ProHoster > Dienoraštis > Administravimas > Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės
Šaltinis: Acunetix

Red Teaming yra sudėtingas tikrų atakų modeliavimas, skirtas sistemų kibernetiniam saugumui įvertinti. „Raudonoji komanda“ yra grupė pentestuotojai (specialistai, atliekantys įsiskverbimo į sistemą testą). Jie gali būti samdomi iš išorės arba jūsų organizacijos darbuotojų, tačiau visais atvejais jų vaidmuo yra tas pats – imituoti įsibrovėlių veiksmus ir bandyti įsiskverbti į jūsų sistemą.

Kartu su „raudonosiomis komandomis“ kibernetinio saugumo srityje yra nemažai kitų. Taigi, pavyzdžiui, „mėlynoji komanda“ (Blue Team) dirba kartu su raudonaisiais, tačiau jos veikla nukreipta į sistemos infrastruktūros saugumo gerinimą iš vidaus. Purpurinė komanda yra grandis, padedanti kitoms dviem komandoms kurti puolimo strategijas ir gynybą. Tačiau redtiming yra vienas iš mažiausiai suprantamų kibernetinio saugumo valdymo metodų, todėl daugelis organizacijų vis dar nenoriai taiko šios praktikos.
Šiame straipsnyje mes išsamiai paaiškinsime, kas slypi už Red Teaming koncepcijos ir kaip sudėtingų realių atakų modeliavimo praktikų įgyvendinimas gali padėti pagerinti jūsų organizacijos saugumą. Šio straipsnio tikslas – parodyti, kaip šis metodas gali žymiai padidinti jūsų informacinių sistemų saugumą.

Red Teaming apžvalga

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Nors mūsų laikais „raudonosios“ ir „mėlynosios“ komandos pirmiausia siejamos su informacinių technologijų ir kibernetinio saugumo sritimi, šias sąvokas sugalvojo kariškiai. Apskritai apie šias sąvokas pirmą kartą išgirdau kariuomenėje. Darbas kibernetinio saugumo analitiku devintajame dešimtmetyje labai skyrėsi nuo šiandienos: prieiga prie šifruotų kompiuterių sistemų buvo daug labiau apribota nei šiandien.

Priešingu atveju mano pirmoji patirtis, susijusi su karo žaidimais – modeliavimu, modeliavimu ir sąveika – buvo labai panaši į šiandieninį sudėtingą atakų modeliavimo procesą, kuris pateko į kibernetinį saugumą. Kaip ir dabar, didelis dėmesys buvo skiriamas socialinės inžinerijos metodų naudojimui, siekiant įtikinti darbuotojus suteikti „priešui“ netinkamą prieigą prie karinių sistemų. Todėl, nors techniniai atakų modeliavimo metodai nuo devintojo dešimtmečio gerokai pažengė į priekį, verta paminėti, kad daugelis pagrindinių priešingo požiūrio įrankių, ypač socialinės inžinerijos metodai, iš esmės nepriklauso nuo platformos.

Pagrindinė sudėtingo tikrų atakų imitavimo vertė taip pat nepasikeitė nuo devintojo dešimtmečio. Imituodami ataką prieš savo sistemas, lengviau aptiksite pažeidžiamumą ir suprasite, kaip jas galima išnaudoti. Ir nors anksčiau „redteaming“ pirmiausia naudojo „white hat“ įsilaužėliai ir kibernetinio saugumo specialistai, ieškantys pažeidžiamumų per įsiskverbimo testus, dabar jis tapo plačiau naudojamas kibernetinio saugumo ir verslo srityse.

Svarbiausia yra suprasti, kad jūs tikrai negalite pajusti savo sistemų saugumo, kol jos nebus užpultos. Ir užuot rizikuojant būti užpultam tikrų užpuolikų, daug saugiau imituoti tokią ataką raudona komanda.

