[Перевод] Разница между красными, синими и фиолетовыми командами
Здравствуйте, коллеги. Напоминаем, что не так давно у нас вышли две классные классические книги о хакинге и анализе вредоносного ПО. А также на подходе великолепная книга о дистрибутиве Kali Linux. Тем не менее, мы по-прежнему полагаем, что тема компьютерной безопасности у нас охвачена не полностью и хотели бы поинтересоваться вашим мнением о книге Юрия Диогенеса и Эрдала Озкая о взаимодействии Red Team и Blue Team при проверке информационной безопасности на предприятии.
Под катом предлагаем статью, описывающие отличия в работе Красных и Синих команд и позволяющую понять, в чем заключаются обязанности Фиолетовых команд.
Кстати, рекомендуем программерскик и непрограммерские статьи в блоге сегодняшнего автора — там интересно!
В сфере информационной безопасности существует некоторая путаница в определениях Красных, Синих и Фиолетовых команд. Ниже я изложу собственную точку зрения и расскажу, какие феномены связываю с этими определениями.
Определения
Красная команда — это сторонняя организация, которой поручено проверить эффективность:
- Программы безопасности, действующей в компании. Для этого максимально реалистичным образом воспроизводятся поступки и приемы вероятного атакующего противника. Такая практика напоминает тестирование на проникновение, но не идентична ему; красная команда при работе преследует одну или несколько целей.
- Синяя команда — это внутрикорпоративная группа специалистов по обеспечению безопасности, защищающая компанию как от настоящих злоумышленников, так и от Красных Команд. Синие команды следует отличать от стандартных специалистов по компьютерной безопасности, работающих в большинстве организаций, поскольку большинство штатных специалистов по безопасности не настроены на работу в режиме постоянной вахты в ожидании атаки –, а именно в таком режиме должна действовать и относиться к ситуации настоящая Синяя Команда.
- Фиолетовые команды — это идеально избыточные группы, чья задача — обеспечить и довести до максимума эффективность работы Красных и Синих команд. Это делается путем вписывания защитных приемов и приемов Синих команд с исследованием угроз и уязвимостей, обнаруженных Красными командами в единый контекст, обеспечивающий извлечение максимальной пользы из работы обеих сторон. При правильном подходе 1 + 1 дает 3, но так и должно быть, ведь в этом и заключается смысл взаимодействия Красных и Синих команд.
Цель Красной команды — изыскать пути для улучшения работы Синей команды, поэтому Фиолетовые команды не требуются в организациях, где взаимодействие между Красными и Синими командами налажено хорошо.
Неправильное применение фиолетовых команд: аналогии
Приведу несколько наглядных аналогий, которые обычно использую, если мне рассказывают о неверном использовании фиолетовых команд: то есть, для принуждения красных команд к взаимодействию с синей.
1. Официанты, которые не приносят заказов: В одном ресторане не получается заставить официантов забирать блюда с кухни и разносить их гостям. Решение: наймем «кухонно-столовых координаторов», профессионально доставляющих заказы к столу. Когда менеджера спрашивают: зачем для этой работы были взяты на работу лишние сотрудники, а не поручили ее официантам — менеджер отвечает:
Официанты говорят, это не их работа.
2. Элитные шеф-повара, которые держат блюда на кухне: в ресторан приглашают эксперта, который должен выяснить: почему же ресторан терпит убытки, если в нем работает такой высококлассный талантливый шеф-повар. Очевидно, потому, что гости вынуждены подолгу ждать заказанных блюд, а иногда им эти блюда вообще не приносят. Явившись в кухню, контролер обнаруживает там возле духовок целые стеллажи превосходно сервированных тарелок. Он спрашивает повара, почему тот не отправил этих блюд гостям, которые их заказали, а шеф-повар отвечает:
«Я куда лучше разбираюсь в еде, чем эти тупые официанты и тупые гости. Вы знаете, сколько я учился готовить такие блюда? Даже если бы я позволил их съесть, они бы их не поняли, а я бы этого не прочувствовал. Вот и держу мои блюда здесь».
Отлично: у нас есть официанты, отказывающиеся разносить блюда на столы, и шеф-повар, не позволяющий выносить свои блюда из кухни.
Это Красная команда, отказывающаяся взаимодействовать с синей.
Если у вас возникает такая проблема, то нужно динамически исправить взаимодействие Красной и Синей команды, а не нанимать еще одну группу людей, поручая им часть работы Красных и Синих.
Концепции и философия
Красные и Синие команды идеально работают в полной гармонии друг с другом — так, как две ладони при хлопке.
Как Инь и Ян Нападения и Защиты, Красные и Синие команды полностью противоположны друг другу с тактической и поведенческой точки зрения, но именно благодаря этим различиям вместе они образуют здоровое и эффективное целое.
Красные атакуют, Синие обороняются, но основная цель у них общая: улучшить показатели безопасности в организации.
Вот некоторые распространенные проблемы, возникающие при совместной работе Красных и Синих команд:
- Красные считают себя слишком крутой элитой, чтобы делиться информацией с Синими
- Красную команду затягивают в организацию, где нейтрализуют, ограничивают и деморализуют, в результате чего ее эффективность катастрофически падает
- Красные и Синие команды не приспособлены взаимодействовать друг с другом на постоянной основе, в порядке вещей, поэтому уроки, изученные на примере соперников, фактически теряются.
