Hva er Blue Teaming og hvordan forbedrer det cybersikkerhet?

Blue teaming er praksisen med å skape og beskytte et sikkerhetsmiljø og svare på hendelser som truer det miljøet. Blue team cybersecurity-operatører er dyktige til å overvåke sikkerhetsmiljøet de beskytter for sårbarheter, enten de allerede eksisterer eller indusert av angripere. Blue teamers håndterer sikkerhetshendelser og bruker erfaringene til å herde miljøet mot fremtidige angrep.

Så hvorfor er blå lag viktige? Hvilke roller tar de egentlig på seg?

Hvorfor er Blue Teaming viktig?

Produkter og tjenester bygget på teknologi er ikke immune mot cyberangrep. Ansvaret faller for det første på teknologileverandører for å beskytte brukerne sine mot interne eller eksterne nettangrep som kan kompromittere deres data eller eiendeler. Brukere av teknologi deler også dette ansvaret, men det er lite en bruker kan gjøre for å forsvare et produkt eller en tjeneste med dårlig sikkerhet.

Vanlige brukere kan ikke ansette en avdeling med IT-eksperter til å designe sikkerhetsarkitekturer eller implementere funksjoner som øker deres egen sikkerhet. Det er hovedansvaret til et selskap som driver med maskinvare og nettverksinfrastruktur.

Regulerende organisasjoner som Nasjonalt institutt for standarder og teknologi (NIST) spiller også sin rolle. NIST, for eksempel design cybersikkerhetsrammeverk bedrifter bruker for å sikre at IT-produkter og tjenester oppfyller sikkerhetsstandarder.

Alt henger sammen

Alle kobler til internett gjennom maskinvare og nettverksinfrastrukturer (tenk din bærbare datamaskin og Wi-Fi). Viktig kommunikasjon og virksomheter er bygget på disse infrastrukturene, så alt henger sammen. Du tar for eksempel og lagrer bilder på telefonen. Du sikkerhetskopierer disse filene til skyen. Senere hjelper sosiale medier-apper på telefonen deg å dele øyeblikk med familie og venner.

Bankapper og betalingsplattformer hjelper deg å betale for ting uten å fysisk stå i kø i en bank eller sende en sjekk, og du kan sende inn skatt på nettet. Alle disse skjer på plattformer du kobler til via en trådløs kommunikasjonsteknologi innebygd i en telefon eller bærbar PC.

Hvis en hacker kan kompromittere enheten eller det trådløse nettverket ditt, kan de stjele dine private bilder, bankpåloggingsdetaljer og identitetsdokumenter. De kan til og med utgi seg for deg og stjele ting fra folk i omgangskretsen din. De kan deretter selge denne stjålne mengden informasjon til andre hackere eller få deg til å løse den.

Enda verre, syklusen slutter ikke med ett hack. Å bli offer for ett hack allerede betyr ikke at andre angripere vil unngå deg. Odds er at det gjør deg til en magnet. Så det er best å forhindre at angrep starter i utgangspunktet. Og hvis forebygging ikke virker, så er det viktig å begrense skadene og forhindre fremtidige angrep. Fra din side kan du begrense eksponering med lagdelt sikkerhet. Bedriften delegerer oppgaven til sitt blå team.

Rollespillere i det blå laget

Det blå teamet består av tekniske og ikke-tekniske sikkerhetsoperatører med spesifikke roller og ansvar. Men selvfølgelig kan blå team være så store at det er undergrupper av flere operatører. Noen ganger overlapper roller hverandre. Rødt lag vs. blått lag øvelser har vanligvis følgende rollespillere:

• Det blå teamet planlegger forsvarsoperasjoner og tildeler roller og ansvar til andre operatører i blå celle.
• Den blå cellen består av operatører som fronter forsvaret.
• Pålitelige agenter er folk som vet om angrepet eller til og med ansetter det røde teamet i utgangspunktet. Til tross for deres forkunnskaper om øvelsen, er pålitelige agenter nøytrale. Pålitelige agenter blander seg ikke inn i det røde lagets anliggender eller gir råd til forsvar.
• Den hvite cellen består av operatører som fungerer som buffere og har kontakt med begge lag. De er dommere som sikrer at aktivitetene til det blå laget og det røde laget ikke forårsaker utilsiktede problemer utenfor engasjementets rammer.
• Observatører er mennesker hvis jobb er å se. De ser forlovelsen utspille seg og noterer observasjonene deres. Observatører er nøytrale. I de fleste tilfeller vet de ikke engang hvem som er på det blå eller røde laget.
• Det røde teamet består av operatører som lanserer et angrep på den målrettede sikkerhetsarkitekturen. Jobben deres er å finne sårbarheter, stikke hull i forsvaret og prøve å overliste det blå laget.

