Co znajdziesz w tym artykule?
- 1 Czym jest Blue Team?
- 2 Subzespoły bezpieczeństwa zajmujące się zabezpieczaniem i monitorowaniem – Dawid Bałut
- 3 Nazwa nadana specjalistom ds. cyberbezpieczeństwa, którzy koncentrują się na praktykach defensywnych – Joshua Beaman
- 4 Wszystkie osoby dbające o bezpieczeństwo wewnątrz organizacji – Rafał Dobrosielski
- 5 Blue Team zawiera się w działaniach defensywnych – Andrzej Dyjak
- 6 Zespół specjalistów od cyberbezpieczeństwa, którzy wspólnie z Red Teamem tworzą proces security – Adam Gola
- 7 Aby Blue Team był skuteczny, potrzebuje dużej wiedzy z różnych obszarów IT – Paula Januszkiewicz
- 8 To ciągłe przewidywanie, które z setek dostępnych technik i wektorów ataku mogą być aktywnie używane przez przeciwników – Jakub Kałużny
- 9 Skupiają działania na zapewnieniu ochrony danego systemu przed cyberatakami: rzeczywistymi lub symulowanymi – Adrian Kapczyński
- 10 Ma za zadanie zabezpieczać systemy – Maciej Kofel
- 11 To wszystkie osoby które, mogą mieć jakikolwiek wpływ na działanie naszej ciężarówki – Dariusz Koralewski
- 12 Zespół ekspertów, zajmujący sie detekcją ataków – Piotr Kozowicz
- 13 Cieszę się, że dotarłeś do tego miejsca.
- 14 Blue Team to nie sami ludzie per se – Tomasz Krawczyk
- 15 W cyberbezpieczeństwie wiele przestrzeni się przenika i mamy dziś mnóstwo kolorów – Borys Łącki
- 16 W zespole obronnym każdy powinien znać swoje miejsce, pozycję startową, być w gotowości, a na swoim odcinku działać zgodnie ze swoimi kompetencjami – Artur Markiewicz
- 17 Zespół wyszkolonych profesjonalistów, którzy najwięcej swojej uwagi powinni poświęcać bronieniu organizacji przed atakami zaawansowanymi – Paweł Mazur
- 18 Zespół cyber-obrońców – w jego skład wchodzą ludzie i wspomagające ich narzędzia – Łukasz Mikuła
- 19 Jednostka w firmie, która zajmuje się wykrywaniem i reagowaniem na zagrożenia wewnętrzne i zewnętrzne – Jakub Mrugalski
- 20 Blue Team jest odpowiednikiem Systemu Wczesnego Ostrzegania – Adam Rafajeński
- 21 Trzeba znać techniki czerwonych, żeby skutecznie się przed nimi bronić, ale pamiętajmy o proporcjach – Wojciech Reguła
- 22 Często pomijany element zespołu IT, a niezwykle ważny i cenny – Arkadiusz Siczek
- 23 Blue Team musi znać wszystkie podatności danego środowiska i odpowiednio zminimalizować zagrożenia z nimi związane – Jakub Staśkiewicz
- 24 Pojęciem “Blue Team” posługujemy w testach bezpieczeństwa typu Adversary Emulation – Mariusz Stawowski
- 25 Odpowiednik przeciwwagi w świecie IT – Maciej Szymczyk
- 26 Podsumowanie i pytanie do Ciebie
Czym jest Blue Team?
Znasz to pytanie? Usłyszałem je w ostatnim czasie dziesiątki razy. Od kolegów, którzy mają swoje określenie, ale szukają opcji do żywej dyskusji; od specjalistów z branży IT, którzy szukają odpowiedzi dla samych siebie; ale również od dyrektorów IT.
Mimo, że mam krótką odpowiedź w głowie, pomyślałem, aby spytać specjalistów IT.
Zanim spytam Ciebie, czym jest Twoim zdaniem Blue Team , zobacz co o tym myślą osoby zajmujące się cyberbezpieczeństwem.
Nie mogłem się również oprzeć rozszerzeniu pytania o kluczową umiejętność potrzebną do pracy w cyberbezpieczeństwie. To tylko zwiększy wartość, którą wyciągniesz z tego wpisu.
Poniższe wypowiedzi zostały ułożone w porządku alfabetycznym
Subzespoły bezpieczeństwa zajmujące się zabezpieczaniem i monitorowaniem – Dawid Bałut
Musimy pamiętać, że zespoły bezpieczeństwa działają w kontekście innego systemu, innej organizacji. Dla mnie Blue Team będzie miał inne znaczenie zależnie od tego właśnie kontekstu. Mocno upraszczając temat, klasycznym blue teamem nazwiemy subzespoły bezpieczeństwa zajmujące się zabezpieczaniem i monitorowaniem organizacji od środka. Klasycznie, nie znaczy najbardziej skutecznie.
Wobec tego dla mnie: red team to grupa zajmująca się symulacja ataków i sprawdzaniem możliwości wykrywania i powstrzymania ataku przez blue team. Gdy do misji red teamu dołączysz jeszcze współpracę z blue teamem by stworzyć pętle sprzężenia zwrotnego w której każdy się uczy i rozwija, będziemy mówić o Purple Teamie. W świecie devsecops z kolei, blue teamem uznaje każdy zespół odpowiedzialny za wspieranie mechanizmów bezpieczeństwa wyznaczanych przez secops.
