Mnoho týmů pracuje na boji proti kybernetickým útokům v rámci sítě – jedním z nich je modrý tým. Co tedy vlastně dělají?

Modrý tým je postup vytváření a ochrany bezpečnostního prostředí a reakce na incidenty, které toto prostředí ohrožují. Operátoři kybernetické bezpečnosti Blue Team jsou zběhlí v monitorování bezpečnostního prostředí, které chrání, z hlediska zranitelností, ať již existujících nebo způsobených útočníky. Blue teamers řídí bezpečnostní incidenty a využívají získané poznatky k posílení prostředí proti budoucím útokům.

Proč jsou tedy modré týmy důležité? Jaké role vlastně zastávají?

Proč je Blue Teaming důležitý?

Produkty a služby postavené na technologii nejsou imunní vůči kybernetickým útokům. Odpovědnost spočívá v první řadě na poskytovatelích technologií, aby chránili své uživatele před interními nebo externími kybernetickými útoky, které by mohly ohrozit jejich data nebo majetek. Uživatelé technologií také sdílejí tuto odpovědnost, ale uživatel může udělat jen málo pro obranu produktu nebo služby se špatným zabezpečením.

instagram viewer

Běžní uživatelé si nemohou najmout oddělení IT odborníků, aby navrhli bezpečnostní architektury nebo implementovali funkce, které zvyšují jejich vlastní bezpečnost. To je základní odpovědnost společnosti, která se zabývá hardwarem a síťovou infrastrukturou.

Regulační organizace jako např Národní institut pro standardy a technologie (NIST) také hrají svou roli. NIST, například, designy kybernetické bezpečnostní rámce, které společnosti používají zajistit, aby produkty a služby IT splňovaly bezpečnostní standardy.

Vše je propojeno

Každý se připojuje k internetu prostřednictvím hardwaru a síťové infrastruktury (vzpomeňte si na svůj notebook a Wi-Fi). Důležitá komunikace a podniky jsou postaveny na těchto infrastrukturách, takže vše je propojeno. Můžete například pořizovat a ukládat obrázky do telefonu. Tyto soubory zálohujete do cloudu. Později vám aplikace sociálních médií v telefonu pomohou sdílet okamžiky s rodinou a přáteli.

Bankovní aplikace a platební platformy vám pomohou platit za věci, aniž byste museli fyzicky stát ve frontě v bance nebo posílat šek, a můžete podávat daně online. To vše se děje na platformách, ke kterým se připojujete prostřednictvím bezdrátové komunikační technologie zabudované v telefonu nebo notebooku.

Pokud může hacker ohrozit vaše zařízení nebo bezdrátovou síť, může ukrást vaše soukromé obrázky, přihlašovací údaje k bance a doklady totožnosti. Mohou se dokonce vydávat za vás a krást věci od lidí ve vašem sociálním kruhu. Tyto ukradené informace pak mohou prodat dalším hackerům nebo vás přimět, abyste je vykoupili.

Ještě horší je, že cyklus nekončí jedním hackem. To, že se stanete obětí jednoho hacku, ještě neznamená, že se vám ostatní útočníci vyhnou. Je pravděpodobné, že z vás udělá magnet. Takže je nejlepší zabránit tomu, aby útoky začaly na prvním místě. A pokud prevence nefunguje, pak je důležité omezit škody a zabránit budoucím útokům. Z vaší strany můžete omezit expozici pomocí vrstveného zabezpečení. Společnost deleguje úkol na svůj modrý tým.

Role hráčů v modrém týmu

Modrý tým se skládá z technických a netechnických bezpečnostních operátorů se specifickými rolemi a odpovědnostmi. Ale modré týmy mohou být samozřejmě tak velké, že existují podskupiny několika operátorů. Někdy se role překrývají. Červený tým vs. modrý tým cvičení mají obvykle tyto role:

  • Modrý tým plánuje obranné operace a přiděluje role a odpovědnosti dalším operátorům v modré buňce.
  • Modrá buňka obsahuje operátory, kteří stojí v čele obrany.
  • Důvěryhodní agenti jsou lidé, kteří o útoku vědí nebo si dokonce najímají červený tým. Navzdory předchozím znalostem o cvičení jsou důvěryhodní agenti neutrální. Důvěryhodní agenti se nepletou do záležitostí rudého týmu ani nedoporučují obranu.
  • Bílá buňka zahrnuje operátory, kteří fungují jako nárazníky a jsou ve spojení s oběma týmy. Jsou to rozhodčí, kteří zajišťují činnost modrého týmu a červenému týmu nezpůsobují nezamýšlené problémy mimo rámec angažmá.
  • Pozorovatelé jsou lidé, jejichž úkolem je pozorovat. Sledují průběh zásnub a zaznamenávají svá pozorování. Pozorovatelé jsou neutrální. Ve většině případů ani nevědí, kdo je v modrých nebo červených týmech.
  • Červený tým se skládá z operátorů, kteří zahajují útok na cílenou bezpečnostní architekturu. Jejich úkolem je najít zranitelná místa, vyvrtat díry do obrany a pokusit se přelstít modrý tým.

