Hvad er Blue Teaming, og hvordan forbedrer det cybersikkerheden?

Blue teaming er praksis med at skabe og beskytte et sikkerhedsmiljø og reagere på hændelser, der truer dette miljø. Blue team cybersikkerhedsoperatører er dygtige til at overvåge det sikkerhedsmiljø, de beskytter for sårbarheder, uanset om de allerede eksisterer eller er induceret af angribere. Blue teamers administrerer sikkerhedshændelser og bruger erfaringerne til at hærde miljøet mod fremtidige angreb.

Så hvorfor er blå hold vigtige? Hvilke roller påtager de sig egentlig?

Hvorfor er Blue Teaming vigtigt?

Produkter og tjenester bygget på teknologi er ikke immune over for cyberangreb. Ansvaret påhviler for det første teknologiudbydere for at beskytte deres brugere mod interne eller eksterne cyberangreb, der kan kompromittere deres data eller aktiver. Brugere af teknologi deler også dette ansvar, men der er meget lidt, en bruger kan gøre for at forsvare et produkt eller en tjeneste med dårlig sikkerhed.

Regelmæssige brugere kan ikke hyre en afdeling af it-eksperter til at designe sikkerhedsarkitekturer eller implementere funktioner, der øger deres egen sikkerhed. Det er det troværdige ansvar for en virksomhed, der beskæftiger sig med hardware og netværksinfrastruktur.

Regulerende organisationer som National Institute of Standards and Technology (NIST) spiller også deres rolle. NIST, for eksempel designs cybersikkerhedsrammer virksomheder bruger at sikre, at it-produkter og -tjenester lever op til sikkerhedsstandarder.

Alt er forbundet

Alle opretter forbindelse til internettet via hardware og netværksinfrastrukturer (tænk din bærbare computer og Wi-Fi). Vigtig kommunikation og virksomheder er bygget på disse infrastrukturer, så alt hænger sammen. For eksempel tager og gemmer du billeder på din telefon. Du sikkerhedskopierer disse filer til skyen. Senere hjælper sociale medieapps på din telefon dig med at dele øjeblikke med din familie og venner.

Bankapps og betalingsplatforme hjælper dig med at betale for ting uden fysisk at stå i kø i en bank eller sende en check, og du kan indsende skat online. Alle disse sker på platforme, du opretter forbindelse til via en trådløs kommunikationsteknologi, der er indlejret i en telefon eller bærbar computer.

Hvis en hacker kan kompromittere din enhed eller dit trådløse netværk, kan de stjæle dine private billeder, bankloginoplysninger og identitetsdokumenter. De kan endda efterligne dig og stjæle ting fra folk i din omgangskreds. De kan derefter sælge denne stjålne mængde information til andre hackere eller få dig til at løse dem.

Endnu værre, cyklussen slutter ikke med et enkelt hack. At blive offer for et hack allerede betyder ikke, at andre angribere vil undgå dig. Odds er, det gør dig til en magnet. Så det er bedst at forhindre angreb i at starte i første omgang. Og hvis forebyggelse ikke virker, så er det vigtigt at begrænse skaderne og forhindre fremtidige angreb. Fra din side kan du begrænse eksponeringen med lagdelt sikkerhed. Virksomheden uddelegerer opgaven til deres blå team.

Rollespillere i det blå hold

Det blå team består af tekniske og ikke-tekniske sikkerhedsoperatører med specifikke roller og ansvar. Men selvfølgelig kan blå hold være så store, at der er undergrupper af flere operatører. Nogle gange overlapper roller hinanden. Rødt hold vs. blåt hold øvelser har typisk følgende rollespillere:

• Det blå hold planlægger forsvarsoperationer og tildeler roller og ansvar til andre operatører i den blå celle.
• Den blå celle omfatter operatører, der fronter forsvaret.
• Betroede agenter er folk, der kender til angrebet eller endda hyrer det røde hold i første omgang. På trods af deres forudgående kendskab til øvelsen er betroede agenter neutrale. Betroede agenter blander sig ikke i det røde holds anliggender eller rådgiver forsvar.
• Den hvide celle består af operatører, der fungerer som buffere og er i forbindelse med begge teams. De er dommere, der sikrer, at det blå holds og det røde holds aktiviteter ikke forårsager utilsigtede problemer uden for engagementets rammer.
• Observatører er mennesker, hvis opgave er at se. De ser forlovelsen udspille sig og noterer deres observationer. Observatører er neutrale. I de fleste tilfælde ved de ikke engang, hvem der er på det blå eller røde hold.
• Det røde hold består af operatører, der lancerer et angreb på den målrettede sikkerhedsarkitektur. Deres opgave er at finde sårbarheder, stikke huller i forsvaret og forsøge at overliste det blå hold.

