Red team. Blue team. Purple team.
🥷 Приветствую друзья
Продолжаем разбор различных «тимов» в мире кибербезопасности.
Мы уже выяснили, кто такие редтимовцы, теперь стоит обсудить остальные виды.
И так, blue team. Это защитники.
Сюда относятся SOC-и (центр расследования инцидентов), которые выявляют нестандартные ситуации, называемые инцидентами и их расследуют. Кто, откуда, с каким адресом пришел и с какой целью. Синяя команда относится к внутренней защите компании и должна защищаться от реальных хакеров, так и от редтима. В синих командах также есть деление на линии. Первая линия обороны чаще всего представляет из себя круглосуточное дежурство в компании и первое реагирование на инциденты. К примеру, ночью хакеры прорвали внешний контур, система защиты начинает алертить, первая линия должна отреагировать, обрубив сессию хакерам. Также в задачи первой линии СОК-а входит и отсев ложноположительных сработок систем мониторинга, которые не редки.
Затем присоединяется вторая линия (или аналитики второго уровня), которая получает данные с первой линии и проводит более глубокое расследование инцидента.
Ну а третья линия – это уже эксперы в области кибербезопасности, которые занимаются ретроспективым анализом и специально создают инциденты для отслеживания работы всего СОКа. К специалистам третьей линии также могут относить реверс-инженеров, которые посвятили свою жизнь анализу вредоносных программ.
Приведем пример вышесказанной схемы.
Предположим в компании N есть зрелый центр информационной безопасности, он же SOC. В периметр компании N попадает вирус, который обнаружен Антивирусом, но в силу своей программной реализации вирус смог проникнуть и зафиксироваться в памяти компьютера. То есть фактически атака совершена успешно. Аналитики первой линии, убедившись, что это не ложноположительная сработка антивируса, фиксируют факт проникновения вируса в контур компании и передают информацию выше, аналитикам второй линии, конечно перед этим проведя необходимые работы по минимизации последствий (отключение зараженного хоста, глубокий скан всей инфраструктуры на предмет размножения вируса и тд). Аналитики второй линии проводят «следственную» проверку, почему антивирус не уничтожил вирус и по какому пути прошла вся атака (также это расследование могут выполнять форензик-специалисты).
После минимизации последствий, данные передаются на третью линию, на которой тот же реверс-инженер проведет реверс анализ, то есть обратную разработку вируса, а именно: выяснит как разрабатывался вирус, на каком языке программирования, какие данные цепляет и прочее.
Про редтим мы уже обсуждали, но напомним. Красные команды - это внутренние или внешние организации, занимающиеся тестированием безопасности путем эмуляции инструментов и методов, которые используют злоумышленники.
И остается до этого неведомая команда – Purple. Это ребята, пытающиеся усидеть на двух стульях. Их можно описать как команда, чье кооперативное мышление нападавших и защитников работает на одной стороне. Таким образом, их следует рассматривать как функцию, а не как специальную команду.
Если в компании налажено взаимодействие между синими и красными, то смысла в фиолетовых особо нет. Но если имеются трудности в понимании, в совместной работе, то фиолетовые просто необходимы. Ведь именно на них лежит ответственность в донесении информации до обоих команд, планов и конечных целей.
В данной статье много внимания было уделено синим товарищам, на то есть причины. Их должностные обязанности чаще всего размазаны по всему процессу информационной безопасности. Важно понимать, что задачи между командами не должны пересекаться, мы работаем на одну цель – защита информационных ресурсов Компании – но работаем разными методами.
Актуальная ссылка - @cyber_sq
Главный - Fantom