Red Team και Blue Team στην υπηρεσία του Cyber Security

Η ραγδαία υιοθέτηση του digitization εισήγαγε νέες προκλήσεις στην τομέα της ασφάλειας πληροφοριών και ανάγκασε τις σύγχρονες επιχειρήσεις να ανταποκριθούν εισάγοντας νέες έννοιες όπως είναι η Red Team και η Blue Team.

Παναγιώτης Γεωργίου
Information Security Specialist
Space Hellas – www.space.gr

Τα άμεσα αποτελέσματα και ο χρόνος go-to-market, είναι τα βασικά κίνητρα και οι παράγοντες που συχνά αγνοούν τον σχεδιασμό με γνώμονα την ασφάλεια, o οποίος απαιτείται για μακροχρόνια απόδοση και σταθερότητα. Με την αύξηση των cybersecurity breaches, τα νέα κανονιστικά πλαίσια και τις επιθέσεις ransomware, η απαίτηση για security assessment και defensive measures είναι πλέον mainstream.

Οι σύγχρονες επιθέσεις έχουν ποικίλα κίνητρα και εκτελούνται από ανθρώπους και κερδοσκοπικές ομάδες οργανωμένου εγκλήματος, έως και hacktivists που επιδιώκουν να βάλλουν τις οργανώσεις που θεωρούν ότι είναι ανήθικες ή αντίθετες στο δημόσιο συμφέρον. Ανεξαρτήτως κίνητρου και επιτιθέμενου, ένας μεγάλος αριθμός επιθέσεων οργανώνονται και εκτελούνται πλέον από εξειδικευμένα άτομα, με εκτενή χρηματοδότηση και σχέδιο επανεπένδυσης των παράνομων κερδών σε νέα τεχνολογία και τεχνογνωσία.

To νέο landscape έσπρωξε τους οργανισμούς σε αγώνα συνεχής βελτίωσης και αλλαγής νοοτροπίας γιατί το σχέδιο και η πολιτική για το Cybersecurity είτε δε λάμβανε την υποστήριξη που απαιτούσε από το C-level ή απλώς δεν ήταν επαρκές.

Η κατάσταση αυτή οδήγησε σε δύο πολύ σημαντικές έννοιες στο Cybersecurity, η Red Team και η Blue Team.

Red Team

Είναι σημαντικό τα μέτρα ασφαλείας να ελέγχονται σε τακτική βάση. Η ομάδα που εκτελεί μία διαδικασία ελέγχου με τη χρήση επιθετικών μέτρων ονομάζεται Red Team. Μπορεί να χαρακτηριστεί ως μία υπηρεσία η οποία προσφέρει μία εξωτερική οντότητα/συνεργάτης που έχει κληθεί να ελέγξει την αποτελεσματικότητα του Cybersecurity plan του οργανισμού. Αυτό επιτυγχάνεται με την εξομοίωση των συμπεριφορών και των τεχνικών πραγματικού κακόβουλου επιτιθέμενου (malicious threat actor – ΜΤΑ) με τον πλέον ρεαλιστικό τρόπο. Η πρακτική είναι παρόμοια, αλλά όχι ίδια, με το Penetration Test και περιλαμβάνει την επιδίωξη συγκεκριμένων στόχων.

Blue Team

Το Blue Team αναφέρεται στην ομάδα ασφάλειας που υπερασπίζεται τον οργανισμό τόσο από πραγματικούς επιτιθέμενους όσο και από Red Teams. Διαφέρει από την ομάδα διαχείρισης των μέτρων ασφαλείας (πχ NGFW, Endpoint Protection, DLP, Antispam, Secure Web Gateway κ.α.) καθώς διαθέτει εξιδεικευμένα εργαλεία και τεχνογνωσία Incident detection & response, network & system architecture, event & log monitoring, OS hardening, configuration management, patching και πολλά άλλα. Οργανώνεται σε Network & Security Operation Centers (NOC & SOC) με SLAs και κατάλληλες διαδικασίες για να αποτελέσει τον κύριο και βασικό κορμό άμυνας ενός οργανισμού σε επιθέσεις Cybersecurity.

