Hallo Kollegen. Wir erinnern Sie daran, dass wir vor nicht allzu langer Zeit zwei coole klassische Bücher über
Hacking und
Malware-Analyse veröffentlicht haben . Unterwegs ist auch ein ausgezeichnetes Buch über
die Kali Linux-Distribution . Wir sind jedoch der Ansicht, dass das Thema Computersicherheit von uns nicht vollständig behandelt wird, und möchten Sie um Ihre Meinung zu dem
Buch von Yuri Diogenes und Erdal Ozkaj über das Zusammenspiel von Red Team und Blue Team bei der Überprüfung der Informationssicherheit im Unternehmen bitten.
Im Rahmen des Schnitts bieten wir einen Artikel an, der die Unterschiede in der Arbeit der roten und blauen Teams beschreibt und es uns ermöglicht, die Verantwortlichkeiten der violetten Teams zu verstehen.
Übrigens empfehlen wir Programmierer- und Nicht-Programmierer-Artikel
im heutigen
Blog des Autors - dort ist es interessant!
Im Bereich der Informationssicherheit gibt es einige Verwirrung in den Definitionen der Teams Rot, Blau und Lila. Im Folgenden werde ich meinen eigenen Standpunkt darlegen und erläutern, welche Phänomene ich mit diesen Definitionen verbinde.
Definitionen
Das rote Team ist eine Drittorganisation, deren Aufgabe es ist, die Wirksamkeit zu überprüfen:
- Sicherheitsprogramme im Unternehmen vorhanden. Zu diesem Zweck werden die Aktionen und Techniken eines wahrscheinlich angreifenden Feindes auf realistischste Weise reproduziert. Diese Praxis ähnelt Penetrationstests, ist jedoch nicht identisch damit. Das rote Team bei der Arbeit verfolgt ein oder mehrere Ziele.
- Das Blue Team ist eine interne Unternehmensgruppe von Sicherheitsexperten, die das Unternehmen sowohl vor echten Angreifern als auch vor Red Teams schützt. Blaue Teams sollten von den Standard-Computersicherheitsspezialisten unterschieden werden, die in den meisten Organisationen arbeiten, da die meisten Vollzeit-Sicherheitsspezialisten nicht so konfiguriert sind, dass sie im Vorgriff auf einen Angriff ständig überwacht werden. In diesem Modus sollte das echte Blaue Team handeln und sich auf die Situation beziehen.
- Lila Teams sind idealerweise redundante Gruppen, deren Aufgabe es ist, die Effektivität der roten und blauen Teams sicherzustellen und zu maximieren. Dies geschieht durch die Einbeziehung der Defensiv- und Blue-Team-Techniken in die Untersuchung von Bedrohungen und Schwachstellen, die von den Red-Teams in einem einzigen Kontext entdeckt wurden, um einen maximalen Nutzen aus der Arbeit beider Parteien zu ziehen. Mit dem richtigen Ansatz ergibt 1 + 1 3, aber es sollte so sein, denn dies ist die Bedeutung der Interaktion der roten und blauen Teams.
Das Ziel des Roten Teams ist es, Wege zu finden, um die Arbeit des Blauen Teams zu verbessern. Daher sind die Lila Teams in Organisationen, in denen die Interaktion zwischen dem Roten und dem Blauen Team gut etabliert ist, nicht erforderlich.
Fehlanwendung von lila Befehlen: AnalogienIch gebe Ihnen einige offensichtliche Analogien, die ich normalerweise verwende, wenn sie mich über die falsche Verwendung der violetten Befehle informieren: Das heißt, die roten Teams zur Interaktion mit den blauen zu zwingen.
1. Kellner, die keine Bestellungen bringen: In einem Restaurant ist es nicht möglich, Kellner zu zwingen, Geschirr aus der Küche zu nehmen und an die Gäste zu verteilen. Lösung: Wir stellen „Küchen-Ess-Koordinatoren“ ein, die professionell Bestellungen an den Tisch liefern. Wenn ein Manager gefragt wird: Warum wurden zusätzliche Mitarbeiter für diese Arbeit eingestellt und nicht den Kellnern zugewiesen? Der Manager antwortet:
Die Kellner sagen, das sei nicht ihre Aufgabe.