Red Teaming: naudojimo atvejai

Paprastas būdas suprasti redtiming pagrindus – pažvelgti į kelis pavyzdžius. Štai du iš jų:

  • 1 scenarijus. Įsivaizduokite, kad klientų aptarnavimo svetainė buvo išbandyta ir sėkmingai išbandyta. Atrodytų, tai rodo, kad viskas tvarkoje. Tačiau vėliau, per sudėtingą netikrą ataką, raudonoji komanda atranda, kad nors pati klientų aptarnavimo programa veikia gerai, trečiosios šalies pokalbių funkcija negali tiksliai identifikuoti žmonių, o tai leidžia apgauti klientų aptarnavimo atstovus pakeisti savo el. pašto adresą. . paskyroje (dėl to naujas asmuo, užpuolikas, gali gauti prieigą).
  • 2 scenarijus. Atlikus bandymus buvo nustatyta, kad visi VPN ir nuotolinės prieigos valdikliai yra saugūs. Tačiau tuomet „raudonosios komandos“ atstovas laisvai praeina pro registracijos stalą ir išima vieno iš darbuotojų nešiojamąjį kompiuterį.

Abiem minėtais atvejais „raudonoji komanda“ tikrina ne tik kiekvienos atskiros sistemos patikimumą, bet ir visos sistemos, ar nėra trūkumų.

Kam reikalingas sudėtingas atakos modeliavimas?

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Trumpai tariant, beveik bet kuri įmonė gali gauti naudos iš redtiming. Taip, kaip parodyta mūsų 2019 m. pasaulinės duomenų rizikos ataskaitoje., gąsdinančiai daug organizacijų klaidingai mano, kad jos visiškai kontroliuoja savo duomenis. Pavyzdžiui, nustatėme, kad vidutiniškai 22% įmonės aplankų yra prieinami kiekvienam darbuotojui, o 87% įmonių savo sistemose turi daugiau nei 1000 pasenusių neskelbtinų failų.

Jei jūsų įmonė nedirba technologijų pramonėje, gali atrodyti, kad redtiming nebus jums daug naudos. Bet taip nėra. Kibernetinis saugumas yra ne tik konfidencialios informacijos apsauga.

Piktautojai lygiai taip pat stengiasi įsisavinti technologijas, nepriklausomai nuo įmonės veiklos srities. Pavyzdžiui, jie gali siekti gauti prieigą prie jūsų tinklo, kad nuslėptų savo veiksmus ir perimtų kitą sistemą ar tinklą kitur pasaulyje. Tokio tipo atakos atveju užpuolikams nereikia jūsų duomenų. Jie nori užkrėsti jūsų kompiuterius kenkėjiškomis programomis, kad su jų pagalba jūsų sistemą paverstų botnetų grupe.

Mažesnėms įmonėms gali būti sunku rasti išteklių išpirkti. Šiuo atveju prasminga šį procesą patikėti išoriniam rangovui.

Raudonoji komanda: rekomendacijos

Optimalus redtiming laikas ir dažnis priklauso nuo sektoriaus, kuriame dirbate, ir jūsų kibernetinio saugumo įrankių brandumo.

Visų pirma turėtumėte turėti automatizuotą veiklą, pvz., turto tyrinėjimą ir pažeidžiamumo analizę. Jūsų organizacija taip pat turėtų derinti automatizuotas technologijas su žmogaus priežiūra, reguliariai atlikdama pilną skverbties testą.
Baigę kelis įsiskverbimo bandymo verslo ciklus ir radę pažeidžiamumą, galite pereiti prie sudėtingo tikros atakos modeliavimo. Šiame etape redtiming atneš jums apčiuopiamos naudos. Tačiau pabandę tai padaryti dar neturėdami kibernetinio saugumo pagrindų, apčiuopiamų rezultatų neduosite.

Tikėtina, kad baltos kepurės komanda sugebės taip greitai ir lengvai sukompromituoti neparengtą sistemą, kad gausite per mažai informacijos, kad galėtumėte imtis tolesnių veiksmų. Norint pasiekti realų efektą, „raudonosios komandos“ gauta informacija turi būti palyginta su ankstesniais įsiskverbimo testais ir pažeidžiamumo vertinimais.

Kas yra prasiskverbimo testas?

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Dažnai painiojama su sudėtinga tikros atakos imitacija (Red Teaming). įsiskverbimo testas (pentestas), tačiau šie du metodai šiek tiek skiriasi. Tiksliau, įsiskverbimo testas yra tik vienas iš redtiming metodų.

Pentesterio vaidmuo gerai apibrėžta. Pentestuotojų darbas skirstomas į keturis pagrindinius etapus: planavimas, informacijos radimas, ataka ir pranešimai. Kaip matote, pentesters daro daugiau, nei tik ieško programinės įrangos spragų. Jie bando atsidurti įsilaužėlių vietoje, o kai patenka į jūsų sistemą, prasideda tikrasis jų darbas.