Niezależnie czy jesteś cloudopsem, devopsem, production engineerem, SRE, SOC engineerem czy pełnisz jeszcze inna rolę, w obecnym świecie na co dzień zadaniem każdego jest zabezpieczanie wytworów swojej pracy co poniekąd czyni każda z tych osób częścią globalnego blue teamu.
Moim zdaniem kluczowa jest umiejętność efektywnej komunikacji i wpływania na inne osoby. Bezpieczników zawsze będzie za mało wiec ci najbardziej skuteczni nauczyli się wpływać na innych pracowników i delegować do nich część zadań.
Nazwa nadana specjalistom ds. cyberbezpieczeństwa, którzy koncentrują się na praktykach defensywnych – Joshua Beaman
LinkedIn | Strona securityblue.team | FB SBTTraining
Blue Team to dla mnie nazwa nadana specjalistom ds. cyberbezpieczeństwa, którzy koncentrują się na praktykach defensywnych, od operacji bezpieczeństwa po reagowanie na incydenty, od architektury po inżynierię.
Najważniejszą umiejętnością moim zdaniem są umiejętności miękkie, ale przede wszystkim komunikacja (zarówno pisemna, jak i werbalna). Nieustannie musimy dostarczać raporty, wysyłać e-maile, rozmawiać z kolegami z działów bezpieczeństwa i spoza nich, a czasem nawet z innymi organizacjami.
Wszystkie osoby dbające o bezpieczeństwo wewnątrz organizacji – Rafał Dobrosielski
Dla większości są to nudne raporty i nieciekawa praca, ale ja sądzę, że nie jest to prawda. Specjaliści z Blue Team mają wgląd w organizację od wewnątrz i muszą obronić ją przed tysiącem różnych ryzyk i zagrożeń, podczas gdy atakujący musi znaleźć tylko jedną podatność i ją wykorzystać. Zadaniem Blue Team jest zbudowanie jak najmocniejszych murów własnej twierdzy, jaką jest ich organizacja. Jeśli graliście kiedykolwiek w gry strategiczne typu Cywilizacja i Wam się to podobało, powinniście uczyć się i wstąpić do Blue Teamu – będziecie mieli taką samą frajdę z budowania murów w organizacji. Codziennie po cegiełce ;). A odpowiadając stricte na pytanie, są to wszystkie osoby dbające o bezpieczeństwo wewnątrz organizacji czy wprowadzające zmiany w organizacji, konfigurujące polityki, zajmujące się incident response etc.
Co do kluczowej umiejętność myślę, że jest to umiejętność przekonania zarządu, aby przeznaczył fundusze na odpowiednich specjalistów czy sprzęt. Kiedyś myślałem, że to konfigurujący są najważniejsi, ale przekonałem się, że nawet najlepszy specjalista/ka mający wiedzę jak coś zrobić bez wsparcia i zgody zarządu nic nie wskóra.
Blue Team zawiera się w działaniach defensywnych – Andrzej Dyjak
LinkedIn | YT | Blog | Newsletter | WWW | Podcast
Na samym początku zaznaczę, że z moją działką —czyli z bezpieczeństwem aplikacji— Blue Team ma bardzo mało wspólnego. Poza tym warto od razu wypunktować, że defensywa nie jest równoznaczna z Blue Teamem, a będąc bardziej ścisłym można by powiedzieć, że Blue Team zawiera się w działaniach defensywnych.
Jakie główne zdolności musi posiadać Blue Team? Blue Team musi umieć (1) wykryć zagrożenie (na tę umiejętność składa się wiele różnych działek – Threat Detection, Forensics, etc) oraz (2) obsłużyć wypadkowy incydent (Incident Handling, Incident Response). Krytyczną umiejętnością podczas działań Blue Teamu jest umiejętność komunikacji pomiędzy członkami zespołu. Skuteczny Blue Teaming wymaga zrozumienia perspektywy atakującego, co trudno jest nabyć bez wcześniejszego doświadczenia jako osoba atakująca systemy. A więc wcześniejsze doświadczenie jako pentester czy red teamer na pewno okaże się bardzo przydatne.
Wbrew popularnej opinii uważam, że Blue Teamu nie można wbudować w organizację – jest to byt tworzony ad hoc na potrzeby konkretnego zadania złożony z ekspertów dziedzinowych (np. jako kontra podczas ćwiczenia red teamingowego).
Zespół specjalistów od cyberbezpieczeństwa, którzy wspólnie z Red Teamem tworzą proces security – Adam Gola
Rozsądek podpowiada mi, by odpowiedzieć na to pytanie w sposób klasyczny. Blue Team jako zespół specjalistów, którzy dbają o zabezpieczanie chronionych witryn, usług, infrastruktury i innych elementów w sposób defensywny – reagowanie na incydenty, łatanie potencjalnych podatności. Pozwolę sobie jednak odpowiedzieć trochę szerzej – to zespół specjalistów od cyberbezpieczeństwa, którzy wspólnie z Red Teamem tworzą proces security. Proces, którego celem jest zwiększenie bezpieczeństwa poprzez testowanie infrastruktury, witryn internetowych, projektów i innych elementów, wykonywanie kontrolowanych ataków, konfiguracja odpowiednich zabezpieczeń i wdrażanie stosownych rozwiązań oraz łatek. Również poprzez zwiększanie świadomości – bo (cyber)bezpieczeństwo nigdy nie będzie istniało bez ciągłego zwiększania świadomości w organizacjach, wśród klientów czy po prostu wśród ludzi.
