Numerosi team lavorano per combattere gli attacchi informatici all'interno di una rete, uno dei quali è un team blu. Quindi cosa fanno effettivamente?

Il Blue Teaming è la pratica di creare e proteggere un ambiente di sicurezza e rispondere agli incidenti che minacciano tale ambiente. Gli operatori di sicurezza informatica del team blu sono abili nel monitorare l'ambiente di sicurezza che proteggono per le vulnerabilità, siano esse preesistenti o indotte da aggressori. I Blue Teamer gestiscono gli incidenti di sicurezza e utilizzano le lezioni apprese per rafforzare l'ambiente contro futuri attacchi.

Allora perché le squadre azzurre sono importanti? Quali ruoli assumono effettivamente?

Perché è importante il Blue Teaming?

I prodotti e i servizi basati sulla tecnologia non sono immuni dagli attacchi informatici. La responsabilità ricade, in primo luogo, sui fornitori di tecnologia per proteggere i propri utenti da attacchi informatici interni o esterni che potrebbero compromettere i loro dati o risorse. Anche gli utenti della tecnologia condividono questa responsabilità, ma c'è poco che un utente possa fare per difendere un prodotto o servizio con scarsa sicurezza.

instagram viewer

Gli utenti regolari non possono assumere un dipartimento di esperti IT per progettare architetture di sicurezza o implementare funzionalità che aumentino la propria sicurezza. Questa è la responsabilità fiduciaria di un'azienda che si occupa di hardware e infrastrutture di rete.

Organizzazioni di regolamentazione come il Istituto nazionale di standard e tecnologia (NIST) anche loro fanno la loro parte. NIST, ad esempio, progetta framework di sicurezza informatica utilizzati dalle aziende per garantire che i prodotti e i servizi IT soddisfino gli standard di sicurezza.

Tutto è connesso

Tutti si connettono a Internet tramite hardware e infrastrutture di rete (pensa al tuo laptop e al Wi-Fi). Importanti comunicazioni e aziende sono costruite su queste infrastrutture, quindi tutto è connesso. Ad esempio, scatti e salvi foto sul tuo telefono. Esegui il backup di quei file nel cloud. Successivamente, le app di social media sul telefono ti aiutano a condividere momenti con la tua famiglia e i tuoi amici.

Le app bancarie e le piattaforme di pagamento ti aiutano a pagare le cose senza fare fisicamente la fila in banca o spedire un assegno e puoi presentare le tasse online. Tutto ciò avviene su piattaforme a cui ti connetti tramite una tecnologia di comunicazione wireless incorporata in un telefono o laptop.

Se un hacker può compromettere il tuo dispositivo o la tua rete wireless, può rubare le tue foto private, i dettagli di accesso alla banca e i documenti di identità. Possono persino impersonarti e rubare cose alle persone nella tua cerchia sociale. Possono quindi vendere questo tesoro di informazioni rubate ad altri hacker o costringerti a riscattarlo.

Peggio ancora, il ciclo non si conclude con un hack. Già cadere vittima di un hack non significa che altri aggressori ti eviteranno. Le probabilità sono, ti rende una calamita. Quindi, è meglio impedire in primo luogo che gli attacchi inizino. E se la prevenzione non funziona, allora è importante limitare i danni e prevenire futuri attacchi. Da parte tua, puoi limitare l'esposizione con una sicurezza a più livelli. L'azienda delega il compito alla propria squadra blu.

Giocatori di ruolo nella squadra blu

Il team blu comprende operatori della sicurezza tecnici e non tecnici con ruoli e responsabilità specifici. Ma, naturalmente, le squadre blu possono essere così grandi che ci sono sottogruppi di diversi operatori. A volte i ruoli si sovrappongono. Squadra rossa contro squadra blu gli esercizi in genere hanno i seguenti attori di ruolo:

  • La squadra blu pianifica le operazioni di difesa e assegna ruoli e responsabilità ad altri operatori nella cellula blu.
  • La cellula blu comprende gli operatori che fronteggiano la difesa.
  • Gli agenti fidati sono persone che conoscono l'attacco o addirittura assumono la squadra rossa in primo luogo. Nonostante la loro precedente conoscenza dell'esercizio, gli agenti fidati sono neutrali. Gli agenti fidati non si intromettono negli affari della squadra rossa né consigliano le difese.
  • La cella bianca comprende operatori che fungono da buffer e mantengono i contatti con entrambe le squadre. Sono arbitri che assicurano che le attività della squadra blu e della squadra rossa non causino problemi non intenzionali al di fuori dell'ambito dell'ingaggio.
  • Gli osservatori sono persone il cui compito è assistere. Guardano il fidanzamento svolgersi e annotano le loro osservazioni. Gli osservatori sono neutrali. Nella maggior parte dei casi, non sanno nemmeno chi fa parte della squadra blu o rossa.
  • La squadra rossa è composta da operatori che lanciano un assalto all'architettura di sicurezza presa di mira. Il loro compito è trovare vulnerabilità, creare falle nella difesa e cercare di superare in astuzia la squadra blu.

