Các chuyên gia hàng đầu trong ngành trong studio AM Live đã thảo luận lý do tại sao một công ty cần đào tạo mạng theo định dạng Purple Teaming, những mối đe dọa nào công ty có thể bảo vệ và những vấn đề nào có thể được giải quyết với sự trợ giúp của công cụ này, cũng như ai và khi nào nên sử dụng công cụ này.
- Giới thiệu
- Nhóm màu tím và lý do bạn cần nó
- 2.1. Đội màu tím là gì
- 2.2. Ai cần Đội Tím
- Luyện tập đội màu tím
- Tương lai của đội màu tím
- kết luận
Giới thiệu
Những kẻ tấn công sử dụng các công cụ khác nhau để thực hiện các cuộc tấn công vào tài nguyên của công ty. Trong số những hình thức phổ biến nhất, ngoài lừa đảo và kỹ thuật xã hội khác, còn có các cuộc tấn công DDoS. Giờ đây chúng đã trở nên phức tạp, tức là tin tặc đồng loạt tấn công các trang web, mạng và cơ sở hạ tầng của công ty. Điều này đang thúc đẩy các doanh nghiệp thực hiện cách tiếp cận toàn diện tương tự để bảo vệ mạng của họ. Chương trình phát sóng AM Live mới thảo luận về quá trình đào tạo hỗn hợp các chuyên gia bảo mật thông tin chịu trách nhiệm về bảo mật của các công ty – Purple Teaming.
Hình 1. Các chuyên gia trong ngành trong trường quay của dự án truyền hình AM Live
Diễn giả truyền hình trực tiếp:
- Evgeniy Vyzulinchuyên gia bộ phận hệ thống giám sát an toàn thông tin, Jet Infosystems;
- Nơi trú ẩn của VadimTrưởng nhóm phân tích chứng khoán, Wildberries;
- Kirill SeleznevTrưởng phòng Phân tích Bảo mật CICADA8 tại Trung tâm Đổi mới Phi hành đoàn Tương lai;
- Yulia VoronovaGiám đốc Tư vấn, Trung tâm Năng lực Công nghệ Tích cực.
Người lãnh đạo và người điều hành cuộc thảo luận – Lev PaleyGiám đốc An toàn thông tin, Webmonitorex.
Nhóm màu tím và lý do bạn cần nó
Đội màu tím là gì
Vadim Shelest:
— Purple Teaming là quá trình đánh giá mức độ trưởng thành của công ty về bảo mật thông tin. Đây chỉ là một trong những giai đoạn cho phép bạn đánh giá mức độ phòng thủ của công ty được xây dựng tốt như thế nào. Kết quả của hoạt động này là sự hiểu biết về cách tối ưu hóa việc giám sát, điều tra, ứng phó và phòng ngừa sự cố.
Vadim Shelest, người đứng đầu nhóm phân tích bảo mật, Wildberries
Theo Kirill Seleznev, các công ty đã trưởng thành với Purple Teaming đã thể hiện mức độ trưởng thành trung bình. Họ đã nghiên cứu các lỗi bảo mật, triển khai Red Teaming, xây dựng trung tâm giám sát (SOC) và muốn đánh giá cũng như kiểm tra tính hiệu quả của các biện pháp bảo mật đã triển khai.
Yulia Voronova lưu ý rằng Đội màu tím là một chủ đề phát triển nhóm cho phép bạn hiểu liệu mọi thứ có được thực hiện chính xác trong quy trình Đội màu đỏ hay không.
Yulia Voronova, giám đốc tư vấn của trung tâm năng lực Công nghệ Tích cực
Đồng thời, các công ty bảo mật thông tin giúp khách hàng chuẩn bị kiến thức chuyên môn về các mối đe dọa đã được xác định.
Hơn một nửa số người xem AM Live (53%) chỉ biết về Purple Teaming trên lý thuyết và 29% chưa hề nghe nói gì về nó trước khi phát sóng. 9% số người được hỏi hiểu rõ nội dung của nó và tự mình tiến hành Purple Teaming, và 6% đã sử dụng dịch vụ bên ngoài loại này. 3% còn lại trả lời rằng họ “phải tham gia”.
Hình 2. Bạn biết gì về Purple Teaming trước khi phát sóng?
Ai cần Đội Tím
Evgeny Vyzulin:
— Tiêu chí chính là sự hiểu biết về nhu cầu của Đội Tím vào lúc này. Các công ty ở cấp độ này đã đạt đến mức trưởng thành SOC trung bình.
Khách hàng không nên nghĩ rằng Purple Teaming đắt tiền. Chi phí của các dịch vụ này tương đương với việc pentesting.
