Mis on Blue Teaming ja kuidas see küberturvalisust parandab?

Blue teaming on turvakeskkonna loomise ja kaitsmise ning seda keskkonda ohustavatele vahejuhtumitele reageerimise praktika. Sinise meeskonna küberturvalisuse operaatorid on osavad jälgima turvakeskkonda, mida nad kaitsevad turvaaukude suhtes, olenemata sellest, kas need on olemasolevad või ründajad. Sinised meeskonnad juhivad turvaintsidente ja kasutavad saadud õppetunde, et tugevdada keskkonda tulevaste rünnakute vastu.

Miks on sinised meeskonnad olulised? Milliseid rolle nad tegelikult võtavad?

Miks on sinine meeskond oluline?

Tehnoloogial põhinevad tooted ja teenused ei ole küberrünnakute eest kaitstud. Esiteks lasub tehnoloogia pakkujatel kohustus kaitsta oma kasutajaid sisemiste või väliste küberrünnakute eest, mis võivad ohustada nende andmeid või varasid. Seda vastutust jagavad ka tehnoloogia kasutajad, kuid kasutaja saab vähese turvalisusega toote või teenuse kaitsmiseks teha vähe.

Tavakasutajad ei saa palgata IT-ekspertide osakonda, et kujundada turbearhitektuure või juurutada funktsioone, mis suurendavad nende enda turvalisust. See on riistvara ja võrguinfrastruktuuriga tegeleva ettevõtte usaldusvastutus.

Reguleerivad organisatsioonid nagu Riiklik Standardi- ja Tehnoloogiainstituut (NIST) mängivad samuti oma osa. NIST näiteks disainib küberturvalisuse raamistikud, mida ettevõtted kasutavad tagada IT-toodete ja -teenuste vastavus turvastandarditele.

Kõik on ühendatud

Kõik loovad Interneti-ühenduse riistvara ja võrguinfrastruktuuride kaudu (mõelge oma sülearvutile ja WiFi-le). Nendele infrastruktuuridele on üles ehitatud oluline side ja ettevõtted, nii et kõik on ühendatud. Näiteks pildistate ja salvestate oma telefoni. Varundate need failid pilve. Hiljem aitavad teie telefoni sotsiaalmeediarakendused jagada hetki oma pere ja sõpradega.

Pangarakendused ja makseplatvormid aitavad teil asjade eest maksta ilma füüsiliselt pangas järjekorda seadmata või tšekki saatmata ning saate makse esitada veebis. Kõik need toimuvad platvormidel, millega ühendate telefoni või sülearvutisse manustatud traadita sidetehnoloogia kaudu.

Kui häkker võib teie seadme või traadita võrgu ohtu seada, võib ta varastada teie privaatseid pilte, panga sisselogimisandmeid ja isikut tõendavaid dokumente. Nad võivad isegi teiena esineda ja teie suhtlusringkonnas olevatelt inimestelt asju varastada. Seejärel saavad nad selle varastatud teabevaru teistele häkkeritele maha müüa või teid selle välja lunastada.

Mis veelgi hullem, tsükkel ei lõpe ühe häkkimisega. Ühe häkkimise ohvriks langemine ei tähenda veel, et teised ründajad teid väldivad. Tõenäoliselt teeb see sinust magneti. Seega on kõige parem ennetada rünnakute algust. Ja kui ennetamine ei aita, on oluline kahju piirata ja tulevasi rünnakuid ennetada. Omalt poolt saate piirata kokkupuudet kihilise turvalisusega. Ettevõte delegeerib ülesande oma sinisele meeskonnale.

Rollimängijad sinises meeskonnas

Sinine meeskond koosneb tehnilistest ja mittetehnilistest turvatöötajatest, kellel on spetsiifilised rollid ja vastutus. Aga loomulikult võivad sinised meeskonnad olla nii suured, et seal on mitmest operaatorist koosnevad alagrupid. Mõnikord rollid kattuvad. Punane meeskond vs. sinine meeskond harjutustel on tavaliselt järgmised rollid:

• Sinine meeskond planeerib kaitseoperatsioone ning määrab rollid ja kohustused teistele sinise kambri operaatoritele.
• Sinine rakk koosneb operaatoritest, kes kaitsevad.
• Usaldusväärsed agendid on inimesed, kes teavad rünnakust või palkavad isegi punase meeskonna. Hoolimata eelnevatest teadmistest harjutuse kohta on usaldusväärsed agendid neutraalsed. Usaldusväärsed agendid ei sekku punase meeskonna asjadesse ega nõusta kaitset.
• Valge rakk koosneb operaatoritest, kes tegutsevad puhvritena ja suhtlevad mõlema meeskonnaga. Need on kohtunikud, kes tagavad, et sinise meeskonna tegevus ja punane meeskond ei tekita soovimatuid probleeme väljaspool kaasamist.
• Vaatlejad on inimesed, kelle ülesanne on pealtvaatamine. Nad vaatavad kihlumist ja märgivad oma tähelepanekuid. Vaatlejad on neutraalsed. Enamikul juhtudel nad isegi ei tea, kes on sinises või punases meeskonnas.
• Punane meeskond koosneb operaatoritest, kes ründavad sihitud turbearhitektuuri. Nende ülesanne on leida haavatavused, torkida kaitsesse auke ja proovida sinist meeskonda üle kavaldada.

