Взаимодействие, а не противодействие: главное о Purple Teaming

Взаимодействие, а не противодействие: главное о Purple Teaming

Purple Teaming представляет собой комбинированный подход к последовательной симуляции методов реальных злоумышленников на основе матрицы MITRE и модели угроз конкретной организации, а также созданию новых и проверке эффективности существующих контролей информационной безопасности и компенсирующих мер для противодействия атакующим на каждом этапе cyber kill chain.

image

Термин Purple Teaming ярко отражает суть проводимых работ, основным требованием для которых является необходимость обеспечить эффективное взаимодействие защитников Blue Team и атакующей команды Red Team. Основная часть этой терминологии позаимствована из лексики американских военных конца прошлого века. У них красными и синими повязками идентифицировались разные команды при проведении тактических учений. А определение фиолетовой команды появилось значительно позднее в отрасли информационной безопасности и стало использоваться для обозначения синергии при взаимодействии красной и синей команды.

Целью проведения работ является проверка способности Blue Team обнаруживать атаки с минимальноӗ задержкой̆ по времени, эффективно реагировать и противодействовать реальным злоумышленникам. В ходе работ специалистами атакующей команды последовательно отрабатываются все публично известные тактики, техники и процедуры злоумышленников (TTP – tactics, techniques, and procedures).

Основными задачами проекта Purple Teaming являются:

  1. Формирование и актуализация модели угроз, согласование и утверждение ключевых бизнес-рисков на основе модели угроз;
  2. Планирование, подготовка и согласование сценариев и векторов реализации бизнес-рисков на основе модели угроз и матрицы MITRE;
  3. Поэтапная реализация согласованных сценариев в тесном взаимодействии со специалистами подразделений SOC;
  4. Оценка эффективности работы подразделений SOC относительно инструментов мониторинга, механизмов и методик обнаружения и процессов реагирования на каждом из этапов реализации сценариев;
  5. Подготовка рекомендаций по повышению эффективности работы подразделений SOC, реализации комплексных мер проактивной защиты и противодействия, снижению времени обнаружения и реагирования.

На всех этапах проведения Purple Teaming максимально подробно документируется процесс проведения атак и стоит задача рассказать обороняющейся стороне о допущенных ошибках и способах их избежать в будущем.

Таким образом, защитники создают правила для обеспечения полного покрытия мониторингом всех публично известных тактик злоумышленников и отрабатывает на практике методы реагирования на подобные атаки. При этом в каждой̆ из итераций проекта навыки и знания участников Blue Team повышаются, этот фактор объединяет данный вид работы с концепцией киберучений.

При этом не стоит путать Purple Teaming и киберучения. Ключевое различие между ними в том, что киберучения – это тренировка на «лабораторной» инфраструктуре, приближенной к реальной, а Purple Teaming проводится на «боевой» инфраструктуре и учитывает особенности конфигурации защитных решений и конкретных инструментов Blue Team.

По итогам тестирования Purple Team заказчик получает объективную информацию о состоянии уровня информационной безопасности, а именно какие действия атакующих видны службам ИБ и при каких условиях, а какие из этих действий остаются незамеченными и могут привести к развитию атаки и реализации недопустимых событий.

Также заказчику предоставляются практические рекомендации по повышению качества противодействия злоумышленникам, уменьшению времени на обнаружение и реагирование, настройке и расширению скоупа систем защиты информации.

Purple Teaming – услуга, очень мало представленная на российском рынке кибербезопасности. При этом на нее есть входящий запрос рынка, особенно со стороны компаний, у которых кибербезопасность находится на высоком уровне зрелости. Это связано с тем, что Purple Teaming обеспечивает ряд возможностей, которых не дают стандартное тестирование на проникновение или даже Red Teaming.

При проведении Red Teaming основная задача «красной» команды – достичь цели, оставаясь незамеченными. Поскольку атакующие действуют максимально скрытно, это, в отличие от Purple Teaming, ограничивает число сценариев взлома, доступных для проверки, и следовательно – число сценариев реагирования, которые могут быть оптимизированы по итогам тестирования.

Если Red Teaming позволяет дать ситуативную практическую оценку уровня защищенности компании, то Purple Teaming позволяет не только дать более полную и комплексную оценку, но и помогает повысить качество реагирования на кибератаки, расширить спектр инцидентов, покрываемых мониторингом, выявлять цепочки kill chain.

Это достигается, прежде всего, за счет самой коллаборация защитников и атакующих. Вместо того чтобы работать независимо, «красная» и «синяя» команды сотрудничают, обмениваясь информацией в режиме реального времени. Благодаря этому они дополняют экспертизу друг друга, что повышает эффективность мероприятий по обнаружению инцидентов и мер по их устранению.

Кроме того, взаимодействие и обмен опытом между «красной» и «синей» командами позволяет повысить квалификацию и знания участников с обеих сторон. Это, в свою очередь, позволяет усовершенствовать плейбуки и способствует тому, что в дальнейшем служба информационной заказчика будет противодействовать быстрее противодействовать реальным атакам и анализировать инциденты.

В ходе Purple Teaming команда атакующих может имитировать действия реальной группировки, специализирующейся на атаках на конкретную отрасль. Благодаря этому компания может проверить свою устойчивость к реальным угрозам, которые релевантны именно для нее, сфокусировать на выявлении и защите от техник, тактик и инструментов, используемых действующими хакерскими группировками.

Также совместная работа позволяет оптимизировать ресурсы команд в ходе проекта. Это позволяет сократить время и затраты заказчика на совершенствование уровня информационной безопасности.

Это и обуславливает рост интереса к Purple Teaming: сегодня это наиболее эффективный подход к повышению уровня эффективности работы мониторинга и противодействия кибератакам. Он позволяет компаниям быстрее обнаружить и устранить недостатки контролей информационной безопасности, а также улучшать навыки и знания своих специалистов подразделений киберзащиты.

Автор: Вадим Шелест, ведущий эксперт отдела анализа защищенности компании МТС RED

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться