Geekly articles weekly

La diferencia entre los equipos rojo, azul y morado.

Hola colegas Le recordamos que no hace mucho tiempo publicamos dos libros clásicos geniales sobre piratería y análisis de malware . También en camino hay un excelente libro sobre la distribución de Kali Linux . Sin embargo, todavía creemos que el tema de la seguridad informática no está completamente cubierto por nosotros y nos gustaría pedirle su opinión sobre el libro de Yuri Diogenes y Erdal Ozkaj sobre la interacción del Equipo Rojo y el Equipo Azul al verificar la seguridad de la información en la empresa.

Debajo del corte, ofrecemos un artículo que describe las diferencias en el trabajo de los equipos Rojo y Azul y nos permite comprender cuáles son las responsabilidades de los equipos Violeta.

Por cierto, recomendamos artículos programadores y no programadores en el blog del autor de hoy. ¡Es interesante allí!

En el área de seguridad de la información, existe cierta confusión en las definiciones de los equipos Rojo, Azul y Púrpura. A continuación presentaré mi propio punto de vista y diré qué fenómenos asocio con estas definiciones.

Definiciones


El equipo rojo es una organización de terceros encargada de verificar la efectividad:

  • Programas de seguridad establecidos en la empresa. Para hacer esto, las acciones y técnicas de un probable enemigo atacante se reproducen de la manera más realista. Esta práctica se asemeja a la prueba de penetración, pero no es idéntica a ella; El equipo rojo en el trabajo persigue uno o más objetivos.
  • El Equipo Azul es un equipo interno de seguridad corporativa que protege a la compañía de los verdaderos atacantes y los Equipos Rojos. Los equipos azules deben distinguirse de los especialistas en seguridad informática estándar que trabajan en la mayoría de las organizaciones, ya que la mayoría de los especialistas en seguridad a tiempo completo no están configurados para trabajar de forma constante en previsión de un ataque, es decir, en este modo, el verdadero equipo azul debe actuar y relacionarse con la situación.
  • Los equipos morados son grupos idealmente redundantes cuya tarea es garantizar y maximizar la efectividad de los equipos rojo y azul. Esto se logra incorporando las técnicas de equipo defensivo y azul con la investigación de amenazas y vulnerabilidades descubiertas por los equipos rojos en un solo contexto, asegurando el máximo beneficio del trabajo de ambas partes. Con el enfoque correcto, 1 + 1 da 3, pero debería ser así, porque este es el significado de la interacción de los equipos Rojo y Azul.

El objetivo del Equipo Rojo es encontrar formas de mejorar el trabajo del Equipo Azul, por lo que los equipos Púrpura no son necesarios en organizaciones donde la interacción entre los equipos Rojo y Azul está bien establecida.

Aplicación incorrecta de comandos púrpuras: analogías

Le daré algunas analogías obvias que generalmente uso si me informan sobre el uso incorrecto de los comandos violetas: es decir, obligar a los equipos rojos a interactuar con el azul.

1. Camareros que no traen pedidos: en un restaurante, no es posible obligar a los camareros a tomar platos de la cocina y distribuirlos entre los invitados. Solución: contratamos "coordinadores de cocina y comedor" que entregan profesionalmente los pedidos a la mesa. Cuando se le pregunta a un gerente: por qué se contrataron empleados adicionales para este trabajo y no se los asignó a los camareros, el gerente responde:

Los camareros dicen que este no es su trabajo.

2. Los chefs de élite que guardan los platos en la cocina: se invita a un experto al restaurante para averiguar: ¿por qué el restaurante sufre pérdidas si un chef tan talentoso y exclusivo trabaja en él? Obviamente, porque los invitados se ven obligados a esperar mucho por los platos ordenados, y a veces estos platos no los traen en absoluto. Una vez en la cocina, el controlador encuentra cerca de los hornos estantes enteros de platos perfectamente servidos. Le pregunta al cocinero por qué no envió estos platos a los invitados que los ordenaron, y el chef responde:

“Sé mucho mejor sobre comida que estos estúpidos camareros y estúpidos invitados. ¿Sabes cuánto aprendí a cocinar tales platos? Incluso si les hubiera permitido comer, no los habrían entendido, y no lo habría sentido. Así que guardo mis platos aquí.