Jeżeli miałbym wybrać jedną umiejętność to zdecydowanie podkreśliłbym chęć ciągłej nauki i rozwijania się w temacie cyberbezpieczeństwa. Jeżeli ktoś wejdzie w ten świat, niezależnie czy wcielając się w specjalistę Blue czy Red team, bez zaangażowania i chęci stałego poszerzania wiedzy, bardzo szybko odbije się od niemal codziennych zmian i nowości, jakie się tu pojawiają. Cała reszta umiejętności jest, moim zdaniem, do wypracowania i wytrenowania.
Aby Blue Team był skuteczny, potrzebuje dużej wiedzy z różnych obszarów IT – Paula Januszkiewicz
LinkedIn | SOCIAL MEDIA CQURE: LinkedIn | TWITTER | YT | FB | Strona
Blue Team to zwykle zespół specjalistów w firmie, którzy dokonują szczegółowej analizy systemów w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, identyfikują i usuwają luki w zabezpieczeniach, weryfikują skuteczność dotychczasowych zabezpieczeń oraz wdrażają nowe. Blue Team powinien stale analizować zdarzenia związane z bezpieczeństwem, aby znaleźć nieprawidłowości oraz wykryć potencjalne ataki.
Warto jest mieć świadomość, że aby Blue Team był skuteczny, potrzebuje dużej wiedzy z różnych obszarów IT; pozwala to na korelację zdarzeń i zrozumienie do czego i w jaki sposób mógł mieć dostęp haker. Bardzo ważną cechą jest też skrupulatność, z racji tego, że nic nie może umknąć uwadze takiego zespołu. Wiemy bowiem, że hakerowi wystarczy jedna udana próba na 100, aby uzyskać dostęp do infrastruktury, a Blue Team natomiast musi skupić się na wszystkich 100. Wykwalifikowany Blue Team może również odgrywać kluczową rolę w opracowaniu strategii ochrony organizacji przy użyciu najnowszych rozwiązań i technik, czasem nazywanej Blue Team Stack. Liczy się więc nie tylko wiedza, ale również umiejętność holistycznego spojrzenia na organizację poprzez pryzmat jej działania, zagrożeń i technologii.
Podsumowując, z mojego punktu widzenia, w zespole Blue Team najważniejsze są następujące cechy:
- Wysokie umiejętności techniczne
- Umiejętność pracy w zespole
- Chęć dzielenia się wiedzą
- Kreatywne myślenie i wysokie zdolności adaptacyjne
- Wysoka dostępność
- Umiejętność spojrzenia poza technologiczny horyzont
To ciągłe przewidywanie, które z setek dostępnych technik i wektorów ataku mogą być aktywnie używane przez przeciwników – Jakub Kałużny
LinkedIn | Seria Instatnt Threat Modeling
Blue Team… To ciągłe przewidywanie, które z setek dostępnych technik i wektorów ataku mogą być aktywnie używane przez przeciwników.
Kluczowa umiejętność według mnie – to umiejętne ograniczanie przestrzeni ataku poprzez “zamykanie” ścieżek ataku. Jednorazowe działania lub regularny program zmian w systemach, które spowodują, że całe grupy technik używanych przez atakujących będą skazane na niepowodzenie. Czyli w skrocie podejście proaktywne, w opozycji do samego reagowania na incydenty. Narzędzia, które ułatwiają mapowanie przestrzeni ataku, umożliwiają dzielenie się wiedzą pomiędzy “SOC-ami” i pomagają podejmować decyzje dotyczące zmian to jest też dziedzina, która moim zdaniem będzie miała kluczowe znaczenie w automatyzacji zadań i dorównania kroku atakującym
Skupiają działania na zapewnieniu ochrony danego systemu przed cyberatakami: rzeczywistymi lub symulowanymi – Adrian Kapczyński
LinkedIn | 17 53c – Stowarzyszenie na rzecz cyberbezpieczeństwa
Blue team to zespół specjalistów zajmujących się bezpieczeństwem od strony defensywnej, skupiając działania na zapewnieniu ochrony danego systemu przed cyberatakami: rzeczywistymi lub symulowanymi. Członkowie zespołu analizują dany system pod kątem występowania podatności, a także weryfikują skuteczność zastosowanych środków ochrony.
Najważniejsza umiejętność: to umiejętność prowadzenia na różnych poziomach abstrakcji analizy relacji zagrożenie-podatność-zasób-ochrona, w odniesieniu do ludzi, sprzętu, oprogramowania, procesów i procedur.
TL; DR: Być w niebieskim zespole to jak być partnerem zapraszającym na randkę kogoś, kogo się nie zna 😉
Ma za zadanie zabezpieczać systemy – Maciej Kofel
LinkedIn | YT | Strona Szkoły Security | Instagram
Miałem tą przyjemność, że pracowałem i w blue i w red teamie. Mogę szczerze powiedzieć, że pełny obraz tego co my robimy w IT security zdobywa się właśnie wtedy, gdy wiemy czym zajmuje się ta druga strona.
Pracując w Blue Teamie często widziałem to (i sam też byłem przykładem tego) że ludzie niewiedzą jakie mogą być zagrożenia i skąd mogą przyjść. Przez to też nie wiedzą czego dokładnie oczekiwać, wyszukiwać w logach lub w sofcie który jest podatny.
