Când vine vorba de rolurile de securitate cibernetică, acestea tind să se împartă în trei „echipe” colorate. Aici, disecăm îndatoririle fiecăreia, competențele de care aveți nevoie și modul în care fiecare echipă interacționează între ele.
Ne mutăm! Veniți să ne găsiți pe www.cyberstart.com/blog, unde veți găsi și mai multe sfaturi, trucuri și sprijin în industrie. Ne vedem acolo!
Red Team
Atactarea rețelelor și găsirea vulnerabilităților; rolurile red team sunt angajate pentru a simula un hacker care încearcă să pătrundă într-o aplicație, fie că sunt bazate pe web, instalate pe un calculator sau pe un telefon mobil.
Rolul principal: Un „hacker” numit Penetration Tester.
Stilul de lucru: Experții echipei roșii sunt, de obicei, freelanceri și sunt angajați de compania țintă pentru a le testa apărarea (care este creată de echipa albastră)
Cu toate acestea, unele companii au echipe roșii interne care le testează rețelele și sugerează cum să le îmbunătățească.
Obiective principale:
– Să compromită securitatea sistemului țintă
– Să exploateze bug-uri și vulnerabilități
– Să evalueze capacitățile defensive ale echipei albastre (și să evite detectarea lor)
Cum: Echipele roșii lucrează pe baza recunoașterii inițiale și a informațiilor din surse deschise (OSINT) pentru a colecta informații în jurul țintei și pentru a identifica potențialele zone de slăbiciune.
Apoi folosesc aceste informații pentru a ataca sau pentru a aplica tactici de inginerie socială (cum ar fi phishing, pretexting, baiting sau quid pro quo) pentru a manipula angajații și a obține mai multe informații pentru a accesa rețeaua.
De asemenea, ei creează momeli pentru a îndepărta echipa albastră de pe urmele lor.
Atacurile echipei roșii pot fi, de asemenea, fizice. Echipele roșii ar putea obține acces la locația fizică a infrastructurii unui client (prin urmărire sau prin alte mijloace) și să vadă cât de departe pot ajunge acolo.
Echipa albastră
Dacă aveți atacatori, aveți și apărători. Echipa albastră este responsabilă de crearea unei infrastructuri de rețea securizate și de monitorizarea acesteia, răspunzând la orice atac.
Rolul principal: Analiști de securitate în cadrul propriului centru de operațiuni de securitate (SOC)
Stil de lucru: Echipele albastre lucrează adesea în interiorul organizațiilor, cum ar fi analiștii de securitate în cadrul propriului lor SOC. În timp ce companiile pot externaliza pentru echipele albastre, acest lucru prezintă propriile provocări și limitări, chiar dacă la suprafață se economisesc bani.
Obiective principale:
– Să apere cu succes un sistem
– Să detecteze, să se opună și să limiteze echipa roșie / un hacker extern
– Să înțeleagă incidentele și cum să răspundă
– Să observe traficul suspect
– Să analizeze și să efectueze teste criminalistice prin diferite mijloace
– Să cerceteze „actori de amenințare” sau operațiuni actuale și să aplice cunoștințele lor
Cum: Echipele albastre necesită multe abilități pentru a apăra cu succes un sistem. Ele trebuie să fie capabile să își asume un rol SOC (Security Operations Centre), concentrându-se pe criminalistică, să acopere unitățile de răspuns la incidente și să lucreze cu sistemele de gestionare a informațiilor și evenimentelor de securitate (SIEM). De asemenea, aceștia trebuie să fie capabili să cerceteze informații despre amenințări (de obicei, indicatori de compromitere) și să le aplice în rețelele lor prin intermediul regulilor sistemului SIEM sau al altor dispozitive bazate pe reguli, cum ar fi sistemele de detectare a intruziunilor sau de prevenire a intruziunilor (IDS/IPS).
Principalele activități de zi cu zi includ efectuarea de analize de trafic și analize de date, analizarea și revizuirea datelor de jurnal, utilizarea SIEMS pentru detectarea intruziunilor în direct și vizibilitatea rețelei și crearea de reguli personalizate în cadrul acestor SIEMS pentru a detecta mai bine actorii actuali de amenințări rău intenționate.
Purple Team
Purple Team este o nouă abordare comună; o combinație de echipe albastre și roșii care stau în mijlocul fiecărei echipe.
Rolul principal: Membrii echipei mov supraveghează și optimizează echipele roșii și albastre pentru a stabili canale de comunicare mai mari, astfel încât să poată promova o cultură mai colaborativă.
Stilul de lucru: Echipa mov este formată, de obicei, din analiști de securitate seniori, analiști de informații privind amenințările sau din conducerea superioară a unei organizații. Echipa violet lucrează alături de echipele roșii și albastre pentru a identifica punctele slabe și a sugera îmbunătățiri în funcționarea interioară a ambelor echipe.
Obiective principale:
– Încurajarea colaborării între echipa roșie și cea albastră
– Lucrează alături de ambele echipe, roșie și albastră, pentru a identifica punctele slabe
– Sugera îmbunătățiri în funcționarea interioară a ambelor echipe
– Asigură livrarea și rezultatele maxime ale ambelor echipe în mod colectiv
Cum: Echipa violet se bazează pe eficacitatea ambelor echipe, roșie și albastră, precum și pe potențialul lor de colaborare, îmbunătățind controalele de securitate și maximizând capacitățile cibernetice ale organizațiilor.
Echipa violet supraveghează aceste îmbunătățiri. De exemplu, dacă un Penetration Tester vrea să-i spună unui analist de securitate cum să actualizeze o regulă SIEM pentru a detecta un nou adversar, echipa violet se va asigura că această sarcină este îndeplinită cu succes.
În cele din urmă, echipa violet asigură livrarea și rezultatele maxime atât din partea echipelor roșii, cât și a celor albastre în mod colectiv. Echipele violet rezolvă puzzle-uri, asigurându-se că o companie este cât mai sigură din punct de vedere cibernetic.
Acum știți ce face fiecare echipă, din care ați dori să faceți parte?
.