Vad är Blue Teaming och hur förbättrar det cybersäkerheten?

Blue teaming är metoden att skapa och skydda en säkerhetsmiljö och reagera på incidenter som hotar den miljön. Blue team cybersäkerhetsoperatörer är skickliga på att övervaka säkerhetsmiljön de skyddar för sårbarheter, oavsett om de redan finns eller orsakas av angripare. Blue teamers hanterar säkerhetsincidenter och använder lärdomarna för att härda miljön mot framtida attacker.

Så varför är blå lag viktiga? Vilka roller tar de egentligen på sig?

Varför är Blue Teaming viktigt?

Produkter och tjänster som bygger på teknik är inte immuna mot cyberattacker. Ansvaret ligger för det första på teknikleverantörer att skydda sina användare från interna eller externa cyberattacker som kan äventyra deras data eller tillgångar. Användare av teknik delar också detta ansvar, men det finns lite en användare kan göra för att försvara en produkt eller tjänst med dålig säkerhet.

Vanliga användare kan inte anlita en avdelning med IT-experter för att designa säkerhetsarkitekturer eller implementera funktioner som ökar deras egen säkerhet. Det är det förtroendeansvar för ett företag som handlar med hårdvara och nätverksinfrastruktur.

Regulatoriska organisationer som National Institute of Standards and Technology (NIST) spelar också sin roll. NIST, till exempel design ramverk för cybersäkerhet som företag använder för att säkerställa att IT-produkter och tjänster uppfyller säkerhetsstandarder.

Allt hänger ihop

Alla ansluter till internet via hårdvara och nätverksinfrastruktur (tänk din bärbara dator och Wi-Fi). Viktig kommunikation och verksamhet bygger på dessa infrastrukturer, så allt hänger ihop. Du tar till exempel och sparar bilder på din telefon. Du säkerhetskopierar dessa filer till molnet. Senare hjälper sociala medieappar på din telefon dig att dela ögonblick med din familj och vänner.

Bankappar och betalningsplattformar hjälper dig att betala för saker utan att fysiskt köa till en bank eller skicka en check, och du kan skicka in skatter online. Allt detta sker på plattformar du ansluter till via en trådlös kommunikationsteknik inbäddad i en telefon eller bärbar dator.

Om en hackare kan äventyra din enhet eller ditt trådlösa nätverk kan de stjäla dina privata bilder, bankinloggningsuppgifter och identitetshandlingar. De kan till och med utge sig för att vara dig och stjäla saker från personer i din umgängeskrets. De kan sedan sälja denna stulna mängd information till andra hackare eller få dig att lösa den.

Ännu värre, cykeln slutar inte med ett hack. Att bli offer för ett hack redan betyder inte att andra angripare kommer att undvika dig. Oddsen är att det gör dig till en magnet. Så det är bäst att förhindra attacker från att börja i första hand. Och om förebyggandet inte fungerar, då är det viktigt att begränsa skadorna och förhindra framtida attacker. Från din sida kan du begränsa exponeringen med skiktad säkerhet. Företaget delegerar uppgiften till sitt blå team.

Rollspelare i det blå laget

Det blå teamet består av tekniska och icke-tekniska säkerhetsoperatörer med specifika roller och ansvar. Men naturligtvis kan blå team vara så stora att det finns undergrupper av flera operatörer. Ibland överlappar rollerna varandra. Röda laget vs. blått lag övningar har vanligtvis följande rollspelare:

• Det blå teamet planerar försvarsoperationer och tilldelar roller och ansvar till andra operatörer i den blå cellen.
• Den blå cellen består av operatörer som frontar försvaret.
• Pålitliga agenter är personer som känner till attacken eller till och med anställer det röda laget i första hand. Trots sina förkunskaper om övningen är betrodda agenter neutrala. Pålitliga agenter blandar sig inte i det röda lagets angelägenheter eller ger råd till försvar.
• Den vita cellen består av operatörer som fungerar som buffertar och har kontakt med båda teamen. De är domare som säkerställer att det blå lagets och det röda lagets aktiviteter inte orsakar oavsiktliga problem utanför ramen för engagemanget.
• Observatörer är människor vars uppgift är att titta. De ser hur engagemanget utspelar sig och noterar deras observationer. Observatörer är neutrala. I de flesta fall vet de inte ens vem som är i det blå eller röda laget.
• Det röda teamet består av operatörer som inleder ett angrepp på den riktade säkerhetsarkitekturen. Deras jobb är att hitta sårbarheter, sticka hål i försvaret och försöka överlista det blå laget.

