ProHoster > Blog > administracja > Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia
źródło: Acunetix

Red Teaming to kompleksowa symulacja rzeczywistych ataków w celu oceny cyberbezpieczeństwa systemów. „Czerwona Drużyna” to grupa pentestery (specjaliści wykonujący test penetracyjny do systemu). Mogą być zatrudnieni z zewnątrz lub pracownicy Twojej organizacji, ale we wszystkich przypadkach ich rola jest taka sama - naśladować działania intruzów i próbować spenetrować Twój system.

Wraz z „czerwonymi zespołami” w cyberbezpieczeństwie istnieje wiele innych. I tak np. „niebieski zespół” (Blue Team) współpracuje z czerwonym, ale jego działania mają na celu poprawę bezpieczeństwa infrastruktury systemu od wewnątrz. Fioletowy zespół jest łącznikiem, pomagając pozostałym dwóm zespołom w opracowaniu strategii ataku i obrony. Jednak redtiming jest jedną z najmniej poznanych metod zarządzania cyberbezpieczeństwem, a wiele organizacji niechętnie stosuje tę praktykę.
W tym artykule szczegółowo wyjaśnimy, co kryje się za koncepcją Red Teaming oraz w jaki sposób wdrożenie złożonych praktyk symulacyjnych rzeczywistych ataków może pomóc poprawić bezpieczeństwo Twojej organizacji. Celem tego artykułu jest pokazanie, w jaki sposób ta metoda może znacząco zwiększyć bezpieczeństwo Twoich systemów informatycznych.

Przegląd drużyn czerwonych

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

Choć w naszych czasach zespoły „czerwony” i „niebieski” kojarzą się przede wszystkim z dziedziną informatyki i cyberbezpieczeństwa, to koncepcje te zostały wymyślone przez wojsko. W ogóle to w wojsku po raz pierwszy usłyszałem o tych koncepcjach. Praca jako analityk cyberbezpieczeństwa w latach 1980. bardzo różniła się od dzisiejszej: dostęp do zaszyfrowanych systemów komputerowych był znacznie bardziej ograniczony niż obecnie.

Poza tym moje pierwsze doświadczenie z grami wojennymi — symulacją, symulacją i interakcją — było bardzo podobne do dzisiejszego złożonego procesu symulacji ataku, który znalazł zastosowanie w cyberbezpieczeństwie. Tak jak teraz, dużą wagę przywiązywano do wykorzystania metod socjotechnicznych w celu przekonania pracowników do umożliwienia „wrogowi” niewłaściwego dostępu do systemów wojskowych. Dlatego też, chociaż techniczne metody symulacji ataków znacznie się rozwinęły od lat 80., warto zauważyć, że wiele głównych narzędzi podejścia kontradyktoryjnego, a zwłaszcza techniki inżynierii społecznej, jest w dużej mierze niezależnych od platformy.

Podstawowa wartość złożonej imitacji prawdziwych ataków również nie zmieniła się od lat 80. Symulując atak na systemy, łatwiej jest odkryć luki w zabezpieczeniach i zrozumieć, w jaki sposób można je wykorzystać. I chociaż redteaming był używany głównie przez hakerów w białych kapeluszach i specjalistów od cyberbezpieczeństwa, którzy szukali luk w zabezpieczeniach poprzez testy penetracyjne, teraz stał się szerzej stosowany w cyberbezpieczeństwie i biznesie.

Kluczem do redtimingu jest zrozumienie, że tak naprawdę nie możesz poczuć bezpieczeństwa swoich systemów, dopóki nie zostaną zaatakowane. I zamiast narażać się na atak prawdziwych napastników, znacznie bezpieczniej jest zasymulować taki atak za pomocą czerwonej komendy.

