Red Team и Blue Team: чем занимаются, что должны уметь и зачем нужны бизнесу
Внутри департамента информационной безопасности сотрудники обычно делятся на две команды: blue и red team. Задача blue team — защищать ИТ-инфраструктуру компании и предотвращать инциденты ИБ, задача red team — имитировать действия киберпреступников и находить уязвимости в системе.
В этом материале специалисты ITGLOBAL.COM Security рассказали, чем занимаются blue и red team, что они должны уметь и где могут оттачивать свои навыки.
Blue team
Blue team — это команда защиты информационной безопасности. Чаще всего это аналитики и инженеры внутреннего SOC компании или сторонней организации, которая предоставляет свои услуги на аутсорсе.
Например, специалисты ITGLOBAL.COM Security в SOC занимаются мониторингом событий безопасности в информационной инфраструктуре своих клиентов и реагируют на инциденты ИБ в режиме реального времени.
Если система фиксирует множество событий о неправильном вводе пароля за короткий промежуток времени, то скорее всего это не пользователь забыл свой пароль, а киберпреступник пытается его подобрать. Поэтому специалист SOC может заблокировать учетную запись пользователя или сообщить информацию администратору, чтобы он разобрался в ситуации и предпринял меры.
В процессе своей работы blue team:
- выстраивают систему и процессы ИБ;
- отслеживают подозрительную активность;
- выявляют инциденты ИБ;
- реагируют на инциденты ИБ;
- оформляют паспорт инцидента, если он уже произошел;
- передают информацию офицеру по киберкриминалистике;
- анализируют инцидент, чтобы предотвратить его в будущем.
В идеале специалисты blue team компании знают все об ИТ-архитектуре, аналитике и инцидентах ИБ. В реальности отдел состоит из нескольких сотрудников, и у каждого обычно есть своя специализация: один следит за аномалиями в панели управления системы, другой разрабатывает правила корреляции и анализирует данные, третий расследует инциденты (форензика, киберкриминалистика).
Базово все участники blue team:
- знают и понимают основные векторы возможных атак, инфраструктуру компании с учетом взаимодействия всех ее ИТ-компонентов;
- знают большинство международных и национальных стандартов по ИБ ( ISO 27001, GDPR, NIST, ГОСТ Р 57580 и т.д);
- умеют анализировать огромные потоки данных и находить подозрительные закономерности;
- умеют администрировать системы и стоить системы защиты информации;
- понимают принципы основных стандартов MITRE ATT&CK и OWASP TOP 10 и логику злоумышленников, по которой может происходить «взлом».
В своей работе «синие» используют много средств защиты информации (СЗИ): антивирусы, DLP-системы, системы мониторинга, SIEM и SOAR-решения, которые помогают из множества событий ИБ в различных системах выявлять и реагировать на атаки.
Red team
Red Team — это команда нападения, ее участники организуют кибератаки на ИТ-инфраструктуру компании, чтобы выявить ее слабые места. Это могут быть атаки для получения доступа или повышения привилегий в системе, атаки для отказа в обслуживании (DoS и DDoS), с целью кражи или компрометации конфиденциальной информации.
Команда красных может преследовать как корыстные (Black hats), так и благородные цели (White hats).
Black hats — киберпреступники, которые действуют ради финансовой выгоды, мести или интереса. Они находят уязвимости в ИТ-инфраструктуре компании, чтобы украсть пароли или номера банковских карт, заразить файлы или парализовать работу всего бизнеса. Все эти действия незаконные, поэтому злоумышленникам грозят штрафы и даже лишение свободы.
White hats — специалисты по информационной безопасности, чаще всего пентестеры, которые действуют в интересах компании. Специалисты могут быть как в штате, так и на аутсорсе. Они тестируют ИТ-инфраструктуру на уязвимости, находят слабые места и формируют отчет с рекомендациями, как улучшить процессы ИБ, чтобы минимизировать риски кражи данных, утечки информации и кибератак.