Dlatego też ważne jest, żeby poznać tą drugą stronę i nie chodzi wcale o to, żeby spędzić na tym rok, ale po prostu wiedzieć jakie są zagrożenia, jakie mogą być skutki ataków i jak technicznie one wyglądają. Blue Team ma za zadanie zabezpieczać systemy. Poprzez poznanie drugiej strony Blue Team’owcy będą potrafili podejść do zabezpieczeń jeszcze bardziej świadomie i kompleksowo.
Sam chciałbym wiedzieć więcej o Red Teamie, gdy zaczynałem swoją przygodę w IT Security.
To wszystkie osoby które, mogą mieć jakikolwiek wpływ na działanie naszej ciężarówki – Dariusz Koralewski
LinkedIn | FB | Instagram | WWW | Twitter
Gdy słyszę pytanie o Blue Team, to widzę autonomicznego TIR’a ważącego 30 ton i wysłanego w trasę. Ta ciężarówka to nasz system informatyczny mający na codzień przewieźć towar z punktu A do punktu B. Blue Team z kolei to wszyscy pracownicy składający się na ochronę i działanie autonomicznego samochodu, który bez człowieka i kierownicy ma realizować nieprzerwaną pracę, przewożąc wymagane towary.
Kto się na taki Blue Team składa, to są osoby dbające o prawidłową eksploatację takiego pojazdu. Chodzi nam przecież nie tylko o to żeby towar został przewieziony, ale chcielibyśmy żeby taka ciężarówka nie spowodowała wypadku, nie wjechała na chodnik z pieszymi, czy też żeby ktoś nieautoryzowany nie zasiadł za kierownicą.
W moim rozumieniu są to wszystkie osoby które, mogą mieć jakikolwiek wpływ na działanie naszej ciężarówki, są to bez wątpienia mechanicy (administratorzy), diagności (firmy audytorskie), inspektorzy bezpieczeństwa(specjaliści ds. bezpieczeństwa) i inni pracownicy parku maszynowego(wpływający na bezpieczeństwo funkcjonowania naszych systemów)
Gdzie uderzy gangster, pragnący przejąc przewożony towar? W zależności od zaawansowania, jeden przyjdzie z łomem, inny z laptopem i modułem bluetooth. Będzie szukał najsłabszych miejsc i dobierał najbardziej dla siebie gotowe narzędzia. Po co się męczyć skoro można zrobić coś znanym i sprawdzonym narzędziem 🙂
Co jednak z umiejętnościami, wszystko świetnie że należy być zabezpieczonym, ale jakie umiejętności są potrzebne żeby to zrobić? Przede wszystkim specjalizacja, żeby coś dobrze wykonać, należy się na tym znać. Niestety nie można być ekspertem od wszystkiego, nasz samochód ma układy hydrauliczne, elektryczne, mechaniczne i całą masę akcesoriów. Żeby być skutecznym trzeba się skupić na obszarze swoich kompetencji. Układ kierowniczy powinien dobrze współdziałać z systemem wspomagania, układ napędowy w zawieszeniem itd. Każdy z tych układów projektują specjaliści i takie też osoby powinny utrzymywać wspomniane systemy. W przeciwnym wypadku, ktoś nie dokręci śrubki z odpowiednią siłą, coś się odłączy i już problem gotowy. Nasza ciężarówka stanie, lub będzie miała defekt ze skutkami trudnymi do przewidzenia. Tam gdzieś atakujący tylko czekają na okazję skorzystania z jakiś naszych niedociągnięć.
Podsumowując Blue Team to wszyscy mający wpływ na bezpieczeństwo naszej ciężarówki. Atakujący będzie szukał najsłabszego obszaru gdzie brakuje naszemu zespołowi kompetencji lub zwyczajnie czasu. Pierwsze co będzie próbowane to znane podatności samochodu opuszczającego taśmę montażową. Jeżeli nasz zespół projektując użycie i wdrożenie TIR’a usunie, lub zminimalizuje znane problemy to już jesteśmy bezpieczniejsi. Osobiście jestem ogromnym zwolennikiem właściwego zaprojektowania architektury naszej nowej ciężarówki, właściwie zaprojektowany TIR z akcesoriami, jest dużo trudniejszy do przechwycenia.
Zespół ekspertów, zajmujący sie detekcją ataków – Piotr Kozowicz
Czym jest Blue Team? Dla mnie to przede wszystkim zespół ekspertów, zajmujący sie detekcją ataków. Trudna praca, bo wymaga trochę umiejętności pentesterskich (znajomość technik ataków), umiejętności administratorskich (w jakich logach znaleźć informacje, jak skonfigurować monitoring) oraz dużych umiejętności analitycznych i sprawności w obsłudze narzędzi. Do tego dokładność oraz umiejętność działania w stresie i pod presją czasu. Ale tak naprawdę kluczowym jest chęć ciągłego uczenia i doskonalenia – to jest zawsze najważniejsze w cybersecurity.
Cieszę się, że dotarłeś do tego miejsca.
Blue Team to nie sami ludzie per se – Tomasz Krawczyk
Ktoś by mógł powiedzieć, że Blue Team to zespół bezpieczeństwa broniący firmy/instytucji przed atakami internetowymi. Po części jest to prawda, ale moim zdaniem nie oddaje to pełnej istoty Blue Team-u oraz trochę umniejsza wagę zespołu. Otóż, Blue Team to nie sami ludzie per se. To wiedza i doświadczenie zdobywane w miarę upływu czasu, podczas obsługi masy incydentów bezpieczeństwa. To pasja ludzi w byciu lepszymi niż agresorzy, którzy próbują przełamać zabezpieczenia, których Blue Team broni. Blue Team to również odpowiednie procedury, które spajają wszystko w jednolitą całość pozwalając skutecznie reagować i bronić. Niestety działania Blue Team-u to odwieczna walka dobra ze złem.
