Miks Purple Teaming on puuduv lüli tänapäevases küberturvalisuses?

Tänasel küberturvalisuse maastikul leiavad enamik organisatsioone end kahe reaalsuse vahel: nad teavad, et ründajad arenevad pidevalt ning oma kaitsemeetmeid saab usaldada vaid siis, kui neid on välise surve all proovile pandud. Red Teaming’u teenus, läbistustestid ja turvaauditid pakuvad küll kasulikke andmeid, kuid sageli jääb siiski õhku küsimus: kas vastase rünnaku korral ollakse selleks tõeliselt valmis?

Siin tulebki mängu Purple Teaming. See ühendab endas parima ründetestimise ja kaitsekontrolli praktika, liidab need ühiseks koostööharjutuseks ning muudab teooria praktiliseks valmisolekuks.

Mis on Purple Teaming?

Purple Teaming’u teenus on struktureeritud simulatsioon pärismaailma ründemeetoditest, mis tugineb MITRE ATT&CK raamistikule ning lähtub kliendi tööstusharu kõige asjakohasematest ohtudest. Erinevalt Red Teaming’ust, kus ründajad tegutsevad varjatult, et kaitsjate eest kõrvale hoida, põhineb Purple Teaming läbipaistvusel ja koostööl.

Red Teaming’u puhul rakendatakse erinevaid tehnikaid: esmane ligipääs, kaitsemehhanismide vältimine, mandaatide kogumine, õiguste tõstmine, külgliikumine võrgus või andmete väljaviimine. Samas Blue Teaming’u puhul toimub aktiivne jälgimine, uurimine ja reageerimine. Iga samm on läbimõeldud: alustatakse lihtsatest ja ilmselgetest meetoditest, mida küps kaitsesüsteem peaks suutma tuvastada, ning liigutakse järk-järgult varjatumate tehnikate suunas, mis panevad organisatsiooni tuvastusvõimekuse proovile.

Töövõtt võib näiteks alata sellega, et Mimikatz paigutatakse otse kettale, kui simuleeritakse tehnikat T1003 OS Credential Dumping – see käivitab tõenäoliselt enamikes lõppseadmete kaitsesüsteemides häire. Hiljem võib sama mandaatide kogumise eesmärki saavutada üksnes mälus toimiva beacon’i kaudu või süsteemi sisseehitatud binaaride abil, mis sulanduvad õiguspäraste protsesside hulka.

Eesmärk ei ole üksnes rünnaku õnnestumine või ebaõnnestumine, vaid tuvastamissügavuse mõõtmine, kaitseprotsesside valideerimine ja mõlema meeskonna reaalajas õppimise toetamine.

Kuidas toimib Purple Teaming'u teenus?

Purple Teaming’u teenust piiritletakse vastavalt kliendi eesmärkidele ja võimekusele. Väiksema töövõtu puhul võidakse testida 20 ründetehnikat kogu ründeahela ulatuses, samas suuremahulisem töövõtt võib hõlmata 40 või enamat tehnikat, simuleerides kõike alates õngitsemise (phishing) rünnakutest kuni andmete väljaviimiseni.

Tööprotsess on metoodiline:

lan

Planeerimine ja kooskõlastamine

töövõtt algab sidusrühmadega kooskõlastatud testimisplaaniga, et vältida üllatusi. See tagab, et valitud TTP-d (taktikad, tehnikad ja protseduurid) ei kajasta vaid levinud ründevektoreid, vaid ka kliendi sektorile omast ohuluuret ning organisatsiooni prioriteetseid algatusi.

api

Ründeahela täideviimine

operaatorid sooritavad rünnakuid kogu sissetungi elutsükli vältel: sisenemine, käivitamine, õiguste suurendamine, avastamine, püsimajäämine, külgsuunaline liikumine, andmete kogumine ja väljaviimine. Iga sammu logitakse, jälgitakse ja vaadatakse üle selle toimumise ajal.

groups_2

Reaalajas koostöö

pärast iga tehnika rakendamist tehakse lühike paus. Blue Team jagab, mida nad märkasid või ei märganud. Red Team selgitab, mida tehti, millised jäljed jäid maha ning mida võiksid kaitsjad järgmine kord otsida. Õppimine toimub jooksvalt, mitte mitu nädalat hiljem.

document_scanner

Aruandlus ja soovitused

lõpus koondatakse tulemused üksikasjalikku raportisse, kus tuuakse muu hulgas välja, milliseid variatsioone tuvastati või tõkestati, kus vajab kaitse tugevdamist ning kuidas tuleks parendusi prioritiseerida. Juhtidele esitatakse selge ülevaade tugevustest, nõrkustest ja strateegilistest järgmistest sammudest.