Jaké jsou cíle Modrého týmu?

Cíle každého modrého týmu budou záviset na bezpečnostním prostředí, ve kterém se nacházejí, a na stavu bezpečnostní architektury společnosti. To znamená, že modré týmy mají obvykle čtyři hlavní cíle.

  • Identifikujte a ovládejte hrozby.
  • Eliminovat hrozby.
  • Chránit a získat zpět odcizený majetek.
  • Dokumentujte a kontrolujte incidenty, abyste mohli lépe reagovat na budoucí hrozby.

Jak Blue Teaming funguje?

Ve většině organizací operátoři modrého týmu pracují v a Bezpečnostní operační centrum (SOC). SOC je místo, kde odborníci na kybernetickou bezpečnost provozují bezpečnostní platformu společnosti a kde monitorují a řeší bezpečnostní incidenty. SOC je také místem, kde operátoři podporují netechnické pracovníky a uživatele firemních zdrojů.

Prevence incidentů

Modrý tým je zodpovědný za pochopení a vytvoření mapy rozsahu bezpečnostního prostředí. Zaznamenají také všechna aktiva v prostředí, jejich uživatele a stav těchto aktiv. S těmito znalostmi tým zavádí opatření, aby zabránil útokům a nehodám.

Některá z opatření, která operátoři modrého týmu zavádějí pro prevenci incidentů, zahrnují nastavení administrátorských oprávnění. Neoprávněné osoby tak nemají přístup ke zdrojům, které by v první řadě neměly. Toto opatření je účinné při omezení bočního pohybu, pokud útočník získá přístup.

Kromě omezení administrátorských práv zahrnuje také prevenci incidentů úplné šifrování disku, nastavení virtuálních privátních sítí, firewallů, zabezpečených přihlášení a ověřování. Mnoho modrých týmů dále zavádí techniky klamání, pasti nastražené fiktivními prostředky, aby chytily útočníky dříve, než způsobí škodu.

Odezva na incident

Reakce na incident se týká toho, jak modrý tým zjistí, zpracuje a zotaví se z narušení. Několik incidentů spouští bezpečnostní výstrahy a není možné reagovat na každý spouštěč. Takže modrý tým musí nastavit filtr na to, co se počítá jako incident.

Obecně to dělají implementací systému správy bezpečnostních informací a událostí (SIEM). SIEM upozorňují modré týmové operátory, když nastanou bezpečnostní události, jako jsou neoprávněná přihlášení spárovaná s pokusy o přístup k citlivým souborům. Obvykle po upozornění od SIEM automatizovaný systém zhodnotí hrozbu a v případě potřeby eskaluje lidskému operátorovi.

Operátoři modrého týmu obvykle reagují na incidenty izolováním systému, který byl napaden, a odstraněním hrozby. Reakce na incident může znamenat vypnutí všech přístupových klíčů v případě neoprávněného přístupu, vydání tiskové zprávy v případech, kdy se incident týká zákazníků, a vydání opravy. Později tým provede a forenzní audit po porušení shromáždit důkazy, které pomohou zabránit opakování.

Modelování hrozeb

Modelování hrozeb je situace, kdy operátoři používají známé zranitelnosti k simulaci útoku. Tým vytváří příručku pro reakci na hrozby a komunikaci se zainteresovanými stranami. Takže když dojde ke skutečnému útoku, modrý tým má plán, jak upřednostní aktiva nebo přidělí lidskou sílu a zdroje na obranu. Samozřejmě, málokdy věci půjdou přesně podle plánu. Přesto model hrozeb pomáhá operátorům modrých týmů udržet celkový obraz v perspektivě.

Robustní Blue Teaming je proaktivní

Pracovníci modrého týmu zajišťují, že vaše data jsou v bezpečí a že můžete bezpečně používat technologii. Rychle se měnící prostředí kybernetické bezpečnosti však znamená, že modrý tým nemůže zabránit nebo odstranit každou hrozbu. Nemohou také systém příliš zocelit; může se stát nepoužitelným. Mohou tolerovat přijatelnou míru rizika a spolupracovat s červeným týmem na neustálém zlepšování zabezpečení.