СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
Инфосистемы Джет
17.10.2022
#Dev#ИБ

Purple Teaming: единство и борьба противоположностей

Purple Teaming: единство и борьба противоположностей

Один из трех законов диалектики заключается в единстве и борьбе противоположностей, что является источником развития любой системы. Этот закон выдвинул Ф. Гегель еще в XIX веке.

Удивительно, но этот закон применим и к совершенствованию современных систем информационной безопасности. Именно коллаборация таких противоположностей, как «нападающие» (Red Team) и «защитники» (Blue Team), способна к качественному развитию системы ИБ в организации.

Purple Team = Red Team + Blue Team

Purple Teaming — это совместная работа специалистов по нападению (Red Team) и защите (Blue Team), которая позволяет прокачивать навыки обеих команд. Blue Team тренируется детектировать атаки Red Team, получая от них исчерпывающую информацию о том, когда и как использовалась та или иная техника, а Red Team ищет новые способы и техники для проникновения и уклонения от обнаружения. При этом устраняются обнаруженные недостатки безопасности, а SIEM наполняется новыми правилами детектирования.

Такой процесс позволяет проверить готовность SOC к отражению реальных атак и найти несовершенства в существующих правилах, процессах и процедурах реагирования. Это своего рода киберучения, только не на платформе для тренировок, а в рамках собственной инфраструктуры.

В этой статье мы обсудим:

  • Зачем проводить Purple Teaming?
  • Почему популярность таких проектов возрастает?
  • Общую схему проведения проекта Purple Teaming
  • Сравнение Red Teaming и пентеста

Зачем проводить Purple Teaming?

Если рассмотреть Cyber Kill Chain (последовательность шагов злоумышленника при незаконном проникновении в информационную систему), то можно заметить, что практически каждая стадия атаки компенсируется определенными средствами защиты. Каждое из них должно генерировать события ИБ, которые потом коррелируются по правилам и попадают в SIEM, а значит, ни один шаг атакующего не должен остаться незамеченным.

Но даже если у вас построен SOC, используются современные СЗИ, настроены правила в SIEM, это не гарантирует, что любая сложная атака будет обнаружена на ранней стадии.

По нашему опыту проведения пентестов и Red Teaming, а также по опыту расследования настоящих инцидентов реальность часто выглядит иначе. И причины этому могут быть разные, связанные как с человеческим фактором, так и с техническими тонкостями.

На пентестах обычно не оказывается противодействие командой SOC, пентестерам не нужно скрываться, использовать техники скрытной передачи информации наружу, потому что главная задача — найти максимум уязвимостей. Red Team, как правило, во время активной фазы использует только определенные высокоэффективные техники, чтобы не быть обнаруженными.

При этом большая часть техник, пусть «заезженных» и «шумных», но которые все еще продолжают использоваться APT-группами, не проверяются. Это может привести к тому, что SOC, научившись детектировать самые новые техники, пропустит что-нибудь из старого. Другая проблема, связанная с Red Teaming — это отсутствие проработки техник на всех звеньях Kill Chain в случае обнаружения. Если Red Team «застрял» на каком-нибудь этапе или был обнаружен, то и SOC не сможет проверить свои возможности в детектировании техник на следующих этапах. Выходит, что Red Teaming позволяет SOC’у оценить свои возможности не в полном объеме и конкретно в текущих условиях.

Но условия постоянно меняются: может появиться новая 0-day уязвимость с готовым эксплойтом или новая техника, которая позволит обойти барьер и пройти дальше. Кроме того, реальные злоумышленники в случае необходимости могут использовать «нечестные» с точки зрения Red Team приемы, например, подкупить персонал. Будет ли готов SOC задетектировать атакующего после преодоления барьера?

Purple Teaming решает эти задачи, т. к. объединяет в себе действия и опыт Red и Blue Team.

Purple Team — это не отдельная команда, а именно коллаборация двух команд.

Проведение Purple Teaming позволит не только оценить, как хорошо защищена компания с точки зрения технологий, но и ответить на вопросы о том, насколько грамотно они используются, насколько хорошо настроены и налажены процессы по реагированию на угрозы, достаточно ли компетенций у персонала по ИБ?

Например, у нас был случай, когда в SIEM инцидент не появился, хотя правило было написано, в коллекторе и на атакованном хосте в журнале событие отображалось. Но все уперлось в лицензионные ограничения вендора SIEM, связанные с количеством обрабатываемых событий в секунду. При превышении ограничения SIEM просто-напросто удаляла новые события!

К сожалению, обнаружить подобные проблемы на пентесте или Red Teaming не всегда удается, ведь они для этого не предназначены.

Наверное, каждый директор по информационной безопасности задавал себе подобные вопросы.

Проведение Purple Teaming позволяет:

  • Оценить корректность настроек, используемых СЗИ
  • Протестировать процессы и процедуры реагирования
  • Провести имитацию целевых атак, максимально приближенных к реальным
  • Протестировать техники, с которыми SOC еще не сталкивался
  • Обнаружить неработающие или неправильно настроенные правила выявления инцидентов, неподключенных источников событий и сетевых сегментов, ограничений лицензии софта
  • Провести тренировку навыков специалистов по защите
  • Получить четкий план дальнейших шагов относительно того, что нужно изменить/исправить/доработать

Почему возрастает популярность Purple Teaming?

Оценить защищенность инфраструктуры на практике можно по-разному: от сканирования уязвимостей до имитации целенаправленных атак. По мере повышения зрелости компании в вопросах информационной безопасности инструменты оценки становятся все более сложными и комплексными.