To co moim zdaniem jest kluczowe w ramach bezpieczeństwa defensywnego to chęć i umiejętność wyprzedzania działań agresorów. To przewidywanie i identyfikowanie nowych technik, taktyk i procedur, którymi posługują się atakujący. Umiejętne wykorzystanie Cyber Threat Intelligence (CTI) jako działań wyprzedzających, pozwala Blue Team-owi na skuteczniejszą obronę, ponieważ umożliwia wczesną identyfikację potencjalnych zagrożeń a tym samym zdławienie ich w zarodku.
Jeśli doceniasz moją pracę zapisz się proszę do newslettera aby być na bieżąco nie tylko z tym ale i z następnymi publikacjami na blogu.
W cyberbezpieczeństwie wiele przestrzeni się przenika i mamy dziś mnóstwo kolorów – Borys Łącki
LinkedIn | Strona LOGICALTRUST
Dla mnie osobiście (jestem mocno osadzony w kolorach “Red”) “Blue team” jest pojęciem związanym z szeroko pojętą defensywą. Warto jednak pamiętać, że w cyberbezpieczeństwie wiele przestrzeni się przenika i mamy dziś mnóstwo kolorów (już nie tylko Red “atakujących” i Blue “broniących”). Nawet pentesterzy, którzy działają bardziej ofensywnie, także wpływają na część obronną. Dlatego w skutecznie broniącej się organizacji, kluczowa jest umiejętność komunikacji pomiędzy poszczególnymi zespołami.
Niezależnie od roli, którą wybierzemy (a mamy dziś w samym tylko “Blue”, bardzo wiele opcji) warto być dociekliwym i chcieć wgryzać się w szczegóły, pamiętając, jak ważny jest ciągły rozwój w technicznych aspektach. Myślę, że także umiejętność strategicznego myślenia i szersze spojrzenie na wąskie wycinki rzeczywistości oraz znajomość technik i motywacji atakujących, są równie ważne w pracy w Blue Teamie.
W zespole obronnym każdy powinien znać swoje miejsce, pozycję startową, być w gotowości, a na swoim odcinku działać zgodnie ze swoimi kompetencjami – Artur Markiewicz
Kusznik stoi przy kracie na krużganku, kocioł ze smołą w komnacie królewskiej, obserwatorzy z wadą wzroku, fosa bez wody a król na koniu. Czy taka sytuacja na 5 minut przed atakiem średniowiecznego zamku ma szansę na powodzenie? Tak, dla atakującego.
W zespole obronnym każdy powinien znać swoje miejsce, pozycję startową, być w gotowości, a na swoim odcinku działać zgodnie ze swoimi kompetencjami. Monitoring w ciągłym trybie, dostarczanie aktualnych informacji, działanie zgodnie z najlepszymi praktykami dla konkretnego zamku, to podstawy obrony, która łączy ludzi, narzędzia i sposoby działania oraz wytyczne. Obrona cyfrowego środowiska jest bardzo podobna do obrony zamku. Modus operandi ma grunt adekwatny do okoliczności i czasów.
Zespoły BlueTeam to obrońcy, którzy wiedzą jak, czego, czym, kiedy bronią, potrafią wyciągać wnioski, tworzyć raporty, dać pole do decyzji a przyszłość budują utraconymi w przeszłości bajtami.
Zaufaj swoim ludziom, daj im szansę na edukację, czas na ćwiczenia, rozwój, wymianę doświadczeń. Obserwuj, motywuj, rozwijaj, adoptuj najlepsze rozwiązania, oceniaj, ćwicz.
W praktyce najważniejsze umiejętności to: analiza IoC, holistyczne spojrzenie na bezpieczeństwo, wyciąganie wniosków, skuteczna komunikacja, umiejętność nauki, biegłość w obsłudze narzędzi. Czy w twoim zespole kusznik jest na właściwym miejscu? Czy gdyby był w złym, ktoś będzie miał odwagę powiedzieć mu prawdę?
Rada dla początkującego kusznika: przejrzyj zagadnienia certyfikacji Certified Information Systems Security Professional (CISSP), znajdź materiał edukacyjny (np TUTAJ to 18 godzin) obejrzyj 1/4 i podejmij decyzję w jakich obszarach chcesz się dalej rozwijać.
Zespół wyszkolonych profesjonalistów, którzy najwięcej swojej uwagi powinni poświęcać bronieniu organizacji przed atakami zaawansowanymi – Paweł Mazur
Moim zdaniem Blue Team to zespół wyszkolonych profesjonalistów, którzy najwięcej swojej uwagi powinni poświęcać bronieniu organizacji przed atakami zaawansowanymi, przeprowadzanymi przez grupy zorganizowane – APT (Advanced Persistent Threat). Możemy więc wywnioskować, że najważniejszym zadaniem Blue Teamu jest powstrzymanie APT przed dojściem do ostatniej fazy Cyber Kill Chain (Actions on Objectives) tzw. Incident response. Oprócz IR, Blue Team zajmuje się: Network monitoring, czyli wykrywaniem podejrzanych połączeń w sieci, Patching and hardening, czyli prób minimalizowania liczby podatności w systemach, z których korzysta organizacja.
