Geekly articles weekly

A diferença entre as equipes vermelhas, azuis e roxas

Olá colegas. Lembramos que, há pouco tempo, publicamos dois livros clássicos interessantes sobre hackers e análise de malware . Também está a caminho um excelente livro sobre a distribuição do Kali Linux . No entanto, ainda acreditamos que o tópico segurança do computador não é totalmente abordado por nós e gostaríamos de pedir sua opinião sobre o livro de Yuri Diogenes e Erdal Ozkaj sobre a interação da equipe vermelha e da equipe azul ao verificar a segurança das informações na empresa.

Neste artigo, oferecemos um artigo descrevendo as diferenças no trabalho das equipes Vermelho e Azul e permitindo entender quais são as responsabilidades das equipes Violeta.

A propósito, recomendamos artigos para programadores e não programadores no blog do autor de hoje - é interessante por lá!

Na área de segurança da informação, há alguma confusão nas definições das equipes Vermelho, Azul e Roxo. Abaixo apresentarei meu próprio ponto de vista e contarei quais fenômenos associo a essas definições.

Definições


A equipe vermelha é uma organização de terceiros encarregada de verificar a eficácia:

  • Programas de segurança em vigor na empresa. Para fazer isso, as ações e técnicas de um provável inimigo atacante são reproduzidas da maneira mais realista. Essa prática se assemelha ao teste de penetração, mas não é idêntica a ele; a equipe vermelha no trabalho persegue um ou mais objetivos.
  • A equipe azul é um grupo corporativo interno de profissionais de segurança que protege a empresa de verdadeiros atacantes e equipes vermelhas. As equipes azuis devem se diferenciar dos especialistas em segurança de computadores padrão que trabalham na maioria das organizações, uma vez que a maioria dos especialistas em segurança em tempo integral não está configurada para trabalhar em uma base de vigilância constante em antecipação a um ataque - ou seja, nesse modo, a verdadeira equipe azul deve agir e se relacionar com a situação.
  • As equipes roxas são grupos idealmente redundantes cuja tarefa é garantir e maximizar a eficácia das equipes vermelha e azul. Isso é feito incorporando as técnicas de equipe defensiva e azul com a investigação de ameaças e vulnerabilidades descobertas pelas equipes vermelhas em um único contexto, garantindo o máximo benefício do trabalho de ambas as partes. Com a abordagem correta, 1 + 1 dá 3, mas deve ser assim, porque esse é o significado da interação das equipes vermelha e azul.

O objetivo da equipe vermelha é encontrar maneiras de melhorar o trabalho da equipe azul, para que as equipes roxas não sejam necessárias em organizações onde a interação entre as equipes vermelha e azul está bem estabelecida.

Aplicação incorreta de comandos roxos: analogias

Vou fazer algumas analogias óbvias que eu costumo usar se elas me falarem sobre o uso incorreto dos comandos violeta: ou seja, para forçar as equipes vermelhas a interagirem com o azul.

1. Empregados de mesa que não trazem pedidos: em um restaurante, não é possível forçar os garçons a pegar pratos da cozinha e distribuí-los aos convidados. Solução: contratamos “coordenadores de cozinha” que entregam pedidos profissionalmente à mesa. Quando um gerente é perguntado: por que os funcionários extras foram contratados para este trabalho e não designados para garçons - o gerente responde:

Os garçons dizem que esse não é o trabalho deles.

2. Chefs de elite que mantêm pratos na cozinha: um especialista é convidado ao restaurante para descobrir: por que o restaurante sofre perdas se um chef talentoso e sofisticado trabalha nele? Obviamente, porque os convidados são forçados a esperar muito tempo pelos pratos encomendados, e às vezes esses pratos não os trazem. Uma vez na cozinha, o controlador encontra perto dos fornos prateleiras inteiras de pratos perfeitamente servidos. Ele pergunta ao cozinheiro por que ele não enviou esses pratos aos convidados que os pediram, e o chef responde:

“Eu sei muito melhor sobre comida do que esses garçons e convidados idiotas. Você sabe o quanto eu aprendi a cozinhar esses pratos? Mesmo se eu tivesse permitido que eles comessem, eles não teriam entendido e eu não teria sentido. Então eu mantenho meus pratos aqui.

Excelente: temos garçons que se recusam a servir pratos nas mesas e um chef que não permite tirar os pratos da cozinha.

Esta é a equipe vermelha, recusando-se a interagir com o azul.

Se você tiver esse problema, precisará corrigir dinamicamente a interação das equipes Vermelho e Azul, e não contratar outro grupo de pessoas, confiando-lhes parte do trabalho do Vermelho e Azul.

Conceitos e Filosofia




As equipes Red e Blue funcionam perfeitamente em perfeita harmonia entre si - assim como duas palmas quando batem palmas.

Como o Yin e o Yang de Ataque e Defesa, as equipes Vermelho e Azul são completamente opostas do ponto de vista tático e comportamental, mas é graças a essas diferenças que, juntas, elas formam um todo saudável e eficaz.

Os azuis atacam, os azuis defendem, mas seu principal objetivo é melhorar os indicadores de segurança na organização.

Aqui estão alguns problemas comuns que surgem quando as equipes vermelha e azul trabalham juntas:

  • Os Reds se consideram uma elite muito legal para compartilhar informações com os Blue
  • A equipe vermelha é arrastada para a organização, onde é neutralizada, limitada e desmoralizada, como resultado da sua eficácia reduzida catastroficamente
  • As equipes de vermelho e azul não conseguem interagir continuamente, na ordem das coisas, de modo que as lições aprendidas pelo exemplo de rivais são realmente perdidas.
  • Aparentemente, os gerentes de segurança da informação não percebem as equipes Vermelho e Azul como participantes do mesmo projeto, portanto, não há troca de informações, resultados de medição e práticas entre eles.