Red Teaming: przypadki użycia

Łatwym sposobem zrozumienia podstaw redtimingu jest przyjrzenie się kilku przykładom. Oto dwa z nich:

  • Scenariusz 1. Wyobraź sobie, że witryna obsługi klienta została przetestowana i pomyślnie przetestowana. Wydawałoby się, że to sugeruje, że wszystko jest w porządku. Jednak później, podczas złożonego pozorowanego ataku, czerwony zespół odkrywa, że ​​chociaż sama aplikacja do obsługi klienta jest w porządku, funkcja czatu innej firmy nie może dokładnie zidentyfikować osób, co umożliwia nakłonienie przedstawicieli obsługi klienta do zmiany ich adresu e-mail na koncie (w wyniku czego nowa osoba, atakujący, może uzyskać dostęp).
  • Scenariusz 2. W wyniku pentestów stwierdzono, że wszystkie kontrole VPN i zdalnego dostępu są bezpieczne. Jednak wtedy przedstawiciel „czerwonej drużyny” swobodnie przechodzi obok stanowiska rejestracyjnego i wyciąga laptopa jednego z pracowników.

W obu powyższych przypadkach „czerwony zespół” sprawdza nie tylko niezawodność każdego pojedynczego systemu, ale także cały system jako całość pod kątem słabych punktów.

Kto potrzebuje złożonej symulacji ataku?

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

W skrócie, prawie każda firma może skorzystać z redtimingu. Jak pokazano w naszym Globalnym raporcie o ryzyku danych za 2019 r.przerażająco duża liczba organizacji żyje w fałszywym przekonaniu, że ma pełną kontrolę nad swoimi danymi. Odkryliśmy na przykład, że średnio 22% firmowych folderów jest dostępnych dla każdego pracownika, a 87% firm ma w swoich systemach ponad 1000 nieaktualnych wrażliwych plików.

Jeśli Twoja firma nie działa w branży technologicznej, może się wydawać, że redtiming nie przyniesie Ci wiele dobrego. Ale to nie jest. Cyberbezpieczeństwo to nie tylko ochrona poufnych informacji.

Złoczyńcy w równym stopniu próbują zdobyć technologie niezależnie od sfery działalności firmy. Na przykład mogą próbować uzyskać dostęp do twojej sieci, aby ukryć swoje działania mające na celu przejęcie innego systemu lub sieci w innym miejscu na świecie. W przypadku tego typu ataku osoby atakujące nie potrzebują Twoich danych. Chcą zainfekować twoje komputery złośliwym oprogramowaniem, aby z ich pomocą zamienić twój system w grupę botnetów.

W przypadku mniejszych firm znalezienie środków do wykorzystania może być trudne. W takim przypadku warto powierzyć ten proces zewnętrznemu wykonawcy.

Red Teaming: zalecenia

Optymalny czas i częstotliwość redtimingu zależy od sektora, w którym pracujesz, oraz dojrzałości Twoich narzędzi cyberbezpieczeństwa.

W szczególności powinieneś mieć zautomatyzowane działania, takie jak eksploracja zasobów i analiza podatności na zagrożenia. Twoja organizacja powinna również łączyć zautomatyzowaną technologię z nadzorem ludzkim, regularnie przeprowadzając pełne testy penetracyjne.
Po wykonaniu kilku cykli biznesowych testów penetracyjnych i znalezieniu podatności można przystąpić do złożonej symulacji prawdziwego ataku. Na tym etapie redtiming przyniesie Ci wymierne korzyści. Jednak próba zrobienia tego przed opanowaniem podstaw cyberbezpieczeństwa nie przyniesie wymiernych rezultatów.

Zespół białych kapeluszy prawdopodobnie będzie w stanie skompromitować nieprzygotowany system tak szybko i łatwo, że uzyskasz zbyt mało informacji, aby podjąć dalsze działania. Aby uzyskać rzeczywisty efekt, informacje uzyskane przez „czerwony zespół” muszą zostać porównane z wcześniejszymi testami penetracyjnymi i ocenami podatności.

Co to są testy penetracyjne?

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

Złożona imitacja prawdziwego ataku (Red Teaming) jest często mylona z testy penetracyjne (pentest), ale te dwie metody nieco się różnią. Mówiąc dokładniej, testy penetracyjne to tylko jedna z metod redtimingu.

Rola pentestera dobrze zdefiniowane. Praca pentesterów dzieli się na cztery główne etapy: planowanie, odkrywanie informacji, atak i raportowanie. Jak widać, pentesterzy nie tylko szukają luk w oprogramowaniu. Próbują postawić się na miejscu hakerów, a kiedy dostaną się do twojego systemu, zaczyna się ich prawdziwa praca.