Jeśli chodzi o najważniejszą umiejętność to uważam, że każdy Blue Teamer powinien ciągle doskonalić swoje umiejętności – a więc samodoskonalenie powinno być na pierwszym miejscu u każdego Blue Teamera.
Zespół cyber-obrońców – w jego skład wchodzą ludzie i wspomagające ich narzędzia – Łukasz Mikuła
Blue Team to zespół cyber-obrońców – w jego skład wchodzą ludzie (specjaliści od cyberbezpieczeństwa) i wspomagające ich narzędzia (systemy, programy). Zakres zadań strony “niebieskiej” jest szeroki i może obejmować np. czuwanie nad monitoringiem na żywo (np. SOC) i obsługa incydentów – czyli weryfikacja sygnałów o potencjalnym włamaniu i sprawdzanie, czy są one prawdziwe, ale także tworzenie i ulepszanie procedur bezpieczeństwa, dbanie o aktualizacje oprogramowania, ostrzeganie (edukacja) użytkowników. Zdania dla bardziej wyspecjalizowanych zespołów to np. analiza po włamaniowa, aby określić którędy intruz dostał się do środka lub analiza malware czy opracowywanie nowych technik wykrywania włamań.
Tak jak w innych dziedzinach bezpieczeństwa najważniejsze moim zdaniem jest ciągłe doskonalenie się i chęć nauki. IT to bardzo dynamiczna branża, więc żeby nadążyć trzeba lubić tą pracę, bo tylko wtedy ma się chęć rozwijać i uczyć w wolnym czasie, co jest konieczne żeby iść cały czas do przodu. Na początku może to wydawać się nierealne, bo każde początki są trudne, ale kiedy już odrobinę załapie się o co chodzi, to praca w cyberbezpieczeństwie przypomina ciągłe rozwiązywanie łamigłówek i polepszanie swojego arsenału rozwiązań, aby radzić sobie z coraz to trudniejszymi zadaniami – trochę jak w grze RPG, gdzie to my jesteśmy główną postacią
Jednostka w firmie, która zajmuje się wykrywaniem i reagowaniem na zagrożenia wewnętrzne i zewnętrzne – Jakub Mrugalski
LinkedIn | YT | FB | Strona Jakuba | Twitter | Intagram
Czym dla mnie jest Blue Team?
Postrzegam Blue Team jako jednostkę w firmie, która zajmuje się wykrywaniem i reagowaniem na zagrożenia wewnętrzne i zewnętrzne. Dodatkowo ludzie ci zajmują się szeroko pojętą prewencją i ustalaniem procedur wewnętrznych.
Od tego teamu powinno zależeć jakie procedury bezpieczeństwa wdrażane są w firmie, jakie szkolenia z security przechodzą pracownicy i to oni powinny reagować na wszelkie zgłoszone naruszenia bezpieczeństwa (próby ataków phishingowych, rozsyłanie malware, ataki webowe itp).
Ludzie z Blue Team powinni cyklicznie sprawdzać, czy ustalone przez nich procedury bezpieczeństwa są egzekwowane przez pracowników. Do ich obowiązków należy także monitorowanie stanu bezpieczeństwa firmy, jej infrastruktury i wszelkich urządzeń stosowanych w przedsiębiorstwie.
Według mnie najważniejszą ‘właściwością’ związaną z pracą w teamie defensywnym jest chęć niekończącego się zdobywania wiedzy na temat nowych metoda ataków. Osoby wykonujący taką pracę nie mogą sobie pozwolić na posługiwanie się mechanizmami, narzędziami i procedurami nieaktualizowanymi od lat, ale ‘jeszcze działającymi’. Ta branża zmienia się zbyt szybko.
Blue Team jest odpowiednikiem Systemu Wczesnego Ostrzegania – Adam Rafajeński
Dla mnie Blue Team jest odpowiednikiem Systemu Wczesnego Ostrzegania – zestawem dobrze zrównoważonych ludzi, technologii i procesów, które mają za zadanie wykryć (i w miarę możliwości uruchomić proces zapobiegawczy) próbom ataku zarówno z zewnątrz jak i od wewnątrz chronionej „strefy” – firmy, ośrodka itp. Ich celem jest również wykrycie trwającego ataku i reakcja na niego w zależności od przydzielonych kompetencji – uruchomienie procesów lub np. wzbogacenie / uzupełnienie danych i eskalacja. Ale wg mnie prewencja przede wszystkim.
Umiejętności, które moim zdaniem są jednymi z najważniejszych na takim stanowisku – to analityczny umysł – dostrzeganie pewnych z pozoru niepołączonych schematów. Dobra pamięć wzrokowa (niekoniecznie fotograficzna – raczej w stylu – „Ej, ja już wczoraj coś w tym stylu widziałem np. na ostrzeżeniach z Threat Intel”) i umiejętność szukania celu po okruszkach od chleba. Jeżeli Blue Team ma część kompetencji związanych np. z analizą incydentów, to oczywistą umiejętnością musi być problem management i pewne elementy informatyki śledczej. Ale duża część zespołów, które widziałem koncentruje się głównie na wykryciu alarmu, zweryfikowaniu go i ewentualnej eskalacji do ekspertów od konkretnego obszaru. W takich aspektach przydaje się gamifikacja – np. punkty za wykrycie ataku Red Team, z kolei Red Team dostaje punkty, jeżeli się przedrze niepostrzeżenie, co mobilizuje Blue do poprawiania mechanizmów detekcji i korelacji.
