Часто красные и синие команды в тесте работают независимо друг от друга. Фактически, синяя команда, которая часто состоит из службы безопасности организации, не знает о том факте, что тест продолжается.
Целью команды purple является повышение эффективности процесса тестирования безопасности. Предоставляя возможности для обратной связи и сотрудничества на протяжении всего процесса тестирования, атакующая команда может сосредоточить свои усилия на том, где они принесут наибольшую пользу, основываясь на отзывах защитников.
Как работает процесс тестирования безопасности в Purple Team?
Тест безопасности фиолетовой команды показывает, что существует более высокий уровень коммуникации и сотрудничества между атакующей и оборонительной командами, чем при традиционном взаимодействии красной команды, когда синяя команда может не знать о проведении учений. Однако это расширенное сотрудничество может принимать несколько различных форм.
Один из вариантов — привлечь полную фиолетовую команду из-за пределов организации. Эта единая команда может разделиться на красную и синюю команды для проведения теста, и участники могут даже переключаться между командами во время задания. Это помогает отточить навыки команды, а практический опыт работы в обеих ролях позволяет ознакомиться с наилучшими способами выполнения определенных атак и проверки защиты (красная команда) и наиболее эффективным способом защиты от них (синяя команда).
Другой вариант заключается в том, чтобы взаимодействие было структурировано таким образом, чтобы обеспечить большую коммуникацию между красной и синей командами. Например, оценка может проводиться поэтапно с ретроспективами и извлеченными уроками, проводимыми между каждым этапом. Таким образом, каждая итерация атаки может основываться на уроках, извлеченных как атакующей, так и оборонительной командами.
Важность поддержки команды
Часто при проведении оценки безопасности красную и синюю команды держат отдельно. Это может помочь повысить реалистичность боя, поскольку синяя команда не получает никаких намеков о готовящихся атаках, которые могли бы повлиять на производительность.
Однако при наличии профессиональной красно-синей команды синергия, обеспечиваемая упражнениями фиолетовой команды, может значительно повысить эффективность упражнения. Общаясь и сотрудничая, две команды могут определить области, которые выиграли бы от дальнейшего расследования, и сосредоточиться на них, а также обойти те, где дальнейшие усилия были бы потрачены впустую.
Фиолетовая команда против Красной команды и синей команды
Фиолетовые команды получили свое название из-за того, что фиолетовый цвет — это сочетание красного и синего. Фиолетовая команда будет сочетать наступательные возможности красной команды с оборонительными возможностями синей команды. Взаимодействие фиолетовой команды отличается от взаимодействия с отдельной красно-синей командой уровнем взаимодействия между атакующей и оборонительной командами во время взаимодействия. В красно-синем командном задании нет взаимодействия до конца, в то время как фиолетовые команды часто сотрудничают на протяжении всего упражнения.
Оба этих подхода имеют свои преимущества и недостатки. Для чистого реализма взаимодействие красной и синей команд может быть лучшим вариантом. Без участия красной команды — или знания о том, что они вообще существуют, — синяя команда будет реагировать на имитированные атаки так же, как на реальные.
Однако участие фиолетовой команды выигрывает от вклада как красной, так и синей команд. Учитывая обе точки зрения и сотрудничество между ними, тест безопасности может выявить проблемы, которые были бы упущены при чисто красном или синем упражнении.
Тестирование кибербезопасности — например, участие команды purple — это идеальный способ оценить, как киберзащита будет противостоять атаке в реальном мире. Наступательная часть оценки будет имитировать реальные угрозы, и команда безопасности, потенциально дополненная специалистами blue team, увидит, насколько хорошо их средства защиты и процессы противостоят атаке.