Purple Teaming'u eelised

Tegutsemiskindlus

Küberjulgeoleku eest vastutavad juhid investeerivad sageli palju lõppseadmete tuvastusse, SIEM-platvormidesse ja ohuluure voogudesse, ent paratamatult tekib küsimus: kas kõik need lahendused töötavad ka tegelikkuses koos? Purple Teaming’uga pannakse need investeeringud proovile. See näitab, millised häired käivituvad usaldusväärselt, millised reeglid on liiga mürarikkad, et olla praktiliselt kasutatavad, ning milliseid turvaauke võiksid ründajad kasvõi hommepäev ära kasutada.
Kaitseoskuste arendamine

Blue Team’i jaoks on Purple Teaming ehe näide õppimisest. Analüütikud ei loe pelgalt blogidest või ohuraportitest vastaste käitumise kohta, vaid nad näevad seda omaenda võrgus toimumas ja saavad reageerida realistlikes tingimustes. Tagasiside on kohene, kiirendades oskuste arengut viisil, mida situatsiooniharjutused ei suudaks kunagi pakkuda.
Vastavus ja regulatiivne kooskõla

Üha rohkem järelevalveasutusi ja katusorganisatsioone mõistavad, kui oluline on testida tuvastamis- ja reageerimisvõimekust, mitte ainult ennetavaid kontrollimeetmeid. Purple Teaming saab otseselt toetada finantsteenuste, tervishoiu või elutähtsa infrastruktuuri valdkonnas tegutsevate organisatsioonide regulatiivse vastavuse eesmärke, näidates, et kaitsemonitooring pole mitte üksnes olemas, vaid ka testitud reaalse ohuolukorra taktikate vastu.

Kulutõhus kindlustunne

Täismahus Red Teaming’u testid on väärtuslikud, kuid samas väga ressursimahukad. Purple Teaming pakub vahepealset lahendust: struktureeritud ja korduv viis kaitsemeetmete valideerimiseks ilma kuudepikkust varjatud kampaaniat operatiivkulude ja -koormuseta. Paljudele organisatsioonidele annab see 80% vajalikust infost oluliselt väiksema kuluga.
Kohandatud sinu ohupildile

Purple Teaming’u teenust saab kohandada sinu organisatsiooni jaoks kõige relevantsematele ohtudele vastavaks – olgu selleks sinu sektorit sihtivad lunavararühmad, tarneahela rünnakud sinu piirkonnas või sisemiste ohtude stsenaariumid. See tagab, et teenus on konkreetselt sinu vajadustele vastav, mitte pelgalt teoreetiline.

Miks see on just praegu oluline?

Küberturvalisuse maastik pole kunagi olnud nii dünaamiline ja kiirelt muutuv. Kurjategijad uuendavad oma meetodeid iga päev, kasutades nullpäevade haavatavust, kuritarvitades seaduspäraseid tööriistu ning muutes taktikaid kohe, kui kaitsemeetmed järele jõuavad. Samal ajal juurutavad organisatsioonid üha rohkem tehnoloogiaid – pilveplatvorme, SaaS-rakendusi, kaugtöö infrastruktuuri –, millest igaüks toob kaasa uusi tuvastamise ja monitoorimise väljakutseid.

Kõige selle valguses ei piisa enam traditsioonilistest testidest. Iga-aastased läbistustestid kinnitavad konfiguratsioone ja Red Team’id simuleerivad vastaseid, kuid kumbki neist ei taga, et sinu organisatsiooni kaitse suudab rünnakuid reaalajas tuvastada ja peatada. Purple Teaming aitab seda lünka täita: see ei mõõda üksnes seda, kas süsteemi saab kompromiteerida, vaid ka seda, kas kompromiteerimine avastatakse ning milline on meeskonna reageerimisvõime.

Juhtidele annab see kindluse, et küberturvalisuse investeeringud on efektiivsed. Spetsialistidele pakub see selget tegevusplaani tuvastusvõimekuse ja intsidentidele reageerimise tugevdamiseks. Kogu organisatsiooni jaoks loob see koostöökultuuri, kus rünnak ja kaitse ei ole vastandid, vaid töötavad koos vastupidavuse nimel.

Purple Teaming ei ole luksus – see on muutumas hädavajalikuks praktikaks organisatsioonidele, kes võtavad turvalisust tõsiselt. Maailmas, kus ründajad ei lõpeta kunagi õppimist, ei saa ka kaitsjad seda endale lubada.

Kas oled valmis oma kaitsevõimet proovile panema?

Pakume KPMG-s Purple Teaming’u teenust maailmatasemel ründe- ja kaitseekspertiisiga. Meie spetsialistid suudavad mööda hiilida kaasaegsetest lõppseadmete kaitsetest, vältida logimist ning simuleerida arenenud ründajate töövõtteid. Oluline on ka see, et töötame kaitsjatega kõrvuti, et õppetunnid oleksid kohesed ja rakendatavad.

Olenemata sellest, kas vajad fokusseeritud teenust või kogu ründeahela terviklikku simulatsiooni, kohandame teenuse sinu organisatsiooni keskkonnale, valdkonnale ja kõige olulisematele ohtudele vastavaks. Tulemuseks ei ole lihtsalt raport, vaid mõõdetav areng sinu organisatsiooni võimes tuvastada, reageerida ja säilitada vastupanuvõime reaalsete rünnakute korral.

Kui soovid teada, kuidas Purple Teaming saab sinu kaitsevõimet tugevdada, võta meiega ühendust. Aitame määratleda just sinu eesmärkidele vastava teenuse ulatuse ning anname selge ülevaate su küberturvalisuse seisust ja mis suunas see peaks edasi liikuma.