Jeśli chodzi o role związane z cyberbezpieczeństwem, mają one tendencję do dzielenia się na trzy kolorowe „zespoły”. Tutaj omawiamy obowiązki każdego z nich, potrzebne umiejętności i sposób, w jaki każdy zespół współdziała ze sobą.
Ruszamy! Odwiedź nas na www.cyberstart.com/blog, gdzie znajdziesz jeszcze więcej wskazówek, trików i wsparcia branżowego. Do zobaczenia!
Red Team
Atakowanie sieci i znajdowanie luk w zabezpieczeniach; role red team są zatrudniane w celu symulowania hakera próbującego włamać się do aplikacji, niezależnie od tego, czy są one oparte na sieci, zainstalowane na komputerze czy na telefonie komórkowym.
Główna rola: 'Haker’ zwany testerem penetracyjnym.
Styl pracy: Eksperci zespołu czerwonego są zazwyczaj wolnymi strzelcami i są wynajmowani przez docelową firmę do testowania ich systemów obronnych (które są tworzone przez zespół niebieski)
Jednakże niektóre firmy mają wewnętrzne zespoły czerwone do testowania swoich sieci i sugerowania, jak je ulepszyć.
Główne cele:
– Naruszenie bezpieczeństwa systemu docelowego
– Wykorzystanie błędów i luk w zabezpieczeniach
– Ocena możliwości obronnych zespołu niebieskiego (i uniknięcie ich wykrycia)
Jak: Czerwone zespoły pracują na podstawie wstępnego rozpoznania i wywiadu z otwartego źródła (OSINT), aby zebrać informacje o celu i zidentyfikować potencjalne obszary słabości.
Ataki czerwonych zespołów mogą być również fizyczne. Czerwone zespoły mogą uzyskać dostęp do fizycznej lokalizacji infrastruktury klienta (poprzez podkradanie lub inne sposoby) i sprawdzić, jak daleko mogą się tam dostać.
Niebieski zespół
Jeśli masz napastników, masz też obrońców. Niebieski zespół jest odpowiedzialny za tworzenie bezpiecznej infrastruktury sieciowej i monitorowanie jej, reagując na wszelkie ataki.
Główna rola: Analitycy bezpieczeństwa w ramach własnego Security Operations Centre (SOC)
Styl pracy: Niebieskie zespoły często pracują wewnątrz organizacji, np. jako Analitycy Bezpieczeństwa w ramach własnego SOC. Chociaż firmy mogą zlecać pracę niebieskich zespołów na zewnątrz, wiąże się to z własnymi wyzwaniami i ograniczeniami, nawet jeśli pozornie pozwala to zaoszczędzić pieniądze.
Główne cele:
– Skuteczna obrona systemu
– Wykrycie, przeciwstawienie się i ograniczenie czerwonego zespołu / hakera z zewnątrz
– Zrozumienie incydentów i sposobu reagowania
– Zauważenie podejrzanego ruchu
– Analiza i podejmowanie testów kryminalistycznych za pomocą różnych mediów
– Badanie obecnych „aktorów zagrożeń” lub operacji i zastosowanie ich wiedzy
Jak: Niebieskie zespoły wymagają wielu umiejętności, aby skutecznie bronić systemu. Muszą być w stanie podjąć się roli SOC (Security Operations Centre), koncentrując się na kryminalistyce, obejmować jednostki reagowania na incydenty i pracować z systemami zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM). Muszą również być w stanie badać informacje o zagrożeniach (zazwyczaj wskaźniki kompromisu), stosując je w swoich sieciach za pomocą reguł systemu SIEM lub innych urządzeń opartych na regułach, takich jak systemy wykrywania włamań lub zapobiegania włamaniom (IDS/IPS).
Główne codzienne czynności obejmują analizę ruchu sieciowego i analizę danych, analizę i przegląd danych dziennika, wykorzystywanie systemów SIEMS do wykrywania włamań na żywo i widoczności sieci oraz tworzenie niestandardowych reguł w ramach tych systemów SIEMS w celu lepszego wykrywania bieżących złośliwych podmiotów stanowiących zagrożenie.
Purpurowy zespół
Purpurowy zespół to nowe wspólne podejście; połączenie zarówno niebieskich, jak i czerwonych zespołów, siedzących w środku każdego z nich.
Główna rola: Członkowie zespołu Purple nadzorują i optymalizują zespoły czerwone i niebieskie, aby ustanowić większe kanały komunikacji, dzięki czemu mogą sprzyjać kulturze większej współpracy.
Styl pracy: Zespół purpurowy jest zazwyczaj tworzony ze starszych analityków bezpieczeństwa, analityków Threat Intelligence lub wyższej kadry kierowniczej w organizacji. Fioletowy zespół pracuje obok zespołów czerwonych i niebieskich, aby zidentyfikować słabe punkty i zasugerować ulepszenia w wewnętrznych działaniach obu zespołów.
Główne cele:
– Zachęcanie do współpracy między zespołem czerwonym i niebieskim
– Praca obok obu zespołów czerwonych i niebieskich w celu zidentyfikowania słabych punktów
– Sugerowanie ulepszeń w wewnętrznych działaniach obu zespołów
– Zapewnienie maksymalnych dostaw i wyników obu zespołów łącznie
Jak: Zespół fioletowy opiera się na skuteczności obu zespołów czerwonych i niebieskich, a także na ich potencjale współpracy, zwiększając ich kontrole bezpieczeństwa i maksymalizując możliwości cybernetyczne organizacji.
Zespoły fioletowe nadzorują te ulepszenia. Na przykład, jeśli tester penetracji chce powiedzieć analitykowi ds. bezpieczeństwa, jak zaktualizować regułę SIEM, aby wykryć nowego przeciwnika, fioletowy zespół upewni się, że zadanie to zostanie pomyślnie wykonane.
W ostatecznym rozrachunku fioletowy zespół zapewnia maksymalne dostawy i wyniki zarówno czerwonych, jak i niebieskich zespołów łącznie. Fioletowe zespoły rozwiązują zagadki, upewniając się, że firma jest tak bezpieczna pod względem cybernetycznym, jak to tylko możliwe.
Teraz wiesz, czym zajmują się poszczególne zespoły, do którego z nich chciałbyś należeć?