С новой кибератакой, происходящей каждые 39 секунд, увеличившись более чем 300% только за последний год, сейчас самое подходящее время, чтобы сосредоточиться на кибербезопасности вашей компании. Создание надежной системы защиты требует тестирования, позволяющего вашей команде находить и устранять уязвимости до того, как они будут использованы.
В этой статье мы познакомим вас с центральной концепцией Purple Teaming, показав, как эта практика может еще больше упростить упражнения по тестированию на проникновение вашей цифровой безопасности.
Во-первых, что такое тестирование на проникновение?
Тестирование на проникновение, чаще всего известное как пентест, — это когда вы имитируете кибератаку на свой собственный бизнес. Это делается либо путем найма внешней команды для поиска уязвимостей в вашей системе, либо путем постановки задачи вашей собственной команде безопасности атаковать систему.
С помощью ручного тестирования команда безопасности может найти уязвимости, о которых они ранее не знали. Эти нарушения этичны: каждый шаг взлома документируется, чтобы команда безопасности могла затем войти в систему и возвести баррикады, чтобы заблокировать или изменить уязвимости.
Обычно попытка проникновения делится на две команды: красную и синюю. Обе группы укомплектованы профессионалами в области безопасности, но преследуют разные цели.
Красная команда имитирует злоумышленников, группу людей, которые пытаются взломать вашу систему безопасности. Как правило, красная команда выбирает несколько атак. методологии из MITRE ATT&CK Framework чтобы лучше имитировать типы атак, которые запускает современный хакер.
Основная задача красной команды — найти любые слабые места или уязвимости в общей инфраструктуре безопасности, системах или отдельных приложениях, связанных с бизнесом.
С другой стороны, синяя команда симулирует защитников. Эта команда в основном состоит из инженеров по безопасности, которые попытаются как можно быстрее отреагировать на угрозу безопасности со стороны красной команды. Они будут активно защищать систему, предотвращая дальнейшие взломы, обнаруживая, что пытается сделать красная команда, и пытаясь их остановить.
После того, как упражнение завершится, команда красных и синих сравнит свои выводы, собрав воедино уязвимости, которые затем можно исправить.
Переход к фиолетовому объединению
Вместо того, чтобы разделять команду цифровой безопасности на две части, красную и синюю, один из возможных способов проведения тестирования на проникновение — заставить их работать вместе. Эта форма тестирования на проникновение называется Фиолетовый объединяется, красный и синий объединяются сделать единственную фиолетовую команду.
Работая вместе, синяя команда получит представление о том, как работает красная команда, а это означает, что им будет легче двигаться, чтобы заблокировать их. Этот процесс позволяет вашей синей команде изучить типичные движения и процедуры, используемые хакерами, а затем предотвратить их.
Точно так же, когда красная команда узнает, что делает синяя команда, чтобы помешать им, им придется подумать о том, как хакеры изменят свою тактику. Эта фиолетовая команда позволяет обеим командам извлечь еще больше пользы из упражнения, еще больше увеличивая степень, в которой симуляция помогает вашей команде цифровой безопасности.
Основные преимущества Purple Teaming
Объединение Purple Team позволяет вашим службам безопасности развивать свои инновации в области безопасности, продвигая вашу цифровую защиту дальше, чем когда-либо прежде.
Благодаря пурпурному объединению вы сможете получить доступ к следующим преимуществам вашей цифровой системы безопасности:
- Расширенные знания о безопасности
- Повышенная производительность
- Критическое понимание
Давайте разберем их дальше.
Расширенные знания о безопасности
Фиолетовая команда — это сотрудничество. Вместо двух отдельных команд, работающих над одной целью, вы получите выгоду от совместной работы обеих команд. То опыт как красных, так и синих команд может информировать других, помогая и направляя их через проблемы и решения.
Это особенно актуально, когда вы нанимаете внешнюю красную команду для взлома программы. Из-за их ограниченных знаний о ваших внутренних структурах они могут потратить много времени на поиск первоначального пути проникновения. Если вы предоставите красной команде расширенные знания о внутренней безопасности синей команды, они смогут более эффективно проникнуть внутрь.
Оттуда красная команда может опробовать ряд различных хакерских процедур, быстро и эффективно составив отчет о потенциальных уязвимостях в системе. Учитывая, что это симуляция, цель должна состоять в том, чтобы найти как можно больше уязвимостей, гарантируя, что ваши команды смогут повысить кибербезопасность вашей компании.
Повышение эффективности обучения
Скорее всего, красные и синие команды делятся на тех, кто от природы более талантлив в защите систем, и тех, кто знаком с векторами атаки и взлома. Хотя это означает, что каждый будет эффективно выполнять свою роль, это приводит к отсутствию профессионального развития.
Когда вы активно используете фиолетовый канал связи, вы гарантируете, что обе команды узнают больше из этого упражнения. Хотя защитник может быть незнаком с атакующими системами, работая вместе с красной командой, он увидит типичные пути. Обладая этим знанием, поместив себя в сознание злоумышленника, они будут более готовы защищаться, если когда-либо возникнет инцидент.
Критическое понимание
Платформа MITRE ATT&CK — это постоянно растущий центр информации о взломе и типичных путях, которые злоумышленники используют при проникновении в систему. Эта база данных огромна, с 14 различными столбцами, каждая из которых содержит от 7 до 40 методов. Учитывая огромное количество различных атак, которые могут быть запущены, вашей команде необходимо регулярно проводить тестирование, чтобы быть готовым к любой из них.
С помощью пурпурной команды ваша красная команда сообщит, над какой техникой атаки они сейчас работают. Исходя из этого, ваша синяя команда может затем разработать протокол запуска, а также разработать ключевые предупреждающие знаки для этой конкретной атаки.
Вместо того, чтобы просто знать, что происходит атака, синяя команда сможет более точно задокументировать шаги, необходимые для остановки атаки, а также типичный путь и сигналы того, что происходит эта конкретная форма атаки.
Этот критический уровень понимания необходим для сильного, быстрого и эффективного реагирования системы безопасности.
Заключение
Purple teaming позволяет вам получить максимальную отдачу от тестирования на проникновение в систему безопасности. Мало того, что все участники узнают больше о различных процессах атаки и защиты, вы также обнаружите уязвимости в своей системе.
Оттуда вы сможете исправить их, чтобы сделать цифровую безопасность вашей компании максимально надежной. По количеству кибератак увеличивается с каждым днем, пора действовать.
Источник изображения: DepositPhotos
Оставить комментарий
Есть что сказать об этой статье? Добавьте свой комментарий и начните обсуждение.