Jie atranda pažeidžiamumą ir tada įvykdo naujas atakas, remdamiesi gauta informacija, judėdami aplankų hierarchijoje. Tuo skverbties tikrintuvai skiriasi nuo tų, kurie samdomi tik pažeidžiamumui rasti, naudojant prievadų nuskaitymo programinę įrangą arba virusų aptikimą. Patyręs pentesteris gali nustatyti:

  • kur įsilaužėliai gali nukreipti savo ataką;
  • kaip įsilaužėliai užpuls;
  • Kaip elgsis jūsų gynyba?
  • galimas pažeidimo mastas.

Prasiskverbimo testavimas skirtas nustatyti trūkumus programos ir tinklo lygmenyje, taip pat galimybes įveikti fizines saugumo kliūtis. Nors automatizuotas testavimas gali atskleisti kai kurias kibernetinio saugumo problemas, rankiniu būdu tikrinant įsiskverbimą taip pat atsižvelgiama į įmonės pažeidžiamumą atakoms.

Red Teaming vs. prasiskverbimo bandymas

Be jokios abejonės, įsiskverbimo testavimas yra svarbus, tačiau tai tik viena dalis iš visos redtiming veiklos serijos. „Raudonosios komandos“ veikla turi daug platesnius tikslus nei pentesterių, kurie dažnai tiesiog siekia gauti prieigą prie tinklo. Redteaming dažnai apima daugiau žmonių, išteklių ir laiko, nes raudonoji komanda gilinasi, kad suprastų tikrąjį technologijų rizikos ir pažeidžiamumo lygį bei organizacijos žmogiškąjį ir fizinį turtą.

Be to, yra ir kitų skirtumų. Redtiming paprastai naudoja organizacijos, turinčios brandesnes ir pažangesnes kibernetinio saugumo priemones (nors praktikoje tai ne visada būna).

Paprastai tai yra įmonės, kurios jau atliko įsiskverbimo testus ir ištaisė daugumą rastų pažeidžiamumų, o dabar ieško žmogaus, kuris galėtų dar kartą bandyti pasiekti neskelbtiną informaciją arba bet kokiu būdu pažeisti apsaugą.
Štai kodėl redtiming remiasi saugos ekspertų komanda, susitelkusia į konkretų tikslą. Jie nukreipti į vidinius pažeidžiamumus ir organizacijos darbuotojams naudoja tiek elektronines, tiek fizines socialinės inžinerijos technologijas. Skirtingai nei pentestuotojai, raudonosios komandos skiria laiko savo atakų metu, norėdamos išvengti aptikimo, kaip tai darytų tikras elektroninis nusikaltėlis.

Red Teaming pranašumai

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Sudėtingas tikrų atakų modeliavimas turi daug privalumų, bet svarbiausia, kad šis metodas leidžia susidaryti išsamų organizacijos kibernetinio saugumo lygio vaizdą. Įprastas modeliuojamas atakos procesas nuo galo iki galo apimtų įsiskverbimo testą (tinklą, programą, mobilųjį telefoną ir kitą įrenginį), socialinę inžineriją (tiesiogiai vietoje, telefono skambučius, el. paštą arba tekstinius pranešimus ir pokalbius) ir fizinį įsibrovimą. ( spynų laužymas, negyvų apsaugos kamerų zonų aptikimas, perspėjimo sistemų apėjimas). Jei bet kuriame iš šių sistemos aspektų yra pažeidžiamumų, jie bus rasti.

Radus pažeidžiamumą, juos galima ištaisyti. Veiksminga atakų modeliavimo procedūra nesibaigia pažeidžiamumų atradimu. Kai saugumo trūkumai bus aiškiai nustatyti, norėsite juos pataisyti ir iš naujo išbandyti. Tiesą sakant, tikrasis darbas dažniausiai prasideda po raudonosios komandos įsibrovimo, kai kriminalistikai analizuojate ataką ir bandote sušvelninti rastus pažeidžiamumus.

