Geekly articles weekly

La différence entre les équipes rouge, bleue et violette

Bonjour chers collègues. Nous vous rappelons qu'il n'y a pas si longtemps, nous avons publié deux livres classiques sur le piratage et l' analyse des logiciels malveillants . Un excellent livre sur la distribution Kali Linux est également en route. Néanmoins, nous pensons toujours que le sujet de la sécurité informatique n'est pas entièrement couvert par nous et nous aimerions vous demander votre avis sur le livre de Yuri Diogenes et Erdal Ozkaj sur l'interaction de l'équipe rouge et de l'équipe bleue lors du contrôle de la sécurité des informations dans l'entreprise.

Sous la coupe, nous proposons un article décrivant les différences dans le travail des équipes Rouge et Bleu et nous permettant de comprendre quelles sont les responsabilités des équipes Violet.

Soit dit en passant, nous recommandons des articles programmeurs et non programmeurs sur le blog de l'auteur d'aujourd'hui - c'est intéressant là-bas!

Dans le domaine de la sécurité de l'information, il existe une certaine confusion dans les définitions des équipes rouge, bleue et violette. Ci-dessous, je présenterai mon propre point de vue et dirai quels phénomènes j'associe à ces définitions.

Définitions


L'équipe rouge est une organisation tierce chargée de vérifier l'efficacité:

  • Programmes de sécurité en place dans l'entreprise. Pour ce faire, les actions et les techniques d'un ennemi susceptible d'attaquer sont reproduites de la manière la plus réaliste. Cette pratique ressemble à des tests de pénétration, mais ne lui est pas identique; l'équipe rouge au travail poursuit un ou plusieurs objectifs.
  • L'équipe bleue est un groupe interne de professionnels de la sécurité qui protège l'entreprise contre les vrais attaquants et les équipes rouges. Les équipes bleues doivent être distinguées des spécialistes de la sécurité informatique standard travaillant dans la plupart des organisations, car la plupart des spécialistes de la sécurité à temps plein ne sont pas configurés pour travailler en veille constante en prévision d'une attaque - à savoir, dans ce mode, la véritable équipe bleue doit agir et se rapporter à la situation.
  • Les équipes violettes sont idéalement des groupes redondants dont la tâche est d'assurer et de maximiser l'efficacité des équipes rouges et bleues. Cela se fait en intégrant les techniques de l'équipe défensive et de l'équipe bleue à l'enquête sur les menaces et les vulnérabilités découvertes par les équipes rouges dans un contexte unique, en assurant un maximum de bénéfices du travail des deux parties. Avec la bonne approche, 1 + 1 donne 3, mais il devrait en être ainsi, car c'est le sens de l'interaction des équipes Rouge et Bleu.

L'objectif de l'équipe rouge est de trouver des moyens d'améliorer le travail de l'équipe bleue, de sorte que les équipes violettes ne sont pas nécessaires dans les organisations où l'interaction entre les équipes rouges et bleues est bien établie.

Mauvaise application des commandes violettes: analogies

Je vais vous donner quelques analogies évidentes que j'utilise habituellement si elles me parlent de l'utilisation incorrecte des commandes violettes: c'est-à-dire pour forcer les équipes rouges à interagir avec le bleu.

1. Serveurs qui n'apportent pas de commandes: Dans un restaurant, il n'est pas possible de forcer les serveurs à prendre des plats de la cuisine et à les distribuer aux invités. Solution: nous embauchons des «coordinateurs cuisine-salle à manger» qui livrent professionnellement les commandes à la table. Lorsqu'on demande à un gestionnaire: pourquoi des employés supplémentaires ont-ils été embauchés pour ce travail et non affectés à des serveurs - le gestionnaire répond:

Les serveurs disent que ce n'est pas leur travail.

2. Des chefs d'élite qui gardent des plats dans la cuisine: un expert est invité au restaurant pour savoir: pourquoi le restaurant subit-il des pertes si un chef aussi talentueux et haut de gamme y travaille? Evidemment, car les convives sont obligés d'attendre longtemps les plats commandés, et parfois ces plats ne les apportent pas du tout. Une fois dans la cuisine, le contrôleur y trouve près des fours des grilles entières d'assiettes parfaitement servies. Il demande au cuisinier pourquoi il n'a pas envoyé ces plats aux invités qui les ont commandés, et le chef répond:

«Je connais bien mieux la nourriture que ces serveurs stupides et ces invités stupides. Savez-vous combien j'ai appris à cuisiner de tels plats? Même si je leur avais permis de manger, ils ne les auraient pas compris et je ne l'aurais pas ressenti. Alors je garde mes plats ici. "

Excellent: nous avons des serveurs qui refusent de servir des plats sur les tables, et un chef qui ne permet pas de sortir leurs plats de la cuisine.

C'est l'équipe rouge, refusant d'interagir avec le bleu.

Si vous avez un tel problème, vous devez corriger dynamiquement l'interaction des équipes rouges et bleues, et ne pas embaucher un autre groupe de personnes, leur confier une partie du travail des rouges et bleus.

Concepts et philosophie




Les équipes Rouge et Bleu fonctionnent parfaitement en parfaite harmonie l'une avec l'autre - tout comme deux paumes en frappant.

Comme le Yin et le Yang d'Assaut et de Défense, les équipes Rouge et Bleu sont totalement opposées les unes aux autres d'un point de vue tactique et comportemental, mais c'est grâce à ces différences qu'elles forment ensemble un ensemble sain et efficace.

Les Reds attaquent, les Blues défendent, mais leur objectif principal est d'améliorer les indicateurs de sécurité dans l'organisation.

Voici quelques problèmes courants qui surviennent lorsque les équipes rouge et bleue travaillent ensemble:

  • Les Reds se considèrent comme une élite trop cool pour partager des informations avec les Blue
  • L'équipe rouge est entraînée dans l'organisation, où elle est neutralisée, limitée et démoralisée, ce qui réduit considérablement son efficacité
  • Les équipes Rouge et Bleu ne sont pas en mesure d'interagir les unes avec les autres sur une base continue, dans l'ordre des choses, de sorte que les leçons apprises par l'exemple des rivaux sont réellement perdues.
  • Apparemment, les responsables de la sécurité de l'information ne perçoivent pas les équipes rouge et bleue comme des participants au même projet, il n'y a donc pas d'échange d'informations, de résultats de mesure et de pratiques entre elles.

Les organisations souffrant d'un ou de plusieurs de ces malheurs supposent logiquement qu'elles ont besoin de l'équipe Violet pour résoudre les problèmes. Cependant, le «violet» doit être compris comme une fonction ou un concept, et non comme une équipe distincte travaillant de façon continue. Et ce concept est une coopération et un bénéfice mutuel pour les deux équipes sur la voie d'un objectif commun.

Il est peut-être possible que l' équipe Violet soit impliquée dans le travail, lorsqu'un observateur extérieur analyse comment l'interaction entre vos équipes principales, Rouge et Bleu, est établie et recommande les modifications à apporter. Un exercice impliquant l'équipe Violet est possible lorsque quelqu'un regarde les deux équipes en temps réel. Ou une réunion avec l'équipe Violet, lorsque les deux équipes se réunissent, discutent des histoires de la pratique et parlent de diverses attaques et des moyens de se défendre contre elles.

L'essentiel est: vous devez forcer les équipes bleues et rouges à formuler un objectif commun lié à l'optimisation du travail dans l'organisation, et ne pas ajouter d'entités inutiles à ce système.

L'équipe violette peut être comparée à un consultant familial. C'est bien quand il y a une personne qui peut établir des contacts entre les conjoints, mais en aucun cas il ne devrait être permis au mari et à la femme de communiquer à partir d'un certain point uniquement par le biais d'un intermédiaire.

