[Перевод] Разница между красными, синими и фиолетовыми командами

Новости информационной безопасности




[Перевод] Разница между красными, синими и фиолетовыми командами

d8ksjbpnmisogewlr7wsffvgyue.jpeg Здравствуйте, коллеги. Напоминаем, что не так давно у нас вышли две классные классические книги о хакинге и анализе вредоносного ПО. А также на подходе великолепная книга о дистрибутиве Kali Linux. Тем не менее, мы по-прежнему полагаем, что тема компьютерной безопасности у нас охвачена не полностью и хотели бы поинтересоваться вашим мнением о книге Юрия Диогенеса и Эрдала Озкая о взаимодействии Red Team и Blue Team при проверке информационной безопасности на предприятии.

Под катом предлагаем статью, описывающие отличия в работе Красных и Синих команд и позволяющую понять, в чем заключаются обязанности Фиолетовых команд.

Кстати, рекомендуем программерские и непрограммерские статьи в блоге сегодняшнего автора — там интересно!

В сфере информационной безопасности существует некоторая путаница в определениях Красных, Синих и Фиолетовых команд. Ниже я изложу собственную точку зрения и расскажу, какие феномены связываю с этими определениями.

Определения


Красная команда – это сторонняя организация, которой поручено проверить эффективность:
Цель Красной команды – изыскать пути для улучшения работы Синей команды, поэтому Фиолетовые команды не требуются в организациях, где взаимодействие между Красными и Синими командами налажено хорошо.

Неправильное применение фиолетовых команд: аналогии

Приведу несколько наглядных аналогий, которые обычно использую, если мне рассказывают о неверном использовании фиолетовых команд: то есть, для принуждения красных команд к взаимодействию с синей.

1. Официанты, которые не приносят заказов: В одном ресторане не получается заставить официантов забирать блюда с кухни и разносить их гостям. Решение: наймем «кухонно-столовых координаторов», профессионально доставляющих заказы к столу. Когда менеджера спрашивают: зачем для этой работы были взяты на работу лишние сотрудники, а не поручили ее официантам – менеджер отвечает:

Официанты говорят, это не их работа.

2. Элитные шеф-повара, которые держат блюда на кухне: в ресторан приглашают эксперта, который должен выяснить: почему же ресторан терпит убытки, если в нем работает такой высококлассный талантливый шеф-повар. Очевидно, потому, что гости вынуждены подолгу ждать заказанных блюд, а иногда им эти блюда вообще не приносят. Явившись в кухню, контролер обнаруживает там возле духовок целые стеллажи превосходно сервированных тарелок. Он спрашивает повара, почему тот не отправил этих блюд гостям, которые их заказали, а шеф-повар отвечает:

«Я куда лучше разбираюсь в еде, чем эти тупые официанты и тупые гости. Вы знаете, сколько я учился готовить такие блюда? Даже если бы я позволил их съесть, они бы их не поняли, а я бы этого не прочувствовал. Вот и держу мои блюда здесь».

Отлично: у нас есть официанты, отказывающиеся разносить блюда на столы, и шеф-повар, не позволяющий выносить свои блюда из кухни.

Это Красная команда, отказывающаяся взаимодействовать с синей.

Если у вас возникает такая проблема, то нужно динамически исправить взаимодействие Красной и Синей команды, а не нанимать еще одну группу людей, поручая им часть работы Красных и Синих.

Концепции и философия


t-_dniurjujejebaorzz_-yni6s.png

Красные и Синие команды идеально работают в полной гармонии друг с другом – так, как две ладони при хлопке.

Как Инь и Ян Нападения и Защиты, Красные и Синие команды полностью противоположны друг другу с тактической и поведенческой точки зрения, но именно благодаря этим различиям вместе они образуют здоровое и эффективное целое.

Красные атакуют, Синие обороняются, но основная цель у них общая: улучшить показатели безопасности в организации.

Вот некоторые распространенные проблемы, возникающие при совместной работе Красных и Синих команд:


Организации, страдающие от одной или нескольких таких напастей, логично предполагают, что для решения возникших проблем им нужна Фиолетовая команда. Однако «фиолетовость» нужно понимать как функцию или концепцию, а не как отдельную команду, работающую на постоянной основе. И эта концепция заключается в сотрудничестве и взаимной пользе для обеих команд на пути к общей цели.

Пожалуй, возможна вовлеченность Фиолетовой команды в работу, когда сторонний наблюдатель анализирует, как налажено взаимодействие между вашими основными командами, Красной и Синей, и рекомендует, какие поправки внести. Возможно упражнение с участием Фиолетовой команды, когда кто-то наблюдает обе команды в реальном времени. Либо собрание с участием Фиолетовой команды, когда обе команды объединяются, обсуждают истории из практики и рассуждают о различных атаках и способах защиты от них.

