Rood vs. Blauw vs. Paars team

CyberStart
CyberStart

Follow
21 mei, 2019 – 4 min read

Als het gaat om cyberbeveiligingsrollen, hebben ze de neiging om in drie gekleurde ’teams’ te vallen. Hier ontleden we de taken van elk team, de vaardigheden die je nodig hebt en de manier waarop elk team met elkaar samenwerkt.

We zijn in beweging! Kom en vind ons op www.cyberstart.com/blog waar u nog meer tips, trucs en ondersteuning uit de branche zult vinden. Tot ziens!

Red Team

Aanvallen op netwerken en opsporen van de zwakke plekken; red team-rollen worden ingehuurd om een hacker te simuleren die probeert in te breken in een applicatie, of deze nu webgebaseerd, op een computer of op een mobiele telefoon is geïnstalleerd.

Meer belangrijke rol: Een ‘hacker’ genaamd een Penetration Tester.

Werkstijl: Experts van het rode team zijn meestal freelance en ingehuurd door het doelbedrijf om hun verdediging te testen (die door het blauwe team is gemaakt)
Hoewel sommige bedrijven in-house rode teams hebben om hun netwerken te testen en voorstellen te doen om ze beter te maken.

Hoofddoelstellingen:
– De beveiliging van het doelsysteem compromitteren
– Bugs en kwetsbaarheden uitbuiten
– De verdedigingscapaciteiten van het blauwe team beoordelen (en hun detectie vermijden)

Hoe: Rode teams werken op basis van initiële verkenning en open-source intelligence (OSINT) om informatie rond het doelwit te verzamelen en potentiële zwakke plekken te identificeren.
Ze gebruiken dit vervolgens om aanvallen uit te voeren of social engineering-tactieken toe te passen (zoals phishing, pretexting, baiting of quid pro quo) om werknemers te manipuleren en meer informatie te verkrijgen om toegang tot het netwerk te krijgen.
Ze creëren ook lokvogels om het blauwe team op een dwaalspoor te brengen.
Aanvallen van rode teams kunnen ook fysiek zijn. Rode teams kunnen toegang krijgen tot de fysieke locatie van de infrastructuur van een klant (door tailgating of andere middelen) en kijken hoe ver ze daar kunnen komen.

Blauw Team

Als je aanvallers hebt, heb je ook verdedigers. Het blauwe team is verantwoordelijk voor het opzetten van een beveiligde netwerkinfrastructuur en het bewaken ervan, en het reageren op eventuele aanvallen.

Hoofdrol: Security Analisten binnen hun eigen Security Operations Centre (SOC)

Werkstijl: Blauwe teams werken vaak binnen organisaties, zoals Security Analisten binnen hun eigen SOC. Hoewel bedrijven blauwe teams kunnen uitbesteden, brengt dit zijn eigen uitdagingen en beperkingen met zich mee, zelfs als het aan de oppervlakte geld bespaart.

Hoofddoelstellingen:
– Een systeem succesvol verdedigen
– Het rode team / een hacker van buitenaf opsporen, tegengaan en beperken
– Incidenten begrijpen en hoe daarop te reageren
– Verdacht verkeer opmerken
– Forensisch onderzoek analyseren en uitvoeren via verschillende media
– Huidige ‘dreigingsactoren’ of operaties onderzoeken en hun kennis toepassen

Hoe: Blauwe teams hebben veel vaardigheden nodig om een systeem succesvol te verdedigen. Ze moeten in staat zijn een SOC-rol (Security Operations Centre) op zich te nemen, zich te richten op forensisch onderzoek, incident response-eenheden te bestrijken en te werken met SIEM-systemen (Security Information and Event Management). Ze moeten ook onderzoek kunnen doen naar informatie over bedreigingen (meestal indicatoren van compromittering) en deze kunnen toepassen op hun netwerken via regels van SIEM-systemen of andere op regels gebaseerde apparaten zoals inbraakdetectie- of inbraakpreventiesystemen (IDS/IPS).

De belangrijkste dagelijkse activiteiten omvatten het uitvoeren van verkeersanalyses en gegevensanalyses, het analyseren en beoordelen van loggegevens, het gebruik van SIEMS voor de detectie van live inbraken en netwerkzichtbaarheid, en het maken van aangepaste regels binnen deze SIEMS om huidige kwaadaardige dreigingsactoren beter te detecteren.

Purple Team

Het Purple Team is een nieuwe gezamenlijke aanpak; een combinatie van zowel blauwe als rode teams die in het midden van elk team zitten.

Meer belangrijke rol: Paarse teamleden overzien en optimaliseren rode en blauwe teams om meer communicatiekanalen tot stand te brengen, zodat ze een meer collaboratieve cultuur kunnen bevorderen.

Werkstijl: Paars team wordt doorgaans gevormd uit Senior Security Analisten, Threat Intelligence Analisten of Senior Management binnen een organisatie. Het paarse team werkt samen met zowel het rode als het blauwe team om zwakke punten te identificeren en verbeteringen voor te stellen in de interne werking van beide teams.

Belangrijkste doelstellingen:
– Samenwerking tussen rode en blauwe team aanmoedigen
– Werken naast zowel rode als blauwe teams om zwakke punten te identificeren
– Verbeteringen voorstellen in de interne werking van beide teams
– Zorgt voor de maximale levering en output van beide teams gezamenlijk

Hoe: Het paarse team bouwt voort op de effectiviteit van zowel rode als blauwe teams, evenals hun potentieel voor samenwerking, waardoor hun beveiligingscontroles worden verbeterd en de cybercapaciteiten van de organisaties worden gemaximaliseerd.

Paarse teams houden toezicht op deze verbeteringen. Bijvoorbeeld, als een Penetration Tester een Security Analyst wil vertellen hoe een SIEM-regel moet worden bijgewerkt om een nieuwe tegenstander te detecteren, zal het paarse team ervoor zorgen dat deze taak met succes wordt voltooid.

Ultimately, het paarse team zorgt voor de maximale levering en output van zowel rode als blauwe teams gezamenlijk. Paarse teams zijn puzzeloplossers, die ervoor zorgen dat een bedrijf zo cyberveilig mogelijk is.

Nu je weet wat elk team doet, van welk team zou je deel willen uitmaken?