V boju proti kibernetskim napadom v omrežju delujejo številne ekipe – ena od njih je modra ekipa. Torej, kaj pravzaprav počnejo?

Blue teaming je praksa ustvarjanja in varovanja varnostnega okolja ter odzivanja na incidente, ki ogrožajo to okolje. Operaterji kibernetske varnosti modre ekipe so spretni pri spremljanju varnostnega okolja, ki ga ščitijo, glede ranljivosti, ne glede na to, ali že obstajajo ali so jih povzročili napadalci. Modri ​​timi obvladujejo varnostne incidente in uporabljajo pridobljene izkušnje za zaščito okolja pred prihodnjimi napadi.

Zakaj so torej modre ekipe pomembne? Kakšne vloge pravzaprav prevzemajo?

Zakaj je Blue Teaming pomemben?

Izdelki in storitve, ki temeljijo na tehnologiji, niso imuni na kibernetske napade. Ponudniki tehnologije so najprej odgovorni za zaščito svojih uporabnikov pred notranjimi ali zunanjimi kibernetskimi napadi, ki bi lahko ogrozili njihove podatke ali sredstva. To odgovornost si delijo tudi uporabniki tehnologije, vendar lahko uporabnik le malo stori, da bi zaščitil izdelek ali storitev s slabo varnostjo.

instagram viewer

Običajni uporabniki ne morejo najeti oddelka IT strokovnjakov za oblikovanje varnostnih arhitektur ali implementacijo funkcij, ki povečujejo njihovo varnost. To je zaupna odgovornost podjetja, ki se ukvarja s strojno opremo in omrežno infrastrukturo.

Regulativne organizacije, kot je Nacionalni inštitut za standarde in tehnologijo (NIST) prav tako igrajo svojo vlogo. NIST, na primer, načrtuje ogrodja kibernetske varnosti, ki jih uporabljajo podjetja zagotoviti, da izdelki in storitve IT izpolnjujejo varnostne standarde.

Vse je povezano

Vsi se povežejo z internetom prek strojne opreme in omrežne infrastrukture (pomislite na vaš prenosnik in Wi-Fi). Na teh infrastrukturah so zgrajene pomembne komunikacije in podjetja, tako da je vse povezano. Na primer, posnamete in shranite slike v telefon. Te datoteke varnostno kopirate v oblak. Kasneje vam aplikacije za družabna omrežja v telefonu pomagajo deliti trenutke z družino in prijatelji.

Bančne aplikacije in plačilne platforme vam pomagajo plačati stvari, ne da bi morali fizično čakati v čakalni vrsti na banki ali poslati ček po pošti, davke pa lahko vložite prek spleta. Vse to se zgodi na platformah, s katerimi se povežete prek brezžične komunikacijske tehnologije, vdelane v telefon ali prenosnik.

Če lahko heker ogrozi vašo napravo ali brezžično omrežje, lahko ukrade vaše zasebne slike, podatke za prijavo v banko in osebne dokumente. Lahko se celo izdajo za vas in ukradejo stvari ljudem v vašem družbenem krogu. Nato lahko to ukradeno zakladnico informacij prodajo drugim hekerjem ali pa vas prisilijo v odkupnino.

Še huje, cikel se ne konča z enim vdorom. Če postanete žrtev enega vdora, še ne pomeni, da se vas bodo drugi napadalci izogibali. Verjetno te naredi magnet. Zato je najbolje preprečiti začetek napadov. In če preventiva ne deluje, je pomembno omejiti škodo in preprečiti prihodnje napade. Z vaše strani lahko omejite izpostavljenost z večplastno varnostjo. Podjetje nalogo prenese na svojo modro ekipo.

Vloga igralcev v modri ekipi

Modro ekipo sestavljajo tehnični in netehnični varnostni operaterji s posebnimi vlogami in odgovornostmi. Seveda pa so modre ekipe lahko tako velike, da obstajajo podskupine več operaterjev. Včasih se vloge prekrivajo. Rdeča ekipa vs. modra ekipa vaje imajo običajno naslednje igralce:

  • Modra ekipa načrtuje obrambne operacije in dodeljuje vloge in odgovornosti drugim operaterjem v modri celici.
  • Modro celico sestavljajo operaterji, ki so na čelu obrambe.
  • Zaupanja vredni agenti so ljudje, ki vedo za napad ali celo najamejo rdečo ekipo. Kljub predznanju o vaji so zaupni agenti nevtralni. Zaupanja vredni agenti se ne vmešavajo v zadeve rdeče ekipe ali svetujejo obrambi.
  • Belo celico sestavljajo operaterji, ki delujejo kot blažilci in so v povezavi z obema ekipama. So sodniki, ki skrbijo, da aktivnosti modre in rdeče ekipe ne povzročajo nenamernih težav izven obsega delovanja.
  • Opazovalci so ljudje, katerih naloga je opazovanje. Opazujejo potek zaroke in beležijo svoja opažanja. Opazovalci so nevtralni. V večini primerov sploh ne vedo, kdo je v modri ali rdeči ekipi.
  • Rdečo ekipo sestavljajo operaterji, ki izvajajo napad na ciljno varnostno arhitekturo. Njihova naloga je najti ranljivosti, luknjati v obrambi in poskušati prelisičiti modro ekipo.