Odkrywają luki w zabezpieczeniach, a następnie przeprowadzają nowe ataki na podstawie otrzymanych informacji, przechodząc przez hierarchię folderów. To właśnie odróżnia testerów penetracyjnych od tych, którzy są zatrudniani tylko po to, by znaleźć luki w zabezpieczeniach, używając oprogramowania do skanowania portów lub wykrywania wirusów. Doświadczony pentester może określić:

  • gdzie hakerzy mogą skierować swój atak;
  • sposób, w jaki hakerzy będą atakować;
  • Jak zachowa się twoja obrona?
  • możliwy zakres naruszenia.

Testy penetracyjne koncentrują się na identyfikacji słabych punktów na poziomie aplikacji i sieci, a także możliwości pokonania fizycznych barier bezpieczeństwa. Podczas gdy testy automatyczne mogą ujawnić pewne problemy z cyberbezpieczeństwem, ręczne testy penetracyjne uwzględniają również podatność firmy na ataki.

Drużyna czerwonych vs. testy penetracyjne

Niewątpliwie testy penetracyjne są ważne, ale to tylko jedna część całego szeregu działań związanych z redtimingiem. Działania „czerwonego zespołu” mają znacznie szersze cele niż pentesterów, którzy często po prostu dążą do uzyskania dostępu do sieci. Redteaming często wymaga więcej ludzi, zasobów i czasu, ponieważ czerwony zespół kopie głęboko, aby w pełni zrozumieć prawdziwy poziom ryzyka i wrażliwości technologii oraz zasobów ludzkich i fizycznych organizacji.

Ponadto istnieją inne różnice. Redtiming jest zwykle używany przez organizacje z bardziej dojrzałymi i zaawansowanymi środkami bezpieczeństwa cybernetycznego (chociaż nie zawsze tak jest w praktyce).

Są to zwykle firmy, które przeprowadziły już testy penetracyjne i naprawiły większość wykrytych luk, a teraz szukają kogoś, kto może ponownie spróbować uzyskać dostęp do wrażliwych informacji lub w jakikolwiek sposób złamać zabezpieczenia.
Właśnie dlatego redtiming opiera się na zespole ekspertów ds. Bezpieczeństwa skupionych na konkretnym celu. Celują w wewnętrzne słabości i stosują zarówno elektroniczne, jak i fizyczne techniki inżynierii społecznej na pracownikach organizacji. W przeciwieństwie do pentesterów, czerwone zespoły nie śpieszą się podczas ataków, chcąc uniknąć wykrycia, tak jak zrobiłby to prawdziwy cyberprzestępca.

Korzyści z czerwonego zespołu

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

Złożona symulacja rzeczywistych ataków ma wiele zalet, ale co najważniejsze, takie podejście pozwala uzyskać kompleksowy obraz poziomu cyberbezpieczeństwa organizacji. Typowy kompleksowy proces symulowanego ataku obejmowałby testy penetracyjne (sieć, aplikacja, telefon komórkowy i inne urządzenie), socjotechnikę (na żywo na miejscu, rozmowy telefoniczne, e-mail lub wiadomości tekstowe i czat) oraz wtargnięcie fizyczne (łamanie zamków, wykrywanie martwych stref kamer bezpieczeństwa, omijanie systemów ostrzegawczych). Jeśli w którymkolwiek z tych aspektów systemu występują luki, zostaną one znalezione.

Po znalezieniu luk w zabezpieczeniach można je naprawić. Efektywna procedura symulacji ataku nie kończy się wraz z wykryciem podatności. Gdy luki w zabezpieczeniach zostaną wyraźnie zidentyfikowane, będziesz chciał pracować nad ich naprawieniem i ponownym przetestowaniem. Prawdziwa praca zwykle rozpoczyna się po wtargnięciu zespołu czerwonych, kiedy przeprowadzasz analizę kryminalistyczną ataku i próbujesz złagodzić wykryte luki w zabezpieczeniach.

