Краткий конспект выступления Вячеслава Васина на интенсиве для CISO Код ИБ Профи
Вячеслав Васин
Главный консультант по информационной безопасности отдела аудита и консалтинга в Group-IB
Виды работ по практической безопасности:
● Аудит конфигураций
● Сканирование уязвимостей
● Анализ защищенности
● Тестирование на проникновение
● Имитация целевых атак (Red/Purple Teaming)
Важно помнить, что параллельно необходимо развивать не только технологическую часть, но и компетенции людей, а также соответствующие процессы. По мере повышения уровня зрелости двигайтесь к процессам по реагированию на инциденты ИБ.
Как получить все полезное от пост анализа реального инцидента, но на самом деле не быть взломанным (никто не хочет нести убытки)?
Нужна имитация целевых атак (Red/Purple Teaming)!Зачем имитировать целевые атаки?
Для автоматизации процессов, проверки и надежного определения техник и тактик,
обычно используемых злоумышленниками.
Red Team
Атакующая команда, которая использует различные подходящие тактики и техники для симуляции возможных угроз и
обеспечения наступательной безопасности. Основная задача скрытно моделировать угрозы в отношении организации и эффективно тестировать применяемые меры защиты.
Таким образом Red Team:
● эксплуатирует уязвимости/недостатки и симулирует возможные атаки.
● улучшает обеспечение ИБ организации за счет демонстрации возможных последствий атак
● демонстрирует, что работает для защиты организации
Blue Team
Защищающаяся команда, которая обеспечивает безопасность различных активов организации в том числе и пользователей от возможных угроз. Они хорошо осведомлены о бизнес-целях и стратегии ИБ организации. Основная их задача выявлять недостатки безопасности, улучшать эффективность каждой меры защиты и обеспечивать своевременное реагирование на инциденты.
Таким образом Blue Team:
● отвечает за защиту ИС организации путем поддержания уровня защищенности
● выявляет угрозы и риски в операционной среде, анализирует инфраструктуру и ее защищенность
● предоставляет рекомендации … для повышения уровня защищенности бизнес юнитов
Red Team, Blue Team, Purple Team
Red Team: наступает; атакует; «крадет» ценные активы/ресурсы
Blue Team: защищает; блокирует; строит и
улучшает оборону
Purple Team: является коллаборацией (сотрудничество) Red Team и Blue Team:
● способствует улучшению защиты и возможности обнаружения. Основная задача состоит в том, чтобы оттачивать навыки обеих команд. Эффективна для проверки выборочных систем и сегментов в крупных организациях.Таким образом Purple Team:
● атакует, защищает, «крадет» ценные активы/ресурсы, улучшает оборону
● используются тактики Red Team и Blue Team для повышения эффективности программы улучшения уровня безопасности организации
OK, какие еще бывают команды?
● Red Team (атакует активы)
● Blue Team (защищает активы)
● Yellow Team (разрабатывает системы)
● White Team (управляет совместными операциями)
● Red Team + Blue Team = Purple Team
● Blue Team + Yellow Team = Green Team
● Red Team + Yellow Team = Orange Team
● Black Team (физические оценки безопасности)
Зачем кому-то проводить Red/Purple Teaming?
● определить, что действительно произойдет если «плохие парни» атакуют вашу организацию
Чем же может быть полезен Red/Purple Teaming?
● проверить свой текущий уровень защищенности и реагирования, но не попасть в СМИ
● выполнить реагирование на инциденты в реальном времени и точно узнать, что произошло
● учиться, адаптироваться и расти как команда за счет открытого взаимодействия/обсуждения
● проверить «detective/preventive» механизмы, а также улучшить процессы и технологии
Цели, задачи и потребности Red/Purple Team
● Имитировать целевые атаки против организации (Emulation Red Teaming)
● Получить целостное представление о защищенности организации (люди, технологии, процессы)
● Оценить способность организации реагировать на кибератаки. Проверить план эскалации SOC/IRT
● Выявить слабости/недостатки в инструментах по обеспечению безопасности:
SIEM, Threat Intel, App Whitelisting, Anti-Virus(A/V), WAF, IPS, EDR
Когда делать Purple Teaming?
● до Emulation Red Teaming ипосле Emulation Red Teaming в качестве «повторного воспроизведения»
● для обучения новых членов команды или периодического обучения определенных ролей
Когда делать Continuous Purple Teaming?
● при проверке новых тактик, техник и процедур (TTP) на основе киберразведки и анализа угроз
Необходимо утвердить упражнения, область проверок и бюджет.
● активные действия в рамках Purple Teaming могут выполняться от 2 до 4 недель
● время подготовки основывается на поставленных «целях», рекомендациях и
ограничениях, установленных ответственным менеджером и выбранными TTPТаким образом необходимо по 2-4 человека каждой команды:
● Red Team
● SOC
● Incident Response Team
Выберите и обсудите тактики, техники и процедуры (TTP):
● за несколько недель до упражнения выберите TTP в зависимости от целей
● выбранные TTP должны использоваться злоумышленниками на вашу отрасль
● используйте ATT&CK Navigator и извлеките TTP из CTI
● определите предполагаемые средства контроля для этих TTP и какие роли должны видеть их активность
● создайте таблицу, которая будет отражать ожидаемые результаты для каждой роли
Простой способ оценить, где вы сейчас:
● Атака не генерирует событий
● Атака генерирует события локально
● Атака генерирует события централизовано (без предупреждения)
● Атака вызывает предупреждение
● Атака запускает процесс реагирования на инцидент
ОК, а если нет бюджета на Red/Purple Team?
Можно использовать решения автоматизированной эмуляции нарушений и атак.
Бесплатные решения:
● Caldera
● Uber Metta
● Atomic Red Team
● APTSimulator
Платные решения:
● Cymulate
● SCYTHE
● AttackIQ
● SafeBreach
Посмотреть полную версию мастер-класса
Как оптимизировать Security Operations с помощью Red/Purple Team?
Выступление Вячеслава Васина на интенсиве для CISO Код ИБ Профи