Daudzas komandas strādā, lai cīnītos pret kiberuzbrukumiem tīklā, un viena no tām ir zilā komanda. Tātad, ko viņi patiesībā dara?

Blue teaming ir prakse izveidot un aizsargāt drošības vidi un reaģēt uz incidentiem, kas apdraud šo vidi. Zilās komandas kiberdrošības operatori ir prasmīgi uzraudzīt drošības vidi, kuru viņi aizsargā attiecībā uz ievainojamībām, kas jau pastāv vai ir radušās uzbrucēju dēļ. Blue teamers pārvalda drošības incidentus un izmanto gūtās mācības, lai aizsargātu vidi pret turpmākiem uzbrukumiem.

Tātad, kāpēc zilās komandas ir svarīgas? Kādas lomas viņi patiesībā uzņemas?

Kāpēc Blue Teaming ir svarīga?

Uz tehnoloģijām balstīti produkti un pakalpojumi nav pasargāti no kiberuzbrukumiem. Atbildība, pirmkārt, gulstas uz tehnoloģiju nodrošinātājiem, lai aizsargātu savus lietotājus no iekšējiem vai ārējiem kiberuzbrukumiem, kas varētu apdraudēt viņu datus vai īpašumus. Tehnoloģiju lietotāji arī dala šo atbildību, taču lietotājs var maz darīt, lai aizsargātu produktu vai pakalpojumu ar sliktu drošību.

instagram viewer

Regulāri lietotāji nevar nolīgt IT ekspertu nodaļu, lai izstrādātu drošības arhitektūras vai ieviestu līdzekļus, kas uzlabo viņu drošību. Tā ir uzņēmuma, kas nodarbojas ar aparatūru un tīkla infrastruktūru, fiduciālā atbildība.

Regulējošās organizācijas, piemēram, Nacionālais standartu un tehnoloģiju institūts (NIST) arī spēlē savu lomu. NIST, piemēram, dizaini kiberdrošības sistēmas, ko izmanto uzņēmumi nodrošināt IT produktu un pakalpojumu atbilstību drošības standartiem.

Viss Ir Saistīts

Ikviens izveido savienojumu ar internetu, izmantojot aparatūru un tīkla infrastruktūru (domājiet par klēpjdatoru un Wi-Fi). Uz šīm infrastruktūrām ir balstīta svarīga komunikācija un bizness, tāpēc viss ir saistīts. Piemēram, jūs uzņemat un saglabājat attēlus tālrunī. Jūs dublējat šos failus mākonī. Vēlāk sociālo mediju lietotnes tālrunī palīdz kopīgot mirkļus ar ģimeni un draugiem.

Banku lietotnes un maksājumu platformas palīdz maksāt par lietām, nestāvot fiziski rindā bankā vai nenosūtot čeku, un nodokļus varat reģistrēt tiešsaistē. Tas viss notiek platformās, ar kurām izveidojat savienojumu, izmantojot tālrunī vai klēpjdatorā iebūvētu bezvadu sakaru tehnoloģiju.

Ja hakeris var apdraudēt jūsu ierīci vai bezvadu tīklu, viņš var nozagt jūsu privātos attēlus, bankas pieteikšanās datus un personas dokumentus. Viņi pat var uzdoties par jums un nozagt saturu no cilvēkiem jūsu sociālajā lokā. Pēc tam viņi var pārdot šo nozagto informācijas krājumu citiem hakeriem vai likt jums to izpirkt.

Vēl ļaunāk, cikls nebeidzas ar vienu uzlaušanu. Kļūšana par viena uzlaušanas upuri jau nenozīmē, ka citi uzbrucēji no jums izvairīsies. Iespējams, tas padara jūs par magnētu. Tāpēc vislabāk ir vispirms novērst uzbrukumu sākšanos. Un, ja profilakse nedarbojas, tad ir svarīgi ierobežot bojājumus un novērst turpmākus uzbrukumus. No jūsu puses jūs varat ierobežot ekspozīciju ar slāņveida drošību. Uzņēmums deleģē uzdevumu savai zilajai komandai.

Lomu spēlētāji zilajā komandā

Zilajā komandā ir tehniskās un netehniskās drošības operatori ar īpašām lomām un pienākumiem. Bet, protams, zilās komandas var būt tik lielas, ka ir vairāku operatoru apakšgrupas. Dažreiz lomas pārklājas. Sarkanā komanda vs. zilā komanda vingrinājumos parasti ir šādi spēlētāji:

  • Zilā komanda plāno aizsardzības operācijas un piešķir lomas un pienākumus citiem operatoriem zilajā šūnā.
  • Zilajā šūnā ir operatori, kas veido aizsardzību.
  • Uzticamie aģenti ir cilvēki, kas zina par uzbrukumu vai pat vispirms nolīgst sarkano komandu. Neskatoties uz iepriekšējām zināšanām par vingrinājumu, uzticamie aģenti ir neitrāli. Uzticamie aģenti neiejaucas sarkanās komandas lietās un nedod padomus aizsardzībai.
  • Baltajā šūnā ir operatori, kas darbojas kā buferi un sazinās ar abām komandām. Tie ir tiesneši, kas nodrošina, ka zilās komandas darbība un sarkanā komanda nerada neparedzētas problēmas ārpus iesaistīšanās jomas.
  • Novērotāji ir cilvēki, kuru uzdevums ir vērot. Viņi skatās saderināšanās spēli un atzīmē savus novērojumus. Novērotāji ir neitrāli. Vairumā gadījumu viņi pat nezina, kas ir zilajā vai sarkanajā komandā.
  • Sarkano komandu veido operatori, kas uzsāk uzbrukumu mērķa drošības arhitektūrai. Viņu uzdevums ir atrast ievainojamības, izdurt caurumus aizsardzībā un mēģināt pārspēt zilo komandu.

