Взаимодействие, а не противодействие: главное о Purple Teaming

Термин Purple Teaming ярко отражает суть проводимых работ, основным требованием для которых является необходимость обеспечить эффективное взаимодействие защитников Blue Team и атакующей команды Red Team. Основная часть этой терминологии позаимствована из лексики американских военных конца прошлого века. У них красными и синими повязками идентифицировались разные команды при проведении тактических учений. А определение фиолетовой команды появилось значительно позднее в отрасли информационной безопасности и стало использоваться для обозначения синергии при взаимодействии красной и синей команды.

Целью проведения работ является проверка способности Blue Team обнаруживать атаки с минимальноӗ задержкой̆ по времени, эффективно реагировать и противодействовать реальным злоумышленникам. В ходе работ специалистами атакующей команды последовательно отрабатываются все публично известные тактики, техники и процедуры злоумышленников (TTP – tactics, techniques, and procedures).

Основными задачами проекта Purple Teaming являются:

1. Формирование и актуализация модели угроз, согласование и утверждение ключевых бизнес-рисков на основе модели угроз;
2. Планирование, подготовка и согласование сценариев и векторов реализации бизнес-рисков на основе модели угроз и матрицы MITRE;
3. Поэтапная реализация согласованных сценариев в тесном взаимодействии со специалистами подразделений SOC;
4. Оценка эффективности работы подразделений SOC относительно инструментов мониторинга, механизмов и методик обнаружения и процессов реагирования на каждом из этапов реализации сценариев;
5. Подготовка рекомендаций по повышению эффективности работы подразделений SOC, реализации комплексных мер проактивной защиты и противодействия, снижению времени обнаружения и реагирования.

На всех этапах проведения Purple Teaming максимально подробно документируется процесс проведения атак и стоит задача рассказать обороняющейся стороне о допущенных ошибках и способах их избежать в будущем.

Таким образом, защитники создают правила для обеспечения полного покрытия мониторингом всех публично известных тактик злоумышленников и отрабатывает на практике методы реагирования на подобные атаки. При этом в каждой̆ из итераций проекта навыки и знания участников Blue Team повышаются, этот фактор объединяет данный вид работы с концепцией киберучений.

При этом не стоит путать Purple Teaming и киберучения. Ключевое различие между ними в том, что киберучения – это тренировка на «лабораторной» инфраструктуре, приближенной к реальной, а Purple Teaming проводится на «боевой» инфраструктуре и учитывает особенности конфигурации защитных решений и конкретных инструментов Blue Team.

По итогам тестирования Purple Team заказчик получает объективную информацию о состоянии уровня информационной безопасности, а именно какие действия атакующих видны службам ИБ и при каких условиях, а какие из этих действий остаются незамеченными и могут привести к развитию атаки и реализации недопустимых событий.

Также заказчику предоставляются практические рекомендации по повышению качества противодействия злоумышленникам, уменьшению времени на обнаружение и реагирование, настройке и расширению скоупа систем защиты информации.

Purple Teaming – услуга, очень мало представленная на российском рынке кибербезопасности. При этом на нее есть входящий запрос рынка, особенно со стороны компаний, у которых кибербезопасность находится на высоком уровне зрелости. Это связано с тем, что Purple Teaming обеспечивает ряд возможностей, которых не дают стандартное тестирование на проникновение или даже Red Teaming.

При проведении Red Teaming основная задача «красной» команды – достичь цели, оставаясь незамеченными. Поскольку атакующие действуют максимально скрытно, это, в отличие от Purple Teaming, ограничивает число сценариев взлома, доступных для проверки, и следовательно – число сценариев реагирования, которые могут быть оптимизированы по итогам тестирования.

Если Red Teaming позволяет дать ситуативную практическую оценку уровня защищенности компании, то Purple Teaming позволяет не только дать более полную и комплексную оценку, но и помогает повысить качество реагирования на кибератаки, расширить спектр инцидентов, покрываемых мониторингом, выявлять цепочки kill chain.

Это достигается, прежде всего, за счет самой коллаборация защитников и атакующих. Вместо того чтобы работать независимо, «красная» и «синяя» команды сотрудничают, обмениваясь информацией в режиме реального времени. Благодаря этому они дополняют экспертизу друг друга, что повышает эффективность мероприятий по обнаружению инцидентов и мер по их устранению.

Кроме того, взаимодействие и обмен опытом между «красной» и «синей» командами позволяет повысить квалификацию и знания участников с обеих сторон. Это, в свою очередь, позволяет усовершенствовать плейбуки и способствует тому, что в дальнейшем служба информационной заказчика будет противодействовать быстрее противодействовать реальным атакам и анализировать инциденты.

В ходе Purple Teaming команда атакующих может имитировать действия реальной группировки, специализирующейся на атаках на конкретную отрасль. Благодаря этому компания может проверить свою устойчивость к реальным угрозам, которые релевантны именно для нее, сфокусировать на выявлении и защите от техник, тактик и инструментов, используемых действующими хакерскими группировками.

Также совместная работа позволяет оптимизировать ресурсы команд в ходе проекта. Это позволяет сократить время и затраты заказчика на совершенствование уровня информационной безопасности.

Это и обуславливает рост интереса к Purple Teaming: сегодня это наиболее эффективный подход к повышению уровня эффективности работы мониторинга и противодействия кибератакам. Он позволяет компаниям быстрее обнаружить и устранить недостатки контролей информационной безопасности, а также улучшать навыки и знания своих специалистов подразделений киберзащиты.

Автор: Вадим Шелест, ведущий эксперт отдела анализа защищенности компании МТС RED