„Kolorowe” nazwy odnoszą się do zespołów tworzonych przez specjalistów ds. cyberbezpieczeństwa w trakcie symulowanych ataków hakerskich oraz w procesie poprawy stanu zabezpieczeń organizacji. Zastosowanie podziału na zespoły jest rozwinięciem idei testów penetracyjnych. Głównymi zespołami biorącymi udział w symulacji są Red Team (atakujący) oraz Blue Team (broniący bezpieczeństwa organizacji, reprezentujący jej standardowe zabezpieczenia). Oprócz tego, w miarę potrzeb, tworzy się dodatkowe zespoły, które koordynują prace pozostałych, przekazują ważne informacje, formułują wnioski z przeprowadzonych ataków i tworzą nowe zabezpieczenia.

 

Pierwsze testy przy Red Team i Blue Team były przeprowadzane w Stanach Zjednoczonych już na początku lat 60. – w czasie tzw. zimnej wojny. Zespoły czerwone symulowały ataki przeprowadzane przez siły Związku Radzieckiego, a zespoły niebieskie broniły bezpieczeństwa, zgodnie z przyjętymi w USA procedurami.

 

Testy penetracyjne przy użyciu zespołów mogą ograniczać się do działań w przestrzeni cyfrowej, jednak w przypadku najbardziej wymagających firm i organizacji (utrzymujących krytyczne z punktu widzenia bezpieczeństwa zasoby oraz infrastrukturę) zespoły czerwone mogą także próbować uzyskać dostęp do fizycznych obszarów firmy np. data center czy archiwów, w celu kontrolowanej kradzieży informacji.

 

Najczęściej stosowany jest podział na zespoły czerwony, niebieski i biały. W przypadku zaawansowanych testów penetracyjnych dopuszcza się jednak stworzenie dodatkowych drużyn, które mają za zadanie wspierać jedną lub drugą stronę, czy też dbać o prawidłową komunikację. Warto jednak zaznaczyć, że nie istnieje odgórnie ustalone nazewnictwo zespołów, a role poszczególnych teamów mogą się częściowo pokrywać – w zależności od ustaleń i środowiska.

 

Na czym dokładnie polega praca poszczególnych zespołów? Przeczytaj poniżej, czym są Red Team, Blue Team, Purple Team, White Team oraz Yellow Team.

 

Red Team

 

Nadrzędnym celem Red Teamu jest zidentyfikowanie luk w systemach zabezpieczeń i jak największej liczby podatności. Do zespołu mogą należeć specjaliści pracujący na co dzień w danej organizacji, choć zdecydowanie częściej zatrudnia się do tego zewnętrzne, wyspecjalizowane zespoły z doświadczeniem i odpowiednimi kompetencjami. Stosując takie rozwiązanie, firma unika stronniczości oraz zyskuje „świeże spojrzenie” na stosowane zabezpieczenia.

 

Osoby tworzące Red Team są zorientowane nie tylko w aktualnie stosowanych technologiach zabezpieczeń, ale także doskonale znają metody stosowane przez hakerów i cyberoszustów. Mając za zadanie naruszenie integralności systemów i uzyskanie dostępu do chronionych obszarów sieci, mogą wykorzystywać wiele możliwości. Początkowo mogą używać socjotechnik do zdobycia danych uwierzytelniających, a po przeniknięciu do wewnętrznej sieci - zwiększać swoje uprawnienia i eskalować ataki na kolejne systemy. Red Team może być nawet uprawniony do fizycznego sforsowania dostępu np. do firmowej serwerowni.

 

W działania zespołu czerwonego wtajemniczone jest zazwyczaj niewielkie grono osób w organizacji, co dodatkowo podnosi realizm działań.

 

Blue Team

 

Blue Team to zespół broniący dostępu do firmowej sieci i starający się wykrywać pozorowane ataki oraz reagować na nie w czasie rzeczywistym. W jego skład wchodzą specjaliści ds. cyberbezpieczeństwa, analitycy, inżynierowie i architekci.

 

Głównym zadaniem zespołu niebieskiego jest monitorowanie ruchu i analiza dzienników w celu wykrycia anomalii. Specjaliści wcielający się w rolę obrońców muszą mieć wysoce rozwinięte umiejętności analityczne i bezbłędnie zarządzać ryzykiem oraz podatnościami.

 

Purple Team

 

Purple Team to zespół, który aktywnie współpracuje z atakującymi, jak i broniącymi. Przekazuje broniącym (Blue Team) wnioski wyciągnięte przez atakujących i tym samym zwiększa skuteczność obrony. W praktyce zespół fioletowy nie musi być oddzielną drużyną. W większości przypadków jest tylko koncepcją organizacyjną, którą pozwala na sprawną komunikację pomiędzy dwoma teamami i dzielenie się krytycznymi informacjami. Takie podejście daje zdecydowanie lepsze efekty niż ślepe dążenie do celu przez obie drużyny.

 

White Team

 

White Team składa się ze specjalistów niezwiązanych z innymi drużynami. Obserwuje ćwiczenia i czuwa nad prawidłowym przebiegiem rywalizacji pomiędzy czerwoną i niebieską drużyną. Egzekwuje zasady i procedury, które były ustalone na początku i nie angażuje się bezpośrednio w rozwój bezpieczeństwa organizacji. Jest jednak niezbędny dla prawidłowego przebiegu procesów poprawy stanu zabezpieczeń organizacji. Kluczowym zadaniem białego zespołu jest także wybór drużyny atakującej (Red Teamu). Z uwagi na konieczność zachowania maksymalnej poufności jest to zadanie wyjątkowo odpowiedzialne. Najważniejszą misją White Teamu jest przygotowanie po zakończonej rywalizacji raportu z pracy wszystkich drużyn oraz sformułowanie planu naprawczego.

 

Yellow Team

 

W skład Yellow Teamu wchodzą głównie inżynierowie, architekci i programiści, a ich zadaniem jest stworzenie wolnego od wad oprogramowania i systemów bezpieczeństwa. Pracują oni w oparciu o dane dostarczane przez niebieski i czerwony zespół.

   

O ile Red Team składa się zazwyczaj z doświadczonych specjalistów z zewnątrz (w tym tzw. etycznych hakerów), tak Blue Team to zwykle wewnętrzni specjaliści ds. cyberbezpieczeństwa, którzy pracują na co dzień nad ochroną danej organizacji, lub zespoły wydelegowane do tego zadania w ramach Security Operations Center. Działania drużyn mogą trwać przez wiele tygodni i bardziej przypominać oblężenie niż szybki atak na słabe punkty systemu. Każdy tego rodzaju proces przynosi z czasem pozytywne efekty, choć jednocześnie zmusza firmę do nieco większej pracy.

 

Netia może zorganizować zawody w formie grywalizacji, w ramach których zmierzą się ze sobą drużyna atakująca i broniąca. W tego typu rywalizację może zaangażować także nietechniczną część pracowników Twojej firmy, co doda realizmu całej symulacji.

 

Istnieje wiele różnych sposobów, które pozwolą przetestować zabezpieczenia Twojej firmy w praktyce. Należą do nich między innymi kontrolowane ataki phishingowe oraz testy podatności, biorące pod lupę każdy obszar firmowej infrastruktury.

 

Chcesz sprawdzić, czy Twoja firma jest odpowiednio zabezpieczona? Skontaktuj się ze specjalistami Netii!