Millised on sinise meeskonna eesmärgid?

Iga sinise meeskonna eesmärgid sõltuvad turvakeskkonnast, milles nad on, ja ettevõtte turbearhitektuuri olekust. See tähendab, et sinistel meeskondadel on tavaliselt neli peamist eesmärki.

• Tuvastage ja piirake ohte.
• Kõrvaldage ohud.
• Kaitske ja taastage varastatud vara.
• Dokumenteerige ja vaadake juhtumeid, et täpsustada tulevastele ohtudele reageerimist.

Kuidas Blue Teaming töötab?

Enamikus organisatsioonides töötavad sinise meeskonna operaatorid a Turvaoperatsioonide keskus (SOC). SOC on koht, kus küberturvalisuse eksperdid juhivad ettevõtte turvaplatvormi ning jälgivad ja tegelevad turvaintsidentidega. SOC on ka koht, kus operaatorid toetavad mittetehnilisi töötajaid ja ettevõtte ressursside kasutajaid.

Juhtumite ennetamine

Sinine meeskond vastutab turvakeskkonna ulatuse mõistmise ja kaardi loomise eest. Samuti märgivad nad kõik keskkonnas olevad varad, nende kasutajad ja nende varade seisukorra. Nende teadmistega võtab meeskond kasutusele meetmed rünnakute ja äparduste ärahoidmiseks.

Mõned meetmed, mida sinise meeskonna operaatorid intsidentide ennetamiseks rakendavad, hõlmavad administraatoriõiguste määramist. Nii ei pääse volitamata isikud ligi ressurssidele, mida nad ei peakski. See meede on tõhus külgsuunalise liikumise piiramiseks, kui ründaja siseneb.

Lisaks haldusõiguste piiramisele hõlmab intsidentide ennetamine ka ketta täielik krüptimine, virtuaalsete privaatvõrkude, tulemüüride, turvalise sisselogimise ja autentimise seadistamine. Paljud sinised meeskonnad rakendavad veelgi pettustehnikaid, püüniseid, mis on seatud näivvahenditega, et tabada ründajad enne kahju tekitamist.

Juhtumitele reageerimine

Juhtumile reageerimine viitab sellele, kuidas sinine meeskond rikkumise tuvastab, käsitleb ja sellest taastub. Mitmed intsidendid käivitavad turvahoiatused ja igale päästikule ei ole võimalik reageerida. Seega peab sinine meeskond seadma filtri selle jaoks, mis loetakse vahejuhtumiks.

Üldiselt teevad nad seda turvateabe ja sündmuste haldamise (SIEM) süsteemi abil. SIEM-id teavitavad sinise meeskonna operaatoreid, kui juhtuvad turvasündmused, näiteks volitamata sisselogimised, mis on seotud tundlikele failidele juurdepääsu katsetega. Tavaliselt vaatab automaatne süsteem SIEM-i teatel ohu üle ja edastab vajaduse korral operaatorile.

Sinise meeskonna operaatorid reageerivad tavaliselt intsidentidele, eraldades ohustatud süsteemi ja eemaldades ohu. Juhtumile reageerimine võib tähendada kõigi juurdepääsuvõtmete väljalülitamist volitamata juurdepääsu korral, pressiteate tegemist, kui juhtum mõjutab kliente, ja plaastri vabastamist. Hiljem teeb meeskond a kohtuekspertiisi audit pärast rikkumist koguda tõendeid, mis aitavad vältida kordumist.

Ohu modelleerimine

Ohu modelleerimine on see, kui operaatorid kasutavad rünnaku simuleerimiseks teadaolevaid turvaauke. Meeskond koostab ohtudele reageerimise ja sidusrühmadega suhtlemise mänguraamatu. Nii et kui toimub tõeline rünnak, on sinisel meeskonnal plaan, kuidas nad varasid tähtsuse järjekorda seada või kaitsesse inimjõudu ja ressursse eraldada. Muidugi läheb harva asjad täpselt nii, nagu plaanitud. Siiski aitab ohumudeli olemasolu sinise meeskonna operaatoritel hoida üldpilti perspektiivis.

Tugev Blue Teaming on ennetav

Sinise meeskonna operaatorid tagavad teie andmete turvalisuse ja saate tehnoloogiat turvaliselt kasutada. Kiiresti muutuv küberturvalisuse maastik tähendab aga, et sinine meeskond ei suuda kõiki ohte ennetada ega kõrvaldada. Samuti ei saa nad süsteemi liiga kõvaks muuta; see võib muutuda kasutuskõlbmatuks. Mida nad saavad teha, on taluda vastuvõetavat riskitaset ja teha koostööd punase meeskonnaga, et turvalisust pidevalt parandada.