Суть в следующем: нужно заставить Синюю и Красную команду сформулировать общую цель, связанную с оптимизацией работы в организации, и не привносить в эту систему лишних сущностей.

Фиолетовую команду можно сравнить с семейным консультантом. Хорошо, когда есть человек, способный наладить контакт между супругами, но ни в коем случае нельзя допускать, чтобы с какого-то момента муж и жена стали общаться только через посредника.

Резюме


  1. Красные команды имитируют тактику злоумышленников, чтобы найти бреши в защите той организации, на которую работают.
  2. Синяя команда защищается от атакующих и работают над постоянной оптимизацией защитных средств, применяемых в организации.
  3. Когда в компании нормально поставлена работа Красной и Синей команды, между ними налаживается регулярный обмен знаниями, постоянно идущий на пользу обоим.
  4. Фиолетовые команды часто используются для стимулирования непрерывной интеграции между двумя группами, и при этом не решается ключевая проблема Синих и Красных команд: затрудненный обмен информацией между ними.
  5. Фиолетовую команду можно концептуализировать как функцию сотрудничества или точку взаимодействия, а не как возвышенный и в идеале избыточный объект.
  6. В состоявшейся организации единственная цель Красной команды – повышать эффективность Синей команды, Поэтому ценность Фиолетовой команды должна естественным образом проистекать из их взаимодействия, а не навязываться специально.

Примечания


  1. Все эти положения применимы к любым операциям в сфере безопасности, но я в данной статье расставил акценты именно с прицелом на информационную безопасность.
  2. Команда «Тигр» — это феномен, напоминающий Красную команду, но не идентичный ей. В статье 1964 года «Тигр» определялся как «команда неприрученных и ничем не ограничиваемых специалистов по безопасности, отобранных за их опыт, энергию и воображение, которым поручено неуклонно отслеживать все возможные случаи отказов тех или иных подсистем космических кораблей». Сегодня этот термин и «Красная команда» используются в качестве синонимов.
  3. Важно, что Красная команда держит определенную дистанцию от тестируемых организаций, и именно это открывает ей нужный обзор и позволяет видеть проблему с точки зрения атакующего, которого она имитирует. Организации, формирующие Красную команду внутри, в рамках собственного отдела по безопасности, обычно (за редким исключением) постепенно лишают Красную команду авторитета, полномочий и свободы вообще, из-за чего она теряет возможность действовать как реальный злоумышленник. Со временем (бывает, что за считанные месяцы) Красные команды, которые в начале работы были настоящей элитой и работали эффективно, превращаются в скованные, закоснелые и, в конечном итоге, ни на что не способные группы.
  4. Фиолетовая команда не только выступает посредником, помогая организации не только наладить не вполне зрелые программы, но и приучить менеджеров к образу действий злоумышленника, который поначалу может попросту пугать специалистов многих организаций.
  5. Еще один аспект, из-за которого эффективность работы внутрикорпоративных Красных команд постепенно размывается – в том, что представители Красных команд обычно плохо акклиматизируются в культуре таких компаний, которые пытаются их нанять. Иными словами, в той компании, которая может позволить себе настоящую Красную команду, обычно складывается такая культура, с которой не в состоянии ужиться члены элитной Красной команды. Зачастую члены внутрикорпоративной Красной команды из-за этого сильно выгорают.
  6. Технически возможно добиться эффективности от внутрикорпоративной Красной команды; просто крайне маловероятно, что этот коллектив сможет оказаться защищен и сможет рассчитывать на поддержку на высоком управленческом уровне. Все это обычно приводит к разрушению, фрустрации и выгоранию.
  7. Распространенная ловушка, в которую попадают внутрикорпоративные Красные команды – сужение полномочий и области разрешенных действий вплоть до полной неэффективности. В этот самый момент менеджмент привлекает к работе консультантов, пользующихся полной поддержкой и выдающих на суд компании массу интересных находок. После чего начальство восклицает: «Ого! Как они круты! Ребята, а вы почему не смогли так же сделать»? Обычно после такого разговора люди отправляются на LinkedIn.
  8. Другие аналогии Красной команды, не готовой к сотрудничеству: профессиональные футболисты, умеющие только бить по мячу, но не способные дать пас; профессиональные клакёры, пытающиеся аплодировать одной ладонью, профессиональные аудиторы, которые не пишут отчетов, профессиональные преподаватели, не идущие на контакт со студентами. Думаю, вы меня поняли.

Дата: 2018-08-10 14:11:34

Источник: https://habr.com/post/419855/

тестирование it-систем,информационная безопасность,антивирусная защита,блог компании издательский дом «питер»,cybersecurity,red team,blue team,кибербезопасность,уязвимости,книги