Daugybė komandų dirba kovodamos su kibernetinėmis atakomis tinkle – viena iš jų yra mėlynoji komanda. Taigi, ką jie iš tikrųjų daro?

„Blue teaming“ yra saugumo aplinkos kūrimo ir apsaugos bei reagavimo į incidentus, kurie kelia grėsmę tai aplinkai, praktika. Mėlynosios komandos kibernetinio saugumo operatoriai puikiai stebi saugos aplinką, kurią jie saugo dėl pažeidžiamumų, esamų ar sukeltų užpuolikų. Mėlynieji komandos nariai valdo saugumo incidentus ir naudoja išmoktas pamokas, kad apsaugotų aplinką nuo būsimų atakų.

Taigi kodėl mėlynos komandos yra svarbios? Kokius vaidmenis jie iš tikrųjų atlieka?

Kodėl mėlyna komanda yra svarbi?

Technologijų pagrindu sukurti produktai ir paslaugos nėra apsaugoti nuo kibernetinių atakų. Visų pirma atsakomybė tenka technologijų tiekėjams, kad jie apsaugotų savo vartotojus nuo vidinių ar išorinių kibernetinių atakų, galinčių pakenkti jų duomenims ar turtui. Technologijų naudotojai taip pat dalijasi šia atsakomybe, tačiau vartotojas mažai ką gali padaryti, kad apsaugotų produktą ar paslaugą, kurios saugumas yra prastas.

instagram viewer

Paprasti vartotojai negali samdyti IT ekspertų skyriaus, kad sukurtų saugos architektūras ar įdiegtų funkcijas, kurios padidina jų pačių saugumą. Tai pagrindinė įmonės, užsiimančios aparatine įranga ir tinklo infrastruktūra, atsakomybė.

Reguliavimo organizacijos, tokios kaip Nacionalinis standartų ir technologijos institutas (NIST) taip pat atlieka savo vaidmenį. NIST, pavyzdžiui, dizaino kibernetinio saugumo sistemas, kurias naudoja įmonės užtikrinti, kad IT produktai ir paslaugos atitiktų saugumo standartus.

Viskas yra sujungta

Visi prisijungia prie interneto per aparatinę įrangą ir tinklo infrastruktūrą (pagalvokite apie nešiojamąjį kompiuterį ir „Wi-Fi“). Šios infrastruktūros pagrindu kuriama svarbi komunikacija ir verslas, todėl viskas yra susijusi. Pavyzdžiui, jūs fotografuojate ir išsaugote nuotraukas telefone. Kuriate atsargines šių failų kopijas debesyje. Vėliau telefone esančios socialinės medijos programos padės dalytis akimirkomis su šeima ir draugais.

Bankininkystės programėlės ir mokėjimo platformos padeda sumokėti už daiktus fiziškai nestojant į eilę banke ar neišsiunčiant čekio, o mokesčius galite pateikti internetu. Visa tai vyksta platformose, prie kurių prisijungiate per belaidžio ryšio technologiją, integruotą telefone ar nešiojamajame kompiuteryje.

Jei įsilaužėlis gali pažeisti jūsų įrenginį ar belaidį tinklą, jis gali pavogti jūsų privačias nuotraukas, banko prisijungimo duomenis ir asmens dokumentus. Jie netgi gali apsimesti jumis ir pavogti daiktus iš jūsų socialinio rato žmonių. Tada jie gali parduoti šią pavogtą informaciją kitiems įsilaužėliams arba priversti jus išpirkti.

Dar blogiau, kad ciklas nesibaigia vienu įsilaužimu. Tapimas vieno įsilaužimo auka dar nereiškia, kad kiti užpuolikai jūsų vengs. Tikėtina, kad tai daro jus magnetu. Taigi, geriausia iš pradžių užkirsti kelią atakoms. Ir jei prevencija nepadeda, svarbu apriboti žalą ir užkirsti kelią būsimiems išpuoliams. Iš savo pusės galite apriboti ekspoziciją naudojant daugiasluoksnę apsaugą. Įmonė deleguoja užduotį savo mėlynajai komandai.

Žaidėjai mėlynojoje komandoje

Mėlynąją komandą sudaro techninės ir netechninės apsaugos operatoriai, turintys konkrečias pareigas ir atsakomybes. Bet, žinoma, mėlynosios komandos gali būti tokios didelės, kad yra kelių operatorių pogrupiai. Kartais vaidmenys sutampa. Raudonoji komanda vs. mėlyna komanda pratimai paprastai atlieka šiuos vaidmenis:

  • Mėlynoji komanda planuoja gynybos operacijas ir paskiria vaidmenis bei pareigas kitiems mėlynosios kameros operatoriams.
  • Mėlynąją ląstelę sudaro operatoriai, kurie vadovauja gynybai.
  • Patikimi agentai yra žmonės, kurie žino apie išpuolį arba netgi samdo raudonąją komandą. Nepaisant išankstinių žinių apie pratimą, patikimi agentai yra neutralūs. Patikimi agentai nesikiša į raudonosios komandos reikalus ir nepataria gynybai.
  • Baltąjį langelį sudaro operatoriai, kurie veikia kaip buferiai ir palaiko ryšius su abiem komandomis. Jie yra teisėjai, kurie užtikrina, kad mėlynosios komandos veikla, o raudonoji komanda nesukeltų nenumatytų problemų už užduoties ribų.
  • Stebėtojai yra žmonės, kurių darbas yra stebėti. Jie stebi sužadėtuves ir pažymi savo pastebėjimus. Stebėtojai yra neutralūs. Daugeliu atvejų jie net nežino, kas yra mėlynojoje ar raudonojoje komandoje.
  • Raudonąją komandą sudaro operatoriai, kurie pradeda ataką prieš tikslinę saugos architektūrą. Jų darbas yra rasti pažeidžiamumą, kištis gynyboje ir bandyti pergudrauti mėlynąją komandą.

