С тех пор, как началось наступательное тестирование безопасности, мы ожидали, что тест или моделирование найдет удалось. Даже если пентестер не обнаружит проблемы, лучшие из них всегда могут добиться успеха с помощью фишинга или социальной инженерии сотрудников вашей организации. Таким же образом Красная команда - синяя команда упражнения подчеркивают почти невозможность помешать мотивированному атакующему - шансы на успех в значительной степени благоприятствуют атакующему и делают его чрезвычайно трудным для защитника.
Теперь, когда организации осознают ценность Red Team-Blue Team тестирование, важно понимать, что такое тестирование больше касается общего воздействия на информационной безопасности команда, чем об индивидуальных результатах. Конечно, обнаружение недостатков в вашей системе безопасности или защищенной поверхности атаки важно, но ваша команда не обнаружит их всех: наибольшая ценность заключается в повышении эффективности вашей команды.
Это потому что информационной безопасности Это не просто техническая проблема: речь идет не только о решениях для защиты периметра, политиках, правилах, системах обнаружения, исправлениях и других вопросах. Информационная безопасность это тоже эксплуатационная проблема. В частности, при атаках с высокой ценностью, информационной безопасности в конечном итоге сводится к людям. Атаки - это, в основном, действия, совершаемые людьми, которые ищут пути наименьшего сопротивления. Точно так же киберзащита привлекает экспертов по безопасности. В то время как некоторые автоматизированные системы могут предотвращать или минимизировать простые атаки, команда безопасности должна проверять тщательно спланированную систему и принимать соответствующие меры.
Почему это проблема? Так как информационной безопасности команды перегружены и недоукомплектованы. У команд нет времени или ресурсов, чтобы реагировать на все предупреждения, исследовать все события или проверять и развивать все политики; и даже организациям с открытой численностью персонала для дополнительных специалистов по безопасности трудно заполнить эти слоты из-за острой глобальной нехватки информационной безопасности профессионалы. Маловероятно, что в ближайшее время эти условия изменятся. Информационная безопасность Команды должны стать более эффективными и действенными, чтобы сосредоточиться на действительно важных событиях. Вот где может помочь наступательное тестирование.
Тестирование Red Team-Blue Team в первую очередь должно помочь выявить уровень эффективности и результативности вашей команды.
Выполняя эти упражнения, команды по кибербезопасности могут лучше понять, какая из их систем лучше всего подходит для обнаружения серьезных активных угроз и насколько хорошо они видны. Системы, которые обеспечивают низкую точность воспроизведения и изобилуют ложными срабатываниями, вряд ли будут полезны в этих усилиях. Фактически, некоторые системы могут даже быть контрпродуктивными, когда дело касается эффективности и результативности, а также способности обеспечивать безопасность организации. Безусловно, оценка текущей работы таких инструментов и систем безопасности - помимо запланированных упражнений - укажет на их полезность. А Красная команда - синяя команда test, однако, поместит эти опыты в контекст атакующей активности и может стать кислотным тестом на то, как они работают.
Некоторые организации изменили Red Team-Blue Team тестирование включить компонент Purple Team, но это не меняет общей цели. Независимо от того, является ли Purple Team формализованной функцией, одной из основных целей должно быть понимание того, «есть ли у нас все необходимое, чтобы выявить активную атаку и предотвратить или минимизировать ущерб от нее?» Вы можете увязнуть в номенклатуре и разногласиях по поводу того, как лучше всего структурировать наступательное тестирование и оценку, но одним из наиболее важных результатов должно быть понимание операционной стороны безопасности и того, насколько хорошо команда при помощи инструментов и систем может найти и остановить атака.
Итак, Red Team-Blue Team тестирование полезен не только для прогнозирования реакции вашей организации на атаку, но и для определения ваших информационной безопасности общая способность команды реагировать. И при проведении этого тестирования очень важно иметь такие инструменты, как Платформа Stellar Cyber, который обеспечивает точные оповещения и сводит к минимуму ложные оповещения, чтобы помочь вашей команде сосредоточиться на реальных проблемах.
