Enhver organisation bør have en cybersikkerhedsafdeling, der sikrer, at virksomhedens aktiver er sikre mod angreb og databrud. Denne sikkerhedsafdeling består for det meste af to hold: det røde hold og det blå hold.
Disse teams er lige så vigtige og arbejder hånd i hånd for at sikre virksomhedens sikkerhed. Så hvad laver det røde og det blå hold? Og hvordan er de forskellige fra hinanden?
Cybersikkerhed er et meget bredt felt
Cybersikkerhed er et sæt af teknikker, der bruges til at beskytte mennesker, data og deres aktiver mod angreb, brud og uautoriseret adgang på internettet. Det er et meget bredt begreb og er opdelt i mange felter. Nogle cybersikkerhedsfelter eller -domæner inkluderer:
- Risikovurdering: Penetrationstest, Social engineering, Sårbarhedsscanning.
- Governance: Revision, KPI'er, love og regler.
- Trusselsefterretning.
- Sikkerhedsarkitektur: Kryptografi, sikkerhedsteknik, netværksdesign.
- Rammestruktur: NIST, ISO, SANS.
- Sikkerhedsdrift: Sårbarhedsstyring, SOC-analyse, SIEM, Incident Response.
- Fysisk sikkerhed.
- Brugeruddannelse og karriereudvikling.
De fleste af disse felter findes i en organisations sikkerhedsafdeling og arbejder hånd i hånd for at sikre, at virksomheden er sikker og beskyttet mod trusler.
De er normalt grupperet i det røde hold og det blå hold. Ligesom i hæren er det røde hold det offensive hold, mens det blå hold er defensivt.
Hvad er et rødt team i cybersikkerhed?
Et rødt team er en gruppe af cybersikkerhedsprofessionelle, der udfører offensive sikkerhedsøvelser på virksomheden for at teste dens sikkerhed. Det betyder, at de simulerer cyberangreb på organisationer for at opdage og forhindre sårbarheder og uforudsete angreb.
Hvad laver et rødt hold?
Det røde hold i en organisation fungerer som en angriber i den virkelige verden. De bruger strenge angrebsteknikker fra den virkelige verden til at bryde organisationens sikkerhedsforsvar og forsøge at identificere svagheder i systemet.
Ligesom faktiske ondsindede angribere begynder det røde hold en modstandsøvelse eller simuleret angreb ved at indsamle information og udføre rekognoscering af organisationen. De kan udføre social engineering angreb som spyd-phishing at få følsomme legitimationsoplysninger fra personale.
De ville også udføre scanninger på organisationen og bruge værktøjer som protokolanalysatorer og pakkesniffer for at få information på organisationen, operativsystemerne i brug, fysiske kontroller, åbne porte og netværksudstyret.
Når de er færdige med at indsamle information, vil de være i stand til at identificere de tilgængelige svagheder i systemet og skræddersy de udnyttelser og angrebsveje, der skal bruges til at bryde organisationens forsvar. De udfører penetrationstest, social engineering-angreb, reverse engineering og active directory-udnyttelse, blandt andre metoder, for at kompromittere virksomhedens sikkerhed.
Et typisk rødt team består af penetrationstestere og etiske hackere, netværksprofessionelle og offensive sikkerhedsingeniører.
Hvad er et blåt team inden for cybersikkerhed?
Et blåt team inden for cybersikkerhed er en gruppe eksperter, der forsvarer og beskytter en virksomheds sikkerhed mod cyberangreb. De analyserer konstant en organisations sikkerhedsstatus og implementerer foranstaltninger for at forbedre dens forsvar.
De udfører trusselsintelligens, hændelsesstyring og sikkerhedsautomatiseringsopgaver for at sikre, at der ikke er nogen risici eller sårbarheder.
Hvad laver et blåt hold?
Det blå team beskytter og forsvarer en organisation ved at identificere svagheder ved hjælp af den information, de allerede har. Det gør de ved udføre sårbarhedsscanninger og risikovurderinger af virksomheden og dens aktiver. De udfører system- og DNS-audits og overvåger organisationens systemadgang. De hentede data logges derefter og analyseres for usædvanlige aktiviteter.
Det blå team implementerer også sikkerhedspolitikker og uddanner personalet i, hvordan de holder sig selv og den bredere organisation sikker. De vejleder virksomheden om sikkerhedsforanstaltninger til at investere i og implementere kontroller og procedurer for at beskytte dem mod angreb.
De forsvarer og genopretter også virksomhedens sikkerhed, når den lider under et cyberangreb eller brud. Det blå team udfører Security Operations Center (SOC) funktioner, incidenssporing, Security Information and Event Management (SIEM), trusselsefterretninger, sikkerhedsautomatisering, pakkefangst og -analyse og meget mere.
Rapporten fra det simulerede angreb udført af det røde hold bruges til at forbedre organisationens sikkerhedsstilling.
Et blåt team omfatter generelt SOC-analytikere, trusselsintelligensanalytikere, hændelsesresponderere og systemrevisorer.
Hvad er forskellene mellem et rødt og et blåt hold?
Det røde hold er det offensive hold i sikkerhedsafdelingen, mens det blå spiller defensivt. Et rødt hold opfører sig som en angriber at bryde ind, mens det blå hold har til opgave at forsvare organisationen mod de angreb, bl.a. angreb fra den virkelige verden og sikring af, at hver medarbejder er uddannet til at være sikkerhedsbevidst, og at de overholder cybersikkerhed forskrifter.
Et af målene for et rødt team er at finde og identificere sårbarheder og svagheder i organisationen. Det er derfor, de kører simulerede angreb og offensive øvelser. Det blå team sørger derimod for, at der er få eller ingen sårbarheder eller svagheder i organisationens sikkerhed. Og i tilfælde af at det røde team finder en sårbarhed, er det blå teams opgave at rette eller lappe den udnyttelse.
En anden vigtig forskel mellem et blåt team og et rødt team er, at når en organisation står over for en cybertrussel eller angreb, er det blå team ansvarlig for at reagere på det og eliminere eller lappe brud.
Rødt hold vs. Blue Team: Hvad er vigtigere?
Det røde hold og det blå hold er lige vigtige i enhver organisation. De arbejder sammen om at sikre en virksomhed og beskytte den mod trusler og angreb.
En virksomhed med sit røde team og det blå team, der arbejder synkroniseret, vil bemærke, at dens overordnede sikkerhedsposition er forbedret og styrket. Du kan ikke favorisere det ene team frem for det andet, da en sikkerhedsafdeling er mest effektiv, når disse to teams samarbejder.