- По-видимому, менеджеры по информационной безопасности не воспринимают Красные и Синие команды как участников одного и того же проекта, поэтому между ними не налажен обмен информацией, результатами измерений, практиками.
Организации, страдающие от одной или нескольких таких напастей, логично предполагают, что для решения возникших проблем им нужна Фиолетовая команда. Однако «фиолетовость» нужно понимать как функцию или концепцию, а не как отдельную команду, работающую на постоянной основе. И эта концепция заключается в сотрудничестве и взаимной пользе для обеих команд на пути к общей цели.
Пожалуй, возможна вовлеченность Фиолетовой команды в работу, когда сторонний наблюдатель анализирует, как налажено взаимодействие между вашими основными командами, Красной и Синей, и рекомендует, какие поправки внести. Возможно упражнение с участием Фиолетовой команды, когда кто-то наблюдает обе команды в реальном времени. Либо собрание с участием Фиолетовой команды, когда обе команды объединяются, обсуждают истории из практики и рассуждают о различных атаках и способах защиты от них.
Суть в следующем: нужно заставить Синюю и Красную команду сформулировать общую цель, связанную с оптимизацией работы в организации, и не привносить в эту систему лишних сущностей.
Фиолетовую команду можно сравнить с семейным консультантом. Хорошо, когда есть человек, способный наладить контакт между супругами, но ни в коем случае нельзя допускать, чтобы с какого-то момента муж и жена стали общаться только через посредника.
Резюме
- Красные команды имитируют тактику злоумышленников, чтобы найти бреши в защите той организации, на которую работают.
- Синяя команда защищается от атакующих и работают над постоянной оптимизацией защитных средств, применяемых в организации.
- Когда в компании нормально поставлена работа Красной и Синей команды, между ними налаживается регулярный обмен знаниями, постоянно идущий на пользу обоим.
- Фиолетовые команды часто используются для стимулирования непрерывной интеграции между двумя группами, и при этом не решается ключевая проблема Синих и Красных команд: затрудненный обмен информацией между ними.
- Фиолетовую команду можно концептуализировать как функцию сотрудничества или точку взаимодействия, а не как возвышенный и в идеале избыточный объект.
- В состоявшейся организации единственная цель Красной команды — повышать эффективность Синей команды, Поэтому ценность Фиолетовой команды должна естественным образом проистекать из их взаимодействия, а не навязываться специально.
Примечания
- Все эти положения применимы к любым операциям в сфере безопасности, но я в данной статье расставил акценты именно с прицелом на информационную безопасность.
- Команда «Тигр» — это феномен, напоминающий Красную команду, но не идентичный ей. В статье 1964 года «Тигр» определялся как «команда неприрученных и ничем не ограничиваемых специалистов по безопасности, отобранных за их опыт, энергию и воображение, которым поручено неуклонно отслеживать все возможные случаи отказов тех или иных подсистем космических кораблей». Сегодня этот термин и «Красная команда» используются в качестве синонимов.
- Важно, что Красная команда держит определенную дистанцию от тестируемых организаций, и именно это открывает ей нужный обзор и позволяет видеть проблему с точки зрения атакующего, которого она имитирует. Организации, формирующие Красную команду внутри, в рамках собственного отдела по безопасности, обычно (за редким исключением) постепенно лишают Красную команду авторитета, полномочий и свободы вообще, из-за чего она теряет возможность действовать как реальный злоумышленник. Со временем (бывает, что за считанные месяцы) Красные команды, которые в начале работы были настоящей элитой и работали эффективно, превращаются в скованные, закоснелые и, в конечном итоге, ни на что не способные группы.
- Фиолетовая команда не только выступает посредником, помогая организации не только наладить не вполне зрелые программы, но и приучить менеджеров к образу действий злоумышленника, который поначалу может попросту пугать специалистов многих организаций.
- Еще один аспект, из-за которого эффективность работы внутрикорпоративных Красных команд постепенно размывается — в том, что представители Красных команд обычно плохо акклиматизируются в культуре таких компаний, которые пытаются их нанять. Иными словами, в той компании, которая может позволить себе настоящую Красную команду, обычно складывается такая культура, с которой не в состоянии ужиться члены элитной Красной команды. Зачастую члены внутрикорпоративной Красной команды из-за этого сильно выгорают.
- Технически возможно добиться эффективности от внутрикорпоративной Красной команды; просто крайне маловероятно, что этот коллектив сможет оказаться защищен и сможет рассчитывать на поддержку на высоком управленческом уровне. Все это обычно приводит к разрушению, фрустрации и выгоранию.
- Распространенная ловушка, в которую попадают внутрикорпоративные Красные команды — сужение полномочий и области разрешенных действий вплоть до полной неэффективности. В этот самый момент менеджмент привлекает к работе консультантов, пользующихся полной поддержкой и выдающих на суд компании массу интересных находок. После чего начальство восклицает: «Ого! Как они круты! Ребята, а вы почему не смогли так же сделать»? Обычно после такого разговора люди отправляются на LinkedIn.
- Другие аналогии Красной команды, не готовой к сотрудничеству: профессиональные футболисты, умеющие только бить по мячу, но не способные дать пас; профессиональные клакёры, пытающиеся аплодировать одной ладонью, профессиональные аудиторы, которые не пишут отчетов, профессиональные преподаватели, не идущие на контакт со студентами. Думаю, вы меня поняли.