Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.

Именно для того, чтобы сгладить эту асимметрию, индустрия ИБ разделила процессы на два полюса: оборонительные и наступательные. И раскрасила их в разные цвета — красный для атакующей стороны, синий — для защищающейся.

В этой статье на примере Red Team я расскажу об основных формальных и фактических различиях между командами, рассмотрю, с какими задачами сталкиваются их участники, и, возможно, даже помогу тебе определиться с «цветом», если ты только начинаешь свою карьеру в информационной безопасности или чувствуешь себя не на том месте.

 

Красная, синяя и пурпурная команды

Понятия Red Team и Blue Team пришли из традиционного военного ремесла, и суть этих терминов нисколько не изменилась. Blue Team в контексте кибербезопасности означает команду экспертов, задача которых — обеспечивать защиту инфраструктуры.

Ключевые этапы адаптивной безопасности, которые должны быть выстроены Blue Team (источник — Gartner)
Ключевые этапы адаптивной безопасности, которые должны быть выстроены Blue Team (источник — Gartner)

Согласно архитектуре адаптивной безопасности, которую предложило информационное агентство Gartner, задачи Blue Team делятся на следующие области:

  • Prevent — выстраивать систему защиты от уже известных атак;
  • Detect — выявлять новые (в том числе и ранее неизвестные) атаки и оперативно приоритизировать и обрабатывать инциденты;
  • Respond — вырабатывать ответные меры и политики реагирования на выявленные инциденты (на этом этапе крайне желательно, чтобы выявленные инциденты целой категорией отправлялись в блок Prevent);
  • Predict — прогнозировать появление новых атак с учетом меняющегося ландшафта угроз.

Последний пункт с технической точки зрения и привносит настоящий челлендж в работу security-аналитика («Какое там прогнозирование, когда SIEM завален событиями и инциденты еще не разобраны?»). К этому блоку относятся мероприятия для оценки уровня защищенности, однако они же позволяют оценить эффективность процессов и на других стадиях.

Таким образом, задача Red Team сводится не к тому, чтобы «разнести» корпоративную инфраструктуру и доказать всем, что все плохо; а напротив — использовать анализ защищенности в качестве конструктивной меры для оценки существующих процессов и помощи Blue Team в их улучшении.

Во многих организациях, где процессы ИБ еще недостаточно зрелые либо бюджеты не позволяют расширять штат безопасников, задачи оценки защищенности решают специалисты Blue Team. А вот в крупных компаниях наступательные мероприятия передали Red Team. Это разделение, в частности, позволяет бизнесу эффективно оценивать бюджеты на информационную безопасность.

Изредка встречаются крупные компании, которые добавляют еще и команду Purple Team. Ее основная задача — в повышении эффективности взаимодействия синей и красной команд. «Пурпурные» эксперты помогают другим командам дружить, позволяя синей команде разрабатывать стратегию и технические меры для защиты инфраструктуры на основе обнаруженных красной командой уязвимостей и недостатков. Однако при наличии эффективной коммуникации между Blue Team и Red Team необходимость в Purple Team вызывает сомнения.

Еще раз подчеркну. Цель всех этих команд — повышение уровня защищенности инфраструктуры. При этом:

  • Blue Team занята защитой инфраструктуры за счет реализации процессов адаптивной безопасности;
  • Red Team занимается эмуляцией действий атакующего, а также вырабатывает и реализует стратегии для оценки эффективности процессов защиты и непрерывно доставляет результаты команде Blue Team;
  • Purple Team, если она есть, вырабатывает эффективные меры для Blue Team с учетом экспертизы Red Team.

Выбирай свою пилюлю, исходя из личных интересов, но помни, что Red Team не означает «игры в хакеров» и какую-либо романтику. Более того, на мой взгляд, в задачах Blue Team куда больше реальных вызовов, потому что экспертам этой команды, в отличие от Red Team, надо быть начеку в режиме 24/7.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Оставить мнение

Check Also

Поймать нарушителя! Учимся детектировать инструменты атак на Windows

Атаки на Windows в наше время одна из наиболее реальных угроз для компаний. При этом исход…