Vilka är målen för det blå laget?

Målen för alla blå team kommer att bero på säkerhetsmiljön de befinner sig i och tillståndet för företagets säkerhetsarkitektur. Som sagt, blå lag har vanligtvis fyra huvudmål.

• Identifiera och begränsa hot.
• Eliminera hot.
• Skydda och återfå stulna tillgångar.
• Dokumentera och granska incidenter för att förfina reaktionen på framtida hot.

Hur fungerar Blue Teaming?

I de flesta organisationer arbetar blå teamoperatörer i en Security Operations Center (SOC). SOC är där cybersäkerhetsexperter driver ett företags säkerhetsplattform och där de övervakar och hanterar säkerhetsincidenter. SOC är också där operatörer stödjer icke-teknisk personal och användare av företagets resurser.

Förebyggande av incidenter

Det blå teamet ansvarar för att förstå och skapa en karta över omfattningen av säkerhetsmiljön. De noterar också alla tillgångar i miljön, deras användare och tillståndet för dessa tillgångar. Med denna kunskap sätter teamet in åtgärder för att förhindra attacker och missöden.

Några av de åtgärder som blå teamoperatörer implementerar för att förebygga incidenter inkluderar att ställa in administratörsbehörigheter. På så sätt har obehöriga inte tillgång till resurser som de inte borde i första hand. Denna åtgärd är effektiv för att begränsa sidorörelser om en angripare tar sig in.

Förutom att begränsa administrationsprivilegier inkluderar förebyggande av incidenter också fullständig diskkryptering, konfigurera virtuella privata nätverk, brandväggar, säkra inloggningar och autentisering. Många blå lag implementerar ytterligare bedrägeritekniker, fällor satta med dummytillgångar för att fånga angripare innan de orsakar skada.

Incidentrespons

Incidentrespons hänvisar till hur det blå teamet upptäcker, hanterar och återhämtar sig från ett brott. Flera incidenter utlöser säkerhetsvarningar, och det är inte möjligt att svara på varje trigger. Så det blå laget måste sätta ett filter för vad som räknas som en incident.

I allmänhet gör de detta genom att implementera ett system för säkerhetsinformation och händelsehantering (SIEM). SIEM: er meddelar blå teamoperatörer när säkerhetshändelser, såsom obehöriga inloggningar parade med försök att komma åt känsliga filer, inträffar. Vanligtvis, efter meddelande från en SIEM, granskar ett automatiserat system hotet och eskalerar till en mänsklig operatör vid behov.

Blå teamoperatörer svarar vanligtvis på incidenter genom att isolera det system som har äventyrats och ta bort hotet. Incidentrespons kan innebära att stänga av alla åtkomstnycklar i fall av obehörig åtkomst, göra ett pressmeddelande i fall där incidenten påverkar kunder och släppa en patch. Senare gör laget en kriminalteknisk granskning efter ett brott att samla in bevis som hjälper till att förhindra en upprepning.

Hotmodellering

Hotmodellering är när operatörer använder kända sårbarheter för att simulera en attack. Teamet gör en spelbok för att svara på hot och kommunicera med intressenter. Så när en riktig attack inträffar har det blå laget en plan för hur de ska prioritera tillgångar eller allokera arbetskraft och resurser till försvaret. Naturligtvis går det sällan precis som planerat. Ändå, att ha en hotmodell hjälper blå teamoperatörer att hålla den stora bilden i perspektiv.

Robust Blue Teaming är proaktivt

De arbetsblå teamoperatörerna säkerställer att din data är säker och att du kan använda tekniken på ett säkert sätt. Men ett snabbt föränderligt cybersäkerhetslandskap innebär att ett blått team inte kan förhindra eller eliminera alla hot. De kan inte härda ett system för mycket heller; det kan bli oanvändbart. Vad de kan göra är att tolerera en acceptabel risknivå och arbeta med det röda teamet för att kontinuerligt förbättra säkerheten.