Jakie Wyróżniamy Zespoły Bezpieczeństwa? - Security Bez Tabu

Jakie Wyróżniamy Zespoły Bezpieczeństwa?

Blue, Red, Yellow… co chodzi z teamami w bezpieczeństwie?

Cyberbezpieczeństwo to bardzo złożona dziedzina. Każda osoba odpowiedzialna za cybersecurity musi mieć przydzieloną konkretną rolę. Wynika to z faktu, że wraz z rozwojem technologii zwiększają się możliwości atakujących. Każda luka w zabezpieczeniach może powodować nieodwracalne szkody. Co natomiast powinniśmy mieć w głowie kiedy słyszymy o podziale na teamy?

Aby działać skutecznie i wydajnie, każdy w zespole odpowiedzialnym za bezpieczeństwo ma z góry określone zadania. Pozwala to ekspertom na działanie tylko w ramach ich specjalizacji. Podział zadań jest konieczny, ponieważ dzięki niemu zostaje zapełnione wiele luk. W rezultacie każdy może skupić się na tym, co potrafi najlepiej, zamiast odpowiadać za całość.

Podział na teamy – Blue & Red team

Blue team – team zajmujący się defensywą. Jego zadaniem jest konfigurowanie zabezpieczeń, błyskawiczne reagowanie na incydenty i eliminowanie luk dotyczących bezpieczeństwa. Zajmuje się również analizą ruchu w sieci i informowaniem o próbach ataku. Bycie w blue teamie wymaga wiedzy i doświadczenia w wielu aspektach z dziedziny IT. Każda z możliwych prób włamania powinna być udaremniona jak najszybciej.

Blue team do skutecznego działania powinien znać również metody ataków. Aby powstrzymać hakera należy myśleć jak on, łącząc to z wiedzą i kreatywnością. Blue team jest najaktywniejszym z zespołów – musi stale nadzorować każdy aspekt dotyczący bezpieczeństwa w sieci. Szczegółowy opis tego czym jest blue team i jak jest widziany przez specjalistów IT znajdziesz w artykule Czym Jest Ten Cały Blue Team – PYTAMY EKSPERTÓW.

Red team – team zajmujący się ofensywą. Ich głównym zadaniem jest zdobycie dostępu do administrowania siecią poprzez przeprowadzanie testów penetracyjnych, szukanie potencjalnych luk w sieci, phishing i inne metody. Red team często składa się z etycznych hakerów (inaczej white hat hackers), czyli osób łamiących zabezpieczenia na zlecenie i za zgodą danej firmy. Red team musi również wykazywać się zdolnościami z zakresu inżynierii społecznej – symulując prawdziwy atak należy wykorzystywać wszystkie metody używane przez hakerów łamiących zabezpieczenia dla swoich osobistych celów (black hat hackers). Do przeprowadzenia ataku wykorzystywane są publicznie dostępne informacje (biały wywiad, inaczej OSINT).

Zazwyczaj red team ma pełną dowolność odnośnie prowadzonych działań, dzięki czemu wykrywa braki w zabezpieczeniach na wielu płaszczyznach – od braku przeszkolenia personelu po błędy w przyznawaniu uprawnień użytkownikom.

Blue team vs red team – skrótowe porównanie

 Blue Team Red Team
Zabezpieczanie sieciAtakowanie sieci
Odpowiada za zapobieganie atakom zarówno red team i black hat hackersImituje działania hakerów
Wymaga wiedzy z zakresu przeprowadzania atakówWymaga wiedzy z zakresu przeprowadzania ataków
Działa wewnątrz sieciDziała głównie spoza sieci

Blue & red team w praktyce

Podział na blue i red team jest stosowany podczas gier polegających na testowaniu zabezpieczeń sieci. Rozgrywki blue vs red pozwalają na załatanie luk w zabezpieczeniach zanim wykorzystają je hakerzy chcący przejąć kontrolę nad siecią. Symulacja ataku pozwala na zbadanie stanu zabezpieczeń danej sieci i przedstawienie go w formie szczegółowej analizy. Do skutecznej kooperacji między red team i blue team potrzebna jest kolejna drużyna – purple team.

Czym jest purple team?

Purple team to pośrednik między blue team i red team. Pozwala na komunikowanie się głównych drużyn (blue & red). Zazwyczaj składa się z części graczy blue team i red team. Purple team na bieżąco przekazuje informacje między niebieską i czerwoną drużyną – dzięki temu obydwa zespoły mogą pracować wydajniej, ponieważ mają pewne informacje dotyczące działań swoich rywali.

Purple team znacząco przyspiesza łatanie podatności w aplikacjach bądź urządzeniach – po znalezieniu jednej red team może przystąpić do szukania kolejnej, zaś blue team może zająć się wyeliminowaniem potencjalnego zagrożenia.

Bycie w purple team wymaga zdolności analitycznych, komunikatywności, niekonwencjonalnego myślenia i rozumienia działań zarówno blue i red team.

Yellow team, white team i inne teamy

Poza wspomnianymi trzema drużynami wyróżnia się również cztery inne. Służą one kooperacji blue teamu i red teamu z twórcami oprogramowania.

Yellow team – drużyna zajmująca się tworzeniem oprogramowania. W zakresie cybersecurity zajmują się wprowadzaniem poprawek bezpieczeństwa do aplikacji, jeśli blue team lub red team znajdzie jakąś podatność na atak.

Jako pomost między yellow team a blue team służy green team. Zajmuje się wprowadzaniem poprawek dotyczących bezpieczeństwa na podstawie wiedzy blue team. Analogiczną rolę pełni orange team, będący pośrednikiem między red team i yellow team. Wspiera on żółtą drużynę dzieląc się z nią wiedzą odnośnie metod wykorzystywanych przez atakujących.

White team pełni rolę nadzorcy – czuwa nad tym, aby każdy team miał przydzielone zadanie. To on określa reguły podczas gier blue vs red. W przypadku nieporozumień to on pełni rolę sędziego. Nie bierze bezpośredniego udziału w rywalizacji drużyn. Każdy z teamów raportuje do niego swoje działania, dzięki czemu może dokonać obszernej analizy. Dzięki białej drużynie nie dochodzi do wielu konfliktów – to ona jest bezstronną wyrocznią, której decyzje muszą być uszanowane przez wszystkie kolorowe drużyny.

Podsumowanie

W tym artykule pobieżnie sklasyfikowaliśmy główne „podziały” wśród specjalistów bezpieczeństwa ze względu na wyzwania przed nimi stojące.

Podział na teamy jest potrzebny dla wydajnej ochrony sieci przed adwersarzami. Każda osoba w zespole odpowiedzialnym za bezpieczeństwo powinna precyzyjnie znać swoje zadania, aby skupić się jedynie na dziedzinie w której jest najlepsza.

Symulacje ataków pozwalają na wyeliminowanie luk w zabezpieczeniu sieci zanim zostaną wykorzystane przez osoby o złych zamiarach.

Gry blue team vs red team dostarczają dużo informacji odnośnie aktualnego stanu zabezpieczeń. Warto inwestować w symulowane ataki i ewentualne zabezpieczenia niż zwalczać skutki ataku hakerów.