Полный спектр: что такое Red Team и Purple Team, и когда они нужны

Ландшафт киберугроз постоянно трансформируется . Поэтому для эффективной защиты информационной инфраструктуры организации требуется, чтобы средства защиты, а также навыки сотрудников отделов информационной безопасности также постоянно совершенствовались.

Обе эти задачи по-своему непростые. Но вторая дополнительно усугубляется общим дефицитом кадров, который уже давно стал серьезной проблемой для российской отрасли информационной безопасности.

В ходе опроса более ста представителей российских компаний, проведенного МТС RED по итогам 2023 года, на проблему подбора подходящих защитных решений пожаловались 24% опрошенных. При этом недостаток квалифицированных специалистов по информационной безопасности отметили в 62% организаций.

В таких условиях обучение сотрудников отделов информационной безопасности становится для организаций особенно важным. Услуги Red Teaming и Purple Teaming являются одними из наиболее эффективных инструментов в этом процессе — рассмотрим их более подробно в данном материале.

Изначально методику Red Teaming начали применять в различных сферах еще во второй половине 20 века. Основная идея этого подхода состоит в том, что в ходе упражнений участники разбиваются на две команды: одна из них, "Red Team" (красная команда), имитирует атакующего, а другая, "Blue Team" (синяя команда), защищается от действий первой.

В сферу информационной безопасности Red Teaming пришел в начале 2000-х годов и теперь широко применяется для оценки устойчивости организаций к угрозам с помощью симуляции реальных кибератак.

В ходе такой симуляции команда атакующих (Red Team) ищет уязвимости в защите, изучает возможность их эксплуатации и пытается скомпрометировать информационную инфраструктуру организации. Диапазон используемых для этого инструментов очень широк: от атак на сетевую инфраструктуру и веб-приложения до социальной инженерии и физического проникновения в офис организации.

В свою очередь, команда защитников (Blue Team) старается обнаружить и отразить эти атаки, используя доступные средства мониторинга и реагирования. Результаты симуляции кибератаки помогают руководству и специалистам по безопасности лучше понимать потенциальные угрозы и разрабатывать более эффективную стратегию защиты.

Purple Teaming представляет собой усовершенствованную образовательную методику, которая направлена на повышение эффективности службы ИБ организации. Эта методика возникла примерно на десятилетие позже, чем Red Teaming.

В отличие от обычной симуляции кибератак, где "красные" и "синие" работают независимо друг от друга, Purple Teaming фокусируется на постоянном обмене информацией между этими командами.  Это позволяет получать максимальную образовательную пользу от симуляции атак и защитных упражнений.

Как и в предыдущем случае, Red Team выполняет роль атакующего, применяя различные техники и стратегии для поиска слабых мест в защите организации и пытаясь компрометировать ее информационную инфраструктуру.

В свою очередь, Blue Team старается противостоять действиям атакующих, в процессе получая обратную связь от Red Team, которая помогает улучшить способы обнаружения атак и реагирования на них.

Таким образом, вместо отдельных команд атакующих и защитников получается единая команда — Purple Team, — которая сообща работает над улучшением защиты.

Как в Red Teaming, так и в Purple Teaming помимо "красных" и "синих" всегда участвует еще одна команда — это "белые". White Team выполняет роль наблюдателей и арбитров, отвечая за организацию, координацию и контроль всего процесса.

Уже достаточно давно в индустрии существует понимание того, что информационная безопасность в идеале должна начинаться с разработки. Поэтому выделяют еще три цветовых оттенка команд:

• Yellow Team: команда разработчиков, которых также называют "строителями". Желтая команда отвечает за безопасность при проектировании, создании и администрировании информационной инфраструктуры и приложений.

• Orange Team: представляет собой взаимодействие Yellow Team (строителей) и Red Team (атакующих). В рамках Orange Team применяется подход, аналогичный Purple Team, который направлен на улучшение навыков информационной безопасности у разработчиков.

• Green Team: похожим образом, зеленая команда объединяет разработчиков и защитников, позволяя им обмениваться знаниями и координировать действия для улучшения защиты.
  

Основная проблема, которую решают Red Teaming и Purple Teaming — это недостаток практики в обнаружении и реагировании на настоящие атаки в условиях, максимально приближенных к реальной жизни. Злоумышленники могут свободно совершенствовать навыки атаки, выбирая произвольные объекты для своих "тренировок". У защитников таких широких возможностей нет — поэтому и возникает необходимость в специальных мероприятиях.

При этом между Red Teaming и Purple Teaming есть существенная практическая разница. Основная цель Red Teaming заключается в анализе эффективности действий ИБ-отдела организации. Получается, что это своего рода экзамен для службы ИБ.

В формате Purple Teaming оценка эффективности не является целью как таковой. Здесь важнее реализация разнообразных кейсов и адаптация подхода ИБ-специалистов организации в зависимости от результатов отработки этих кейсов.

За счет постоянного взаимодействия атакующих и защитников Purple Teaming позволяет поэтапно оптимизировать работу ИБ, отработать процессы и в итоге повысить эффективность. Таким образом, если Red Teaming — это экзамен, то Purple Teaming — это в первую очередь обучение.

«У экзаменатора отличный заход, если он идет после учителя. Используя сначала Purple Team, а потом Red Team можно полностью закрыть вопрос с обучением своего отдела информационной безопасности на какой-то период времени» — рассказывает Алексей Гришин, CPO CICADA8.

Таким образом, при наличии достаточных ресурсов мы рекомендуем сначала проводить обучение службы ИБ с помощью Purple Teaming, а по завершении устраивать команде "выпускной экзамен" с помощью Red Teaming. Для получения оптимальных результатов данные услуги стоит заказывать у разных поставщиков.

Услуги Red Team тестирования и Purple Team тестирования входят в набор экспертных сервисов CICADA8 под названиями "Симуляция кибератаки" и "Повышение эффективности службы ИБ".