2. Eliteköche, die Gerichte in der Küche aufbewahren: Ein Experte wird ins Restaurant eingeladen, um herauszufinden, warum das Restaurant Verluste erleidet, wenn ein so gehobener talentierter Koch darin arbeitet. Offensichtlich, weil die Gäste gezwungen sind, lange auf die bestellten Gerichte zu warten, und manchmal bringen diese Gerichte sie überhaupt nicht. In der Küche angekommen, findet der Controller dort in der Nähe des Ofens ganze Gestelle mit perfekt servierten Tellern. Er fragt den Koch, warum er diese Gerichte nicht an die Gäste geschickt hat, die sie bestellt haben, und der Küchenchef antwortet:
„Ich weiß viel besser über Essen als diese dummen Kellner und dummen Gäste. Wissen Sie, wie viel ich gelernt habe, solche Gerichte zu kochen? Selbst wenn ich ihnen erlaubt hätte zu essen, hätten sie sie nicht verstanden und ich hätte es nicht gefühlt. Also behalte ich mein Geschirr hier. “
Ausgezeichnet: Wir haben Kellner, die sich weigern, Geschirr auf den Tischen zu servieren, und einen Koch, der es nicht erlaubt, sein Geschirr aus der Küche zu nehmen.
Dies ist das rote Team, das sich weigert, mit dem blauen zu interagieren.
Wenn Sie ein solches Problem haben, müssen Sie die Interaktion der roten und blauen Teams dynamisch korrigieren und dürfen keine andere Gruppe von Personen einstellen, die ihnen einen Teil der Arbeit der roten und blauen anvertrauen.
Konzepte und Philosophie
Das rote und das blaue Team arbeiten perfekt in perfekter Harmonie miteinander - genau wie zwei Handflächen beim Klatschen.
Wie das Yin und Yang von Assault and Defense sind die Teams Rot und Blau aus taktischer und verhaltensbezogener Sicht völlig gegensätzlich, aber dank dieser Unterschiede bilden sie zusammen ein gesundes und effektives Ganzes.
Die Roten greifen an, die Blues verteidigen, aber ihr Hauptziel ist es, die Sicherheitsindikatoren in der Organisation zu verbessern.
Hier sind einige häufige Probleme, die auftreten, wenn das rote und das blaue Team zusammenarbeiten:
- Die Roten halten sich für eine zu coole Elite, um Informationen mit den Blauen zu teilen
- Das rote Team wird in die Organisation hineingezogen, wo es neutralisiert, begrenzt und demoralisiert wird, wodurch seine Wirksamkeit katastrophal verringert wird
- Die roten und blauen Teams sind nicht in der Lage, ständig in der Reihenfolge der Dinge miteinander zu interagieren, sodass die Lehren aus dem Beispiel der Rivalen tatsächlich verloren gehen.
- Offensichtlich nehmen Informationssicherheitsmanager die roten und blauen Teams nicht als Teilnehmer desselben Projekts wahr, sodass kein Austausch von Informationen, Messergebnissen und Praktiken zwischen ihnen stattfindet.
Unternehmen, die unter einem oder mehreren dieser Unglücksfälle leiden, gehen logischerweise davon aus, dass sie das Violet-Team benötigen, um Probleme zu lösen. „Violett“ sollte jedoch als Funktion oder Konzept verstanden werden und nicht als separates Team, das kontinuierlich arbeitet. Und dieses Konzept ist Kooperation und gegenseitiger Nutzen für beide Teams auf dem Weg zu einem gemeinsamen Ziel.
Möglicherweise ist
das Violet-Team
an der Arbeit beteiligt, wenn ein externer Beobachter analysiert, wie die Interaktion zwischen Ihren Hauptteams Rot und Blau hergestellt wird, und empfiehlt, welche Änderungen vorgenommen werden sollen. Eine Übung mit dem Violet-Team ist möglich, wenn jemand beide Teams in Echtzeit beobachtet. Oder ein Treffen mit dem Violet-Team, bei dem beide Teams zusammenkommen, Geschichten aus der Praxis diskutieren und über verschiedene Angriffe und Möglichkeiten sprechen, sich gegen sie zu verteidigen.
Das Fazit lautet: Sie müssen die blauen und roten Teams zwingen, ein gemeinsames Ziel im Zusammenhang mit der Optimierung der Arbeit in der Organisation zu formulieren, und diesem System keine unnötigen Entitäten hinzufügen.
Das lila Team kann mit einem Familienberater verglichen werden. Es ist gut, wenn es eine Person gibt, die Kontakt zwischen Ehepartnern herstellen kann, aber auf keinen Fall sollte es dem Ehemann und der Ehefrau gestattet sein, von einem bestimmten Punkt nur über einen Vermittler zu kommunizieren.
Zusammenfassung
- Rote Teams ahmen die Taktik von Eindringlingen nach, um Lücken im Schutz der Organisation zu finden, für die sie arbeiten.
- Das blaue Team verteidigt sich gegen Angreifer und arbeitet an einer ständigen Optimierung der in der Organisation verwendeten Schutzausrüstung.
- Wenn die Arbeit des roten und blauen Teams normalerweise im Unternehmen angesiedelt ist, wird ein regelmäßiger Wissensaustausch zwischen ihnen hergestellt, von dem beide ständig profitieren.
