrivare.
Blue Team
Se hai degli attaccanti, hai anche dei difensori. Il blue team è responsabile della creazione di un’infrastruttura di rete sicura e del suo monitoraggio, rispondendo a qualsiasi attacco.
Ruolo principale: Analisti di sicurezza all’interno del proprio Security Operations Centre (SOC)
Stile di lavoro: I blue team spesso lavorano all’interno delle organizzazioni, come gli analisti di sicurezza all’interno del proprio SOC. Mentre le aziende possono esternalizzare per i blue team, ciò presenta le proprie sfide e limitazioni anche se in superficie si risparmia denaro.
Obiettivi principali:
– Difendere con successo un sistema
– Rilevare, contrastare e limitare il red team / un hacker esterno
– Capire gli incidenti e come rispondere
– Notare il traffico sospetto
– Analizzare e intraprendere test forensi attraverso diversi mezzi
– Ricercare gli attuali “attori di minacce” o operazioni e applicare la loro conoscenza
Come: I blue team richiedono molte abilità per difendere con successo un sistema. Devono essere in grado di assumere un ruolo SOC (Security Operations Centre), concentrandosi sulla forense, coprire le unità di risposta agli incidenti e lavorare con le informazioni di sicurezza e i sistemi di gestione degli eventi (SIEM). Devono anche essere in grado di ricercare informazioni sulle minacce (tipicamente indicatori di compromissione), applicandole alle loro reti attraverso le regole del sistema SIEM o altri dispositivi basati su regole come i sistemi di rilevamento delle intrusioni o di prevenzione delle intrusioni (IDS/IPS).
Le principali attività quotidiane includono l’esecuzione di analisi del traffico e dei dati, l’analisi e la revisione dei dati di log, l’utilizzo di SIEMS per il rilevamento di intrusioni dal vivo e la visibilità della rete, e la creazione di regole personalizzate all’interno di questi SIEMS per individuare meglio gli attuali attori di minacce dannose.
Il Purple Team è un nuovo approccio comune; una combinazione di entrambi i team blu e rosso seduti al centro di ogni team.
Ruolo principale: I membri del team viola supervisionano e ottimizzano i team rossi e blu per stabilire maggiori canali di comunicazione in modo da favorire una cultura più collaborativa.
Stile di lavoro: Il team viola è tipicamente formato da analisti di sicurezza senior, analisti di intelligence delle minacce o dal senior management di un’organizzazione. Il team viola lavora a fianco dei team rossi e blu per identificare i punti deboli e suggerire miglioramenti nel funzionamento interno di entrambi i team.
Obiettivi principali:
– Incoraggiare la collaborazione tra i team rosso e blu
– Lavorare a fianco dei team rosso e blu per identificare i punti deboli
– Suggerire miglioramenti nel funzionamento interno di entrambi i team
– Assicura la massima consegna e i risultati di entrambi i team collettivamente
Come: Il team viola si basa sull’efficacia dei team rosso e blu, così come sul loro potenziale di collaborazione, migliorando i controlli di sicurezza e massimizzando le capacità informatiche delle organizzazioni.
I team viola supervisionano questi miglioramenti. Per esempio, se un Penetration Tester vuole dire a un Security Analyst come aggiornare una regola SIEM per rilevare un nuovo avversario, il team viola si assicurerà che questo compito venga completato con successo.
In definitiva, il team viola assicura la massima consegna e i risultati di entrambi i team rossi e blu collettivamente. I team viola sono risolutori di puzzle, e si assicurano che un’azienda sia il più possibile sicura dal punto di vista informatico.
Ora che sai cosa fa ogni team, di quale vorresti far parte?