Trzeba znać techniki czerwonych, żeby skutecznie się przed nimi bronić, ale pamiętajmy o proporcjach – Wojciech Reguła
Z racji tego, że od zawsze zajmuję się bezpieczeństwem ofensywnym zacznę trochę przewrotnie. Kojarzymy blue teamy z zespołami odpowiadającymi za defensywny aspekt bezpieczeństwa. Jest to bardzo dobre skojarzenie. Dlaczego więc szkolimy blue teamy ofensywnymi materiałami? Oczywiście, trzeba znać techniki czerwonych, żeby skutecznie się przed nimi bronić, ale pamiętajmy o proporcjach. Dla mnie najważniejsza w blue teamach jest umiejętność zachowania konsekwencji i sumienności w działaniach. Podczas gdy red team musi potrafić znajdować dziurę w całym (nawet chaotycznie), to właśnie blue team ma konsekwentnie monitorować i chronić każdy kawałek infrastruktury. Uczmy więc niebieskich jak sprawnie posługiwać się narzędziami defensywnymi, jak przeprowadzać sesje modelowania zagrożeń, jak proaktywnie przeciwdziałać zagrożeniom.
Często pomijany element zespołu IT, a niezwykle ważny i cenny – Arkadiusz Siczek
LinkedIn | YT | Blog | FB |Strona GRUPADM.pl | Instagram
Bezpieczeństwo to cała masa pobocznych zagadnień i specjalizacji. Wykonywanie testów penetracyjnych nie jest jedyną ścieżką. Jedną z dróg rozwoju jest praca w Blue Team.
Często pomijany element zespołu IT, a niezwykle ważny i cenny. Wszak, zanim zaczniemy budować zasieki przed atakującymi, ważne jest to, by odpowiednio dobrze poznać swoją infrastrukturę. A następnie, odpowiednio ją zabezpieczyć.
I tym właśnie zajmują się „niebiescy”. Najpierw rekonesans i audyt, a następnie zabezpieczenie kluczowych elementów infrastruktury oraz aplikacji. Naturalnie, ciągłe poprawki i usuwanie problemów to nieodłączna część tej pracy.
Jeżeli myślisz o karierze tego typu to musisz wiedzieć jedno. Jest to praca satysfakcjonująca, ale również wymagająca poświęceń. Przede wszystkim, kluczowa jest tu umiejętność analitycznego podejścia do problemów. Plus, musisz zaakceptować nieustanną naukę. Zdolność do ciągłego rozwoju jest tu niezwykle istotna. Szczególnie, że IT ciągle się rozwija i niemal każdego dnia pojawiają się nowe Cyber-Zagrożenia. Naturalnie, aby myśleć o pracy w tej specjalizacji to najpierw musisz zdobyć fundamentalną wiedzę na temat IT. Ale liczę, że zdajesz sobie z tego sprawę.
Blue Team musi znać wszystkie podatności danego środowiska i odpowiednio zminimalizować zagrożenia z nimi związane – Jakub Staśkiewicz
LinkedIn | YT | Blog | FB |Strona NajsłabszeOgniwo.pl | Podcast | Twitter
Praca w Blue Team jest może zajęciem mniej “seksownym” niż red teaming, jednak wymaga nie mniejszej wiedzy i wiąże się z ogromną odpowiedzialnością. Ethical hackerowi wystarczy znalezienie jednej podatności by przełamać zabezpieczenia i wykazać swoją przewagę. Blue Team musi natomiast znać wszystkie podatności danego środowiska i odpowiednio zminimalizować zagrożenia z nimi związane.
Co więcej, jeśli red teamowiec w testach penetracyjnych znajdzie 10 podatności, a nie zidentyfikuje jednej, nikt nie zauważy jego niedopatrzenia. Natomiast blue teamowiec może przewidzieć 100 zagrożeń i zabezpieczyć przed nimi środowisko, a przeoczyć jedną podatność, przez którą cała jego praca zostanie zniweczona. Jest to zatem zajęcie bardzo niewdzięczne i wymagające.
Z tego też powodu na popularności zyskują zespoły lub stanowiska określane mianem purple teamu. Funkcję purple teamu może pełnić członek zespołu red team, który znając dobrze słabości danego środowiska pomaga w ich eliminowaniu blue teamowi. Trzeba bowiem pamiętać, że pomimo pewnego współzawodnictwa, red, blue czy purple team, wszyscy grają do jednej bramki przeciwko cyberprzestępcom.
Trudno mi wskazać jedną umiejętność, najważniejszą przy wykonywaniu zadań blue teamu. Tutaj chyba, jak nigdzie indziej liczy się interdyscyplinarność. Może zatem najważniejsza jest umiejętność pozyskiwania i przyswajania informacji o nowych zagrożeniach oraz technikach minimalizacji ryzyka z nimi związanego?
Pojęciem “Blue Team” posługujemy w testach bezpieczeństwa typu Adversary Emulation – Mariusz Stawowski
Pojęciem “Blue Team” posługujemy w testach bezpieczeństwa typu Adversary Emulation. Dokumentem referencyjnym w testach jest MITRE ATT&CK i także znaczenie pojęć “Red Team” i “Blue Team” przyjęliśmy w zgodności z terminologią MITRE. Jest wiele dokumentów na ten temat, np. “Getting started with ATT&CK”.
