Wenn Sie Ihre offensive Sicherheitsstrategie ausarbeiten, geht es nicht nur darum, zu gewinnen – vor allem, wenn Sie die Rolle des Hackers spielen.
Red Teams sind darauf aus, anzugreifen. Blue Teams sind darauf aus, zu verteidigen. Während viele davon ausgehen, dass das Ziel eines Engagements darin besteht, dass Red Blue übertrifft, konzentriert sich eine “Purple Team”-Mentalität mehr auf das Lernen. Sie priorisiert das Wachstum über das Ergebnis und trainiert Blue, damit Blue besser wird. Und obwohl ein gewisser Wettbewerbsgeist Spaß machen kann, sorgt eine sicherere Infrastruktur dafür, dass alle gewinnen.
Die Purple Team-Mentalität Wenn es um die Purple-Mentalität geht, geht es darum, Red und Blue als dasselbe Team zu erkennen.
Ein Purple Team ist jedoch kein separates Ressourcen- oder eigenständiges Team. Es ist einfach eine Denkweise, die Sicherheitspraktiker annehmen müssen, wenn sie offensive Sicherheit planen und in Red Team-Engagements gehen.
Teams mit einer Purple-Mentalität werden die Herausforderung so angehen: Anstatt einfach ein Rundum-Engagement zu starten, in der Hoffnung, Ihr “Ziel” unvorbereitet zu erwischen, wird ein Red Team Purple spielen und als Trainingsarm für das Blue Team agieren. Ist das Infiltrieren und Testen der gesamten Umgebung immer noch Teil des Jobs? Ja. Aber der Angriff ist mehr der Prozess, nicht das wahre Ziel.
Dieses Team wird nicht auf die “Bestehen/Durchfallen”-Rate des Blue Teams schauen, sondern eher messen, wie gut sie Angriffe erkennen und darauf reagieren können. Wo liegen sie auf einer Skarla? Was ist nötig, um sich zu verbessern? Dieses Hybrid-Team wird die Dokumentation und das Nachlernen priorisieren, ähnlich wie ein Fußballtrainer das Spielmaterial zeigen und Fehler, die im Training gemacht wurden, überprüfen wird. Ein gelegentliches Scharmützel ist schön, aber vergessen wir nicht den Punkt – den eigentlichen Feind beim großen Spiel zu schlagen.
Wie man richtig Purple macht?
Kommunikation und Lernen sind der Kern des Prozesses, aber hier kommt der Gummi auf die Straße. Um von einem Red vs. Blue zu einer soliden Purple-Kultur zu wechseln, müssen Teams:
1. Mit Metriken im Kopf beginnen
Planen Sie das Engagement, begrenzen Sie Ihren Umfang, kennen Sie Ihren Fokus und haben Sie vorbestimmte Metriken bereit, die Sie erfassen wollen. Es ist wie die Fragen zu lesen, bevor Sie nach den Antworten suchen – Sie werden viel mehr bekommen.
2. Die Stärken von Red und Blue nutzen
Verpassen Sie nicht die Gelegenheit, das Beste aus beiden Teams herauszuholen. Idealerweise sollte dies kollaborativ sein. Blue Teams und Red Teams haben unterschiedliche Stärken, so dass sie unterschiedliche Ideen auf den Tisch bringen und sicherstellen können, dass Ihre Organisation das Beste aus den Engagements herausholt. Sie werden die Dinge aus zwei verschiedenen Perspektiven sehen, also holen Sie die Führungskräfte in den Raum und besprechen Sie die Spezifikationen vorher mit einem Ohr für jede Seite. Das zu tun, bevor das eigentliche Engagement stattfindet, könnte genauso wertvoll sein wie danach.
3. Kommunikationskanäle etablieren
Während es nicht immer praktisch sein mag, das Engagement zu besprechen, sollten die Teams wissen, wie und wann sie kommunizieren können, und Möglichkeiten erhalten, dies sicher zu tun. Das Ziel eines Purple Teams ist es, nachzufassen, zu korrigieren und sich auszutauschen, um zu lernen. Das kann nur geschehen, wenn eine festgelegte Zeit und ein Raum dafür reserviert, priorisiert und hervorgehoben werden.
