Бројни тимови раде на борби против сајбер напада унутар мреже - један од њих је плави тим. Па шта они заправо раде?

Плави тим је пракса стварања и заштите безбедносног окружења и реаговања на инциденте који угрожавају то окружење. Оператери за сајбер-безбедност Плавог тима су вешти у надгледању безбедносног окружења које штите од рањивости, било да су већ постојеће или изазване нападачима. Плави тимови управљају безбедносним инцидентима и користе научене лекције да ојачају окружење против будућих напада.

Па зашто су плави тимови важни? Које улоге заправо преузимају?

Зашто је Блуе Теаминг важан?

Производи и услуге изграђени на технологији нису имуни од сајбер напада. Одговорност пада, прво, на добављачима технологије да заштите своје кориснике од унутрашњих или екстерних сајбер напада који би могли да угрозе њихове податке или имовину. Корисници технологије такође деле ову одговорност, али мало је тога што корисник може да уради да би одбранио производ или услугу са лошом безбедношћу.

Редовни корисници не могу да ангажују одељење ИТ стручњака да дизајнирају безбедносне архитектуре или имплементирају функције које повећавају сопствену безбедност. То је фидуцијална одговорност компаније која се бави хардвером и мрежном инфраструктуром.

Регулаторне организације попут Национални институт за стандарде и технологију (НИСТ) такође играју своју улогу. НИСТ, на пример, дизајни оквире за сајбер безбедност које компаније користе како би се осигурало да ИТ производи и услуге испуњавају безбедносне стандарде.

Све је повезано

Сви се повезују на интернет преко хардверске и мрежне инфраструктуре (мислите на ваш лаптоп и Ви-Фи). На овим инфраструктурама су изграђене важне комуникације и пословања, тако да је све повезано. На пример, снимате и чувате слике на свом телефону. Правите резервну копију тих датотека у облаку. Касније, апликације друштвених медија на вашем телефону помажу вам да делите тренутке са породицом и пријатељима.

Банкарске апликације и платформе за плаћање помажу вам да плаћате ствари без физичких чекања у банци или слања чека, а можете да поднесете порезе на мрежи. Све ово се дешава на платформама на које се повезујете преко бежичне комуникационе технологије уграђене у телефон или лаптоп.

Ако хакер може да угрози ваш уређај или бежичну мрежу, може украсти ваше приватне слике, податке за пријаву у банку и личне документе. Они чак могу да се лажно представљају и да украду ствари од људи из вашег друштвеног круга. Они онда могу да продају ову украдену количину информација другим хакерима или да вас натерају да их откупите.

Што је још горе, циклус се не завршава једним хаком. Ако већ постанете жртва једног хаковања, не значи да ће вас други нападачи избегавати. Шансе су да вас то чини магнетом. Дакле, најбоље је спречити почетак напада. А ако превенција не функционише, онда је важно ограничити штету и спречити будуће нападе. Са ваше стране, можете ограничити изложеност слојевитом безбедношћу. Компанија делегира задатак свом плавом тиму.

Улоге у плавом тиму

Плави тим се састоји од техничких и нетехничких безбедносних оператера са специфичним улогама и одговорностима. Али, наравно, плави тимови могу бити толико велики да постоје подгрупе од неколико оператера. Понекад се улоге преклапају. Црвени тим вс. плави тим вежбе обично имају следеће улоге:

  • Плави тим планира одбрамбене операције и додељује улоге и одговорности другим оператерима у плавој ћелији.
  • Плава ћелија се састоји од оператера који предњаче у одбрани.
  • Агенти од поверења су људи који знају за напад или чак ангажују црвени тим. Упркос њиховом претходном познавању вежбе, агенти од поверења су неутрални. Агенти од поверења се не мешају у послове црвеног тима нити саветују одбрану.
  • Бела ћелија се састоји од оператера који делују као тампон и повезују се са оба тима. Они су судије који обезбеђују да активности плавог и црвеног тима не изазивају нежељене проблеме ван делокруга ангажовања.
  • Посматрачи су људи чији је посао да посматрају. Гледају како се веридба одиграва и бележе своја запажања. Посматрачи су неутрални. У већини случајева, они чак и не знају ко је у плавим или црвеним тимовима.
  • Црвени тим чине оператери који врше напад на циљану безбедносну архитектуру. Њихов посао је да пронађу рањивости, пробију рупе у одбрани и покушају да надмудре плави тим.