Red Team немного отличается от стандартного проекта по пентесту. При Red Team происходит «захват флага» т.е. достижение поставленной цели. Например, специалисты получают доступ к защищаемым корпоративным данным или доступ к какой-то конкретной системе. Цель стандартного проекта по пентесту — найти максимальное количество возможных уязвимостей.
В процессе своей работы red team:
- собирают информацию о цели атаки;
- ищут подходящие векторы атак и уязвимостей;
- эксплуатируют уязвимости;
- формируют отчет с выявленными уязвимостями и рекомендациями, как их предотвратить в будущем.
«Красные», как и «синие», должны знать все об архитектуре, векторах атак и видах уязвимостей. Они должны уметь анализировать большой пул информации, быть в курсе всех новостей про слабые места систем и вариантах их использования.
Базово все участники red team:
- умеют ставить себя на место потенциального нарушителя, проводить разведку, получать информацию средствами социальной инженерии или фишинга;
- понимают основные векторы возможных атак, знают стандарты MITRE ATT&CK и OWASP TOP 10;
- умеют находить и эксплуатировать уязвимости, использовать не только стандартные методы атак, но и находить свои подходы;
- знают WEB-разработку, пишут эксплоиты и полезную нагрузку к ним;
- обладают навыками программирования и администрирования.
В своей работе «красные» используют много инструментов: ПО для получения учетных записей, сканеры уязвимости и анализа уязвимости, анализ веб-уязвимостей, brute-пароли и т.д. Например, Metasploit, Burp Suite, John the ripper, Nmap, Kali Linux и т.д.
Соревнования Blue team vs Red team
Проверить свои силы red team могут на киберполигонах. Чаще всего это онлайн-платформы, где специалисты могут исследовать копии ИТ-систем из разных отраслей, тренироваться находить уязвимости и наносить киберудары по ИТ-инфраструктуре.
Есть платформы, например Bug Bounty, где крупные бренды назначают вознаграждение для хакеров, если они найдут уязвимость в их инфраструктуре. Сумма может быть различная, от 60 000-100 000 рублей до бесконечности.
В России раз в год проходит масштабное оффлайн-соревнование Standoff, в них участвуют как blue team, так и red team. В 2022 году на Standoff построили город в миниатюре с банками, заводами, ТЭЦ. На реальном оборудовании сделали копии инфраструктур и заложили уязвимости. Задача «красных» — найти слабые места в ИТ-инфраструктурах, а «синих» — обнаружить атаки «красных» и собрать все инциденты.
Победителей blue team определяют по количеству зафиксированных и расследованных инцидентов и времени, которое они потратили на это. Лучших из red team определяют по количеству недопустимых событий, которые они смогли организовать. Организаторы Standoff награждают их кубками, медалями и призами от спонсоров мероприятия.
SOC и пентест ITGLOBAL.COM Security
В ITGLOBAL.COM Security тоже есть такие направления как blue и red team. Инфраструктуру клиентов защищают «синие», а «красные» помогают узнать об уязвимостях системы.
Blue team в ITGLOBAL.COM Security — это команда специалистов SOC, в которую входит менеджер услуги SOC, сервисный инженер, инженер SIEM-систем и аналитики первого, второго и третьего уровня. Они мониторят события ИБ, предотвращают взломы и утечки и реагируют на инциденты в режиме реального времени.
Red team в ITGLOBAL.COM Security — это команда пентестеров, специалисты которой имитируют целевые кибератаки злоумышленников, чтобы найти уязвимости в защите корпоративной сети и элементах сетевой инфраструктуры компании и дать бизнесу рекомендации, как их устранить.
Благодаря передаче всесторонней защиты ИБ на аутсорс, бизнес может развивать новые проекты и продукты и не переживать, что есть риски утечки конфиденциальной информации, кибератак, мошеннических схем и взлома ИТ-инфраструктуры.