Kokie yra mėlynosios komandos tikslai?

Bet kurios mėlynosios komandos tikslai priklausys nuo saugos aplinkos, kurioje jie yra, ir nuo įmonės saugos architektūros būklės. Be to, mėlynosios komandos paprastai turi keturis pagrindinius tikslus.

  • Atpažinti ir suvaldyti grėsmes.
  • Pašalinkite grėsmes.
  • Apsaugokite ir susigrąžinkite pavogtą turtą.
  • Dokumentuokite ir peržiūrėkite incidentus, kad patobulintumėte atsaką į būsimas grėsmes.

Kaip veikia Blue Teaming?

Daugumoje organizacijų mėlynosios komandos operatoriai dirba a Apsaugos operacijų centras (SOC). SOC yra vieta, kur kibernetinio saugumo ekspertai valdo įmonės saugos platformą ir kur stebi bei tvarko saugumo incidentus. SOC taip pat yra vieta, kur operatoriai padeda netechniniams darbuotojams ir įmonės išteklių naudotojams.

Incidentų prevencija

Mėlynoji komanda yra atsakinga už saugumo aplinkos masto supratimą ir sudarymą. Jie taip pat pažymi visą aplinkoje esantį turtą, jų naudotojus ir šio turto būklę. Turėdama šias žinias, komanda imasi priemonių užkirsti kelią atakoms ir nelaimėms.

Kai kurios priemonės, kurias mėlynosios komandos operatoriai įgyvendina siekdami užkirsti kelią incidentams, apima administravimo privilegijų nustatymą. Tokiu būdu pašaliniai asmenys neturi prieigos prie išteklių, kurių jie neturėtų iš pradžių. Ši priemonė veiksmingai apriboja šoninį judėjimą, jei užpuolikas patenka į vidų.

Be administravimo privilegijų apribojimo, incidentų prevencija taip pat apima pilnas disko šifravimas, nustatant virtualius privačius tinklus, užkardas, saugius prisijungimus ir autentifikavimą. Daugelis mėlynųjų komandų toliau taiko apgaulės būdus, gaudykles, kurias sugaudo užpuolikai, kol jie nepadarys žalos.

Reagavimas į incidentą

Reagavimas į incidentą reiškia, kaip mėlynoji komanda nustato, tvarko ir atkuria pažeidimą. Keletas incidentų suaktyvina saugos įspėjimus, todėl neįmanoma reaguoti į kiekvieną aktyviklį. Taigi, mėlynoji komanda turi nustatyti filtrą, kas laikoma incidentu.

Paprastai jie tai daro įdiegę saugos informacijos ir įvykių valdymo (SIEM) sistemą. SIEM praneša mėlynosios komandos operatoriams, kai įvyksta saugos įvykiai, pvz., neteisėti prisijungimai, susieti su bandymais pasiekti neskelbtinus failus. Paprastai, gavusi pranešimą iš SIEM, automatizuota sistema peržiūri grėsmę ir prireikus perduoda ją žmogui.

Mėlynosios komandos operatoriai paprastai reaguoja į incidentus izoliuodami sistemą, kuriai buvo pakenkta, ir pašalindami grėsmę. Reagavimas į incidentą gali reikšti visų prieigos raktų išjungimą neteisėtos prieigos atvejais, pranešimo spaudai tais atvejais, kai incidentas paliečia klientus, ir pataisos išleidimą. Vėliau komanda atlieka a teismo ekspertizė po pažeidimo rinkti įrodymus, padedančius išvengti pasikartojimo.

Grėsmių modeliavimas

Grėsmių modeliavimas yra tada, kai operatoriai naudoja žinomas spragas, kad imituotų ataką. Komanda parengia reagavimo į grėsmes ir bendravimo su suinteresuotosiomis šalimis žaidimų knygelę. Taigi, kai įvyksta tikra ataka, mėlynoji komanda turi planą, kaip skirs turto prioritetus arba skirs žmogiškąją jėgą ir išteklius gynybai. Žinoma, viskas retai vyksta tiksliai taip, kaip planuota. Vis dėlto grėsmės modelis padeda mėlynosios komandos operatoriams išlaikyti bendrą vaizdą perspektyvoje.

Tvirtas mėlynasis kolektyvas yra iniciatyvus

Darbo mėlynosios komandos operatoriai užtikrina, kad jūsų duomenys būtų saugūs, o jūs galite saugiai naudotis technologijomis. Tačiau greitai besikeičiantis kibernetinio saugumo kraštovaizdis reiškia, kad mėlynoji komanda negali užkirsti kelio ar pašalinti kiekvienos grėsmės. Jie taip pat negali per daug sutvirtinti sistemos; jis gali tapti netinkamas naudoti. Ką jie gali padaryti, tai toleruoti priimtiną rizikos lygį ir dirbti su raudonąja komanda, kad nuolat gerintų saugumą.