4. Zeigen Sie Ihre Arbeit
Gute Red Teamer werden kreativ, und das tun auch gute Hacker. Das ist wichtig. Aber vergessen Sie nicht den wichtigsten Teil: sicherzustellen, dass das Blue Team versteht, was Sie getan haben, wie es funktioniert hat und warum sie (vielleicht) versagt haben. Der ganze Punkt ist, dass sie bei demselben Szenario nicht wieder versagen werden. Das kann Teil des abschließenden Rückblicks sein, da es zusätzliche Anleitung zur Behebung und zum weiteren Vorgehen geben kann. Das Engagement ist das Mittel zum Zweck; Bildung ist das ultimative Ziel, und zu verstehen, wo die Dinge schiefgelaufen sind, ist der Schlüssel, um sie besser zu machen.
Sobald diese Schritte ausgeführt sind, ist es gut, regelmäßig nachzutesten, um zu vermeiden, dass Ihre Arbeit verschwendet wird. Sie wollen niemals den Lernzyklus stoppen, vor allem nicht, nachdem Sie so viel Arbeit investiert haben, um Ihr Team bei ihrem ersten echten Purple Team-Engagement effektiv zusammenarbeiten zu lassen. Denken Sie daran, dass Bedrohungsakteure ihre Taktiken ständig ändern, daher wird das erneute Testen nicht nur die Kommunikationsfähigkeiten der Teams schärfen, sondern ihnen auch helfen, auf dem neuesten Stand der Angriffstechniken zu bleiben.
Die richtigen Red Teaming Tools für Purple Engagements
Effektives Purple Teaming hängt von den verfügbaren Tools ab, um die Arbeit zu erledigen. Ausgefeilte Tools bedeuten eine größere Lernkurve und mehr Lernmöglichkeiten. Sie bedeuten auch, dass Ihr Team eine bessere Chance hat, einer bestimmten Angriffstechnik nicht zum ersten Mal in freier Wildbahn zu begegnen, mit echten Daten auf dem Spiel und Ihren Systemen in Gefahr. Verhindern Sie dies, wenn Sie können.
Und wenn Sie es nicht können, denken Sie daran, dass es zwar einschüchternd sein mag, Taktiken zu verwenden, die Ihr Team noch nie gesehen hat, aber es ist der einzige Weg, sie auf Taktiken vorzubereiten, die sie noch nie gesehen haben. Irgendwann werden sie die Reflexe entwickeln müssen, und was gibt es Besseres als ein sicheres Scharmützel mit Gegnern, die Ratschläge geben können?
Für ein effektives Engagement brauchen Sie die richtigen Red Team-Tools. Während Purple gleichbedeutend ist mit Lernen und Zusammenarbeit, wenn Sie kein richtiges “Red Team-Engagement” haben, von dem Sie ausgehen können, wird es nichts zu lernen geben. Diese Red Team-Tools von Fortra ermöglichen es Ihnen, Ihre Teams auf höchstem Niveau zu engagieren, und das aus einer Purple-Perspektive:
Cobalt Strike:
Fortra’s Cobalt Strike ahmt die Techniken nach, die von den heutigen fortgeschrittenen Gegnern verwendet werden, so dass Ihre Teams die bestmögliche Vorbereitung erhalten. Ein ausgefeiltes Bedrohungsemulationstool, das die Züge eines heimlichen Bedrohungsakteurs nachbilden kann, der monatelang im Netzwerk verborgen lag. Testen Sie Ihr Team und Ihre Technologien, denn beide werden herausgefordert, bösartige Angriffsmuster zu erkennen. Beacon, Cobalt Strikes asynchroner Exploitation-Agent, ermöglicht es Ihnen, über den ersten Angriff hinauszugehen und Ihr Team darauf vorzubereiten, wie es mit allem umgehen soll, was danach kommt, wo die wirklichen Probleme beginnen.
Outflank Security Tooling (OST):
Outflank Security Tooling (OST) ist eine Suite von Tools, die geschaffen wurde, um die ausgefeilten Techniken von APTs und organisierten Verbrechergruppen zu simulieren. Dieser vielfältige Satz von Tools deckt jeden Teil der Angriffskette ab und macht es fortgeschrittenen Teams leicht, technisch spezifische Aufgaben mit Leichtigkeit zu erledigen. Außerdem sind sie so konzipiert, dass sie an den Verteidigungen vorbeikommen, der Erkennung entgehen und Teams jeder Farbe das Leben schwer machen. Schließlich werden es die Angreifer tun.
Mit den richtigen Tools und der richtigen Einstellung können alte “Red vs. Blue”-Teams zu Purple-Teams umrüsten, die ihre Fähigkeiten bewusst schärfen und das Beste aus jedem Engagement herausholen.