Čo je Blue Teaming a ako zlepšuje kybernetickú bezpečnosť?

Blue teaming je prax vytvárania a ochrany bezpečnostného prostredia a reagovania na incidenty, ktoré toto prostredie ohrozujú. Operátori kybernetickej bezpečnosti Blue Team sú zbehlí v monitorovaní bezpečnostného prostredia, ktoré chránia, z hľadiska zraniteľností, či už existujúcich alebo spôsobených útočníkmi. Modrí tímy riadia bezpečnostné incidenty a využívajú získané poznatky na posilnenie prostredia proti budúcim útokom.

Prečo sú teda modré tímy dôležité? Aké úlohy vlastne preberajú?

Prečo je Blue Teaming dôležitý?

Produkty a služby postavené na technológiách nie sú imúnne voči kybernetickým útokom. Po prvé, poskytovatelia technológií sú zodpovední za ochranu svojich používateľov pred internými alebo externými kybernetickými útokmi, ktoré by mohli ohroziť ich údaje alebo majetok. Používatelia technológie tiež zdieľajú túto zodpovednosť, ale existuje len málo, čo môže používateľ urobiť na obranu produktu alebo služby so slabým zabezpečením.

Bežní používatelia si nemôžu najať oddelenie IT expertov na navrhovanie bezpečnostnej architektúry alebo implementáciu funkcií, ktoré zvyšujú ich vlastnú bezpečnosť. To je základná zodpovednosť spoločnosti, ktorá sa zaoberá hardvérom a sieťovou infraštruktúrou.

Regulačné organizácie ako napr Národný inštitút pre štandardy a technológie (NIST) tiež zohrávajú svoju úlohu. NIST, napríklad, dizajny rámce kybernetickej bezpečnosti, ktoré spoločnosti používajú zabezpečiť, aby IT produkty a služby spĺňali bezpečnostné štandardy.

Všetko je prepojené

Každý sa pripája na internet prostredníctvom hardvéru a sieťovej infraštruktúry (spomeňte si na svoj laptop a Wi-Fi). Dôležitá komunikácia a podnikanie sú postavené na týchto infraštruktúrach, takže všetko je prepojené. Napríklad nasnímate a uložíte obrázky do telefónu. Tieto súbory zálohujete do cloudu. Neskôr vám aplikácie sociálnych médií vo vašom telefóne pomôžu zdieľať chvíle s rodinou a priateľmi.

Bankové aplikácie a platobné platformy vám pomôžu zaplatiť za veci bez toho, aby ste museli fyzicky čakať v rade v banke alebo posielať šek, a môžete podávať dane online. To všetko sa deje na platformách, ku ktorým sa pripájate prostredníctvom bezdrôtovej komunikačnej technológie zabudovanej v telefóne alebo notebooku.

Ak sa hackerovi podarí ohroziť vaše zariadenie alebo bezdrôtovú sieť, môže ukradnúť vaše súkromné ​​obrázky, bankové prihlasovacie údaje a doklady totožnosti. Môžu sa dokonca vydávať za vás a kradnúť veci od ľudí vo vašom sociálnom okruhu. Potom môžu túto ukradnutú zásobu informácií predať iným hackerom alebo vás prinútiť, aby ste ich vykúpili.

Ešte horšie je, že cyklus nekončí jedným hackom. To, že sa stanete obeťou jedného hacku, ešte neznamená, že sa vám ostatní útočníci vyhnú. Je pravdepodobné, že z vás urobí magnet. Preto je najlepšie predchádzať útokom v prvom rade. A ak prevencia nefunguje, potom je dôležité obmedziť škody a zabrániť budúcim útokom. Z vašej strany môžete obmedziť vystavenie pomocou vrstveného zabezpečenia. Spoločnosť deleguje úlohu na svoj modrý tím.

Role hráčov v modrom tíme

Modrý tím pozostáva z technických a netechnických bezpečnostných operátorov so špecifickými úlohami a zodpovednosťami. Ale, samozrejme, modré tímy môžu byť také veľké, že existujú podskupiny viacerých operátorov. Niekedy sa roly prekrývajú. Červený tím vs. modrý tím cvičenia majú zvyčajne týchto hráčov:

• Modrý tím plánuje obranné operácie a prideľuje úlohy a zodpovednosti ostatným operátorom v modrej bunke.
• Modrá bunka obsahuje operátorov, ktorí stoja pred obranou.
• Dôveryhodní agenti sú ľudia, ktorí vedia o útoku alebo si dokonca najmú červený tím. Napriek predchádzajúcim znalostiam o cvičení sú dôveryhodní agenti neutrálni. Dôveryhodní agenti sa nemiešajú do záležitostí červeného tímu ani neradia pri obrane.
• Biela bunka obsahuje operátorov, ktorí pôsobia ako nárazníky a sú v spojení s oboma tímami. Sú to rozhodcovia, ktorí zabezpečujú činnosť modrého tímu a červenému tímu nespôsobujú neúmyselné problémy mimo rámca angažmánu.
• Pozorovatelia sú ľudia, ktorých úlohou je pozorovať. Sledujú priebeh zásnub a zaznamenávajú svoje postrehy. Pozorovatelia sú neutrálni. Vo väčšine prípadov ani nevedia, kto je v modrých alebo červených tímoch.
• Červený tím tvoria operátori, ktorí spustia útok na cielenú bezpečnostnú architektúru. Ich úlohou je nájsť slabé miesta, vypichnúť diery v obrane a pokúsiť sa prekabátiť modrý tím.