Excelente: tenemos camareros que se niegan a servir platos en las mesas y un chef que no permite sacar sus platos de la cocina.

Este es el equipo rojo, que se niega a interactuar con el azul.

Si tiene tal problema, entonces necesita arreglar dinámicamente la interacción de los equipos Rojo y Azul, y no contratar a otro grupo de personas, confiándoles parte del trabajo de los Equipos Rojo y Azul.

Conceptos y filosofia




Los equipos Rojo y Azul trabajan perfectamente en perfecta armonía entre ellos, al igual que dos palmas al aplaudir.

Al igual que el Yin y el Yang de Asalto y Defensa, los equipos Rojo y Azul están completamente opuestos entre sí desde un punto de vista táctico y de comportamiento, pero es gracias a estas diferencias que juntos forman un todo saludable y efectivo.

Los rojos atacan, los azules defienden, pero su objetivo principal es mejorar los indicadores de seguridad en la organización.

Aquí hay algunos problemas comunes que surgen cuando los equipos Rojo y Azul trabajan juntos:

  • Los rojos se consideran una élite demasiado genial para compartir información con los azules.
  • El equipo rojo es arrastrado a la organización, donde es neutralizado, limitado y desmoralizado, como resultado de lo cual su efectividad se reduce catastróficamente.
  • Los equipos Rojo y Azul no pueden interactuar entre sí de manera continua, en el orden de las cosas, por lo que las lecciones aprendidas con el ejemplo de los rivales en realidad se pierden.
  • Aparentemente, los gerentes de seguridad de la información no perciben a los equipos Rojo y Azul como participantes en el mismo proyecto, por lo que no hay intercambio de información, resultados de medición y prácticas entre ellos.

Las organizaciones que sufren una o más de estas desgracias asumen lógicamente que necesitan el equipo Violet para resolver los problemas. Sin embargo, "violeta" debe entenderse como una función o concepto, y no como un equipo separado que trabaja de manera continua. Y este concepto es cooperación y beneficio mutuo para ambos equipos en el camino hacia un objetivo común.

Quizás sea posible que el equipo Violeta esté involucrado en el trabajo, cuando un observador externo analiza cómo se establece la interacción entre sus equipos principales, Rojo y Azul, y recomienda qué enmiendas hacer. Un ejercicio que involucra al equipo Violeta es posible cuando alguien observa a ambos equipos en tiempo real. O una reunión con el equipo Violeta, cuando ambos equipos se unen, discuten historias de la práctica y hablan sobre varios ataques y formas de defenderse de ellos.

La conclusión es: debe obligar a los equipos Azul y Rojo a formular un objetivo común relacionado con la optimización del trabajo en la organización, y no agregar entidades innecesarias a este sistema.

El equipo morado se puede comparar con un consultor familiar. Es bueno cuando hay una persona que puede establecer contacto entre cónyuges, pero en ningún caso debe permitirse que el esposo y la esposa se comuniquen desde algún punto solo a través de un intermediario.

Resumen


  1. Los equipos rojos imitan las tácticas de los intrusos para encontrar brechas en la protección de la organización para la que trabajan.
  2. El equipo azul se defiende de los atacantes y trabaja en la optimización constante del equipo de protección utilizado en la organización.
  3. Cuando el trabajo del equipo Rojo y Azul normalmente se establece en la empresa, se establece un intercambio regular de conocimientos entre ellos, lo que los beneficia constantemente a ambos.
  4. Los equipos violetas a menudo se usan para estimular la integración continua entre los dos grupos, y el problema clave de los equipos Azul y Rojo no se resuelve: el difícil intercambio de información entre ellos.
  5. El equipo violeta puede conceptualizarse como una función de cooperación o un punto de interacción, y no como un objeto sublime e idealmente redundante.
  6. En la organización, el único objetivo del Equipo Rojo es aumentar la efectividad del Equipo Azul, por lo tanto, el valor del Equipo Púrpura debería surgir naturalmente de su interacción y no imponerse a propósito.