Be šių dviejų pagrindinių privalumų, redtiming taip pat siūlo daugybę kitų. Taigi „raudonoji komanda“ gali:

  • nustatyti pagrindinių verslo informacijos išteklių atakų riziką ir pažeidžiamumą;
  • imituoti tikrų užpuolikų metodus, taktiką ir procedūras ribotos ir kontroliuojamos rizikos aplinkoje;
  • Įvertinkite savo organizacijos gebėjimą aptikti, reaguoti ir užkirsti kelią sudėtingoms, tikslinėms grėsmėms;
  • Skatinkite glaudų bendradarbiavimą su saugos skyriais ir mėlynosiomis komandomis, kad būtų užtikrintas reikšmingas poveikio mažinimo veiksnys ir surengus išsamius praktinius seminarus po aptiktų pažeidžiamumų.

Kaip veikia Red Teaming?

Puikus būdas suprasti, kaip veikia redtiming, yra pažvelgti į tai, kaip jis paprastai veikia. Įprastas sudėtingo atakos modeliavimo procesas susideda iš kelių etapų:

  • Organizacija susitaria su „raudonąja komanda“ (vidine ar išorine) dėl puolimo tikslo. Pavyzdžiui, toks tikslas galėtų būti slaptos informacijos iš konkretaus serverio nuskaitymas.
  • Tada „raudonoji komanda“ atlieka taikinio žvalgybą. Rezultatas yra tikslinių sistemų diagrama, įskaitant tinklo paslaugas, žiniatinklio programas ir vidinius darbuotojų portalus. .
  • Po to tikslinėje sistemoje ieškoma pažeidžiamumų, kurie dažniausiai diegiami naudojant sukčiavimo arba XSS atakas. .
  • Kai gaunami prieigos žetonai, raudonoji komanda naudoja juos tolesniam pažeidžiamumui tirti. .
  • Kai bus aptikta kitų pažeidžiamumų, „raudonoji komanda“ sieks padidinti savo prieigos lygį iki tokio lygio, kuris būtinas tikslui pasiekti. .
  • Gavus prieigą prie tikslinių duomenų ar turto, atakos užduotis laikoma baigta.

Tiesą sakant, patyręs raudonosios komandos specialistas naudos daugybę skirtingų metodų, kad atliktų kiekvieną iš šių veiksmų. Tačiau svarbiausias dalykas iš pirmiau pateikto pavyzdžio yra tas, kad nedideli atskirų sistemų pažeidžiamumai gali virsti katastrofiškais gedimais, jei jie yra sujungti.

Į ką reikėtų atsižvelgti kalbant apie „raudonąją komandą“?

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Norėdami išnaudoti visas redtiming galimybes, turite atidžiai pasiruošti. Kiekvienos organizacijos naudojamos sistemos ir procesai yra skirtingi, o redtiming kokybės lygis pasiekiamas tada, kai siekiama rasti jūsų sistemų pažeidžiamumą. Dėl šios priežasties svarbu atsižvelgti į keletą veiksnių:

Žinokite, ko ieškote

Visų pirma, svarbu suprasti, kurias sistemas ir procesus norite patikrinti. Galbūt žinote, kad norite išbandyti žiniatinklio programą, bet nelabai suprantate, ką tai iš tikrųjų reiškia ir kokios kitos sistemos yra integruotos į jūsų žiniatinklio programas. Todėl prieš pradėdami sudėtingą tikros atakos modeliavimą svarbu gerai išmanyti savo sistemas ir pašalinti visus akivaizdžius pažeidžiamumus.

Žinokite savo tinklą

Tai susiję su ankstesne rekomendacija, bet daugiau apie technines jūsų tinklo charakteristikas. Kuo geriau galėsite kiekybiškai įvertinti savo testavimo aplinką, tuo tikslesnė ir konkretesnė bus raudonoji komanda.

Žinokite savo biudžetą

Redtiming gali būti atliekamas skirtingais lygiais, tačiau visų tinklo atakų, įskaitant socialinę inžineriją ir fizinį įsibrovimą, modeliavimas gali būti brangus. Dėl šios priežasties svarbu suprasti, kiek galite išleisti tokiam čekiui, ir atitinkamai apibūdinti jo apimtį.