Purple Teaming включает в себя все нижестоящие уровни. Получается, что до Purple Teaming нужно «дорасти», ведь есть смысл проводить его, только если на регулярной основе производится сканирование уязвимостей и анализ конфигураций, проводятся периодические пентесты и внедряются рекомендации по их результатам. Кроме того, в компании должен быть и собственный Security Operation Centre (SOC), который непрерывно мониторит все, что происходит на периметре и внутри защищаемых сегментов.

Все больше компаний сейчас достигают того уровня зрелости в вопросах ИБ, когда проведение Purple Team становится оправданной и необходимой мерой для дальнейшего совершенствования системы информационной безопасности.

Как проводится Purple Teaming?

Жизненный цикл Purple Teaming проекта включает следующие основные этапы (в зависимости от особенностей компании и поставленных задач этапы могут отличаться).

1. Оценка угроз

На этом этапе формируется предварительная картина целевого объекта и его слабых мест с точки зрения атакующего. Составляется профиль потенциального злоумышленника для Red Team. Также Blue Team проводит экспресс-аудит настроек правил выявления инцидентов, чтобы понимать, какие правила могут сработать во время атак.

2. Планирование и подготовка

Определяются «точки входа» для атак, сетевые сегменты. Устанавливаются границы проекта — что точно не нужно трогать. Определяются допустимые и недопустимые риски при проведении атак.

Результат этого этапа — окончательный сценарий проведения атаки.
В случае привлечения подрядчика на проект происходит также подписание необходимых соглашений, предоставление доступов.

3. Проведение цепочки атаки/ Мониторинг и реагирование

Red Team эмулирует атаки согласно сценарию, фиксируя время запуска каждого шага атаки и результаты:

  • Какие атаки прошли успешно?
  • Какие данные удалось получить?
  • Срабатывали ли СЗИ?
  • Удалось ли обеспечить C&C-канал?

Параллельно с проведением атаки специалисты Blue Team осуществляют мониторинг и реагирование. По итогу проведенной атаки Red Team предоставляет Blue Team таймлайн всех своих действий и результаты для анализа.

4. Анализ инцидента

Blue Team анализирует таймлайн атак, проверяет наличие событий, которые попали в мониторинг.
На этом этапе определяются:

  • Успешно обнаруженные/заблокированные атаки
  • Необнаруженные инциденты
  • Наличие событий в сборщиках логов
  • Сработавшие правила выявления инцидентов.

5. Рекомендации

Формируется комплексный отчет, включающий:

  • Подробное описание проведенных атак
  • Обнаруженные уязвимости
  • Недостатки конфигураций СЗИ
  • Новые правила детектирования атак, которые необходимо добавить
  • Настройки СЗИ, требующие корректировок
  • Необходимые донастройки аудита
  • Таймлайн, статистику и прогресс атак
  • Матрицу heat map MITRE ATT&CK — цветовую визуализацию протестированных техник в сопоставлении с эффективностью защиты на матрице MITRE ATT&CK

6. Харденинг и ретест (при необходимости)

Специалисты службы ИБ на основании рекомендаций отчета Purple Team вносят изменения в инфраструктуру, системы мониторинга и защиты. По результатам внесенных изменений может быть проведен повторный запуск атак, чтобы проверить корректность настроек.

Таким образом, каждый цикл Purple Teaming приводит к совершенствованию существующей системы безопасности.

Сравнение Purple Teaming c Red Teaming и пентестом

Тестирование на проникновение Red TeamingPurple Teaming
Основная цельОпределить техническую возможность проникновенияОценить эффективность работы команды SOC в противодействии целенаправленным атакамТренировка команды SOC и улучшение процессов и технологий для повышения устойчивости к актуальным угрозам ИБ
Границы работОпределенные системы, приложения, сегменты, время работОтсутствуют. Используются все доступные возможности для достижения целиОпределены сценариями, разработанными в соответствии с моделью угроз для конкретного заказчика
Инструменты и методологияПредопределенный набор инструментов нападенияИспользуется комплексный подход, имитирующий действия реального злоумышленника, включая атаки на физическую безопасность периметра, установку аппаратных имплантов, атаки на беспроводные технологии, социальную инженерию и другие методыИспользуются инструменты и подходы команд Red Team и Blue Team в тесном взаимодействии
ОткрытостьРаботы проводятся открыто, активное противодействие не оказываетсяBlue Team не предупреждается о проводимых работах, поэтому реагирует так, как если бы это была настоящая атака. Это обеспечивает более точную оценку ИБRed Team предоставляет Blue Team таймлайн и все детали атак для анализа систем мониторинга и выявления недостатков
Длительность1–4 неделиОт 3 месяцев1–3 месяца

В важности проведения учебной пожарной тревоги уже никого не нужно убеждать — это необходимость. Проект Purple Teaming стоит воспринимать так же: это «учебная» тревога, о которой безопасники SOC предупреждены заранее. По результатам такой тревоги можно понять, насколько ваша компания готова к реальной опасности и над чем еще нужно поработать.

Источник иллюстраций – «Инфосистемы Джет»

Авторы:

Валерия Суворова, эксперт центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет»

Сергей Ненахов, эксперт группы практического анализа защищенности «Инфосистемы Джет»

Инфосистемы Джет
Автор: Инфосистемы Джет
«Инфосистемы Джет» — инновационная ИТ-компания, работающая на рынке более 28 лет. Надежный технологический партнер крупнейших компаний в России, который создает вместе с ними комплексные цифровые проекты. Входит в ТОП-10 крупнейших поставщиков ИТ-услуг России, №1 на рынке ИТ-аутсорсинга в России, №2 среди крупнейших поставщиков в области комплексных проектов построения инфраструктуры ЦОД, ТОП-3 крупнейших интеграторов России в сфере защиты информации.
Комментарии: