Red, Blue или Purple Teams: обзор команд для оценки кибербезопасности

Большинство организаций регулярно тестируют свои системы и протоколы безопасности, и ваша компания, вероятно, входит в число тех, кто это делает.

Независимо от размера или отрасли организации одним из наиболее эффективных способов выявления уязвимостей инфраструктуры и предотвращения возможных киберугроз является проведение тестирования на проникновение в формате Red и Purple Team.

В этой статье подробнее разберем, что такое Red, Blue и Purple Team, расскажем про различия этих команд, как проходят эти мероприятия и каким организациям нужны такие тестирования.

Red Team – это команда профессионалов в области кибербезопасности, которые думают и действуют, как настоящие злоумышленники, чтобы проверить эффективность оборонительных возможностей организаций.

Red Team работают над первоначальной разведкой и разведкой по открытым источникам (OSINT) для сбора информации о цели и выявления потенциальных слабых мест. Затем они могут использовать собранные данные для атак методами социальной инженерии, чтобы получить дополнительную информацию для доступа к сети. Они также создают приманки, чтобы сбить синюю команду со следа. Атаки Красной команды могут быть и физическими: специалисты могут получить доступ к местоположению инфраструктуры клиента и проверить, как долго они могут оставаться незамеченными.

Blue Team – это сотрудники ИБ-подразделений компаний в штате и на аутсорсе, которые отвечают за мониторинг безопасности сетевой инфраструктуры, выявляют любые возможные уязвимости и реагируют на все атаки. Без слаженной работы этих подразделений провести тестирование на проникновение в формате Red Team невозможно в принципе. Одной из основных задач Blue Team является реализация способов противодействия, изменения и перегруппировки защитных механизмов, чтобы сделать реагирование на инциденты более быстрым и эффективным.

Основные действия включают в себя анализ ландшафта угроз, анализ трафика и данных, создание пользовательских правил для лучшего обнаружения текущих угроз, проведение мероприятий по обучению сотрудников информационной безопасности. В обязанности Blue Team входят также функции Threat Intelligence, среди которых защита бренда, мониторинг хакерских форумов в Darknet и отслеживание попыток планирования злоумышленниками потенциальных атак (например, объявления о покупке данных для доступа во внутреннюю сеть компании).

Red и Blue команды необходимы для успешного тестирования. Нельзя использовать синюю команду без красной, и наоборот. Однако, комбинируя действия обеих команд, можно добиться лучших результатов. Именно так появились Purple Team.

Purple Team – это взаимодействие нашей атакующей команды Red Team и защищающей Blue Team. Такой формат тестирования позволяет выявить слабые места и улучшить организацию работы обеих команд.

Тестирование Purple Team включает в себя не просто атаку на целевые системы, но также и глубокий анализ и коррекцию действий служб защиты – синей команды. Услуга Purple Team носит также обучающий характер для защитников: мы рассматриваем известные тактики, техники и процедуры злоумышленников (TTP – tactics, techniques, and procedures). Red Team, в свою очередь, атакует и получает обратную связь от Blue Team – удалось ли им обнаружить и идентифицировать вредоносную активность – таким образом давая возможность отследить большинство сценариев атак.

По итогам тестирования Purple Team заказчик получает достоверную картину: какие действия атакующей команды видны службам ИБ и при каких условиях, а какие из этих действий остаются незамеченными и могут привести к развитию атаки. Также заказчику предоставляются практические рекомендации по повышению качества противодействия и уменьшению времени на обнаружение и реагирование на действия продвинутых злоумышленников (APT).

Совместные учения Red Team и Blue Team — это метод оценки кибербезопасности, который используют имитированные атаки для проверки существующих возможностей безопасности и выявления областей, которые требуют улучшений, в среде с низким уровнем риска.

Услугами Red или Blue Team пользуются в основном крупные и компании, которые предоставляют услуги в сфере хранения данных, финансов и инновационных разработок: банки, провайдеры, IT компании, медицинские организации. Они регулярно проводят пентесты и уже сталкивались с угрозами безопасности.

Если Red Team – сторонние специалисты, то Blue Team зачастую является структурным подразделением организации или частью SOC (Security Operation Center – Оперативный центр безопасности). Синяя команда анализирует сетевой трафик, реагирует на атаки и пытается их предотвратить и предугадать.

Цели подобного тестирования формируются на основе возможных недопустимых событий, отражающих ключевые бизнес-риски клиента.

Так, на основе недопустимых событий специалисты Digital Security составляют сценарии и согласовывают с клиентами детали их реализации. Например, бизнес-риск – кража финансовых средств, и, соответственно, цель Red Team – украсть деньги, а задача Blue Team – не допустить этого. По итогу тестирования эксперты формируют рекомендации, которые помогут клиенту защитить себя от таких рисков.

Смоделированная атака предназначена для точной имитации реальных условий нападения.

Например, Red Team делает фишинговую рассылку для сотрудников. Задача Blue Team – сделать так, чтобы это вредоносное письмо было отфильтровано. Однако, если этого не происходит, и хотя бы один из сотрудников компании открывает зловредное сообщение, защищающие члены Blue Team должны отследить этот момент и найти вредоносное ПО, прежде чем оно распространится по сети и заразит веб-серверы и другие приложения. Моделирование воспроизводит реальный сетевой трафик, чтобы скрыть атаки, как это происходит в реальном мире.

Члены красной команды играют роль злоумышленников и пытаются обойти протоколы безопасности. Во время “редтиминга” важно найти хотя бы одну уязвимость, которая позволит выполнить поставленные цели. Синяя команда состоит из защитников, созданных по образцу команд внутренней безопасности. Их задача отследить подозрительную активность на всех этапах.

Red, Blue и Purple Team играют важную роль в обеспечении безопасности и сохранности систем. Без постоянного тестирования с использованием новейших методов и различных сценариев атак компания может подвергнуть большому риску не только свою безопасность, но и конфиденциальные данные своих клиентов, понести репутационные и финансовые потери.

Стоит отметить, что услуги Red и Purple Team необходимы зрелым компаниям, которые регулярно проводят пентесты и хотят проверить свои силы во время имитации реальной атаки продвинутых злоумышленников.

Тестирование Red и Purple Team не дает 100% гарантии защиты от хакеров. Цель такого рода тестирования не в поиске максимального количества уязвимостей, а в том, чтобы найти наибольшее количество возможных цепочек атак, которые можно использовать для достижения поставленных целей: например, кражи интеллектуальной собственности или финансовых средств.

Специалисты по анализу защищенности Digital Security регулярно выступают на конференциях с докладами по теме “Red Teaming”. Чтобы не пропустить анонсы будущих мероприятий, следите за обновлениями!