Žinokite savo rizikos lygį

Kai kurios organizacijos gali toleruoti gana aukštą rizikos lygį kaip dalį savo standartinių verslo procedūrų. Kiti turės daug labiau apriboti savo rizikos lygį, ypač jei įmonė veikia griežtai reguliuojamoje pramonėje. Todėl, atliekant redtiming, svarbu sutelkti dėmesį į riziką, kuri iš tikrųjų kelia pavojų jūsų verslui.

Raudonoji komanda: įrankiai ir taktika

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Tinkamai įgyvendinus, „raudonoji komanda“ surengs plataus masto ataką jūsų tinkluose, naudodama visus įsilaužėlių naudojamus įrankius ir metodus. Be kita ko, tai apima:

  • Programos skverbties bandymas - siekiama nustatyti programos lygio trūkumus, pvz., kelių svetainių užklausų klastojimą, duomenų įvedimo trūkumus, silpną seansų valdymą ir daugelį kitų.
  • Tinklo skverbties testavimas - siekiama nustatyti silpnąsias vietas tinklo ir sistemos lygiu, įskaitant netinkamas konfigūracijas, belaidžio tinklo pažeidžiamumą, neteisėtas paslaugas ir kt.
  • Fizinis įsiskverbimo bandymas — tikrinti fizinio saugumo kontrolės efektyvumą, taip pat stipriąsias ir silpnąsias puses realiame gyvenime.
  • socialinė inžinerija - siekiama išnaudoti žmonių ir žmogaus prigimties silpnybes, tikrinant žmonių jautrumą apgaulei, įtikinėjimui ir manipuliavimui naudojant sukčiavimo elektroninius laiškus, telefono skambučius ir trumpąsias žinutes, taip pat fizinį kontaktą vietoje.

Visi aukščiau išvardyti komponentai yra redtiming komponentai. Tai visapusiškas, daugiasluoksnis atakų modeliavimas, skirtas nustatyti, kaip jūsų žmonės, tinklai, programos ir fizinės saugos valdikliai gali atlaikyti tikro užpuoliko ataką.

Nuolatinis Red Teaming metodų tobulinimas

Sudėtingo tikrų atakų modeliavimo, kai raudonosios komandos bando rasti naujų saugumo spragų, o mėlynosios komandos – jas ištaisyti, pobūdis lemia nuolatinį tokių patikrinimų metodų tobulinimą. Dėl šios priežasties sunku sudaryti naujausią šiuolaikinių redtiming metodų sąrašą, nes jie greitai pasensta.

Todėl dauguma redteamerių bent dalį savo laiko praleis mokydamiesi apie naujus pažeidžiamumus ir juos išnaudodami, naudodamiesi daugybe raudonosios komandos bendruomenės teikiamų išteklių. Štai populiariausios iš šių bendruomenių:

  • Pentestro akademija yra prenumeratos paslauga, siūlanti internetinius vaizdo įrašų kursus, daugiausia dėmesio skiriant įsiskverbimo testavimui, taip pat kursus apie operacinės sistemos ekspertizę, socialinės inžinerijos užduotis ir informacijos saugos surinkimo kalbą.
  • Vincentas Yiu yra „įžeidžiantis kibernetinio saugumo operatorius“, kuris reguliariai rašo tinklaraščius apie sudėtingo realių atakų modeliavimo metodus ir yra geras naujų metodų šaltinis.
  • „Twitter“ taip pat yra geras šaltinis, jei ieškote naujausios „redtiming“ informacijos. Jį galite rasti su grotažymėmis #raudona komanda и #redteaming.
  • Danielis Miessleris yra dar vienas patyręs redtiming specialistas, kuris rengia naujienlaiškį ir podcast'as, veda веб-сайт ir daug rašo apie dabartines raudonųjų komandų tendencijas. Tarp pastarųjų jo straipsnių: „Purpurinės komandos pentestas reiškia, kad jūsų raudonai ir mėlynai komandoms nepavyko“ и „Atlygis už pažeidžiamumą ir kada naudoti pažeidžiamumo įvertinimą, įsiskverbimo testavimą ir visapusišką atakos modeliavimą“.
  • Kasdienis gurkšnis yra žiniatinklio saugos informacinis biuletenis, remiamas PortSwigger Web Security. Tai geras šaltinis norint sužinoti apie naujausius pokyčius ir naujienas redtiming srityje – įsilaužimus, duomenų nutekėjimą, išnaudojimus, žiniatinklio programų pažeidžiamumą ir naujas saugos technologijas.
  • Florianas Hansemannas yra baltos skrybėlės įsilaužėlis ir įsiskverbimo tikrintojas, kuris savo ruožtu reguliariai pristato naują raudonosios komandos taktiką dienoraščio įrašas.
  • MWR laboratorijos yra geras, nors ir itin techninis, redtiming naujienų šaltinis. Jie yra naudingi raudonosioms komandoms Įrankiaiir jų „Twitter“ kanalas yra patarimų, kaip išspręsti problemas, su kuriomis susiduria saugos bandytojai.
  • Emadas Šanabas – Advokatas ir „baltasis įsilaužėlis“. Jo „Twitter“ sklaidos kanale yra „raudonosioms komandoms“ naudingų metodų, tokių kaip SQL injekcijų rašymas ir OAuth prieigos raktų kūrimas.
  • Mitre priešinimosi taktika, metodai ir bendros žinios (ATT ir CK) yra kuruojama žinių apie užpuolikų elgesį bazė. Ji seka užpuolikų gyvavimo ciklo fazes ir platformas, į kurias jie nukreipiami.
  • Hacker Playbook yra įsilaužėlių vadovas, kuris, nors ir gana senas, apima daugelį pagrindinių metodų, kurie vis dar yra sudėtingo tikrų atakų imitavimo pagrindas. Autorius Peteris Kimas taip pat turi „Twitter“ kanalas, kuriame jis siūlo įsilaužimo patarimus ir kitą informaciją.
  • SANS institutas yra dar vienas pagrindinis kibernetinio saugumo mokymo medžiagos tiekėjas. Jų „Twitter“ kanalasSutelktas į skaitmeninę teismo ekspertizę ir reagavimą į incidentus, jame pateikiamos naujausios naujienos apie SANS kursus ir ekspertų praktikų patarimai.
  • Kai kurios įdomiausios naujienos apie redtiming yra paskelbtos Raudonosios komandos žurnalas. Yra straipsnių apie technologijas, pvz., „Red Teaming“ palyginimas su įsiskverbimo testavimu, taip pat analitinių straipsnių, tokių kaip „Raudonosios komandos specialisto manifestas“.
  • Galiausiai, „Awesome Red Teaming“ yra „GitHub“ bendruomenė, kuri siūlo labai išsamus sąrašas ištekliai, skirti Red Teaming. Ji apima beveik visus techninius raudonosios komandos veiklos aspektus – nuo ​​pradinės prieigos gavimo, kenkėjiškos veiklos vykdymo iki duomenų rinkimo ir ištraukimo.

„Mėlynoji komanda“ – kas tai?

Red Teaming yra sudėtingas atakų modeliavimas. Metodika ir priemonės

Turint tiek daug įvairiaspalvių komandų, gali būti sunku išsiaiškinti, kokio tipo reikia jūsų organizacijai.

Viena iš raudonosios komandos alternatyvų, o konkrečiau, kito tipo komandos, kuri gali būti naudojama kartu su raudonąja komanda, yra mėlynoji komanda. „Blue Team“ taip pat įvertina tinklo saugumą ir nustato galimus infrastruktūros pažeidžiamumus. Tačiau ji turi kitokį tikslą. Tokio tipo komandos reikalingos ieškant būdų apsaugoti, pakeisti ir pergrupuoti gynybos mechanizmus, kad reagavimas į incidentus būtų daug efektyvesnis.

Kaip ir raudonoji komanda, mėlynoji komanda turi turėti tokias pačias žinias apie puolėjo taktiką, metodus ir procedūras, kad galėtų pagal juos sukurti atsako strategijas. Tačiau mėlynosios komandos pareigos neapsiriboja vien gynyba nuo atakų. Ji taip pat dalyvauja stiprinant visą saugumo infrastruktūrą, naudojant, pavyzdžiui, įsibrovimų aptikimo sistemą (IDS), kuri nuolat analizuoja neįprastą ir įtartiną veiklą.

Štai keletas žingsnių, kurių „mėlynoji komanda“ imasi:

  • saugumo auditas, ypač DNS auditas;
  • žurnalo ir atminties analizė;
  • tinklo duomenų paketų analizė;
  • rizikos duomenų analizė;
  • Skaitmeninio pėdsako analizė;
  • atvirkštinės inžinerijos;
  • DDoS testavimas;
  • rizikos įgyvendinimo scenarijų kūrimas.

