Cервисы
Managed IT
Решения
Security
Импортозамещение
О компании

Red Team и Blue Team: чем занимаются, что должны уметь и зачем нужны бизнесу

Внутри департамента информационной безопасности сотрудники обычно делятся на две команды: blue и red team. Задача blue team — защищать ИТ-инфраструктуру компании и предотвращать инциденты ИБ, задача red team — имитировать действия киберпреступников и находить уязвимости в системе.

В этом материале специалисты ITGLOBAL.COM Security рассказали, чем занимаются blue и red team, что они должны уметь и где могут оттачивать свои навыки.

Blue team

Blue team — это команда защиты информационной безопасности. Чаще всего это аналитики и инженеры внутреннего SOC компании или сторонней организации, которая предоставляет свои услуги на аутсорсе.

Например, специалисты ITGLOBAL.COM Security в SOC занимаются мониторингом событий безопасности в информационной инфраструктуре своих клиентов и реагируют на инциденты ИБ в режиме реального времени.

Если система фиксирует множество событий о неправильном вводе пароля за короткий промежуток времени, то скорее всего это не пользователь забыл свой пароль, а киберпреступник пытается его подобрать. Поэтому специалист SOC может заблокировать учетную запись пользователя или сообщить информацию администратору, чтобы он разобрался в ситуации и предпринял меры.

В процессе своей работы blue team:

В идеале специалисты blue team компании знают все об ИТ-архитектуре, аналитике и инцидентах ИБ. В реальности отдел состоит из нескольких сотрудников, и у каждого обычно есть своя специализация: один следит за аномалиями в панели управления системы, другой разрабатывает правила корреляции и анализирует данные, третий расследует инциденты (форензика, киберкриминалистика).

Базово все участники blue team:

В своей работе «синие» используют много средств защиты информации (СЗИ): антивирусы, DLP-системы, системы мониторинга, SIEM и SOAR-решения, которые помогают из множества событий ИБ в различных системах выявлять и реагировать на атаки.

Red team

Red Team — это команда нападения, ее участники организуют кибератаки на ИТ-инфраструктуру компании, чтобы выявить ее слабые места. Это могут быть атаки для получения доступа или повышения привилегий в системе, атаки для отказа в обслуживании (DoS и DDoS), с целью кражи или компрометации конфиденциальной информации.

Команда красных может преследовать как корыстные (Black hats), так и благородные цели (White hats).

Black hats — киберпреступники, которые действуют ради финансовой выгоды, мести или интереса. Они находят уязвимости в ИТ-инфраструктуре компании, чтобы украсть пароли или номера банковских карт, заразить файлы или парализовать работу всего бизнеса. Все эти действия незаконные, поэтому злоумышленникам грозят штрафы и даже лишение свободы.

White hats — специалисты по информационной безопасности, чаще всего пентестеры, которые действуют в интересах компании. Специалисты могут быть как в штате, так и на аутсорсе. Они тестируют ИТ-инфраструктуру на уязвимости, находят слабые места и формируют отчет с рекомендациями, как улучшить процессы ИБ, чтобы минимизировать риски кражи данных, утечки информации и кибератак.

Red Team немного отличается от стандартного проекта по пентесту. При Red Team происходит «захват флага» т.е. достижение поставленной цели. Например, специалисты получают доступ к защищаемым корпоративным данным или доступ к какой-то конкретной системе. Цель стандартного проекта по пентесту — найти максимальное количество возможных уязвимостей.

В процессе своей работы red team:

«Красные», как и «синие», должны знать все об архитектуре, векторах атак и видах уязвимостей. Они должны уметь анализировать большой пул информации, быть в курсе всех новостей про слабые места систем и вариантах их использования.

Базово все участники red team:

В своей работе «красные» используют много инструментов: ПО для получения учетных записей, сканеры уязвимости и анализа уязвимости, анализ веб-уязвимостей, brute-пароли и т.д. Например, Metasploit, Burp Suite, John the ripper, Nmap, Kali Linux и т.д.

Соревнования Blue team vs Red team

Проверить свои силы red team могут на киберполигонах. Чаще всего это онлайн-платформы, где специалисты могут исследовать копии ИТ-систем из разных отраслей, тренироваться находить уязвимости и наносить киберудары по ИТ-инфраструктуре.

Есть платформы, например Bug Bounty, где крупные бренды назначают вознаграждение для хакеров, если они найдут уязвимость в их инфраструктуре. Сумма может быть различная, от 60 000-100 000 рублей до бесконечности.

В России раз в год проходит масштабное оффлайн-соревнование Standoff, в них участвуют как blue team, так и red team. В 2022 году на Standoff построили город в миниатюре с банками, заводами, ТЭЦ. На реальном оборудовании сделали копии инфраструктур и заложили уязвимости. Задача «красных» — найти слабые места в ИТ-инфраструктурах, а «синих» — обнаружить атаки «красных» и собрать все инциденты.

Победителей blue team определяют по количеству зафиксированных и расследованных инцидентов и времени, которое они потратили на это. Лучших из red team определяют по количеству недопустимых событий, которые они смогли организовать. Организаторы Standoff награждают их кубками, медалями и призами от спонсоров мероприятия.

SOC и пентест ITGLOBAL.COM Security

В ITGLOBAL.COM Security тоже есть такие направления как blue и red team. Инфраструктуру клиентов защищают «синие», а «красные» помогают узнать об уязвимостях системы.

Blue team в ITGLOBAL.COM Security — это команда специалистов SOC, в которую входит менеджер услуги SOC, сервисный инженер, инженер SIEM-систем и аналитики первого, второго и третьего уровня. Они мониторят события ИБ, предотвращают взломы и утечки и реагируют на инциденты в режиме реального времени.

Red team в ITGLOBAL.COM Security — это команда пентестеров, специалисты которой имитируют целевые кибератаки злоумышленников, чтобы найти уязвимости в защите корпоративной сети и элементах сетевой инфраструктуры компании и дать бизнесу рекомендации, как их устранить.

Благодаря передаче всесторонней защиты ИБ на аутсорс, бизнес может развивать новые проекты и продукты и не переживать, что есть риски утечки конфиденциальной информации, кибератак, мошеннических схем и взлома ИТ-инфраструктуры.