Ведущие эксперты отрасли в студии AM Live обсудили, для чего компании необходимы кибертренировки в формате Purple Teaming, от каких угроз они позволяют защититься и какие проблемы с их помощью можно решить, а также кому и когда стоит прибегать к этому инструменту.
Введение
Злоумышленники используют разные инструменты для совершения атак на корпоративные ресурсы. Среди самых популярных, помимо фишинга и прочей социнженерии, — DDoS-атаки. Сейчас они стали комплексными, то есть хакеры атакуют одновременно сайты, сети и инфраструктуры компаний. Это подталкивает предприятия к такому же комплексному подходу по защите своих сетей. В новом эфире AM Live обсуждался процесс смешанных тренировок специалистов по ИБ, отвечающих за безопасность компаний, — Purple Teaming.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Евгений Вызулин, эксперт отдела систем мониторинга ИБ, «Инфосистемы Джет»;
- Вадим Шелест, руководитель группы анализа защищённости, Wildberries;
- Кирилл Селезнев, руководитель направления анализа защищённости CICADA8 центра инноваций Future Crew;
- Юлия Воронова, директор по консалтингу центра компетенций Positive Technologies.
Ведущий и модератор дискуссии — Лев Палей, директор по информационной безопасности, «Вебмониторэкс».
Purple Teaming и зачем он нужен
Что такое Purple Teaming
Вадим Шелест:
— Purple Teaming — это процесс оценки уровня зрелости компании относительно информационной безопасности. Это только один из этапов, который позволяет оценить, насколько хорошо выстроена защита компании. Результат этой деятельности — понимание, как нужно оптимизировать мониторинг, расследование, реагирование и предотвращение инцидентов.
Вадим Шелест, руководитель группы анализа защищённости, Wildberries
По мнению Кирилла Селезнева, компании, которые доросли до Purple Teaming, демонстрируют уже средний уровень зрелости. Они провели работу над ошибками в области безопасности, реализовали Red Teaming, выстроили центр мониторинга (SOC) и хотят оценить и проверить эффективность внедрённых средств защиты.
Юлия Воронова отметила, что Purple Teaming — это тема развития команды, которая позволяет понять, всё ли правильно сделано в процессах Red Teaming.
Юлия Воронова, директор по консалтингу центра компетенций Positive Technologies
При этом ИБ-компании помогают заказчикам подготавливать экспертизу под выявленные векторы угроз.
Больше половины зрителей AM Live (53 %) знают о Purple Teaming только в теории, а 29 % вообще ничего не слышали об этом до эфира. 9 % респондентов хорошо понимают, о чём речь, и проводят Purple Teaming самостоятельно, а 6 % — пользовались внешним сервисом такого рода. Оставшиеся 3 % ответили, что им «приходилось участвовать».
Рисунок 2. Что вы знали о Purple Teaming до эфира?
Кому нужен Purple Teaming
Евгений Вызулин:
— Главный критерий — это понимание необходимости Purple Teaming на данный момент. Компании такого уровня уже достигли средней зрелости SOC.
Заказчики не должны думать, что Purple Teaming — это дорогое удовольствие. По стоимости эти услуги сравнимы с пентестом.
Кирилл Селезнев:
— Purple Teaming необходим крупным компаниям с высоконагруженными системами и критической важностью непрерывности бизнеса. Даже если компания уже много потратила на правила корреляции и SOC, это не даст полной уверенности в чётком отражении атаки извне.
Не имеет значения, чем занимается организация, считает Евгений Вызулин. Главное — это наличие критически важных активов. Purple Teaming даёт возможность противостоять злоумышленникам на равных — подготовиться к возможным атакам и развить SOC.
Невозможно успешно и эффективно отражать атаки, не оттачивая заранее процессы обнаружения и реагирования в команде, подчеркнул ведущий эфира Лев Палей.
Лев Палей, директор по информационной безопасности, «Вебмониторэкс»
Практика Purple Teaming
Идеальный результат Purple Teaming
Идеальный результат Purple Teaming заключается в существенном повышении киберустойчивости организации, считает руководитель департамента сервисов кибербезопасности Innostage Екатерина Сюртукова.
По её мнению, во время Purple Teaming отрабатываются наиболее актуальные и вероятные для заказчика угрозы, выявляются архитектурные и процессные проблемы и заторы в работе команды. Это позволяет своевременно устранить уязвимости и скорректировать работу систем.
25 % зрителей эфира AM Live в первую очередь ожидают от Purple Teaming отработки релевантных векторов атак, а 23 % — улучшения эффективности и коммуникации в команде. Чуть менее — 22 % — хотят быстро обучить защитников. 11 % респондентов ответили, что не хотят проводить пентесты и Red Teaming, а 8 % — что желают оперативного устранения всех найденных уязвимостей. Ещё 11 % не видят ценности в этом инструменте.