Τι είναι το Purple Team και τι προσφέρει;

Ως Purple Team μπορεί να χαρακτηριστεί η Blue Team που εκπαιδεύεται συνεχώς σε συνεργασία με τη Red Team και ασκεί τις τεχνικές της. Όσο περισσότερες γνώσεις αποκτά για τις επιθέσεις που μπορεί να δεχτεί  και δέχεται η υποδομή της, τόσο καλύτερα μπορεί να την υπερασπιστεί.

H Red Team διεξάγει Security Assessments βασισμένα σε στόχους που μιμούνται γνωστές και ποσοτικοποιήσιμες απειλές. Στο πλαίσιο αυτής της διαδικασίας ασκεί τις Τακτικές, Τεχνικές και Διαδικασίες (Tactics, Techniques and Procedures, TTPs) ενός ΜΤΑ. Η Blue Team πρέπει  να εκπαιδεύεται σε αυτά τα TTPs και να ρυθμίζει την ικανότητα ανίχνευσης και απόκρισης της σύμφωνα με αυτές τις γνωστές προσεγγίσεις.

Ένας από τους τελικούς στόχους της Red Team αλλά και ενός ΜΤΑ είναι το privilege escalation και το data exfiltration. Η Blue Team πρέπει να διαθέτει εργαλεία και τεχνικές, οι οποίες θα ανιχνεύουν αυτές τις επιθέσεις αλλά και θα επιτρέπουν να ανταποκριθεί στην επίθεση και να αποτρέψει την Red Team ή/και τον ΜΤΑ από την επίτευξη των στόχων του.

Τα εργαλεία αυτής της ομάδας περιλαμβάνουν τα τυπικά όπως Security Information & Event management (SIEM) και Anti-Virus αλλά και User & Network Behavior Analytics (UNBA) και Endpoint Detection & Response (EDR). Εμπλουτίζονται όμως με εξιδεικευμένα εργαλεία όπως Vulnerability Management, Penetration Testing, Web Application Auditing, Malware analysis και Incident Detection & Response (IDR). Έτσι μπορεί να εισάγει νέες διαδικασίες όπως AV evasion και DDoS test χωρίς να περιμένει τα ετήσια audit.

Η Purple Team εκπαιδεύεται στα εργαλεία και τις τεχνικές της με σκοπό να έχει μία σφαιρική άποψη των κυβερνοεπιθέσεων και της νοοτροπίας του ΜΤΑ. Δημιουργώντας ένα σχήμα όπου η Blue Team έχει νοοτροπία Red Team, ο οργανισμός μπορεί να επωφεληθεί από πολύ πιο προσαρμοσμένη και πραγματική αξιοπιστία. Η Purple Team θα είναι σε θέση να μετρήσει τις ικανότητες ανίχνευσης και απόκρισης της με τρόπο που θα είναι περισσότερο ευθυγραμμισμένος με τις πραγματικές απειλές.

Space Hellas Cybersecurity Services

H Space Hellas διαθέτει κορυφαία τεχνογνωσία στην τεχνολογία ασφάλειας πληροφοριών με εξιδεικευμένους cybersecurity consultants και analysts. Ενοποιεί στην πράξη την τεχνογνωσία των Red και Blue Team, κρατώντας το know-how ολοκληρωμένο και ακέραιο, μακριά από οργανωτικά στεγανά. Μπορεί έτσι να δίνει συνεχόμενα την ανώτερη αξία του Purple Teaming, αλλά και να εκτελεί προγραμματισμένα tabletop και war game exercises.

Η Space Hellas παρέχει Cybersecurity Services που περιλαμβάνουν:

• Professional Services
• Vulnerability Assessment
• Penetration Test
• Phishing Readiness and Security Awareness Technical Audit
• Cybersecurity consulting, architecting & roadmapping
• Compliance Audit and Remediation
• Digital Forensics
• OS & Service Hardening

Επιπροσθέτως, η Space Hellas διαθέτει κορυφαία τεχνογνωσία στην τεχνολογία ασφάλειας πληροφοριών με εξιδεικευμένο προσωπικό που σχεδιάζει και υλοποιεί εξελιγμένες λύσεις, οι οποίες προσαρμόζονται στις ανάγκες του πελάτη και μπορεί να προτείνει διαρκώς τεχνικές λύσεις βελτίωσης, ως ο σύμβουλος που προστατεύει και υποστηρίζει τον οργανισμό, βοηθώντας τον επιπλέον στην ικανοποίηση κανονιστικών πλαισίων.