Множество екипи работят за борба с кибератаките в рамките на една мрежа – един от които е син екип. И така, какво всъщност правят?

Blue teaming е практика за създаване и защита на среда за сигурност и реагиране на инциденти, които застрашават тази среда. Операторите на Blue Team за киберсигурност са умели да наблюдават средата за сигурност, която защитават за уязвимости, независимо дали съществуват предварително или са предизвикани от нападатели. Сините екипи управляват инциденти със сигурността и използват научените уроци, за да втвърдят средата срещу бъдещи атаки.

Защо сините отбори са важни? Какви роли всъщност поемат?

Защо Blue Teaming е важно?

Продуктите и услугите, изградени върху технология, не са имунизирани срещу кибератаки. Отговорността пада първо върху доставчиците на технологии за защита на своите потребители от вътрешни или външни кибератаки, които биха могли да компрометират техните данни или активи. Потребителите на технологиите също споделят тази отговорност, но потребителят може да направи малко, за да защити продукт или услуга с лоша защита.

instagram viewer

Редовните потребители не могат да наемат отдел от ИТ експерти за проектиране на архитектури за сигурност или внедряване на функции, които повишават тяхната собствена сигурност. Това е доверителната отговорност на компания, която се занимава с хардуер и мрежова инфраструктура.

Регулаторни организации като Национален институт по стандарти и технологии (NIST) също играят своята роля. NIST, например, проектира рамки за киберсигурност, които компаниите използват за да се гарантира, че ИТ продуктите и услугите отговарят на стандартите за сигурност.

Всичко е свързано

Всеки се свързва с интернет чрез хардуер и мрежови инфраструктури (помислете за вашия лаптоп и Wi-Fi). Важни комуникации и бизнеси са изградени върху тези инфраструктури, така че всичко е свързано. Например правите и запазвате снимки на телефона си. Архивирате тези файлове в облака. По-късно приложенията за социални медии на вашия телефон ви помагат да споделяте моменти със семейството и приятелите си.

Приложенията за банкиране и платформите за плащане ви помагат да плащате за неща, без да се редите на опашка в банка или да изпращате чек по пощата, и можете да подадете данъци онлайн. Всичко това се случва на платформи, към които се свързвате чрез безжична комуникационна технология, вградена в телефон или лаптоп.

Ако хакер може да компрометира вашето устройство или безжична мрежа, той може да открадне вашите лични снимки, данни за влизане в банката и документи за самоличност. Те дори могат да се представят за вас и да откраднат неща от хора в социалния ви кръг. След това те могат да продадат тази открадната информация на други хакери или да ви накарат да я откупите.

Още по-лошо, цикълът не завършва с един хак. Да станете жертва на един хак вече не означава, че други нападатели ще ви избягват. Шансовете са, че те прави магнит. Така че, най-добре е да предотвратите началото на атаките на първо място. И ако превенцията не работи, тогава е важно да се ограничат щетите и да се предотвратят бъдещи атаки. От ваша страна можете ограничете експозицията с многослойна сигурност. Компанията делегира задачата на техния син екип.

Ролеви играчи в Синия отбор

Синият екип се състои от технически и нетехнически оператори по сигурността със специфични роли и отговорности. Но, разбира се, сините екипи могат да бъдат толкова големи, че да има подгрупи от няколко оператора. Понякога ролите се припокриват. Червен отбор vs. син отбор упражненията обикновено имат следните ролеви играчи:

  • Синият екип планира отбранителни операции и разпределя роли и отговорности на други оператори в синята клетка.
  • Синята клетка се състои от оператори, които са начело на защитата.
  • Доверените агенти са хора, които знаят за атаката или дори наемат червения екип на първо място. Въпреки предварителните познания за упражнението, доверените агенти са неутрални. Доверените агенти не се месят в делата на червения отбор и не съветват защити.
  • Бялата клетка се състои от оператори, които действат като буфери и поддържат връзка с двата екипа. Те са съдии, които гарантират, че дейностите на синия отбор и червения отбор не причиняват нежелани проблеми извън обхвата на ангажимента.
  • Наблюдателите са хора, чиято работа е да гледат. Те наблюдават разиграването на годежа и отбелязват своите наблюдения. Наблюдателите са неутрални. В повечето случаи те дори не знаят кой е в синия или червения отбор.
  • Червеният екип се състои от оператори, които атакуват целевата архитектура за сигурност. Тяхната работа е да намерят уязвими места, да пробият дупки в защитата и да се опитат да надхитрят синия отбор.