As organizações que sofrem de um ou mais desses infortúnios supõem logicamente que precisam da equipe da Violet para resolver problemas. No entanto, “violeta” deve ser entendido como uma função ou conceito, e não como uma equipe separada, trabalhando continuamente. E esse conceito é cooperação e benefício mútuo para ambas as equipes no caminho para um objetivo comum.

Talvez seja possível que a equipe Violet esteja envolvida no trabalho, quando um observador externo analisa como a interação entre suas equipes principais, Vermelha e Azul, é estabelecida e recomenda quais alterações fazer. Um exercício envolvendo a equipe Violet é possível quando alguém assiste as duas equipes em tempo real. Ou uma reunião com a equipe Violet, quando ambas as equipes se reúnem, discutem histórias da prática e falam sobre vários ataques e maneiras de se defender contra elas.

O ponto principal é: você precisa forçar as equipes Azul e Vermelha a formular um objetivo comum relacionado à otimização do trabalho na organização e não adicionar entidades desnecessárias a esse sistema.

A equipe roxa pode ser comparada a um consultor de família. É bom quando existe uma pessoa que pode estabelecer contato entre os cônjuges, mas em nenhum caso deve ser permitido que o marido e a esposa se comuniquem a partir de algum ponto apenas por meio de um intermediário.

Sumário


  1. As equipes vermelhas imitam as táticas dos invasores para encontrar lacunas na proteção da organização para a qual trabalham.
  2. A equipe azul se defende dos atacantes e trabalha na otimização constante do equipamento de proteção usado na organização.
  3. Quando o trabalho da equipe Red and Blue é normalmente definido na empresa, é estabelecida uma troca regular de conhecimentos entre eles, o que constantemente beneficia os dois.
  4. As equipes violetas são frequentemente usadas para estimular a integração contínua entre os dois grupos, e o principal problema das equipes azul e vermelha não é resolvido: a difícil troca de informações entre eles.
  5. A equipe violeta pode ser conceituada em função da cooperação ou de um ponto de interação, e não como um objeto sublime e idealmente redundante.
  6. Na organização, o único objetivo da Equipe Vermelha é aumentar a eficácia da Equipe Azul. Portanto, o valor da Equipe Roxa deve naturalmente surgir de sua interação e não ser imposto de propósito.

Anotações


  1. Todas essas disposições são aplicáveis ​​a qualquer operação de segurança, mas neste artigo enfatizei precisamente o olho na segurança da informação.
  2. A equipe Tiger é um fenômeno que lembra a Equipe Vermelha, mas não é idêntica a ela. Em um artigo de 1964, "Tiger" foi definido como "uma equipe de profissionais de segurança indomáveis ​​e ilimitados, selecionados por sua experiência, energia e imaginação, encarregados de monitorar constantemente todos os casos possíveis de falha de vários subsistemas de naves espaciais". Hoje, o termo e a equipe vermelha são usados ​​como sinônimos.
  3. É importante que a equipe vermelha mantenha uma certa distância das organizações sob teste, e é isso que abre a revisão necessária e permite que você veja o problema do ponto de vista do atacante, a quem ele imita. As organizações que formam a Equipe Vermelha dentro, dentro da estrutura de seu próprio departamento de segurança, geralmente (com raras exceções) privam gradualmente a Equipe Vermelha de autoridade, autoridade e liberdade em geral, por causa da qual perde a capacidade de agir como um verdadeiro atacante. Com o tempo (acontece em questão de meses), as equipes vermelhas, que no início de seu trabalho eram uma elite real e trabalhavam com eficiência, se transformavam em grupos algemados, estagnados e, por fim, incapazes.
  4. A equipe violeta não apenas atua como mediadora, ajudando a organização não apenas a estabelecer programas não muito maduros, mas também a acostumar os gerentes ao comportamento de um invasor, que a princípio pode simplesmente assustar os especialistas de muitas organizações.
  5. Outro aspecto pelo qual a eficiência das equipes vermelhas corporativas internas é gradualmente corroída é que os representantes das equipes vermelhas costumam ter pouca aclimatação na cultura das empresas que tentam contratá-las. Em outras palavras, em uma empresa que pode pagar uma equipe vermelha real, geralmente se desenvolve uma cultura que não consegue se dar bem com os membros da equipe vermelha de elite. Freqüentemente, os membros da equipe vermelha corporativa interna se esgotam por causa disso.
  6. É tecnicamente possível obter eficiência da equipe vermelha intra-corporativa; é simplesmente extremamente improvável que essa equipe possa ser protegida e contar com suporte em um alto nível gerencial. Tudo isso geralmente leva à destruição, frustração e esgotamento.
  7. Uma armadilha comum na qual as equipes vermelhas intra-corporativas caem é o estreitamento de poderes e áreas de ações permitidas, até completa ineficiência. Nesse exato momento, a gerência atrai consultores que contam com suporte total e apresentam muitas conclusões interessantes ao tribunal da empresa. Então as autoridades exclamam: “Uau! Como eles são incríveis! Gente, por que você não pôde fazer o mesmo? Geralmente, após essa conversa, as pessoas acessam o LinkedIn.
  8. Outras analogias da equipe Red, que não está pronta para cooperação: jogadores profissionais de futebol que só podem chutar a bola, mas que não conseguem dar um passe; hackers profissionais tentando aplaudir com uma palma, auditores profissionais que não escrevem relatórios, professores profissionais que não entram em contato com os alunos. Eu acho que você me entende.

Source: https://habr.com/ru/post/pt419855/

More articles:


All Articles