Набор навыков Red Team и Blue Team
Набор навыков Red Team
Успешная красная команда должна быть коварной по своей природе, принимая образ мышления изощренного противника, чтобы получить доступ к сети и продвигаться незамеченной через среду. Идеальный член Red Team (Ред Тим) — это одновременно технический и творческий специалист, способный использовать слабые места системы и человеческую природу. Также важно, чтобы “красная” группа была знакома с тактикой, методами и процедурами (TTPs) субъектов угроз, а также с инструментами и механизмами атак, которые используют современные противники.
Например, недавно подросток из Флориды использовал тактику spear-phishing, а также методы социальной инженерии для получения учетных данных сотрудников и доступа к внутренним системам Twitter, что привело к громкому взлому более 100 учетных записей знаменитостей.
Член Red Team должен обладать:
- Глубоким пониманием компьютерных систем и протоколов, а также методов, инструментов и средств защиты.
- Сильные навыки разработки программного обеспечения для того, чтобы разрабатывать специальные инструменты для обхода общих механизмов и мер безопасности
- Опыт тестирования на проникновение, который поможет использовать общие уязвимости и избежать действий, которые часто контролируются или легко обнаруживаются
- Навыки социальной инженерии, позволяющие члену команды манипулировать другими людьми, заставляя их делиться информацией или учетными данными.
Набор навыков Blue Team
Хотя технически Blue Team (Блю Тим) сосредоточена на защите, большая часть их работы носит проактивный характер. В идеале эта команда выявляет и нейтрализует риски и угрозы до того, как они нанесут ущерб организации. Однако растущая изощренность атак и противников делает эту задачу практически невыполнимой даже для самых квалифицированных специалистов по кибербезопасности.
Работа Blue Team — это в равной степени профилактика, обнаружение и устранение последствий.
Общие навыки для Blue Team включают:
- Полное понимание стратегии безопасности организации в отношении людей, инструментов и технологий.
- Навыки анализа для точного определения наиболее опасных угроз и соответствующей приоритизации ответных мер
- Методы усиления безопасности для уменьшения площади атаки, особенно в отношении системы доменных имен (DNS), для предотвращения фишинговых атак и других методов взлома через Интернет.
- Внимательное ознакомление с существующими в компании средствами и системами обнаружения угроз безопасности и их механизмами оповещения.
Как Red Team и Blue Team работают вместе?
Путь упражнений
Учения Red Team и Blue Team являются важной частью любой надежной и эффективной стратегии безопасности. В идеале эти учения помогают организации выявить слабые места в людях, процессах и технологиях в пределах сетевого периметра, а также определить пробелы в безопасности, такие как бэкдоры и другие уязвимости доступа, которые могут существовать в архитектуре безопасности. Эта информация в итоге поможет клиентам укрепить свою защиту и обучить или провести тренировку своих команд безопасности, чтобы лучше реагировать на угрозы.
Поскольку многие нарушения могут оставаться необнаруженными в течение нескольких месяцев или даже лет, важно регулярно проводить учения Red Team и Blue Team. Исследования показывают, что противники проводят в сетевой среде в среднем 197 дней, прежде чем их обнаруживают и изгоняют. Это повышает ставки для компаний, поскольку злоумышленники могут использовать это время для установки бэкдоров или других изменений в сети для создания новых точек доступа, которые могут быть использованы в будущем.
Примеры упражнений Red Team
Команды используют различные методы и инструменты для использования пробелов в архитектуре безопасности. Например, взяв на себя роль хакера, член Red Team может заразить хост вредоносным ПО для деактивации средств контроля безопасности или использовать методы социальной инженерии для кражи учетных данных доступа.
Деятельность Red Team обычно осуществляется в соответствии с MITRE ATT&CK Framework, которая представляет собой глобально доступную базу знаний о тактике, технике и методах противника, основанную на реальном опыте и событиях. Framework служит основой для разработки возможностей предотвращения, обнаружения и реагирования, которые могут быть адаптированы к уникальным потребностям каждой организации и новым изменениям в ландшафте угроз.
Примеры деятельности Red Team включают:
- Тестирование на проникновение, в ходе которого член Red Team пытается получить доступ к системе, используя различные реальные методы.
- Тактика социальной инженерии, направленная на манипулирование сотрудниками или другими членами сети с целью заставить их поделиться, раскрыть или создать сетевые учетные данные.
- Перехват коммуникаций с целью составления карты сети или получения дополнительной информации о среде, чтобы обойти общие методы безопасности
- Клонирование карт доступа администратора для получения доступа в неограниченные зоны.
Примеры упражнений Blue team
Функционируя как линия обороны организации, Blue Team использует инструменты безопасности, протоколы, системы и другие ресурсы для защиты организации и выявления пробелов в возможностях обнаружения. Окружение Blue Team должно отражать текущую систему безопасности организации, которая может иметь неправильно настроенные инструменты, непропатченное программное обеспечение или другие известные или неизвестные риски.
Примеры упражнений Blue Team включают:
- Проведение исследования DNS
- Проведение цифрового анализа для создания базовой линии сетевой активности и более легкого обнаружения необычной или подозрительной активности
- Обзор, настройка и мониторинг программного обеспечения безопасности во всей среде
- Обеспечение правильной настройки и обновления методов защиты периметра, таких как брандмауэры, антивирусные программы и программы защиты от вредоносного ПО.
- Использование доступа с наименьшими привилегиями, что означает, что организация предоставляет минимально возможный уровень доступа каждому пользователю или устройству, чтобы помочь ограничить боковое перемещение по сети в случае нарушения
- Использование микросегментации – техники безопасности, которая предполагает разделение периметра на небольшие зоны для обеспечения раздельного доступа к каждой части сети.