Kakšni so cilji modre ekipe?

Cilji katere koli modre ekipe bodo odvisni od varnostnega okolja, v katerem so, in stanja varnostne arhitekture podjetja. Kljub temu imajo modre ekipe običajno štiri glavne cilje.

  • Prepoznajte in omejite grožnje.
  • Odpravite grožnje.
  • Zaščitite in povrnite ukradena sredstva.
  • Dokumentirajte in preglejte incidente, da izboljšate odziv na prihodnje grožnje.

Kako deluje Blue Teaming?

V večini organizacij operaterji modre ekipe delajo v a Center za varnostne operacije (SOC). SOC je mesto, kjer strokovnjaki za kibernetsko varnost vodijo varnostno platformo podjetja in kjer spremljajo in obravnavajo varnostne incidente. SOC je tudi tam, kjer operaterji podpirajo netehnično osebje in uporabnike virov podjetja.

Preprečevanje incidentov

Modra ekipa je odgovorna za razumevanje in ustvarjanje zemljevida obsega varnostnega okolja. Zabeležijo tudi vsa sredstva v okolju, njihove uporabnike in stanje teh sredstev. S tem znanjem ekipa uvede ukrepe za preprečevanje napadov in nezgod.

Nekateri ukrepi, ki jih operaterji modre ekipe izvajajo za preprečevanje incidentov, vključujejo nastavitev skrbniških pravic. Na ta način nepooblaščene osebe nimajo dostopa do virov, do katerih sploh ne bi smele. Ta ukrep je učinkovit pri omejevanju bočnega gibanja, če napadalec vstopi.

Poleg omejevanja skrbniških pravic vključuje tudi preprečevanje incidentov polno šifriranje diska, nastavitev navideznih zasebnih omrežij, požarnih zidov, varnih prijav in avtentikacije. Številne modre ekipe nadalje izvajajo tehnike zavajanja, pasti, postavljene z navideznimi sredstvi, da ujamejo napadalce, preden povzročijo škodo.

Odziv na incident

Odziv na incident se nanaša na to, kako modra ekipa odkrije, obravnava in obnovi kršitev. Več incidentov sproži varnostna opozorila in ni se mogoče odzvati na vsak sprožilec. Modra ekipa mora torej nastaviti filter za to, kaj se šteje za incident.

Na splošno to storijo z implementacijo sistema za upravljanje varnostnih informacij in dogodkov (SIEM). SIEM obvesti operaterje modre ekipe, ko se zgodijo varnostni dogodki, kot so nepooblaščene prijave v kombinaciji s poskusi dostopa do občutljivih datotek. Običajno avtomatizirani sistem po obvestilu iz SIEM pregleda grožnjo in jo po potrebi posreduje človeškemu operaterju.

Operaterji modre ekipe se običajno odzovejo na incidente tako, da izolirajo sistem, ki je bil ogrožen, in odstranijo grožnjo. Odziv na incident lahko pomeni izklop vseh ključev za dostop v primerih nepooblaščenega dostopa, izdajo sporočila za javnost v primerih, ko incident vpliva na stranke, in izdajo popravka. Kasneje ekipa naredi a forenzična revizija po kršitvi zbrati dokaze, ki pomagajo preprečiti ponovitev.

Modeliranje groženj

Modeliranje groženj je, ko operaterji uporabijo znane ranljivosti za simulacijo napada. Ekipa naredi priročnik za odzivanje na grožnje in komuniciranje z deležniki. Torej, ko pride do pravega napada, ima modra ekipa načrt, kako bo prednostno razvrstila sredstva ali razporedila človeško moč in sredstva za obrambo. Seveda gre redkokdaj vse po načrtih. Kljub temu model groženj pomaga operaterjem modre ekipe ohraniti celotno sliko v perspektivi.

Robustno Blue Teaming je proaktivno

Operaterji delovne modre ekipe zagotavljajo, da so vaši podatki varni in da lahko varno uporabljate tehnologijo. Vendar pa hitro spreminjajoče se okolje kibernetske varnosti pomeni, da modra ekipa ne more preprečiti ali odpraviti vsake grožnje. Tudi sistema ne morejo preveč utrditi; lahko postane neuporaben. Kar lahko storijo, je, da dopuščajo sprejemljivo raven tveganja in sodelujejo z rdečo ekipo pri nenehnem izboljševanju varnosti.