Полный спектр: что такое Red Team и Purple Team, и когда они нужны
Чем Red Team отличается от Purple Team с практической точки зрения, в каком порядке стоит заказывать эти услуги и какие еще бывают цвета команд.
Future Crew
Блок инноваций ПАО «МТС»
Ландшафт киберугроз постоянно трансформируется . Поэтому для эффективной защиты информационной инфраструктуры организации требуется, чтобы средства защиты, а также навыки сотрудников отделов информационной безопасности также постоянно совершенствовались.
Обе эти задачи по-своему непростые. Но вторая дополнительно усугубляется общим дефицитом кадров, который уже давно стал серьезной проблемой для российской отрасли информационной безопасности.
В ходе опроса более ста представителей российских компаний, проведенного МТС RED по итогам 2023 года, на проблему подбора подходящих защитных решений пожаловались 24% опрошенных. При этом недостаток квалифицированных специалистов по информационной безопасности отметили в 62% организаций.
В таких условиях обучение сотрудников отделов информационной безопасности становится для организаций особенно важным. Услуги Red Teaming и Purple Teaming являются одними из наиболее эффективных инструментов в этом процессе — рассмотрим их более подробно в данном материале.
CICADA8
Cервис централизованного управления уязвимостями внешнего периметра с экспертным сопровождением и возможностью отслеживания киберугроз в реальном времени
Что такое Red Teaming
Изначально методику Red Teaming начали применять в различных сферах еще во второй половине 20 века. Основная идея этого подхода состоит в том, что в ходе упражнений участники разбиваются на две команды: одна из них, "Red Team" (красная команда), имитирует атакующего, а другая, "Blue Team" (синяя команда), защищается от действий первой.
В сферу информационной безопасности Red Teaming пришел в начале 2000-х годов и теперь широко применяется для оценки устойчивости организаций к угрозам с помощью симуляции реальных кибератак.
В ходе такой симуляции команда атакующих (Red Team) ищет уязвимости в защите, изучает возможность их эксплуатации и пытается скомпрометировать информационную инфраструктуру организации. Диапазон используемых для этого инструментов очень широк: от атак на сетевую инфраструктуру и веб-приложения до социальной инженерии и физического проникновения в офис организации.
В свою очередь, команда защитников (Blue Team) старается обнаружить и отразить эти атаки, используя доступные средства мониторинга и реагирования. Результаты симуляции кибератаки помогают руководству и специалистам по безопасности лучше понимать потенциальные угрозы и разрабатывать более эффективную стратегию защиты.
Что такое Purple Teaming
Purple Teaming представляет собой усовершенствованную образовательную методику, которая направлена на повышение эффективности службы ИБ организации. Эта методика возникла примерно на десятилетие позже, чем Red Teaming.
В отличие от обычной симуляции кибератак, где "красные" и "синие" работают независимо друг от друга, Purple Teaming фокусируется на постоянном обмене информацией между этими командами. Это позволяет получать максимальную образовательную пользу от симуляции атак и защитных упражнений.
Как и в предыдущем случае, Red Team выполняет роль атакующего, применяя различные техники и стратегии для поиска слабых мест в защите организации и пытаясь компрометировать ее информационную инфраструктуру.
В свою очередь, Blue Team старается противостоять действиям атакующих, в процессе получая обратную связь от Red Team, которая помогает улучшить способы обнаружения атак и реагирования на них.
Таким образом, вместо отдельных команд атакующих и защитников получается единая команда — Purple Team, — которая сообща работает над улучшением защиты.
Каких еще цветов бывают команды
Как в Red Teaming, так и в Purple Teaming помимо "красных" и "синих" всегда участвует еще одна команда — это "белые". White Team выполняет роль наблюдателей и арбитров, отвечая за организацию, координацию и контроль всего процесса.
Уже достаточно давно в индустрии существует понимание того, что информационная безопасность в идеале должна начинаться с разработки. Поэтому выделяют еще три цветовых оттенка команд:
- Yellow Team: команда разработчиков, которых также называют "строителями". Желтая команда отвечает за безопасность при проектировании, создании и администрировании информационной инфраструктуры и приложений.
- Orange Team: представляет собой взаимодействие Yellow Team (строителей) и Red Team (атакующих). В рамках Orange Team применяется подход, аналогичный Purple Team, который направлен на улучшение навыков информационной безопасности у разработчиков.
- Green Team: похожим образом, зеленая команда объединяет разработчиков и защитников, позволяя им обмениваться знаниями и координировать действия для улучшения защиты.
Purple Teaming — обучение, Red Teaming — экзамен
Основная проблема, которую решают Red Teaming и Purple Teaming — это недостаток практики в обнаружении и реагировании на настоящие атаки в условиях, максимально приближенных к реальной жизни. Злоумышленники могут свободно совершенствовать навыки атаки, выбирая произвольные объекты для своих "тренировок". У защитников таких широких возможностей нет — поэтому и возникает необходимость в специальных мероприятиях.
При этом между Red Teaming и Purple Teaming есть существенная практическая разница. Основная цель Red Teaming заключается в анализе эффективности действий ИБ-отдела организации. Получается, что это своего рода экзамен для службы ИБ.
В формате Purple Teaming оценка эффективности не является целью как таковой. Здесь важнее реализация разнообразных кейсов и адаптация подхода ИБ-специалистов организации в зависимости от результатов отработки этих кейсов.
За счет постоянного взаимодействия атакующих и защитников Purple Teaming позволяет поэтапно оптимизировать работу ИБ, отработать процессы и в итоге повысить эффективность. Таким образом, если Red Teaming — это экзамен, то Purple Teaming — это в первую очередь обучение.
«У экзаменатора отличный заход, если он идет после учителя. Используя сначала Purple Team, а потом Red Team можно полностью закрыть вопрос с обучением своего отдела информационной безопасности на какой-то период времени» — рассказывает Алексей Гришин, CPO CICADA8.
Таким образом, при наличии достаточных ресурсов мы рекомендуем сначала проводить обучение службы ИБ с помощью Purple Teaming, а по завершении устраивать команде "выпускной экзамен" с помощью Red Teaming. Для получения оптимальных результатов данные услуги стоит заказывать у разных поставщиков.
Услуги Red Team тестирования и Purple Team тестирования входят в набор экспертных сервисов CICADA8 под названиями "Симуляция кибератаки" и "Повышение эффективности службы ИБ".