Oprócz tych dwóch głównych korzyści, redtiming oferuje również szereg innych. Tak więc „czerwony zespół” może:

  • identyfikować zagrożenia i podatności na ataki w kluczowych zasobach informacji biznesowych;
  • symulować metody, taktykę i procedury prawdziwych napastników w środowisku o ograniczonym i kontrolowanym ryzyku;
  • Oceń zdolność swojej organizacji do wykrywania, reagowania i zapobiegania złożonym, ukierunkowanym zagrożeniom;
  • Zachęcaj do ścisłej współpracy z działami bezpieczeństwa i niebieskimi zespołami w celu zapewnienia znaczących środków zaradczych i prowadzenia kompleksowych warsztatów praktycznych po wykrytych lukach w zabezpieczeniach.

Jak działa Red Teaming?

Świetnym sposobem na zrozumienie, jak działa redtiming, jest przyjrzenie się, jak zwykle działa. Zwykły proces złożonej symulacji ataku składa się z kilku etapów:

  • Organizacja uzgadnia z „czerwoną drużyną” (wewnętrzną lub zewnętrzną) cel ataku. Na przykład takim celem może być pobranie poufnych informacji z określonego serwera.
  • Następnie „czerwony zespół” przeprowadza rekonesans celu. Rezultatem jest schemat docelowych systemów, w tym usług sieciowych, aplikacji webowych oraz wewnętrznych portali pracowniczych. .
  • Następnie w docelowym systemie wyszukiwane są podatności, które najczęściej są realizowane za pomocą ataków typu phishing lub XSS. .
  • Po zdobyciu tokenów dostępu, czerwony zespół wykorzystuje je do zbadania dalszych luk w zabezpieczeniach. .
  • Gdy zostaną odkryte inne podatności, „czerwony zespół” będzie dążył do zwiększenia swojego poziomu dostępu do poziomu niezbędnego do osiągnięcia celu. .
  • Po uzyskaniu dostępu do docelowych danych lub zasobu zadanie ataku uważa się za zakończone.

W rzeczywistości doświadczony specjalista ds. czerwonego zespołu użyje ogromnej liczby różnych metod, aby przejść przez każdy z tych etapów. Kluczowym wnioskiem z powyższego przykładu jest jednak to, że małe luki w poszczególnych systemach mogą przekształcić się w katastrofalne awarie, jeśli zostaną połączone razem.

Co należy wziąć pod uwagę, mówiąc o „drużynie czerwonych”?

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

Aby jak najlepiej wykorzystać redtiming, musisz się dobrze przygotować. Systemy i procesy używane przez każdą organizację są różne, a poziom jakości redtimingu jest osiągany, gdy ma on na celu znalezienie luk w systemach. Z tego powodu ważne jest, aby wziąć pod uwagę kilka czynników:

Wiedz, czego szukasz

Przede wszystkim ważne jest, aby zrozumieć, które systemy i procesy chcesz sprawdzić. Być może wiesz, że chcesz przetestować aplikację internetową, ale nie bardzo rozumiesz, co to tak naprawdę oznacza i jakie inne systemy są zintegrowane z Twoją aplikacją internetową. Dlatego ważne jest, aby dobrze zrozumieć własne systemy i naprawić wszelkie oczywiste luki przed rozpoczęciem złożonej symulacji prawdziwego ataku.

Poznaj swoją sieć

Jest to związane z poprzednim zaleceniem, ale bardziej dotyczy charakterystyki technicznej Twojej sieci. Im lepiej potrafisz określić ilościowo swoje środowisko testowe, tym dokładniejszy i bardziej szczegółowy będzie Twój czerwony zespół.

Poznaj swój budżet

Redtiming można przeprowadzić na różnych poziomach, ale symulacja pełnego zakresu ataków na Twoją sieć, w tym socjotechniki i włamań fizycznych, może być kosztowna. Z tego powodu ważne jest, aby zrozumieć, ile możesz wydać na taką kontrolę i odpowiednio nakreślić jej zakres.

