Red team, blue team, purple team

Продолжаем разбор различных «тимов» в мире кибербезопасности. Мы уже выяснили, кто такие редтимовцы, теперь стоит обсудить остальные виды.

И так, блю тим. Это защитники. Сюда относятся SOC-и (центр расследования инцидентов), которые выявляют нестандартные ситуации, называемые инцидентами и их расследуют. Кто, откуда, с каким адресом пришел и с какой целью. Синяя команда относится к внутренней защите компании и должна защищаться от реальных хакеров, так и от редтима.

В синих командах также есть деление на линии. Первая линия обороны чаще всего представляет из себя круглосуточное дежурство в компании и первое реагирование на инциденты. К примеру, ночью хакеры прорвали внешний контур, система защиты начинает алертить, первая линия должна отреагировать, обрубив сессию хакерам. Затем присоединяется вторая линия, которая проводит более глубокое расследование инцидента. Ну а третья линия – это уже эксперы в области кибербезопасности, которые занимаются ретроспективым анализом и специально создают инциденты для отслеживания работы всего СОКа.

Про редтим мы уже обсуждали, но напомним. Красные команды - это внутренние или внешние организации, занимающиеся тестированием безопасности путем эмуляции инструментов и методов, которые используют злоумышленники.

И остается до этого неведомая команда – Purple. Это ребята, пытающиеся усидеть на двух стульях. Их можно описать как команда, чье кооперативное мышление нападавших и защитников работает на одной стороне. Таким образом, их следует рассматривать как функцию, а не как специальную команду.

Если в компании налажено взаимодействие между синими и красными, то смысла в фиолетовых особо нет. Но если имеются трудности в понимании, в совместной работе, то фиолетовые просто необходимы. Ведь именно на них лежит ответственность в донесении информации до обоих команд, планов и конечных целей.