La rivalità di lunga data tra le squadre rosse e blu ha avuto uno scopo vantaggioso, simulando l'ambiente altamente competitivo del mondo reale tra gli hacker e le organizzazioni che difendono. Tuttavia, i recenti progressi nelle capacità del team blu e la sofisticazione delle tecnologie di sicurezza che le supportano hanno spostato l'equilibrio tra i due gruppi.

Mentre negli anni passati la squadra rossa aveva sempre avuto il sopravvento, la squadra blu è ora sempre più attrezzata per difendere le superfici di attacco aziendali mentre caccia in modo proattivo le minacce. Ciò avvantaggia molti nell'ecosistema della sicurezza e può apportare più valore alla pratica generale. Ci sono alcuni modi chiave in cui le imprese dovrebbero trarre vantaggio dalla nuova dinamica.

I progressi tecnologici stanno livellando il campo di gioco

Qualche anno fa era molto semplice per le squadre rosse
per emulare gli hacker e lanciare attacchi riusciti su host e server. Adesso,
gli strumenti di protezione degli endpoint sono migliorati al punto che i team di sicurezza possono farlo
concentrarsi sull'offensiva con la caccia alle minacce. Senza file, comportamentale o
attacchi ransomware che sarebbero stati persi dalle squadre blu alcuni anni fa
sono diventati la posta in gioco. Ad esempio, maggiori capacità nell'endpoint
gli strumenti di protezione ora consentono ai team di controllare gli attacchi quasi a livello forense
livello. Ciò significa che le capacità difensive sono diventate sempre più sofisticate.

Nel frattempo, i progressi in AI e
l'apprendimento automatico ha notevolmente migliorato e automatizzato gran parte del blu
lavoro di squadra. Il lato difensivo era impantanato da inefficienti,
attività ripetitive come setacciare volumi elevati di eventi non azionabili o
annegando nel rumore di troppe allerte. Non più tardi di pochi anni fa, lì
non c'era modo per le squadre blu di tenere il passo con l'enorme volume di minacce
organizzazioni in pericolo. Avanti veloce fino ad oggi e ora abbiamo il
capacità di catturare molti degli attacchi di comportamento "lento e basso" o periferico
che si intrufolava facilmente. Le squadre blu ora hanno la libertà di concentrarsi
compiti di livello superiore come la caccia alle minacce più coinvolgenti, gratificanti e
efficace. Ancora meglio, stanno sfidando le squadre rosse a intensificare il loro gioco.
Questa evoluzione significa che molti team di sicurezza ora comprendono che eseguire un test con penna
e andarsene non è più abbastanza buono. C'è una maggiore attenzione su come
risolve effettivamente una vulnerabilità. Ora è il momento perfetto per ottimizzare la tua strategia
con tre tattiche per ottenere il massimo valore da questa dinamica.

1) Adotta una mentalità da "squadra viola"

Le squadre rosse e blu non dovrebbero più lavorare
silos indipendenti. Il miglior valore deriva dalla fusione dei due insieme, non in
una squadra viola completamente separata ma con una mentalità viola che combina
apprendimento, strategia e pensiero critico da entrambe le parti. In passato lo era
comune per la squadra rossa fare semplicemente il proprio lavoro e inviare un rapporto al riguardo senza
coinvolgendo la squadra azzurra. Non lo taglierà più. L'attenzione ora dovrebbe
essere sulla collaborazione.

 Le squadre rosse e blu dovrebbero imparare da ciascuna
e spingersi a vicenda per sviluppare nuove abilità. Il lato offensivo dovrebbe
comunicare apertamente le loro tattiche e tecniche delineando quale attacco
sono in esecuzione, così come eventuali potenziali porte, processi o altri elementi noti
che può essere utilizzato. Da lì, la squadra blu può vedere come appare da un file
punto di vista forense e quali tipi di registri eventi dovrebbero tenere d'occhio
per garantire che possano essere rilevati in tutto o in parte. Possono anche
comunicare ciò che stanno vedendo per informare su come la squadra rossa può nascondersi meglio
i loro attacchi in base a ciò che la squadra blu è in grado di rilevare. Avere entrambe le squadre
lavorare insieme in tempo reale, ove possibile, assicura che nulla scivoli tra
le crepe.

Ad esempio, strumenti come Bloodhound
e Empire ha funzionato come per magia alcuni anni fa. In genere, nessuno lo rileva
loro. Invece della squadra rossa che abbatteva le difese e se ne andava, le ho fatte restare
con esso e insegnare al team blu quali tipi di registri cercare per migliorare
prevenire tali attacchi in futuro.

2)
Utilizza strumenti che abilitano e migliorano la collaborazione

Le squadre rosse e blu devono condividere le metriche,
informazioni e obiettivi per interagire meglio e ottenere il massimo dal simulato
processo di attacco. L'utilizzo degli strumenti giusti può aiutare ad abilitarlo. Progressi in SIEM
e la tecnologia SOAR hanno avuto enormi vantaggi. Implementa un playbook ispirato a SOAR
per automatizzare i frutti a bassa pendenza e consentire ai team blu di concentrarsi su di più
tecniche all'avanguardia. Questo può essere utile anche per il reclutamento. Uso
Playbook SOAR per automatizzare le difese di sicurezza di basso livello così il tuo team di sicurezza
ha la libertà di concentrarsi su progetti di caccia alle minacce più coinvolgenti ed entusiasmanti.
Ciò contribuirà ad attrarre e trattenere i migliori talenti, il che è in aumento
sfida nello spazio della sicurezza. Questi strumenti possono anche alimentare
condivisione di informazioni e collaborazione. Ad esempio, ho il mio blu interno
il team lavora con il team rosso per mostrare loro come scriverebbero il contenuto dell'avviso nel file
SIEM, che ha aiutato i rossi a migliorare la furtività del loro comando e controllo
canali di comunicazione.

3)
Incoraggia i giocatori rosso e blu a cambiare lato

io incoraggio
professionisti della sicurezza per cambiare lato - dall'offesa alla difesa e al vizio
versa. Ciò consente loro di ottenere nuove prospettive sulle ultime tecniche di
l'altra squadra sta usando. Ad esempio, i giocatori offensivi che sono abituati facilmente
compromettere una rete ha dovuto migliorare le proprie capacità per nascondersi meglio
le loro tracce ed eludere attivamente le squadre blu. Ora hanno bisogno di costruire meglio
infrastruttura per nascondere persistenza e comunicazioni esterne per evitare meglio
rilevamento. Abbiamo un laboratorio con la maggior parte degli strumenti difensivi disponibili, quindi il nostro interno
squadra rossa può entrare e conoscere le ultime tecniche di caccia alle minacce
informare le proprie strategie. Al contrario, i membri del nostro team blu si cimentano
nel rilevare attacchi all'avanguardia per rimanere aggiornati con gli ultimi trucchi.

 Mentre la dinamica tra rossoblù
continua ad evolversi, una cosa rimane invariata: per proteggersi meglio
contro le minacce più recenti, è essenziale investire in modo solido e equo
entrambe le parti. Le organizzazioni dovrebbero sfruttare questi cambiamenti unendo il rosso e
squadre blu con un obiettivo condiviso: trovare i punti deboli e capire come
affrontarli al meglio; per respingere con successo gli attacchi; e per migliorare il complessivo
posizione di sicurezza dell'azienda. Questo è stato e, idealmente, lo sarà sempre
modo più efficace da seguire.

Joe Partlow è il chief technology officer di ReliaQuest.

Dal numero di marzo 2020 di SC Media