Poznaj swój poziom ryzyka

Niektóre organizacje mogą tolerować dość wysoki poziom ryzyka w ramach swoich standardowych procedur biznesowych. Inni będą musieli ograniczyć poziom ryzyka w znacznie większym stopniu, zwłaszcza jeśli firma działa w wysoce regulowanej branży. Dlatego podczas przeprowadzania redtimingu ważne jest, aby skupić się na ryzykach, które naprawdę stanowią zagrożenie dla Twojej firmy.

Red Teaming: narzędzia i taktyka

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

Jeśli zostanie poprawnie wdrożony, „czerwony zespół” przeprowadzi pełny atak na twoje sieci przy użyciu wszystkich narzędzi i metod używanych przez hakerów. Obejmuje to między innymi:

  • Testy penetracyjne aplikacji - ma na celu identyfikację słabych punktów na poziomie aplikacji, takich jak fałszowanie żądań między witrynami, błędy we wprowadzaniu danych, słabe zarządzanie sesją i wiele innych.
  • Testy penetracji sieci - ma na celu identyfikację słabych punktów na poziomie sieci i systemu, w tym błędnych konfiguracji, słabych punktów sieci bezprzewodowej, nieautoryzowanych usług i innych.
  • Fizyczne testy penetracyjne — sprawdzenie skuteczności oraz mocnych i słabych stron kontroli bezpieczeństwa fizycznego w praktyce.
  • Inżynieria społeczna - ma na celu wykorzystanie słabości ludzi i natury ludzkiej, testowanie podatności ludzi na oszustwo, perswazję i manipulację poprzez phishingowe wiadomości e-mail, rozmowy telefoniczne i SMS-y, a także kontakt fizyczny na miejscu.

Wszystkie powyższe są komponentami redtimingu. Jest to pełnowymiarowa, wielowarstwowa symulacja ataku zaprojektowana w celu określenia, jak dobrze twoi ludzie, sieci, aplikacje i zabezpieczenia fizyczne mogą wytrzymać atak prawdziwego atakującego.

Ciągły rozwój metod Red Teaming

Charakter złożonej symulacji rzeczywistych ataków, w której zespoły czerwone próbują znaleźć nowe luki w zabezpieczeniach, a zespoły niebieskie je naprawić, prowadzi do ciągłego rozwoju metod takich kontroli. Z tego powodu trudno jest sporządzić aktualną listę nowoczesnych technik redtimingu, ponieważ szybko stają się one przestarzałe.

Dlatego większość członków zespołu redteamer będzie spędzać przynajmniej część swojego czasu na poznawaniu nowych luk w zabezpieczeniach i wykorzystywaniu ich, korzystając z wielu zasobów udostępnianych przez społeczność zespołu red. Oto najpopularniejsze z tych społeczności:

  • Akademia Pentestera to usługa subskrypcyjna oferująca internetowe kursy wideo poświęcone przede wszystkim testom penetracyjnym, a także kursy dotyczące kryminalistyki systemów operacyjnych, zadań socjotechnicznych i języka asemblera bezpieczeństwa informacji.
  • Vincenta Yiu jest „ofensywnym operatorem cyberbezpieczeństwa”, który regularnie bloguje o metodach złożonej symulacji rzeczywistych ataków i jest dobrym źródłem nowych podejść.
  • Twitter jest również dobrym źródłem, jeśli szukasz aktualnych informacji o redtimingu. Możesz go znaleźć za pomocą hashtagów #czerwona drużyna и #redteaming.
  • Daniela Miesslera to kolejny doświadczony specjalista od redtimingu, który tworzy biuletyn i podcast, prowadzi strona internetowa i dużo pisze o aktualnych trendach czerwonych drużyn. Wśród jego ostatnich artykułów: „Fioletowy test drużynowy oznacza, że ​​twoje czerwone i niebieskie drużyny zawiodły” и „Nagrody za luki w zabezpieczeniach i kiedy stosować ocenę podatności, testy penetracyjne i kompleksową symulację ataku”.
  • Codzienny łyk to biuletyn dotyczący bezpieczeństwa w sieci sponsorowany przez firmę PortSwigger Web Security. To dobre źródło informacji o najnowszych osiągnięciach i nowościach w dziedzinie redtimingu — włamaniach, wyciekach danych, exploitach, lukach w zabezpieczeniach aplikacji internetowych i nowych technologiach bezpieczeństwa.
  • Floriana Hansemanna jest hakerem w białym kapeluszu i testerem penetracji, który regularnie omawia w swoich nowych taktykach zespołu czerwonych post na blogu.
  • Laboratoria MWR to dobre, choć niezwykle techniczne źródło wiadomości o redtimingu. Publikują przydatne dla czerwonych drużyn Narzędziai ich Kanał na Twitterze zawiera wskazówki dotyczące rozwiązywania problemów napotykanych przez testerów bezpieczeństwa.
  • Emad Shanab - Prawnik i "biały haker". Jego kanał na Twitterze zawiera techniki przydatne dla „czerwonych zespołów”, takie jak pisanie zastrzyków SQL i fałszowanie tokenów OAuth.
  • Taktyki, techniki i wiedza powszechna Mitre'a (ATT & CK) to wyselekcjonowana baza wiedzy na temat zachowań atakujących. Śledzi fazy cyklu życia atakujących i platformy, na które atakują.
  • Poradnik dla hakerów to przewodnik dla hakerów, który, choć dość stary, obejmuje wiele podstawowych technik, które nadal leżą u podstaw złożonych imitacji prawdziwych ataków. Autor Peter Kim również Kanał na Twitterze, w którym oferuje porady hakerskie i inne informacje.
  • SANS Institute to kolejny duży dostawca materiałów szkoleniowych z zakresu cyberbezpieczeństwa. Ich Kanał na TwitterzeKoncentruje się na kryminalistyce cyfrowej i reagowaniu na incydenty, zawiera najnowsze wiadomości na temat kursów SANS oraz porady ekspertów-praktyków.
  • Niektóre z najciekawszych wiadomości na temat redtimingu opublikowano w Dziennik drużyny czerwonych. Istnieją artykuły skoncentrowane na technologii, takie jak porównanie Red Teaming z testami penetracyjnymi, a także artykuły analityczne, takie jak Manifest specjalisty Red Team.
  • Wreszcie Awesome Red Teaming to społeczność GitHub, która oferuje bardzo szczegółowa lista zasobów poświęconych Red Teaming. Obejmuje praktycznie każdy techniczny aspekt działań zespołu czerwonego, od uzyskania wstępnego dostępu, wykonywania złośliwych działań, po gromadzenie i wydobywanie danych.

„Niebieski zespół” - co to jest?

Red Teaming to rozbudowana symulacja ataków. Metodologia i narzędzia

Przy tak wielu wielobarwnych zespołach ustalenie, jakiego typu potrzebuje Twoja organizacja, może być trudne.

Alternatywą dla drużyny czerwonej, a dokładniej innym rodzajem drużyny, która może być używana w połączeniu z drużyną czerwoną, jest drużyna niebieska. Niebieski zespół ocenia również bezpieczeństwo sieci i identyfikuje wszelkie potencjalne luki w infrastrukturze. Ona ma jednak inny cel. Zespoły tego typu są potrzebne do znalezienia sposobów ochrony, zmiany i przegrupowania mechanizmów obronnych, aby reakcja na incydenty była znacznie skuteczniejsza.

Podobnie jak drużyna czerwona, drużyna niebieska musi mieć taką samą wiedzę na temat taktyk, technik i procedur atakujących, aby na ich podstawie tworzyć strategie reagowania. Jednak obowiązki niebieskiej drużyny nie ograniczają się tylko do obrony przed atakami. Zajmuje się również wzmacnianiem całej infrastruktury bezpieczeństwa, wykorzystując np. system wykrywania włamań (IDS), który zapewnia ciągłą analizę nietypowej i podejrzanej aktywności.

Oto kilka kroków, które podejmuje „niebieski zespół”:

  • audyt bezpieczeństwa, w szczególności audyt DNS;
  • analiza logów i pamięci;
  • analiza pakietów danych sieciowych;
  • analiza danych o ryzyku;
  • cyfrowa analiza śladu;
  • inżynieria odwrotna;
  • testy DDoS;
  • opracowanie scenariuszy realizacji ryzyka.

