Вадим Шелест, Wildberries: Red Teaming – это своего рода экзамен, во время которого можно чему-то научиться, но в большинстве случаев будет уже слишком поздно

Вадим Шелест, руководитель группы анализа защищенности Wildberries, автор блога PurpleBear и лауреат премии «Киберпросвет», рассказал порталу Cyber Media о специфике реализации проектов purple team, отличиях от классических редтим-проектов и полезности purple team для обучения команд защитников.

Cyber Media: Под редтим-проектами часто понимают «проверку на взломоустойчивость, максимально приближенную к реальным условиям». А какие еще задачи решаются с помощью редтиминга?

Вадим Шелест: Red Team по своей сути – это симуляция реальных кибератак, чтобы узнать, насколько подразделения SOC готовы отражать подобные угрозы. Одна из ключевых задач проектов в этом формате – оценка эффективности процессов обнаружения, реагирования, предотвращения и минимизации последствий недопустимых событий/бизнес-рисков в боевых условиях. К другим задачам можно отнести проверку эффективности технических уровней контроля и средств защиты в отношении актуальных сценариев и методов, которые используют реальные злоумышленники.

Также мы оцениваем «человеческий фактор», а именно способность защитников успешно отражать атаки в условиях стресса и неопределенности. Например, моделируем ситуацию, когда дежурная смена SOC ночью в выходной день вынуждена разбираться с большим количеством инцидентов, правильно распределять приоритеты в условиях недостатка ресурсов и информации.

Cyber Media: Если смотреть на редтим-проект с точки зрения обучения blue team, какой подход можно считать классическим?

Вадим Шелест: Red Team, как формат тестирования на проникновение, – это не совсем обучение, а в большей степени отработка навыков защитников в боевых условиях. По сути, это такой зачет/экзамен, во время которого, конечно, можно чему-то научиться, но в большинстве случаев будет уже слишком поздно.

Задачи, связанные с обучением, намного эффективнее решать в рамках Purple Teaming – этот формат предполагает активное взаимодействие атакующих и защитников, таким образом формируются необходимые навыки и экспертиза участников обеих команд.

Cyber Media: Как выглядит применение подхода purple team на практике? Это просто команда, которая, условно, «смотрит в обе комнаты», если взять в качестве примера популярные кибербитвы?

Вадим Шелест: Purple Teaming – это тоже симуляция действий атакующих, но, в отличие от Red Teaming, защитники полностью осведомлены о проведении работ и принимают активное участие. Атакующие реализуют определенные сценарии на основе техник и процедур реальных злоумышленников и совместно с защитниками оценивают полноту покрытия средствами мониторинга, наличие алертов, возможности реагирования и прочее.

По результатам работ совместными усилиями обеих команд формируются рекомендации для оптимизации выявленных недостатков, предлагаются конкретные способы, которые позволяют улучшить возможности защитников противостоять подобным киберугрозам. Синергия, которая рождается в процессе взаимодействия обеих команд, позволяет максимально эффективно обеспечить непрерывный процесс обучения и формирования необходимых навыков и компетенций защитников и атакующих.  

Cyber Media: Из чего состоит инструментарий «фиолетовой команды»? Какими навыками и знаниями должен обладать специалист, чтобы попасть в нее?

Вадим Шелест: Каждый участник фиолетовой команды – это эксперт в направлении атакующей безопасности, с опытом участия в классических проектах по тестированию на проникновение.

Состав внутренних команд обычно формируется с учетом конкретной специализации каждого участника для решения определенных задач во время проектов. Например, в нашей команде есть эксперты по веб и мобильным приложениям, сетям, инфраструктуре, облакам, системам контейнеризации, виртуализации и так далее.

Cyber Media: Какие факторы нужно учесть, чтобы компания получила максимальную пользу от Purple Teaming?

Вадим Шелест: В первую очередь, нужно постараться обеспечить условия, при которых возможно именно эффективное взаимодействие участников обеих команд, так как защитники и атакующие – это традиционно две противоборствующие стороны, которым в рамках проекта нужно работать вместе. Поэтому необходимо грамотно донести до каждого участника цели, задачи и предполагаемые результаты проекта.

Очень важно создать атмосферу, в которой нет внутренней конкуренции между командами, а полученные результаты никак не коррелируют с финансовой мотивацией сотрудников: никого не накажут, не лишат премии. Обе команды преследуют единую цель – сделать компанию более защищенной!

Cyber Media: Поделитесь вашим опытом в организации проектов с привлечением «фиолетовой команды», с какими интересными кейсами вы сталкивались на практике?

Вадим Шелест: Когда мы только начинали проводить Purple Teaming проекты 6 лет назад, был очень забавный кейс. Нас с ребятами из SOC разместили в одной небольшой переговорке, и во время проведения этапа получения первоначального доступа по сценарию с фишингом учетных данных мы заметили странную особенность.

Мы, как атакующая сторона, разослали фишинговые письма, пользователи оставляли креды, и мы громко обсуждали, к каким учеткам получен доступ, какими привилегиями обладает юзер и так далее. И тут замечаем, что все пользователи, которых мы обсуждали, начинают менять пароли. Мы сначала думали, что фишинговая кампания была так быстро раскрыта. Но оказалось, что ребята из SOC просто слушали, что мы обсуждаем, и точечно сбрасывали пароли от этих учетных записей.

Это, кстати, яркий пример внутренней конкуренции между командами. Оказалось, что руководство компании, для которой мы проводили эти работы, поставило перед SOC условия, что теперь их премия зависит от результатов проекта.