Aké sú ciele Modrého tímu?

Ciele každého modrého tímu budú závisieť od bezpečnostného prostredia, v ktorom sa nachádzajú, a od stavu bezpečnostnej architektúry spoločnosti. To znamená, že modré tímy majú zvyčajne štyri hlavné ciele.

• Identifikujte a potláčajte hrozby.
• Eliminovať hrozby.
• Chrániť a získať späť ukradnutý majetok.
• Dokumentujte a kontrolujte incidenty, aby ste mohli lepšie reagovať na budúce hrozby.

Ako funguje Blue Teaming?

Vo väčšine organizácií pracujú operátori modrého tímu v a Bezpečnostné operačné centrum (SOC). SOC je miesto, kde experti na kybernetickú bezpečnosť prevádzkujú bezpečnostnú platformu spoločnosti a kde monitorujú a riešia bezpečnostné incidenty. SOC je tiež miestom, kde operátori podporujú netechnický personál a používateľov zdrojov spoločnosti.

Prevencia incidentov

Modrý tím je zodpovedný za pochopenie a vytvorenie mapy rozsahu bezpečnostného prostredia. Zaznamenávajú tiež všetky aktíva v prostredí, ich používateľov a stav týchto aktív. S týmito znalosťami tím zavádza opatrenia na predchádzanie útokom a nehodám.

Niektoré z opatrení, ktoré operátori modrého tímu implementujú na prevenciu incidentov, zahŕňajú nastavenie administrátorských práv. Neoprávnené osoby tak nemajú prístup k zdrojom, ktoré by v prvom rade nemali. Toto opatrenie je účinné pri obmedzení bočného pohybu, ak útočník získa prístup.

Okrem obmedzenia administrátorských práv zahŕňa aj prevencia incidentov úplné šifrovanie disku, nastavenie virtuálnych privátnych sietí, firewallov, bezpečného prihlásenia a autentifikácie. Mnoho modrých tímov ďalej implementuje techniky klamania, pasce nastražené fiktívnymi prostriedkami, aby chytili útočníkov skôr, ako spôsobia škodu.

Reakcia na incident

Reakcia na incident sa týka toho, ako modrý tím zistí, spracuje a zotaví sa z narušenia. Niekoľko incidentov spúšťa bezpečnostné upozornenia a nie je možné reagovať na každý jeden spúšťač. Takže modrý tím musí nastaviť filter na to, čo sa považuje za incident.

Vo všeobecnosti to robia implementáciou systému správy bezpečnostných informácií a udalostí (SIEM). SIEM informujú operátorov modrých tímov, keď nastanú bezpečnostné udalosti, ako sú napríklad neoprávnené prihlásenia spárované s pokusmi o prístup k citlivým súborom. Zvyčajne po upozornení SIEM automatizovaný systém skontroluje hrozbu a v prípade potreby postúpi ľudskému operátorovi.

Operátori modrého tímu zvyčajne reagujú na incidenty izoláciou systému, ktorý bol napadnutý, a odstránením hrozby. Reakcia na incident môže znamenať vypnutie všetkých prístupových kľúčov v prípade neoprávneného prístupu, vydanie tlačovej správy v prípadoch, keď sa incident týka zákazníkov, a vydanie opravy. Neskôr tím urobí a forenzný audit po porušení zbierať dôkazy, ktoré pomáhajú predchádzať opakovaniu.

Modelovanie hrozieb

Modelovanie hrozieb je, keď operátori používajú známe zraniteľnosti na simuláciu útoku. Tím vytvára príručku pre reakciu na hrozby a komunikáciu so zainteresovanými stranami. Takže, keď dôjde k skutočnému útoku, modrý tím má plán, ako uprednostniť prostriedky alebo prideliť ľudskú silu a zdroje na obranu. Samozrejme, veci len zriedka idú presne podľa plánu. Napriek tomu model hrozieb pomáha operátorom modrých tímov udržať celkový obraz v perspektíve.

Robustný modrý tím je proaktívny

Operátori pracovného modrého tímu zaisťujú bezpečnosť vašich údajov a bezpečné používanie technológie. Rýchlo sa meniace prostredie kybernetickej bezpečnosti však znamená, že modrý tím nemôže zabrániť alebo odstrániť každú hrozbu. Nemôžu ani príliš zoceliť systém; môže sa stať nepoužiteľným. Môžu tolerovať prijateľnú úroveň rizika a spolupracovať s červeným tímom na neustálom zlepšovaní bezpečnosti.