Рисунок 3. Каких результатов вы ожидаете от Purple Teaming в первую очередь?
Практика организации Purple Teaming
По мнению Евгения Вызулина, в компании можно реализовать два варианта. Первый из них — сторонняя организация, которая реагирует на инциденты и отслеживает их, предоставляет сервис Blue Team и совместно с «красной» командой оказывает услуги Purple Teaming. Это помогает развивать SOC в компании, анализируя векторы атаки, добавляя методы детектирования и увеличивая площадь охвата инфраструктуры.
Второй вариант — когда в компании уже есть своя «синяя» команда. Тогда вендор проводит аудит, «красные» реализовывают все векторы атак, а «синие» отрабатывают механизмы модернизации реагирования и мониторинга.
Вадим Шелест добавил, что есть ещё методика планирования по целям и ключевым результатам: максимально структурированно описать цели, чтобы на выходе получить максимальное взаимопонимание, оплачивая проект. Иначе можно делать не то, что нужно, и закрывать не те пробелы. Для оценки результатов можно использовать всем известные KPI.
Стоимость Purple Teaming
Кирилл Селезнёв пояснил, что стоимость Purple Teaming зависит от количества техник и векторов атак, которые закладываются в процесс. Эксперт оценил её примерно в 2,5 млн рублей за несколько месяцев работ силами пяти человек.
Юлия Воронова не согласилась с такими расчётами и предположила, что команда за такую оплату будет работать неполный день.
По мнению Вадима Шелеста, для прихода к Purple Teaming необходим для начала SOC, который обеспечивает мониторинг и реагирование. Второй элемент — это понимание того, как приоритизировать недопустимые уязвимости и что компания должна в первую очередь оптимизировать. Третий момент — это понимание важности постоянного совершенствования информационной безопасности со стороны топ-менеджмента.
Эксперты советуют проводить Purple Teaming не реже одного раза в год.
Сценарии Purple Teaming
К сценариям Purple Teaming относятся развитие атаки со внешнего периметра, атаки на контроллер домена, активность шифровальщиков, недоступность и вывод из строя инфраструктуры, извлечение информации, проникновение в сегмент АСУ ТП и т. д.
При этом каждый сценарий можно отыгрывать по-разному — например, с позиции внешнего злоумышленника или инсайдера. Можно проверить компрометацию через почту путём социнжиниринга или проникнуть в периметр организации через внешние ресурсы. Сценариев может быть бесчисленное множество.
Зачастую заказчики обращаются за услугой проникновения «с улицы», то есть из-за пределов внешнего периметра организации, а не изнутри.
Будущее Purple Teaming
Юлия Воронова:
— Мне видится логичным развитие Purple Teaming в сторону Bug Bounty. Тогда те результаты, которые заказчик хочет получить, будут достигаться значительно быстрее. Услуга станет доступной для владельцев SOC и перестанет быть элитарной.
Кирилл Селезнев:
— Становится всё больше команд по реагированию на инциденты на уровне Blue Team. Всё больше компаний уходят во внутреннюю историю, а не в коммерческую. Purple Teaming будет всё больше автоматизироваться.
Кирилл Селезнев, руководитель направления анализа защищённости CICADA8 центра инноваций Future Crew
Есть вероятность, что пентест будет отдан на откуп автоматике и искусственному интеллекту. Purple Teaming, в свою очередь, не сможет обойтись без людей, потому что только он сможет генерировать неожиданную реакцию во время атаки и её отражения.
Евгений Вызулин:
— Я считаю, что в ближайшие два-три года Purple Teaming будет только развиваться как технологическая платформа, автоматизировать взаимодействие Red Team и Blue Team. Может появиться нейросеть, которая будет помогать Red Team находить новые векторы атак и расписывать, каким образом их можно реализовывать. Это увеличит эффективность Purple Teaming и оптимизирует затраченное на этот проект время.
Евгений Вызулин, эксперт отдела систем мониторинга ИБ, «Инфосистемы Джет»
Вадим Шелест:
— Всё, что сказали коллеги, работает и будет развиваться. Компании, дойдя до определённого уровня зрелости, будут приходить к тому, чтобы реализовывать внутри компании Purple Teaming без посредничества внешних исполнителей. Вместе с тем и время, которое тратят защитники на создание правил мониторинга и корреляции, будет уменьшаться.
Выводы
Компания не может знать, готова ли она к отражению атак и насколько высок уровень её безопасности, без предварительной проверки. Узнать об этом можно с помощью разных инструментов (Bug Bounty, киберполигоны), включая Purple Teaming.
С помощью этого процесса отрабатываются наиболее актуальные и вероятные угрозы, выявляются архитектурные и процессные проблемы и затруднения в работе команды. Всё это позволяет своевременно устранить уязвимости и скорректировать работу систем безопасности, что готовит компанию к реальным угрозам.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