Notas


  1. Todas estas disposiciones son aplicables a cualquier operación de seguridad, pero en este artículo hice hincapié precisamente en la seguridad de la información.
  2. El equipo Tiger es un fenómeno que recuerda al Equipo Rojo, pero no es idéntico a él. En un artículo de 1964, "Tigre" se definió como "un equipo de profesionales de seguridad indomables e ilimitados, seleccionados por su experiencia, energía e imaginación, a quienes se les asignó la tarea de monitorear constantemente todos los posibles casos de falla de varios subsistemas de naves espaciales". Hoy, el término y el Equipo Rojo se usan como sinónimos.
  3. Es importante que el equipo Rojo se mantenga a cierta distancia de las organizaciones bajo prueba, y esto es lo que abre la revisión necesaria y le permite ver el problema desde el punto de vista del atacante, a quien imita. Las organizaciones que forman el Equipo Rojo dentro, en el marco de su propio departamento de seguridad, usualmente (con raras excepciones) privan gradualmente al Equipo Rojo de autoridad, autoridad y libertad en general, por lo que pierde la capacidad de actuar como un verdadero atacante. Con el tiempo (sucede en cuestión de meses) los equipos rojos, que al comienzo de su trabajo eran una verdadera élite y trabajaban eficientemente, se convierten en grupos encadenados, estancados y, en última instancia, incapaces.
  4. El equipo violeta no solo actúa como mediador, ayudando a la organización no solo a establecer programas poco maduros, sino también a los gerentes acostumbrados al comportamiento de un atacante, que al principio puede asustar a los especialistas de muchas organizaciones.
  5. Otro aspecto debido al cual la eficiencia de los equipos rojos corporativos internos se erosiona gradualmente es que los representantes de los equipos rojos generalmente tienen poca aclimatación en la cultura de las empresas que intentan contratarlos. En otras palabras, en una empresa que puede permitirse un verdadero Equipo Rojo, generalmente se desarrolla una cultura que no puede llevarse bien con los miembros del Equipo Rojo de élite. A menudo, los miembros del equipo rojo corporativo interno se agotan debido a esto.
  6. Es técnicamente posible lograr la eficiencia del Equipo Rojo intra-corporativo; simplemente es extremadamente improbable que este equipo pueda estar protegido y pueda contar con soporte a un alto nivel gerencial. Todo esto generalmente conduce a la destrucción, la frustración y el agotamiento.
  7. Una trampa común en la que caen los Equipos Rojos intra-corporativos es el estrechamiento de poderes y áreas de acciones permitidas, hasta completar la ineficiencia. En este mismo momento, la gerencia atrae a consultores que disfrutan de un apoyo total y brindan muchos hallazgos interesantes al tribunal de la compañía. Entonces las autoridades exclaman: "¡Guau! ¡Qué asombrosos son! Chicos, ¿por qué no podrían hacer lo mismo? Por lo general, después de tal conversación, las personas van a LinkedIn.
  8. Otras analogías del equipo Rojo, que no está listo para la cooperación: jugadores profesionales de fútbol que solo pueden patear la pelota, pero que no pueden dar un pase; piratas informáticos profesionales que intentan aplaudir con una sola mano, auditores profesionales que no escriben informes, maestros profesionales que no contactan a los estudiantes. Creo que me entiendes.

Source: https://habr.com/ru/post/es419855/

More articles:


All Articles