Kirill Seleznev:
— Purple Teaming là cần thiết cho các công ty lớn có hệ thống chịu tải cao và tính liên tục trong kinh doanh quan trọng. Ngay cả khi một công ty đã chi rất nhiều cho các quy tắc tương quan và SOC, điều này sẽ không mang lại niềm tin hoàn toàn trong việc đẩy lùi rõ ràng một cuộc tấn công từ bên ngoài.
Evgeniy Vyzulin nói, không quan trọng tổ chức làm gì. Điều chính là sự sẵn có của các tài sản quan trọng. Purple Teaming giúp bạn có thể đối đầu với những kẻ tấn công một cách bình đẳng – để chuẩn bị cho các cuộc tấn công có thể xảy ra và phát triển SOC.
Phát thanh viên Lev Paley nhấn mạnh, không thể đẩy lùi các cuộc tấn công thành công và hiệu quả nếu không trau dồi trước quá trình phát hiện và phản ứng của đội.
Lev Paley, Giám đốc An ninh Thông tin, Webmonitorex
Luyện tập đội màu tím
Kết quả hợp tác màu tím hoàn hảo
Ekaterina Syurtukova, người đứng đầu bộ phận dịch vụ an ninh mạng tại Innostage cho biết, kết quả lý tưởng của Purple Teaming là tăng đáng kể khả năng phục hồi mạng của tổ chức.
Theo ý kiến của cô, trong quá trình Purple Teaming, các mối đe dọa có liên quan và có thể xảy ra nhất đối với khách hàng đã được giải quyết, các vấn đề về kiến trúc và quy trình cũng như các điểm nghẽn trong công việc của nhóm được xác định. Điều này cho phép các lỗ hổng được loại bỏ kịp thời và hệ thống được sửa chữa.
25% người xem AM Live chủ yếu mong đợi Purple Teaming hoạt động theo các hướng tấn công có liên quan và 23% để cải thiện hiệu quả và giao tiếp trong nhóm. Ít hơn một chút—22%—muốn đào tạo hậu vệ nhanh chóng. 11% số người được hỏi trả lời rằng họ không muốn tiến hành pentest và Red Teaming, và 8% nói rằng họ muốn loại bỏ nhanh chóng tất cả các lỗ hổng được tìm thấy. 11% khác không thấy giá trị của công cụ này.
Hình 3. Bạn chủ yếu mong đợi kết quả gì từ Purple Teaming?
Thực hành tổ chức Purple Teaming
Theo Evgeniy Vyzulin, công ty có thể thực hiện hai phương án. Đầu tiên là tổ chức bên thứ ba ứng phó và giám sát các sự cố, cung cấp dịch vụ Đội Xanh và cùng với đội đỏ cung cấp dịch vụ Đội Tím. Điều này giúp phát triển SOC của công ty bằng cách phân tích các vectơ tấn công, bổ sung các phương pháp phát hiện và tăng phạm vi bao phủ cơ sở hạ tầng.
Lựa chọn thứ hai là khi công ty đã có đội ngũ “xanh” của riêng mình. Sau đó, nhà cung cấp tiến hành kiểm tra, những nhà cung cấp “đỏ” thực hiện tất cả các vectơ tấn công và những nhà cung cấp “xanh” xây dựng các cơ chế để hiện đại hóa phản ứng và giám sát.
Vadim Shelest nói thêm rằng cũng có một phương pháp lập kế hoạch dựa trên mục tiêu và kết quả chính: mô tả mục tiêu theo cách có cấu trúc nhất có thể để đạt được sự hiểu biết lẫn nhau tối đa bằng cách trả tiền cho dự án. Nếu không, bạn có thể làm những điều sai trái và thu hẹp những khoảng trống sai lầm. Để đánh giá kết quả, bạn có thể sử dụng các KPI nổi tiếng.
Chi phí hợp tác màu tím
Kirill Seleznev giải thích rằng chi phí của Đội Tím phụ thuộc vào số lượng kỹ thuật và vectơ tấn công được đưa vào quy trình. Chuyên gia ước tính khoảng 2,5 triệu rúp cho vài tháng làm việc của 5 người.
Yulia Voronova không đồng ý với những tính toán như vậy và đề nghị nhóm sẽ làm việc bán thời gian để có được khoản thanh toán đó.
Theo Vadim Shelest, để đến với Purple Teaming, trước tiên bạn cần có SOC cung cấp khả năng giám sát và phản hồi. Yếu tố thứ hai là hiểu cách ưu tiên các lỗ hổng không thể chấp nhận được và công ty nên tối ưu hóa điều gì trước tiên. Điểm thứ ba là hiểu được tầm quan trọng của việc cải tiến liên tục an ninh thông tin từ phía lãnh đạo cấp cao.