Résumé


  1. Les équipes rouges imitent les tactiques des intrus pour trouver des lacunes dans la protection de l'organisation pour laquelle ils travaillent.
  2. L'équipe bleue se défend des attaquants et travaille sur l'optimisation constante des équipements de protection utilisés dans l'organisation.
  3. Lorsque le travail de l'équipe Rouge et Bleu se déroule normalement au sein de l'entreprise, un échange régulier de connaissances s'établit entre elles, ce qui profite constamment aux deux.
  4. Les équipes violettes sont souvent utilisées pour stimuler une intégration continue entre les deux groupes, et le problème clé des équipes bleues et rouges n'est pas résolu: le difficile échange d'informations entre elles.
  5. L'équipe violette peut être conceptualisée comme une fonction de coopération ou un point d'interaction, et non comme un objet sublime et idéalement redondant.
  6. Dans l'organisation, le seul objectif de l'équipe rouge est d'augmenter l'efficacité de l'équipe bleue. Par conséquent, la valeur de l'équipe violette doit naturellement découler de leur interaction et ne pas être imposée exprès.

Remarques


  1. Toutes ces dispositions s'appliquent à toutes les opérations de sécurité, mais dans cet article, j'ai mis l'accent précisément sur la sécurité de l'information.
  2. L'équipe Tiger est un phénomène qui rappelle l'équipe rouge, mais qui ne lui est pas identique. Dans un article de 1964, «Tiger» était défini comme «une équipe de professionnels de la sécurité indomptés et illimités, sélectionnés pour leur expérience, leur énergie et leur imagination, chargés de surveiller régulièrement tous les cas possibles de défaillance de divers sous-systèmes d'engins spatiaux». Aujourd'hui, le terme et l'équipe rouge sont utilisés comme synonymes.
  3. Il est important que l'équipe rouge garde une certaine distance avec les organisations testées, et c'est ce qui ouvre l'examen nécessaire pour cela et vous permet de voir le problème du point de vue de l'attaquant, qu'il imite. Les organisations qui forment l'équipe rouge à l'intérieur, dans le cadre de leur propre service de sécurité, privent généralement (à de rares exceptions près) l'autorité rouge d'autorité, d'autorité et de liberté en général, à cause de laquelle elle perd la capacité d'agir comme un véritable attaquant. Au fil du temps (cela arrive en quelques mois), les équipes rouges, qui au début de leur travail étaient une véritable élite et ont travaillé efficacement, se sont transformées en groupes enchaînés, stagnants et, finalement, incapables.
  4. L'équipe violette agit non seulement comme un médiateur, aidant l'organisation non seulement à établir des programmes pas tout à fait matures, mais aussi à habituer les managers au comportement d'un attaquant, ce qui peut tout d'abord effrayer les spécialistes de nombreuses organisations.
  5. Un autre aspect en raison duquel l'efficacité des équipes rouges internes de l'entreprise est progressivement érodée est que les représentants des équipes rouges ont généralement une mauvaise acclimatation dans la culture des entreprises qui tentent de les embaucher. En d'autres termes, dans une entreprise qui peut se permettre une véritable équipe rouge, une culture se développe généralement qui ne peut pas s'entendre avec les membres de l'équipe rouge d'élite. Souvent, les membres de l'équipe rouge interne de l'entreprise s'épuisent à cause de cela.
  6. Il est techniquement possible d'atteindre l'efficacité de l'équipe rouge intra-entreprise; il est tout simplement extrêmement improbable que cette équipe puisse être protégée et puisse compter sur un soutien à un niveau de gestion élevé. Tout cela conduit généralement à la destruction, à la frustration et à l'épuisement professionnel.
  7. Un piège commun dans lequel tombent les équipes rouges intra-entreprise est le rétrécissement des pouvoirs et des domaines d'actions autorisées, jusqu'à l'inefficacité totale. En ce moment même, la direction attire des consultants qui bénéficient d'un soutien total et donnent de nombreuses conclusions intéressantes au tribunal de l'entreprise. Puis les autorités s'exclament: «Wow! Comme ils sont géniaux! Les gars, pourquoi ne pourriez-vous pas faire de même? " Habituellement, après une telle conversation, les gens vont sur LinkedIn.
  8. Autres analogies de l'équipe rouge, qui n'est pas prête à coopérer: les footballeurs professionnels qui ne peuvent que frapper le ballon, mais qui ne sont pas en mesure de donner une passe; des hackers professionnels essayant d'applaudir d'une seule paume, des auditeurs professionnels qui ne rédigent pas de rapports, des professeurs professionnels qui ne contactent pas les étudiants Je pense que tu me comprends.

Source: https://habr.com/ru/post/fr419855/

More articles:


All Articles