Rött mot blått mot blått. Purple team

CyberStart
CyberStart

Follow

21 maj, 2019 – 4 min read

När det gäller cybersäkerhetsroller tenderar de att falla in i tre färgade ”team”. Här analyserar vi varje grupps uppgifter, vilka färdigheter du behöver och hur varje grupp interagerar med varandra.

Vi flyttar! Kom och hitta oss på www.cyberstart.com/blog där du hittar ännu fler tips, tricks och branschstöd. Vi ses där!

Red Team

Att attackera nätverk och hitta sårbarheter; red team-roller anlitas för att simulera en hackare som försöker bryta sig in i ett program, oavsett om de är webbaserade, installerade på en dator eller på en mobiltelefon.

Huvudroll: En ”hackare” som kallas för penetrationstestare.

Arbetsstil: Vissa företag har dock interna röda team som testar sina nätverk och föreslår hur de kan göra dem bättre.

Huvudmål:
– Att äventyra målsystemets säkerhet
– Utnyttja buggar och sårbarheter
– Bedöma det blå teamets försvarsförmåga (och undvika att de upptäcks)

Huvudmål:
– Att äventyra målsystemets säkerhet
– Utnyttja buggar och sårbarheter
– Utvärdera det blå teamets försvarsförmåga (och undvika att de upptäcks)

Hur: En penetrationsoperatör är en person som har en egen expertis och som har en egen expertis: Red teams arbetar utifrån inledande spaning och underrättelser från öppna källor (OSINT) för att samla in information om målet och identifiera potentiella svaghetsområden.
De använder sedan detta för att attackera eller tillämpa social ingenjörstaktik (som phishing, pretexting, baiting eller quid pro quo) för att manipulera anställda och få mer information för att få tillgång till nätverket.
De skapar också lockbete för att avleda det blå teamet från deras spår.
Angrepp från det röda teamet kan också vara fysiska. Röda team kan få tillgång till den fysiska platsen för en kunds infrastruktur (genom att följa efter eller på annat sätt) och se hur långt de kan ta sig dit.

Blue Team

Om man har angripare har man också försvarare. Det blå laget ansvarar för att sätta upp en säker nätverksinfrastruktur och övervaka den samt svara på eventuella attacker.

Huvudroll: Säkerhetsanalytiker inom deras eget Security Operations Centre (SOC)

Arbetssätt: Arbetssätt: Blå team arbetar ofta inom organisationer, t.ex. som säkerhetsanalytiker inom sitt eget SOC. Företag kan lägga ut blå team på entreprenad, men det innebär sina egna utmaningar och begränsningar även om det på ytan sparar pengar.

Huvudmål:
– Att framgångsrikt försvara ett system
– Att upptäcka, motsätta sig och begränsa det röda teamet/en utomstående hackare
– Att förstå incidenter och hur man reagerar
– Att lägga märke till misstänkt trafik
– Att analysera och genomföra kriminaltekniska tester med hjälp av olika medier
– Att forska om aktuella ”hotaktörer” eller operationer och tillämpa sina kunskaper

Hur: Blå team kräver många färdigheter för att framgångsrikt försvara ett system. De måste kunna ta på sig en SOC-roll (Security Operations Centre) med inriktning på kriminalteknik, täcka enheter för incidenthantering och arbeta med SIEM-system (Security Information and Event Management). De måste också kunna undersöka information om hot (vanligtvis indikatorer på kompromiss) och tillämpa den på sina nätverk via SIEM-systemregler eller andra regelbaserade enheter som intrångsdetekterings- eller intrångsförebyggande system (IDS/IPS).

De huvudsakliga dagliga aktiviteterna inkluderar att utföra trafikanalyser och dataanalyser, analysera och granska loggdata, använda SIEMS för upptäckt av levande intrång och nätverkssynlighet samt skapa anpassade regler inom dessa SIEMS för att bättre upptäcka aktuella skadliga hotaktörer.

Purple Team

Lila teamet är ett nytt gemensamt tillvägagångssätt; en kombination av både blåa och röda team som sitter i mitten av varje team.

Huvudsaklig roll: Lila lagmedlemmar övervakar och optimerar röda och blå lag för att skapa större kommunikationskanaler så att de kan främja en mer samarbetsinriktad kultur.

Arbetssätt: Arbetsstil: Arbetar i en grupp med en gemensam arbetsmiljö: Lila teamet består vanligtvis av ledande säkerhetsanalytiker, hotunderrättelseanalytiker eller ledande befattningshavare inom en organisation. Det lila teamet arbetar tillsammans med både röda och blå team för att identifiera svagheter och föreslå förbättringar i båda teamens inre arbete.

Huvudmål:
– Uppmuntra samarbete mellan röda och blå team
– Arbeta tillsammans med både röda och blå team för att identifiera svagheter
– Föreslå förbättringar i båda teamens inre arbete
– Säkerställa maximal leverans och resultat från båda teamen tillsammans

Hur: Det lila teamet bygger vidare på effektiviteten hos både röda och blå team, samt deras potential för samarbete, och förbättrar deras säkerhetskontroller och maximerar organisationens cyberkapaciteter.

Det lila teamet övervakar dessa förbättringar. Om en penetrationstestare till exempel vill berätta för en säkerhetsanalytiker hur en SIEM-regel ska uppdateras för att upptäcka en ny motståndare, kommer det lila teamet att se till att uppgiften genomförs med framgång.

I slutändan säkerställer det lila teamet maximala leveranser och resultat från både röda och blå team tillsammans. De lila grupperna löser pussel och ser till att företaget är så cybersäkert som möjligt.

Nu vet du vad varje grupp gör, vilken grupp skulle du vilja vara en del av?