W skrócie zespół “Red Team” odpowiada za wykonanie wybranych technik cyber-ataków, a zespół “Blue Team” odpowiada za ich wykrycie i podjęcie reakcji na incydenty.
Głównym celem testów Adversary Emulation jest zdobycie doświadczenia przez osoby odpowiedzialne w organizacji za zarządzanie incydentami bezpieczeństwa oraz wykrycie słabości i doskonalenie tego procesu i w związku z tym w skład zespołu “Blue Team” powinny wchodzić osoby, które w organizacji rzeczywiście odpowiadają za zarządzanie incydentami. W praktyce może to być SOC/CSIRT, pracownicy działu bezpieczeństwa, a także administratorzy sieci, systemów i zabezpieczeń. W sytuacji gdy testy Adversary Emulation dotykają zaawansowanych narzędzi jak WAF, DLP, EDR, NDR, UEBA, SOAR, itp. pojawia się także zespół ekspertów z tych narzędzi nazywany “Purple Team”, który na podstawie wyników testów rekomenduje odpowiednie wzmocnienie systemu bezpieczeństwa.
Członkowie zespołu “Blue Team” odpowiedzialni za zarządzanie incydentami oprócz dobrej znajomości narzędzi, których używają w swojej pracy (np. SIEM/UEBA, EDR, NDR, SOAR, CTI) powinni także rozumieć sposoby działania cyberprzestępców i zdawać sobie sprawę z faktu, że wielu technik stosowanych w cyberatakach nie można zablokować. Skuteczna obrona przed profesjonalnie przeprowadzonym cyberatakiem polega na jego wczesnym wykryciu i właściwej reakcji na zagrożenie. Umiejętności w tym zakresie ludzie mogą rozwijać w trakcie dobrze zorganizowanych testów Adversary Emulation.
Odpowiednik przeciwwagi w świecie IT – Maciej Szymczyk
LinkedIn | YT | Blog | FB | Kurs Elastic Stack
Blue Team jest dla mnie odpowiednikiem przeciwwagi w świecie IT. Zapewnia stabilność działania aplikacji, systemów i instytucji. Należy zauważyć, że kryteria którymi kierujemy się przy prowadzeniu projektów (czy to implementacja czy wdrożenie) są w sprzeczności z bezpieczeństwem. Terminy gonią, budżet się kończy, ale niestety “najszybciej” i “najtaniej” nie idzie w parze z “bezpieczny”.
Co do drugiego pytania, ciężko to nazwać umiejętnością, ale uważam, że jedną z kluczowych cech jest ciekawość i determinacja. Strumień podatności i incydentów nigdy się nie kończy. Łatwo się zniechęcić i stracić zapał. Dziedzina jest szeroka i głęboka, więc na pewno przyda się umiejętność korzystania z wyszukiwarki 🙂
Podsumowanie i pytanie do Ciebie
Do znalezienia odpowiedzi na pytanie „Czym jest Blue Team?” zainspirowali mnie moi koledzy. Podczas ogłoszenia, że piszę książkę własnie na ten temat dostałem sporo pytań co to właściwie znaczy. Na koniec (bez określenia czym dla mnie jest Blue Team, gdyż duża część wypowiedzi powyżej pokrywa 100% mojej definicji) chciałbym zadać Ci pytanie:
Czym dla Ciebie jest Blue Team i jaka umiejętność wg. Ciebie jest najważniejsza przy wykonywaniu pracy związanej z bezpieczeństwem defensywnym?
Zostaw swoją krótką wypowiedź. Najlepsze wypowiedzi dołączą do tego artykułu i będą czytane do czasu, aż Blue Team i wszystko co się z nim wiąże stanie się codziennością w branży IT.
Niebieski zespół odpowieda za proaktywną ochronę sieci i systemów organizacji. Obejmuje to wdrażanie zasad i procedur bezpieczeństwa, wdrażanie narzędzi i technologii bezpieczeństwa. monitoruje sieci i systemów pod kątem wszelkich podejrzanych działań. Niebieski zespół jest również odpowiedzialny za reagowanie na incydenty bezpieczeństwa i prowadzenie dochodzeń w sprawie wszelkich potencjalnych zagrożeń. Niebieski zespół jest to częśc strategii każdej organizacji.
Głowny cel Niebieskiego Zespołu jest utrzymanie bezpieczeństwa systemów i danych firmy. Obejmuje kontrole takie jak Firewall, systemy wykrywania i zapobiegania włamaniom oraz kontrola dostępu. Niebieski zespół jest również odpowiedzialny za aktualizowanie tych mechanizmów bezpieczeństwa zgodnie z najnowszymi informacjami o zagrożeniach i trendami ataków. Typowym jest tez ze Blue Team reagowuje na incydenty. Opdowiada za wykrycie i powstrzymanie incydentu, zbadanie jego pierwotnej przyczyny oraz wdrożenie środków zapobiegających podobnym incydentom w przyszłości. Blue Team to takze szkolenie pracowników firmy w zakresie rozpoznawania i zgłaszania incydentów.
Przykłady działań niebieskiego zespołu to tez polityki i procedur bezpieczeństwa, ocena ryzyka, plany reagowania w razie zagrożen, wdrazanie nowych technologii zapobiegajacyh zagrozeniom.