Какви са целите на Синия отбор?

Целите на всеки син екип ще зависят от средата за сигурност, в която се намират, и от състоянието на архитектурата за сигурност на компанията. Въпреки това сините отбори обикновено имат четири основни цели.

  • Идентифицирайте и ограничавайте заплахите.
  • Елиминирайте заплахите.
  • Защитете и възстановете откраднатите активи.
  • Документирайте и прегледайте инцидентите, за да прецизирате отговора на бъдещи заплахи.

Как работи Blue Teaming?

В повечето организации операторите на синия екип работят в a Център за операции по сигурността (SOC). SOC е мястото, където експертите по киберсигурност управляват платформата за сигурност на компанията и където наблюдават и обработват инциденти със сигурността. SOC също така е мястото, където операторите подпомагат нетехническия персонал и потребителите на фирмени ресурси.

Предотвратяване на инциденти

Синият екип отговаря за разбирането и създаването на карта на обхвата на средата за сигурност. Те също така отбелязват всички активи в околната среда, техните потребители и състоянието на тези активи. С това знание екипът въвежда мерки за предотвратяване на атаки и злополуки.

Някои от мерките, които операторите на синия екип прилагат за предотвратяване на инциденти, включват задаване на административни привилегии. По този начин неупълномощени лица нямат достъп до ресурси, които не би трябвало на първо място. Тази мярка е ефективна при ограничаване на страничното движение, ако нападател влезе.

Освен ограничаване на административните привилегии, предотвратяването на инциденти също включва пълно дисково криптиране, настройка на виртуални частни мрежи, защитни стени, сигурни влизания и удостоверяване. Много сини екипи допълнително прилагат техники за измама, капани, поставени с фиктивни активи, за да хванат нападателите, преди да причинят щети.

Реагиране на инциденти

Отговорът при инцидент се отнася до това как синият екип открива, обработва и възстановява нарушение. Няколко инцидента задействат предупреждения за сигурност и не е възможно да се отговори на всяко задействане. Така че синият отбор трябва да зададе филтър за това, което се счита за инцидент.

Обикновено те правят това чрез внедряване на система за управление на информация за сигурността и събития (SIEM). SIEM уведомява операторите на синия екип, когато се случат събития за сигурност, като например неоторизирани влизания, съчетани с опити за достъп до чувствителни файлове. Обикновено при известие от SIEM, автоматизирана система преглежда заплахата и ескалира до човешки оператор, ако е необходимо.

Операторите на синия екип обикновено реагират на инциденти, като изолират системата, която е била компрометирана, и премахват заплахата. Отговорът при инцидент може да означава изключване на всички ключове за достъп в случаи на неоторизиран достъп, издаване на съобщение за пресата в случаите, когато инцидентът засяга клиенти, и пускане на корекция. По-късно екипът прави a криминалистичен одит след нарушение за събиране на доказателства, които помагат за предотвратяване на повторение.

Моделиране на заплахи

Моделирането на заплахи е, когато операторите използват известни уязвимости, за да симулират атака. Екипът прави наръчник за реагиране на заплахи и комуникация със заинтересованите страни. Така че, когато се случи истинска атака, синият екип има план за това как ще приоритизира активите или ще разпредели човешка сила и ресурси за защита. Разбира се, нещата рядко вървят точно по план. Все пак наличието на модел на заплаха помага на операторите на синия екип да запазят голямата картина в перспектива.

Здравият Blue Teaming е проактивен

Операторите на работния син екип гарантират, че вашите данни са в безопасност и можете да използвате технологията безопасно. Бързо променящият се пейзаж на киберсигурността обаче означава, че син екип не може да предотврати или елиминира всяка заплаха. Те също не могат да втвърдят системата твърде много; може да стане неизползваем. Това, което могат да направят, е да толерират приемливо ниво на риск и да работят с червения екип за непрекъснато подобряване на сигурността.