Różnice między drużynami czerwonymi i niebieskimi

Częstym pytaniem wielu organizacji jest to, którego zespołu powinni używać, czerwonego czy niebieskiego. Kwestii tej często towarzyszą też przyjacielskie animozje między ludźmi, którzy pracują „po przeciwnych stronach barykad”. W rzeczywistości żadne polecenie nie ma sensu bez drugiego. Tak więc poprawna odpowiedź na to pytanie jest taka, że ​​obie drużyny są ważne.

Drużyna Czerwona atakuje i służy do testowania gotowości Drużyny Niebieskiej do obrony. Czasami zespół czerwonych może znaleźć luki, które zespół niebieski całkowicie przeoczył, w takim przypadku zespół czerwony musi pokazać, jak można naprawić te luki.

Współpraca obu zespołów przeciwko cyberprzestępcom ma kluczowe znaczenie dla wzmocnienia bezpieczeństwa informacji.

Z tego powodu nie ma sensu wybierać tylko jednej strony lub inwestować tylko w jeden rodzaj zespołu. Należy pamiętać, że celem obu stron jest zapobieganie cyberprzestępczości.
Innymi słowy, firmy muszą nawiązać wzajemną współpracę obu zespołów, aby zapewnić kompleksowy audyt - z logami wszystkich przeprowadzonych ataków i kontroli, zapisami wykrytych funkcji.

„Czerwona drużyna” przekazuje informacje o operacjach, które wykonała podczas symulowanego ataku, natomiast niebieska informuje o działaniach, które podjęła w celu uzupełnienia luk i naprawienia znalezionych luk.

Nie można nie docenić roli obu drużyn. Bez ciągłych audytów bezpieczeństwa, testów penetracyjnych i ulepszeń infrastruktury firmy nie byłyby świadome stanu własnego bezpieczeństwa. Przynajmniej dopóki dane nie wyciekną i nie stanie się boleśnie jasne, że środki bezpieczeństwa nie były wystarczające.

Co to jest fioletowy zespół?

„Fioletowy Drużyna” narodziła się z prób zjednoczenia Drużyny Czerwonej i Niebieskiej. Purple Team to bardziej koncepcja niż odrębny typ zespołu. Najlepiej postrzega się to jako połączenie czerwonych i niebieskich drużyn. Angażuje oba zespoły, pomagając im współpracować.

Zespół Purple Team może pomóc zespołom ds. bezpieczeństwa w ulepszeniu wykrywania luk w zabezpieczeniach, wykrywania zagrożeń i monitorowania sieci poprzez dokładne modelowanie typowych scenariuszy zagrożeń oraz pomoc w tworzeniu nowych metod wykrywania zagrożeń i zapobiegania im.

Niektóre organizacje wykorzystują Purpurowy Zespół do jednorazowych działań, które jasno określają cele bezpieczeństwa, ramy czasowe i kluczowe wyniki. Obejmuje to rozpoznawanie słabych punktów w ataku i obronie, a także określanie przyszłych wymagań szkoleniowych i technologicznych.

Alternatywnym podejściem, które nabiera obecnie rozpędu, jest postrzeganie Purple Team jako wizjonerskiego modelu, który działa w całej organizacji, pomagając tworzyć i stale ulepszać kulturę cyberbezpieczeństwa.

wniosek

Red Teaming, czyli złożona symulacja ataku, to potężna technika testowania słabych punktów w zabezpieczeniach organizacji, ale należy jej używać ostrożnie. W szczególności, aby z niego korzystać, musisz mieć go pod dostatkiem zaawansowane środki ochrony bezpieczeństwa informacjiW przeciwnym razie pokładane w nim nadzieje mogą nie być uzasadnione.
Redtiming może ujawnić luki w systemie, o których istnieniu nawet nie wiedziałeś, i pomóc je naprawić. Przyjmując przeciwstawne podejście między drużynami niebieskimi i czerwonymi, możesz zasymulować, co zrobiłby prawdziwy haker, gdyby chciał ukraść twoje dane lub uszkodzić twoje aktywa.

Źródło: www.habr.com

Dodaj komentarz