Raudonųjų ir mėlynųjų komandų skirtumai

Daugeliui organizacijų dažnai kyla klausimas, kurią komandą turėtų naudoti – raudoną ar mėlyną. Šį klausimą taip pat dažnai lydi draugiškas priešiškumas tarp žmonių, dirbančių „priešingose ​​barikadų pusėse“. Tiesą sakant, nė viena komanda neturi prasmės be kitos. Taigi teisingas atsakymas į šį klausimą yra tas, kad svarbios abi komandos.

Raudonoji komanda puola ir naudojama Mėlynosios komandos pasirengimui gintis patikrinti. Kartais raudonoji komanda gali rasti pažeidžiamumų, kurių mėlynoji komanda visiškai nepastebėjo. Tokiu atveju raudonoji komanda turi parodyti, kaip tas pažeidžiamumas gali būti ištaisytas.

Labai svarbu, kad abi komandos dirbtų kartu prieš kibernetinius nusikaltėlius, kad sustiprintų informacijos saugumą.

Dėl šios priežasties nėra prasmės rinktis tik vieną pusę ar investuoti tik į vieno tipo komandą. Svarbu atminti, kad abiejų pusių tikslas – užkirsti kelią elektroniniams nusikaltimams.
Kitaip tariant, įmonės turi užmegzti abipusį abiejų komandų bendradarbiavimą, kad būtų atliktas išsamus auditas – su visų atakų ir atliktų patikrinimų žurnalais, aptiktų funkcijų įrašais.

„Raudonoji komanda“ pateikia informaciją apie operacijas, kurias jie atliko per imituojamą ataką, o mėlynoji – apie veiksmus, kurių ėmėsi spragas užpildyti ir rastus pažeidžiamumus ištaisyti.

Negalima nuvertinti abiejų komandų svarbos. Be nuolatinių saugumo auditų, skverbties bandymų ir infrastruktūros tobulinimo įmonės nežinotų apie savo saugumo būklę. Bent jau tol, kol duomenys bus nutekinti ir skausmingai paaiškės, kad saugumo priemonių nepakako.

Kas yra violetinė komanda?

„Purpurinė komanda“ gimė iš bandymų suvienyti Raudonąją ir Mėlynąją komandas. Purpurinė komanda yra daugiau koncepcija nei atskiras komandos tipas. Tai geriausia žiūrėti kaip raudonos ir mėlynos komandos derinį. Ji įtraukia abi komandas, padeda joms dirbti kartu.

Purple komanda gali padėti saugos komandoms pagerinti pažeidžiamumo aptikimą, grėsmių aptikimą ir tinklo stebėjimą, tiksliai modeliuodama įprastus grėsmių scenarijus ir padedant sukurti naujus grėsmių aptikimo ir prevencijos metodus.

Kai kurios organizacijos įdarbina Purple Team vienkartinei veiklai, kuri aiškiai apibrėžia saugos tikslus, terminus ir pagrindinius rezultatus. Tai apima puolimo ir gynybos trūkumų pripažinimą, taip pat būsimų mokymo ir technologijų reikalavimų nustatymą.

Alternatyvus požiūris, kuris dabar įgauna pagreitį, yra žiūrėti į „Purple Team“ kaip vizionierišką modelį, kuris veikia visoje organizacijoje ir padeda kurti ir nuolat tobulinti kibernetinio saugumo kultūrą.

išvada

Red Teaming arba sudėtingas atakų modeliavimas yra galingas būdas patikrinti organizacijos saugumo spragas, tačiau jį reikia naudoti atsargiai. Visų pirma, norint juo naudotis, reikia turėti pakankamai pažangios informacijos saugumo apsaugos priemonėsPriešingu atveju jis gali nepateisinti į jį dedamų vilčių.
Redtiming gali atskleisti jūsų sistemos spragas, kurių net nežinojote, ir padėti jas ištaisyti. Laikydamiesi priešingo požiūrio tarp mėlynųjų ir raudonųjų komandų, galite imituoti, ką darytų tikras įsilaužėlis, jei norėtų pavogti jūsų duomenis ar sugadinti jūsų turtą.

Šaltinis: www.habr.com

Добавить комментарий