Purple Team: зачем «пурпурные» на киберучениях

Киберучения – это один из наиболее эффективных методов тестирования инфраструктуры компании и ИБ-службы, когда речь заходит о зрелых, с точки зрения кибербезопасности компаниях. В их проведении традиционно участвуют две команды: Red Team (атакующие) и Blue Team (защитники).

Однако, в современной практики к учениям все чаще привлекается и третья сторона – Purple Team, задача которых заключается в повышении эффективности киберучений. О том, как эта повышенная эффективность достигается, и какие задачи стоят перед командой «пурпурных» – разбираемся в этой статье.

Проблемы киберучений

Главные сложности с проведением киберучений лежат в организационной плоскости и наиболее характерны для компаний, которые впервые проводят киберучения на своей инфраструктуре и в штате просто нет специалистов с релевантным опытом на уровне топ-менеджмента.

В таком случае вполне может произойти ситуация, когда «молодой», не отлаженный SOC, столкнется с командой опытных редтиммеров. Независимо от результатов таких учений, у команды защитников просто нет достаточного опыта для глубокой и эффективной интерпретации результатов.

Вторая проблемная ситуация обратно противоположна – когда компания уже не раз проводила киберучения, и их эффективность планомерно снижается от раза к разу, как потому что растет уровень защищенности, оперативности реагирования защитников, так и потому что растет потребность в новом уровне экспертизы.

И в том, и в другом случае могут помочь два действия. Первое – это изменение условий киберучений от базовых. Они могут быть открытые, закрытые, нацеленные на конкретные элементы инфраструктуры или даже конкретную реакцию SOCа. Далеко не всегда имеет смысл проводить «полноконтактные» киберучения. Второй элемент – это как раз привлечение Purple Team.

Задачи пурпурной команды

«Классические» киберучения с привлечением двух команд обладают одним недостатком – низким уровнем консолидации информации. По результатам учений обе группы составляют отдельный отчет и обмениваются им, а затем самостоятельно сопоставляют, анализируют. Привлечение Purple Team позволяет углубить процесс обмена информации о действиях защитников и атакующих, обеспечить более комплексное понимание процессов. Это актуально и для «продвинутых», команд, которые, хоть и обладают высоким уровнем компетенций, все же видят ситуацию более однобоко, с позиции своей деятельности.

Александр Герасимов

CISO Awillix

Purple Team может привлекаться для двух разных задач. Во-первых, для проверки качества работы Blue team. В этом случае они выполняют роль арбитра, чья задача обеспечить и довести до максимума эффективность работы Красных и Синих команд. Они вписывают защитные приемы синих команд и исследования угроз красных в единый контекст. Когда проект заканчивается, все проведенные работы красной и синей команды сопоставляются. Задача фиолетовой команды в таком контексте — это определить слабые места SOC-а, подсветить их. Выявить системы, которые находятся не под мониторингом, где SOC что-то пропустил или плохо отреагировал.

Во-вторых, Purple Team привлекается, чтобы отточить навыки защищающихся. Здесь фиолетовые как бы входит в состав редтиммеров. Например, заказчик ставит задачей — атаку с конкретной моделью нарушителя и определенными векторами атак. Команда многократно выполняет атаку согласно этой модели злоумышленника с похожими векторами атак, и наблюдает за ответной реакцией до тех пор пока SOC не научится реагировать эффективно. Получается Red Team «в открытую». Заказчики могут называть это Red Team, но подразумевать именно такие задачи и цели проекта.

Таким образом, привлечение Purple Team позволяет повысить как уровень аналитики на финальных этапах киберучений, так и решить целый ряд организационных моментов, выстроить взаимодействие между командами для лучшего достижения целей киберучений.

Еще одна важная опция, которую предоставляет Purple Team – это «премодерация» учений. Исходя из заявленных заказчиком целей и задач, команда составляет «тест-кейсы», которые:

• позволяют проработать наиболее « интересный» для компании и ее SOCа сценарий;
• позволяют сузить диапазон атаки до конкретных тренировочных задач и минимизировать риск сбоев систем, которые могут быть вызваны учениями.

Важно понимать, что Purple Team не предлагает ничего такого, до чего SOC, топ-менедмент и пентестеры «не смогли бы дойти сами». Просто эти задачи – смежные, и на их реализацию требуется значительное время, поэтому под них гораздо проще и эффективнее выделить отдельную, профильную команду.

Итоги

Purple Team выполняет огромное количество «черновой» работы, которая связана со сбором данных и аналитикой. Деятельность такой команды позволяет повысить организованность киберучений, снизить риски приостановки деятельности для компании, а главное – консолидировать все полученные сведения и предоставить участникам глубокий разбор всех событий, раскрыть полные цепочки реализованных недопустимых событий. или указать на « огрехи» Blue Team даже при успешном отражении атаки.

Если проводить аналогии, то самое близкое к деятельности Blue Team – это работа организаторов киберполигонов. Она также направлена на углубленное изучение поведения команд и реакцию используемых (либо атакуемых) информационных систем, создание конкретных кейсов для отработки.

Привлечение «пурпурных» может быть актуально как для компаний-«новичков», которые хотят «снизить градус» учений, не теряя в их эффективности, так и для опытных компаний, для которых важно получить глубокое, комплексное понимание всех недочетов в своем реагировании на атаки.