Hva er målene for det blå laget?

Målene til ethvert blått team vil avhenge av sikkerhetsmiljøet de er i og tilstanden til selskapets sikkerhetsarkitektur. Når det er sagt, har blå lag vanligvis fire hovedmål.

• Identifisere og inneholde trusler.
• Eliminer trusler.
• Beskytt og gjenvinn stjålne eiendeler.
• Dokumenter og gjennomgå hendelser for å avgrense responsen på fremtidige trusler.

Hvordan fungerer Blue Teaming?

I de fleste organisasjoner jobber blå teamoperatører i en Security Operations Center (SOC). SOC er der cybersikkerhetseksperter driver et selskaps sikkerhetsplattform og hvor de overvåker og håndterer sikkerhetshendelser. SOC er også der operatører støtter ikke-teknisk personell og brukere av selskapets ressurser.

Hendelsesforebygging

Det blå teamet har ansvar for å forstå og lage et kart over omfanget av sikkerhetsmiljøet. De noterer også alle eiendeler i miljøet, deres brukere og tilstanden til disse eiendelene. Med denne kunnskapen setter teamet inn tiltak for å forhindre angrep og uhell.

Noen av tiltakene som operatører av blå team implementerer for å forebygge hendelser inkluderer å angi administrasjonsrettigheter. På denne måten har ikke uvedkommende tilgang til ressurser de ikke burde i utgangspunktet. Dette tiltaket er effektivt for å begrense sidebevegelser hvis en angriper kommer inn.

I tillegg til å begrense administrasjonsprivilegier, inkluderer hendelsesforebygging også full diskkryptering, sette opp virtuelle private nettverk, brannmurer, sikre pålogginger og autentisering. Mange blå lag implementerer ytterligere bedragsteknikker, feller satt med dummy-ressurser for å fange angripere før de forårsaker skade.

Hendelsesrespons

Hendelsesrespons refererer til hvordan det blå teamet oppdager, håndterer og kommer seg etter et brudd. Flere hendelser utløser sikkerhetsvarsler, og det er ikke mulig å reagere på hver eneste utløser. Så det blå laget må sette et filter for hva som teller som en hendelse.

Vanligvis gjør de dette ved å implementere et sikkerhetsinformasjons- og hendelsesstyringssystem (SIEM). SIEM-er varsler blå teamoperatører når sikkerhetshendelser, for eksempel uautoriserte pålogginger sammenkoblet med forsøk på å få tilgang til sensitive filer, skjer. Vanligvis, etter varsling fra en SIEM, vurderer et automatisert system trusselen og eskalerer til en menneskelig operatør om nødvendig.

Blue team-operatører reagerer vanligvis på hendelser ved å isolere systemet som har blitt kompromittert og fjerne trusselen. Hendelsesrespons kan bety å slå av alle tilgangsnøkler i tilfeller av uautorisert tilgang, lage en pressemelding i tilfeller hvor hendelsen påvirker kunder, og frigjøre en patch. Senere gjør laget en rettsmedisinsk revisjon etter brudd å samle bevis som bidrar til å forhindre gjentakelse.

Trusselmodellering

Trusselmodellering er når operatører bruker kjente sårbarheter for å simulere et angrep. Teamet lager en lekebok for å svare på trusler og kommunisere med interessenter. Så når et virkelig angrep skjer, har det blå laget en plan for hvordan de vil prioritere eiendeler eller allokere mannskap og ressurser til forsvar. Selvfølgelig går ting sjelden helt som planlagt. Likevel, å ha en trusselmodell hjelper blå teamoperatører med å holde det store bildet i perspektiv.

Robust Blue Teaming er proaktivt

Arbeidsblå teamoperatører sørger for at dataene dine er trygge, og at du kan bruke teknologien trygt. Et raskt skiftende cybersikkerhetslandskap betyr imidlertid at et blått team ikke kan forhindre eller eliminere enhver trussel. De kan heller ikke herde et system for mye; den kan bli ubrukelig. Det de kan gjøre er å tolerere et akseptabelt risikonivå og samarbeide med det røde teamet for å kontinuerlig forbedre sikkerheten.