Kādi ir zilās komandas mērķi?

Jebkuras zilās komandas mērķi būs atkarīgi no drošības vides, kurā viņi atrodas, un uzņēmuma drošības arhitektūras stāvokļa. Tomēr zilajām komandām parasti ir četri galvenie mērķi.

  • Identificējiet un ierobežojiet draudus.
  • Novērst draudus.
  • Aizsargājiet un atgūstiet nozagtos īpašumus.
  • Dokumentējiet un pārskatiet incidentus, lai uzlabotu reakciju uz nākotnes draudiem.

Kā darbojas Blue Teaming?

Lielākajā daļā organizāciju zilās komandas operatori strādā a Drošības operāciju centrs (SOC). SOC ir vieta, kur kiberdrošības eksperti vada uzņēmuma drošības platformu un uzrauga un apstrādā drošības incidentus. SOC ir arī vieta, kur operatori atbalsta netehnisko personālu un uzņēmuma resursu lietotājus.

Negadījumu novēršana

Zilā komanda ir atbildīga par drošības vides apmēra izpratni un kartes izveidi. Viņi arī atzīmē visus vides aktīvus, to lietotājus un šo līdzekļu stāvokli. Izmantojot šīs zināšanas, komanda veic pasākumus, lai novērstu uzbrukumus un neveiksmes.

Daži no pasākumiem, ko zilās komandas operatori īsteno incidentu novēršanai, ietver administrācijas privilēģiju iestatīšanu. Tādā veidā nepiederošām personām nav piekļuves resursiem, kuriem vispirms nevajadzētu. Šis pasākums ir efektīvs, lai ierobežotu sānu kustību, ja uzbrucējs iekļūst iekšā.

Bez administrācijas privilēģiju ierobežošanas incidentu novēršana ietver arī pilna diska šifrēšana, virtuālo privāto tīklu iestatīšana, ugunsmūri, droša pieteikšanās un autentifikācija. Daudzas zilās komandas turpina izmantot maldināšanas paņēmienus, slazdus, ​​kas izlikti ar fiktīviem līdzekļiem, lai notvertu uzbrucējus, pirms tie nodara kaitējumu.

Negadījuma reakcija

Atbilde uz incidentu attiecas uz to, kā zilā komanda konstatē, apstrādā un atkopj pārkāpumu. Vairāki incidenti aktivizē drošības brīdinājumus, un nav iespējams reaģēt uz katru izraisītāju. Tātad zilajai komandai ir jāiestata filtrs tam, kas tiek uzskatīts par incidentu.

Parasti viņi to dara, ieviešot drošības informācijas un notikumu pārvaldības (SIEM) sistēmu. SIEM paziņo zilās komandas operatoriem, kad notiek drošības notikumi, piemēram, nesankcionēta pieteikšanās, kas savienota ar mēģinājumiem piekļūt sensitīviem failiem. Parasti pēc SIEM paziņojuma automatizēta sistēma pārskata draudus un, ja nepieciešams, pārsūta to operatoram.

Zilās komandas operatori parasti reaģē uz incidentiem, izolējot sistēmu, kas ir apdraudēta, un novēršot draudus. Reaģēšana uz incidentu var nozīmēt visu piekļuves atslēgu izslēgšanu nesankcionētas piekļuves gadījumos, paziņojuma presei sagatavošanu gadījumos, kad incidents skar klientus, un ielāpa izlaišanu. Vēlāk komanda veic a tiesu ekspertīzes pārbaude pēc pārkāpuma savākt pierādījumus, kas palīdz novērst atkārtošanos.

Draudu modelēšana

Draudi modelēšana ir tad, kad operatori izmanto zināmas ievainojamības, lai modelētu uzbrukumu. Komanda izveido rokasgrāmatu, lai reaģētu uz draudiem un sazinātos ar ieinteresētajām personām. Tātad, kad notiek īsts uzbrukums, zilajai komandai ir plāns, kā viņi piešķirs prioritāti līdzekļiem vai piešķirs cilvēkresursus un resursus aizsardzībai. Protams, reti kad viss notiek tieši tā, kā plānots. Tomēr draudu modeļa izmantošana palīdz zilās komandas operatoriem saglabāt kopējo attēlu perspektīvā.

Robust Blue Teaming ir proaktīva

Darba zilās komandas operatori nodrošina jūsu datu drošību, un jūs varat droši izmantot tehnoloģiju. Tomēr strauji mainīgā kiberdrošības ainava nozīmē, ka zilā komanda nevar novērst vai novērst visus draudus. Viņi arī nevar pārāk nocietināt sistēmu; tas var kļūt nelietojams. Viņi var paciest pieņemamu riska līmeni un sadarboties ar sarkano komandu, lai nepārtraukti uzlabotu drošību.