Quali sono gli obiettivi del Blue Team?

Gli obiettivi di qualsiasi team blu dipenderanno dall'ambiente di sicurezza in cui si trovano e dallo stato dell'architettura di sicurezza dell'azienda. Detto questo, le squadre blu in genere hanno quattro obiettivi principali.

  • Identificare e contenere le minacce.
  • Elimina le minacce.
  • Proteggi e recupera i beni rubati.
  • Documentare e rivedere gli incidenti per perfezionare la risposta alle minacce future.

Come funziona il team blu?

Nella maggior parte delle organizzazioni, gli operatori del team blu lavorano in a Centro operativo di sicurezza (SOC). Il SOC è il luogo in cui gli esperti di sicurezza informatica gestiscono la piattaforma di sicurezza di un'azienda e dove monitorano e gestiscono gli incidenti di sicurezza. Il SOC è anche il luogo in cui gli operatori supportano il personale non tecnico e gli utenti delle risorse aziendali.

Prevenzione degli incidenti

Il team blu è responsabile della comprensione e della creazione di una mappa dell'estensione dell'ambiente di sicurezza. Annotano anche tutte le risorse nell'ambiente, i relativi utenti e lo stato di tali risorse. Con questa consapevolezza, il team mette in atto misure per prevenire attacchi e contrattempi.

Alcune delle misure implementate dagli operatori del team blu per la prevenzione degli incidenti includono l'impostazione dei privilegi di amministrazione. In questo modo, le persone non autorizzate non hanno accesso a risorse che non dovrebbero in primo luogo. Questa misura è efficace nel limitare il movimento laterale se un attaccante ottiene l'ingresso.

Oltre a limitare i privilegi di amministrazione, include anche la prevenzione degli incidenti crittografia completa del disco, configurazione di reti private virtuali, firewall, accessi protetti e autenticazione. Molte squadre blu implementano ulteriormente tecniche di inganno, trappole impostate con risorse fittizie per catturare gli aggressori prima che causino danni.

Risposta agli incidenti

La risposta agli incidenti si riferisce al modo in cui il team blu rileva, gestisce e si riprende da una violazione. Diversi incidenti attivano avvisi di sicurezza e non è possibile rispondere a tutti i trigger. Quindi, la squadra blu deve impostare un filtro per ciò che conta come incidente.

In genere, lo fanno implementando un sistema SIEM (Security Information and Event Management). I SIEM avvisano gli operatori del team blu quando si verificano eventi di sicurezza, come accessi non autorizzati associati a tentativi di accesso a file sensibili. Di solito, su notifica di un SIEM, un sistema automatizzato esamina la minaccia e, se necessario, passa a un operatore umano.

Gli operatori del team blu in genere rispondono agli incidenti isolando il sistema che è stato compromesso e rimuovendo la minaccia. La risposta agli incidenti può comportare la disattivazione di tutte le chiavi di accesso in caso di accesso non autorizzato, l'emissione di un comunicato stampa nei casi in cui l'incidente interessa i clienti e il rilascio di una patch. Successivamente, la squadra fa a audit forense dopo una violazione per raccogliere prove che aiutano a prevenire una ripetizione.

Modellazione delle minacce

La modellazione delle minacce è quando gli operatori utilizzano vulnerabilità note per simulare un attacco. Il team crea un playbook per rispondere alle minacce e comunicare con le parti interessate. Quindi, quando si verifica un vero attacco, la squadra blu ha un piano su come dare la priorità alle risorse o assegnare forza lavoro e risorse alla difesa. Certo, le cose raramente vanno esattamente come previsto. Tuttavia, disporre di un modello di minaccia aiuta gli operatori del team blu a mantenere il quadro generale in prospettiva.

Robust Blue Teaming è proattivo

Il lavoro svolto dagli operatori del team blu garantisce che i tuoi dati siano al sicuro e che tu possa utilizzare la tecnologia in sicurezza. Tuttavia, un panorama di sicurezza informatica in rapida evoluzione significa che un team blu non può prevenire o eliminare ogni minaccia. Non possono nemmeno rafforzare troppo un sistema; potrebbe diventare inutilizzabile. Quello che possono fare è tollerare un livello di rischio accettabile e lavorare con il team rosso per migliorare continuamente la sicurezza.