Các chuyên gia khuyên bạn nên tiến hành Purple Teaming ít nhất mỗi năm một lần.
Kịch bản hợp tác màu tím
Các kịch bản của Nhóm màu tím bao gồm phát triển một cuộc tấn công từ phạm vi bên ngoài, tấn công vào bộ điều khiển miền, hoạt động của ransomware, không thể truy cập và vô hiệu hóa cơ sở hạ tầng, trích xuất thông tin, xâm nhập vào phân khúc ICS, v.v.
Hơn nữa, mỗi kịch bản có thể được diễn ra khác nhau – ví dụ: từ vị trí của kẻ tấn công bên ngoài hoặc người trong cuộc. Bạn có thể kiểm tra sự xâm phạm qua email bằng kỹ thuật xã hội hoặc xâm nhập vào phạm vi của tổ chức thông qua các tài nguyên bên ngoài. Có thể có vô số kịch bản.
Thông thường, khách hàng yêu cầu dịch vụ thâm nhập “từ đường phố”, tức là từ bên ngoài phạm vi bên ngoài của tổ chức chứ không phải từ bên trong.
Tương lai của đội màu tím
Yulia Voronova:
— Tôi thấy sự phát triển hợp lý của Purple Teaming hướng tới Bug Bounty. Khi đó kết quả mà khách hàng mong muốn nhận được sẽ đạt được nhanh hơn rất nhiều. Dịch vụ này sẽ được cung cấp cho chủ sở hữu SOC và sẽ không còn ưu tú nữa.
Kirill Seleznev:
— Ngày càng có nhiều đội ứng phó sự cố ở cấp Đội Xanh. Ngày càng có nhiều công ty hướng tới lịch sử nội bộ hơn là lịch sử thương mại. Purple Teaming sẽ ngày càng trở nên tự động hóa.
Kirill Seleznev, người đứng đầu phân tích bảo mật CICADA8 tại trung tâm đổi mới Future Crew
Có khả năng việc pentest sẽ được giao cho tự động hóa và trí tuệ nhân tạo. Ngược lại, Đội Tím không thể thực hiện được nếu không có người, bởi vì chỉ có nó mới có thể tạo ra phản ứng bất ngờ trong một cuộc tấn công và phản xạ của nó.
Evgeny Vyzulin:
— Tôi tin rằng trong 2 đến 3 năm tới, Đội Tím sẽ chỉ phát triển dưới dạng nền tảng công nghệ, tự động hóa sự tương tác giữa Đội Đỏ và Đội Xanh. Một mạng lưới thần kinh có thể xuất hiện sẽ giúp Đội Đỏ tìm ra các vectơ tấn công mới và mô tả cách thực hiện chúng. Điều này sẽ làm tăng hiệu quả của Purple Teaming và tối ưu hóa thời gian dành cho dự án này.
Evgeniy Vyzulin, chuyên gia bộ phận hệ thống giám sát an ninh thông tin, Jet Infosystems
Vadim Shelest:
— Mọi điều đồng nghiệp nói đều có tác dụng và sẽ phát triển. Các công ty, khi đã đạt đến một mức độ trưởng thành nhất định, sẽ tiến hành triển khai Nhóm Tím trong công ty mà không cần có sự trung gian của những người thực hiện bên ngoài. Đồng thời, thời gian mà những người bảo vệ dành cho việc tạo ra các quy tắc giám sát và tương quan sẽ giảm đi.
kết luận
Một công ty không thể biết liệu nó có sẵn sàng đẩy lùi các cuộc tấn công hay không hay mức độ bảo mật của nó cao đến mức nào nếu không kiểm tra trước. Bạn có thể tìm hiểu về điều này bằng nhiều công cụ khác nhau (Bug Bounty, các trang web thử nghiệm trên mạng), bao gồm cả Purple Teaming.
Bằng cách sử dụng quy trình này, các mối đe dọa có liên quan và có thể xảy ra nhất sẽ được giải quyết, các vấn đề về kiến trúc và quy trình cũng như những khó khăn trong công việc của nhóm được xác định. Tất cả điều này cho phép bạn loại bỏ kịp thời các lỗ hổng và điều chỉnh hoạt động của hệ thống bảo mật, giúp công ty chuẩn bị cho các mối đe dọa thực sự.
Dự án truyền hình AM Live hàng tuần quy tụ các chuyên gia trong ngành trong trường quay để thảo luận về các chủ đề hiện tại trên thị trường CNTT và bảo mật thông tin của Nga. Luôn cập nhật các xu hướng và sự kiện quan trọng. Để thực hiện việc này, hãy đăng ký kênh của chúng tôi Kênh Youtube. Hẹn gặp lại!