Hvad er målene for det blå hold?

Målene for ethvert blåt team vil afhænge af det sikkerhedsmiljø, de er i, og tilstanden af ​​virksomhedens sikkerhedsarkitektur. Når det er sagt, har blå hold typisk fire hovedmål.

• Identificer og inddæm trusler.
• Fjern trusler.
• Beskyt og genvind stjålne aktiver.
• Dokumenter og gennemgå hændelser for at forfine reaktionen på fremtidige trusler.

Hvordan fungerer Blue Teaming?

I de fleste organisationer arbejder blå teamoperatører i en Security Operations Center (SOC). SOC er det sted, hvor cybersikkerhedseksperter driver en virksomheds sikkerhedsplatform, og hvor de overvåger og håndterer sikkerhedshændelser. SOC er også stedet, hvor operatører støtter ikke-teknisk personale og brugere af virksomhedens ressourcer.

Hændelsesforebyggelse

Det blå team har ansvaret for at forstå og skabe et kort over omfanget af sikkerhedsmiljøet. De noterer også alle aktiver i miljøet, deres brugere og disse aktivers tilstand. Med denne viden sætter teamet foranstaltninger på plads for at forhindre angreb og uheld.

Nogle af de foranstaltninger, som blue team-operatører implementerer til forebyggelse af hændelser, omfatter indstilling af administrationsrettigheder. På denne måde har uautoriserede personer ikke adgang til ressourcer, de ikke burde i første omgang. Denne foranstaltning er effektiv til at begrænse lateral bevægelse, hvis en angriber får adgang.

Udover at begrænse administrationsrettigheder omfatter forebyggelse af hændelser også fuld diskkryptering, opsætning af virtuelle private netværk, firewalls, sikre logins og godkendelse. Mange blå hold implementerer yderligere bedrageriteknikker, fælder sat med dummy-aktiver for at fange angribere, før de forårsager skade.

Hændelsesrespons

Hændelsesreaktion refererer til, hvordan det blå team registrerer, håndterer og kommer sig efter et brud. Flere hændelser udløser sikkerhedsalarmer, og det er ikke muligt at reagere på hver eneste trigger. Så det blå hold skal indstille et filter for, hvad der tæller som en hændelse.

Generelt gør de dette ved at implementere et sikkerhedsinformations- og hændelsesstyringssystem (SIEM). SIEM'er underretter blå teamoperatører, når sikkerhedshændelser, såsom uautoriserede logins parret med forsøg på at få adgang til følsomme filer, sker. Normalt, efter meddelelse fra en SIEM, gennemgår et automatiseret system truslen og eskalerer til en menneskelig operatør, hvis det er nødvendigt.

Blue team-operatører reagerer typisk på hændelser ved at isolere det system, der er blevet kompromitteret, og fjerne truslen. Hændelsesreaktion kan betyde at slå alle adgangsnøgler fra i tilfælde af uautoriseret adgang, lave en pressemeddelelse i tilfælde hvor hændelsen påvirker kunder og frigive en patch. Senere laver holdet en retsmedicinsk revision efter et brud at indsamle beviser, der hjælper med at forhindre en gentagelse.

Trusselsmodellering

Trusselsmodellering er, når operatører bruger kendte sårbarheder til at simulere et angreb. Holdet laver en playbook til at reagere på trusler og kommunikere med interessenter. Så når et rigtigt angreb sker, har det blå hold en plan for, hvordan de vil prioritere aktiver eller allokere mandskab og ressourcer til forsvar. Selvfølgelig går tingene sjældent helt som planlagt. Alligevel hjælper det blå teamoperatører med at have en trusselsmodel med at holde det store billede i perspektiv.

Robust Blue Teaming er proaktivt

De arbejdsblå teamoperatører sikrer, at dine data er sikre, og at du kan bruge teknologi sikkert. Et hurtigt skiftende cybersikkerhedslandskab betyder dog, at et blåt team ikke kan forhindre eller eliminere enhver trussel. De kan heller ikke hærde et system for meget; det kan blive ubrugeligt. Det, de kan gøre, er at tolerere et acceptabelt risikoniveau og arbejde sammen med det røde team for løbende at forbedre sikkerheden.