29.04.2023 | Взаимодействие, а не противодействие: главное о Purple Teaming |
Термин Purple Teaming ярко отражает суть проводимых работ, основным требованием для которых является необходимость обеспечить эффективное взаимодействие защитников Blue Team и атакующей команды Red Team. Основная часть этой терминологии позаимствована из лексики американских военных конца прошлого века. У них красными и синими повязками идентифицировались разные команды при проведении тактических учений. А определение фиолетовой команды появилось значительно позднее в отрасли информационной безопасности и стало использоваться для обозначения синергии при взаимодействии красной и синей команды. Целью проведения работ является проверка способности Blue Team обнаруживать атаки с минимальноӗ задержкой̆ по времени, эффективно реагировать и противодействовать реальным злоумышленникам. В ходе работ специалистами атакующей команды последовательно отрабатываются все публично известные тактики, техники и процедуры злоумышленников (TTP – tactics, techniques, and procedures). Основными задачами проекта Purple Teaming являются:
На всех этапах проведения Purple Teaming максимально подробно документируется процесс проведения атак и стоит задача рассказать обороняющейся стороне о допущенных ошибках и способах их избежать в будущем. Таким образом, защитники создают правила для обеспечения полного покрытия мониторингом всех публично известных тактик злоумышленников и отрабатывает на практике методы реагирования на подобные атаки. При этом в каждой̆ из итераций проекта навыки и знания участников Blue Team повышаются, этот фактор объединяет данный вид работы с концепцией киберучений. При этом не стоит путать Purple Teaming и киберучения. Ключевое различие между ними в том, что киберучения – это тренировка на «лабораторной» инфраструктуре, приближенной к реальной, а Purple Teaming проводится на «боевой» инфраструктуре и учитывает особенности конфигурации защитных решений и конкретных инструментов Blue Team. По итогам тестирования Purple Team заказчик получает объективную информацию о состоянии уровня информационной безопасности, а именно какие действия атакующих видны службам ИБ и при каких условиях, а какие из этих действий остаются незамеченными и могут привести к развитию атаки и реализации недопустимых событий. Также заказчику предоставляются практические рекомендации по повышению качества противодействия злоумышленникам, уменьшению времени на обнаружение и реагирование, настройке и расширению скоупа систем защиты информации. Purple Teaming – услуга, очень мало представленная на российском рынке кибербезопасности. При этом на нее есть входящий запрос рынка, особенно со стороны компаний, у которых кибербезопасность находится на высоком уровне зрелости. Это связано с тем, что Purple Teaming обеспечивает ряд возможностей, которых не дают стандартное тестирование на проникновение или даже Red Teaming. При проведении Red Teaming основная задача «красной» команды – достичь цели, оставаясь незамеченными. Поскольку атакующие действуют максимально скрытно, это, в отличие от Purple Teaming, ограничивает число сценариев взлома, доступных для проверки, и следовательно – число сценариев реагирования, которые могут быть оптимизированы по итогам тестирования. Если Red Teaming позволяет дать ситуативную практическую оценку уровня защищенности компании, то Purple Teaming позволяет не только дать более полную и комплексную оценку, но и помогает повысить качество реагирования на кибератаки, расширить спектр инцидентов, покрываемых мониторингом, выявлять цепочки kill chain. Это достигается, прежде всего, за счет самой коллаборация защитников и атакующих. Вместо того чтобы работать независимо, «красная» и «синяя» команды сотрудничают, обмениваясь информацией в режиме реального времени. Благодаря этому они дополняют экспертизу друг друга, что повышает эффективность мероприятий по обнаружению инцидентов и мер по их устранению. Кроме того, взаимодействие и обмен опытом между «красной» и «синей» командами позволяет повысить квалификацию и знания участников с обеих сторон. Это, в свою очередь, позволяет усовершенствовать плейбуки и способствует тому, что в дальнейшем служба информационной заказчика будет противодействовать быстрее противодействовать реальным атакам и анализировать инциденты. В ходе Purple Teaming команда атакующих может имитировать действия реальной группировки, специализирующейся на атаках на конкретную отрасль. Благодаря этому компания может проверить свою устойчивость к реальным угрозам, которые релевантны именно для нее, сфокусировать на выявлении и защите от техник, тактик и инструментов, используемых действующими хакерскими группировками. Также совместная работа позволяет оптимизировать ресурсы команд в ходе проекта. Это позволяет сократить время и затраты заказчика на совершенствование уровня информационной безопасности. Это и обуславливает рост интереса к Purple Teaming: сегодня это наиболее эффективный подход к повышению уровня эффективности работы мониторинга и противодействия кибератакам. Он позволяет компаниям быстрее обнаружить и устранить недостатки контролей информационной безопасности, а также улучшать навыки и знания своих специалистов подразделений киберзащиты. Автор: Вадим Шелест, ведущий эксперт отдела анализа защищенности компании МТС RED |
Проверить безопасность сайта