- Violette Teams werden häufig verwendet, um die kontinuierliche Integration zwischen den beiden Gruppen zu fördern, und das Hauptproblem der blauen und roten Teams ist nicht gelöst: der schwierige Informationsaustausch zwischen ihnen.
- Das violette Team kann als Funktion der Zusammenarbeit oder als Interaktionspunkt konzipiert werden und nicht als erhabenes und idealerweise redundantes Objekt.
- In der Organisation besteht das einzige Ziel des Roten Teams darin, die Effektivität des Blauen Teams zu steigern. Daher sollte der Wert des Lila Teams natürlich aus ihrer Interaktion resultieren und nicht absichtlich auferlegt werden.
Anmerkungen
- Alle diese Bestimmungen gelten für alle Sicherheitsmaßnahmen, aber in diesem Artikel habe ich den Schwerpunkt genau auf die Informationssicherheit gelegt.
- Das Tiger-Team ist ein Phänomen, das an das Rote Team erinnert, aber nicht mit diesem identisch ist. In einem Artikel aus dem Jahr 1964 wurde "Tiger" definiert als "ein Team von ungezähmten und unbegrenzten Sicherheitsexperten, die aufgrund ihrer Erfahrung, Energie und Vorstellungskraft ausgewählt wurden und die Aufgabe haben, alle möglichen Fälle von Ausfällen verschiedener Subsysteme von Raumfahrzeugen kontinuierlich zu überwachen." Heute werden der Begriff und das Rote Team synonym verwendet.
- Es ist wichtig, dass das rote Team einen gewissen Abstand zu den zu testenden Organisationen einhält. Dies eröffnet die erforderliche Überprüfung und ermöglicht es Ihnen, das Problem aus der Sicht des Angreifers zu sehen, den es nachahmt. Die Organisationen, die das Rote Team im Rahmen ihrer eigenen Sicherheitsabteilung bilden, berauben das Rote Team normalerweise (mit seltenen Ausnahmen) allmählich der Autorität, Autorität und Freiheit im Allgemeinen, wodurch es die Fähigkeit verliert, als echter Angreifer zu agieren. Im Laufe der Zeit (es passiert in wenigen Monaten) verwandeln sich die roten Teams, die zu Beginn ihrer Arbeit eine echte Elite waren und effizient arbeiteten, in gefesselte, stagnierende und letztendlich unfähige Gruppen.
- Das violette Team fungiert nicht nur als Vermittler und hilft der Organisation, nicht nur nicht ganz ausgereifte Programme zu etablieren, sondern auch Manager an das Verhalten eines Angreifers zu gewöhnen, was die Spezialisten vieler Organisationen zunächst einfach erschrecken kann.
- Ein weiterer Aspekt, aufgrund dessen die Effizienz der internen Red Teams des Unternehmens allmählich abnimmt, besteht darin, dass sich Vertreter der Red Teams in der Regel nicht gut an die Kultur solcher Unternehmen gewöhnt haben, die versuchen, sie einzustellen. Mit anderen Worten, in einem Unternehmen, das sich ein echtes rotes Team leisten kann, entwickelt sich normalerweise eine Kultur, die nicht mit Mitgliedern des elitären roten Teams auskommt. Oft brennen Mitglieder des internen Red Teams des Unternehmens aus diesem Grund aus.
- Es ist technisch möglich, mit dem unternehmensinternen Red Team Effizienz zu erzielen. Es ist einfach äußerst unwahrscheinlich, dass dieses Team geschützt werden kann und auf Unterstützung auf hoher Führungsebene zählen kann. All dies führt normalerweise zu Zerstörung, Frustration und Burnout.
- Eine häufige Falle, in die unternehmensinterne Rote Teams geraten, ist die Einschränkung von Befugnissen und Bereichen zulässiger Maßnahmen bis hin zur vollständigen Ineffizienz. In diesem Moment zieht das Management Berater an, die die volle Unterstützung genießen und dem Gericht des Unternehmens viele interessante Erkenntnisse übermitteln. Dann rufen die Behörden aus: „Wow! Wie großartig sie sind! Leute, warum könntest du das nicht auch tun? " Normalerweise gehen die Leute nach einem solchen Gespräch zu LinkedIn.
- Andere Analogien der Roten Mannschaft, die nicht zur Zusammenarbeit bereit ist: Profifußballer, die nur den Ball treten können, aber keinen Pass geben können; Professionelle Hacker, die versuchen, mit einer Handfläche zu applaudieren, professionelle Auditoren, die keine Berichte schreiben, professionelle Lehrer, die keine Schüler kontaktieren. Ich denke du verstehst mich.