Z nowym cyberatakiem pojawiającym się co 39 sekund, który wzrósł ponad 300% tylko w ostatnim roku, nigdy nie było lepszego czasu na skupienie się na cyberbezpieczeństwie Twojej firmy. Zbudowanie silnego systemu obronnego wymaga testów, które pozwolą Twojemu zespołowi znaleźć i naprawić luki, zanim zostaną wykorzystane.
W tym artykule przeprowadzimy Cię przez główną koncepcję Purple Teaming, pokazując, w jaki sposób ta praktyka może jeszcze bardziej usprawnić ćwiczenia testów penetracyjnych Twoich zabezpieczeń cyfrowych.
Po pierwsze, co to są testy penetracyjne?
Testy penetracyjne, najczęściej nazywane testami penetracyjnymi, polegają na symulacji cyberataku na własną firmę. Odbywa się to albo poprzez zatrudnienie zewnętrznego zespołu, aby znaleźć luki w systemie, albo poprzez zadanie zaatakowania systemu przez własny zespół ds. bezpieczeństwa.
Dzięki testom penetracyjnym zespół ds. bezpieczeństwa jest w stanie znaleźć luki, o których wcześniej nie wiedział. Te naruszenia są etyczne, a każdy etap włamania jest dokumentowany, aby zespół ds. Bezpieczeństwa mógł następnie wejść do systemu i umieścić barykady w celu zablokowania lub zmiany luk w zabezpieczeniach.
Zazwyczaj próba penetracji jest podzielona na dwie drużyny: czerwoną i niebieską. Zespoły te są obsadzone przez specjalistów ds. bezpieczeństwa, ale mają różne cele.
Zespół Red symuluje atakujących, grupę osób, które pracują nad włamaniem się do systemu bezpieczeństwa. Zazwyczaj czerwona drużyna wybierze kilka ataków metodologie z MITER ATT&CK Framework aby lepiej symulować rodzaje ataków, które przeprowadza współczesny haker.
Głównym celem zespołu czerwonego jest znalezienie słabych punktów lub luk w ogólnej infrastrukturze bezpieczeństwa, systemach lub poszczególnych aplikacjach związanych z biznesem.
Po drugiej stronie równania zespół Niebieskich symuluje obrońców. Ten zespół składa się głównie z inżynierów bezpieczeństwa, którzy będą próbować jak najszybciej reagować na zagrożenie bezpieczeństwa ze strony Czerwonego zespołu. Będą aktywnie bronić systemu, zapobiegając dalszym włamaniom, wykrywając, co próbuje zrobić drużyna Czerwona i próbując ich powstrzymać.
Po zakończeniu ćwiczenia czerwony i niebieski zespół porównają swoje ustalenia, łącząc ze sobą luki, które można następnie naprawić.
Przejście do fioletowych drużyn
Zamiast dzielić swój zespół ds. bezpieczeństwa cyfrowego na dwa, czerwonego i niebieskiego, jednym z możliwych sposobów przeprowadzenia testów penetracyjnych jest zmuszenie ich do współpracy. Ta forma testów penetracyjnych nazywa się Fioletowy zespół, z czerwonym i niebieskim razem stworzyć pojedynczy zespół Purple.
Pracując razem, niebieski zespół uzyska wgląd w pracę zespołu czerwonego, co oznacza, że może łatwiej się poruszać, aby go zablokować. Ten proces pozwala Twojej niebieskiej drużynie nauczyć się typowych ruchów i procedur stosowanych przez hakerów, a następnie im zapobiegać.
Podobnie, gdy czerwona drużyna dowie się, co robi niebieska drużyna, aby im zapobiec, będzie musiała pomyśleć o tym, jak hakerzy zmieniliby swoją taktykę. Ten fioletowy zespół pozwala obu zespołom uzyskać jeszcze więcej z ćwiczenia, jeszcze bardziej rozwijając zakres, w jakim symulacja pomaga Twojemu zespołowi ds. bezpieczeństwa cyfrowego.
Główne zalety Purple Teaming
Purpurowy zespół pozwala siłom bezpieczeństwa na dalszy rozwój innowacji w zakresie bezpieczeństwa, popychając Twoją cyfrową obronę dalej niż kiedykolwiek wcześniej.
Dzięki fioletowemu zespołowi uzyskasz dostęp do następujących korzyści dla swojego cyfrowego systemu bezpieczeństwa:
- Rozszerzona wiedza o bezpieczeństwie
- Zwiększona wydajność
- Wgląd krytyczny
Rozłóżmy je dalej.
Rozszerzona wiedza o bezpieczeństwie
Fioletowy zespół polega na współpracy. Zamiast dwóch oddzielnych zespołów pracujących nad jednym celem, skorzystasz z potencjału umysłowego obu zespołów. ten ekspertyza zarówno zespołu czerwonego, jak i niebieskiego może informować innych, pomagając i prowadząc ich przez problemy i rozwiązania.
Dzieje się tak zwłaszcza wtedy, gdy zatrudniasz zewnętrzny czerwony zespół do włamywania się do programu. Ze względu na ograniczoną wiedzę o twoich wewnętrznych strukturach mogą spędzać dużo czasu na szukaniu pierwszego wejścia. Jeśli dasz czerwonemu zespołowi większą wiedzę o bezpieczeństwie wewnętrznego zespołu niebieskiego, będą mogli skuteczniej się włamywać.
Stamtąd czerwony zespół może wypróbować szereg różnych procedur hakerskich, szybko i skutecznie tworząc raport o potencjalnych lukach w systemie. Biorąc pod uwagę, że jest to symulacja, celem powinno być znalezienie jak największej liczby luk w zabezpieczeniach, tak aby zespoły mogły następnie zwiększyć cyberbezpieczeństwo firmy.
Zwiększ wydajność uczenia się
Najprawdopodobniej drużyny czerwone i niebieskie dzielą się na te, które są bardziej naturalnie uzdolnione w obronie systemów oraz te, które są zaznajomione z wektorami ataku i hakowaniem. Chociaż oznacza to, że każdy będzie skuteczny w swojej roli, prowadzi to do braku rozwoju zawodowego.
Kiedy aktywnie korzystasz z fioletowego kanału komunikacyjnego, zapewnisz, że oba zespoły dowiedzą się więcej z ćwiczenia. Chociaż obrońca może nie znać systemów ataku, pracując u boku czerwonej drużyny, zobaczy, jakie są typowe ścieżki. Mając tę wiedzę, umieszczając się w umyśle napastnika, będą bardziej gotowi do obrony, jeśli kiedykolwiek dojdzie do incydentu.
Wgląd krytyczny
Platforma MITER ATT&CK jest stale rosnącym centrum informacji o hakowaniu i typowych ścieżkach, z których skorzystają atakujący podczas penetracji systemu. Ta baza danych jest ogromna, z 14 różnymi kolumnami, z których każda zawiera od 7 do 40 technik. Biorąc pod uwagę ogromną liczbę różnych ataków, które można przeprowadzić, Twój zespół musi regularnie przeprowadzać testy, aby przygotować się na którykolwiek z nich.
Dzięki połączeniu fioletowych drużyn, twoja czerwona drużyna poinformuje o technice ataku, nad którą aktualnie pracuje. Na tej podstawie Twój niebieski zespół może następnie opracować protokół uruchomienia, a także opracować kluczowe znaki ostrzegawcze dla tego konkretnego ataku.
Zamiast tylko wiedzieć, że atak ma miejsce, niebieski zespół będzie w stanie dokładniej udokumentować kroki potrzebne do powstrzymania ataku, a także typową ścieżkę i sygnały, że ta konkretna forma ataku ma miejsce.
Ten krytyczny poziom wglądu jest niezbędny do silnej, szybkiej i skutecznej reakcji w zakresie bezpieczeństwa.
Final Thoughts
Purple Teaming pozwala wydobyć to, co najlepsze z testów penetracyjnych. Nie tylko wszyscy zaangażowani dowiadują się więcej o różnych procesach atakowania i obrony, ale także ujawniają luki w systemie.
Stamtąd będziesz mógł je naprawić, aby maksymalnie zwiększyć bezpieczeństwo cyfrowe Twojej firmy. Z liczbą cyberataków wzrasta każdego dnia, czas podjąć działanie.
Źródło obrazu: DepositPhotos
Zostaw komentarz
Masz coś do powiedzenia na temat tego artykułu? Dodaj swój komentarz i rozpocznij dyskusję.