Који су циљеви Плавог тима?

Циљеви било ког плавог тима зависиће од безбедносног окружења у коме се налазе и стања безбедносне архитектуре компаније. Ипак, плави тимови обично имају четири главна циља.

  • Идентификујте и обуздајте претње.
  • Уклоните претње.
  • Заштитите и повратите украдену имовину.
  • Документујте и прегледајте инциденте да бисте побољшали одговор на будуће претње.

Како функционише Блуе Теаминг?

У већини организација, оператери плавог тима раде у а Безбедносно-оперативни центар (СОЦ). СОЦ је место где стручњаци за сајбер безбедност воде безбедносну платформу компаније и где надгледају и рукују безбедносним инцидентима. СОЦ је такође место где оператери подржавају нетехничко особље и кориснике ресурса компаније.

Превенција инцидената

Плави тим је одговоран за разумевање и креирање мапе степена безбедносног окружења. Такође бележе сву имовину у окружењу, њихове кориснике и стање тих средстава. Са овим сазнањем, тим поставља мере за спречавање напада и незгода.

Неке од мера које оператери плавог тима спроводе за превенцију инцидената укључују постављање привилегија администрације. На овај начин, неовлашћена лица немају приступ ресурсима које уопште не би требало. Ова мера је ефикасна у ограничавању бочног кретања ако нападач уђе.

Поред ограничавања привилегија администрације, спречавање инцидената такође укључује комплетно шифровање диска, постављање виртуелних приватних мрежа, заштитне зидове, безбедне пријаве и аутентификацију. Многи плави тимови даље примењују технике преваре, замке постављене лажним средствима да ухвате нападаче пре него што проузрокују штету.

Одговор на инцидент

Реакција на инцидент се односи на то како плави тим открива, рукује и опоравља од кршења. Неколико инцидената покреће безбедносна упозорења и није могуће реаговати на сваки окидач. Дакле, плави тим мора поставити филтер за оно што се рачуна као инцидент.

Генерално, они то раде имплементацијом система за управљање информацијама о безбедности и догађајима (СИЕМ). СИЕМ обавештавају оператере плавог тима када се десе безбедносни догађаји, као што су неовлашћене пријаве упарене са покушајима приступа осетљивим датотекама. Обично, након обавештења од СИЕМ-а, аутоматизовани систем прегледа претњу и ескалира људском оператеру ако је потребно.

Оператери Плавог тима обично реагују на инциденте изолацијом система који је компромитован и уклањањем претње. Реакција на инцидент може значити искључивање свих приступних кључева у случајевима неовлашћеног приступа, објављивање саопштења за јавност у случајевима када инцидент утиче на купце и пуштање закрпе. Касније, тим ради а форензичка ревизија након кршења да прикупи доказе који помажу у спречавању понављања.

Тхреат Моделинг

Моделирање претњи је када оператери користе познате рањивости да симулирају напад. Тим прави приручник за реаговање на претње и комуникацију са заинтересованим странама. Дакле, када се догоди прави напад, плави тим има план како ће одредити приоритете имовине или додијелити људску снагу и ресурсе за одбрану. Наравно, ствари ретко иду баш онако како је планирано. Ипак, постојање модела претње помаже оператерима плавог тима да задрже велику слику у перспективи.

Робустан плави тим је проактиван

Оператори плавог тима осигуравају да су ваши подаци безбедни и да можете безбедно да користите технологију. Међутим, брзо мењајући пејзаж сајбер безбедности значи да плави тим не може спречити или елиминисати сваку претњу. Ни они не могу превише да ојачају систем; могао би постати неупотребљив. Оно што они могу да ураде је да толеришу прихватљив ниво ризика и раде са црвеним тимом на сталном унапређењу безбедности.