Talrijke teams werken om cyberaanvallen binnen een netwerk te bestrijden, waaronder een blauw team. Dus wat doen ze eigenlijk?

Blue teaming is de praktijk van het creëren en beschermen van een beveiligingsomgeving en het reageren op incidenten die die omgeving bedreigen. Cyberbeveiligingsoperators van het Blue Team zijn bedreven in het bewaken van de beveiligingsomgeving die ze beschermen op kwetsbaarheden, hetzij reeds bestaande of veroorzaakt door aanvallers. Blue teamers beheren beveiligingsincidenten en gebruiken de geleerde lessen om de omgeving te beschermen tegen toekomstige aanvallen.

Dus waarom zijn blauwe teams belangrijk? Welke rollen nemen ze eigenlijk op?

Waarom is Blue Teaming belangrijk?

Producten en diensten die op technologie zijn gebouwd, zijn niet immuun voor cyberaanvallen. De verantwoordelijkheid ligt in de eerste plaats bij technologieleveranciers om hun gebruikers te beschermen tegen interne of externe cyberaanvallen die hun gegevens of bedrijfsmiddelen in gevaar kunnen brengen. Gebruikers van technologie delen ook deze verantwoordelijkheid, maar een gebruiker kan weinig doen om een ​​slecht beveiligd product of dienst te verdedigen.

instagram viewer

Gewone gebruikers kunnen geen afdeling IT-experts inhuren om beveiligingsarchitecturen te ontwerpen of functies te implementeren die hun eigen beveiliging verbeteren. Dat is de fiduciaire verantwoordelijkheid van een bedrijf dat handelt in hardware en netwerkinfrastructuur.

Regelgevende organisaties zoals de Nationaal Instituut voor Standaarden en Technologie (NIST) spelen ook hun rol. NIST ontwerpt bijvoorbeeld cyberbeveiligingsframeworks die bedrijven gebruiken om ervoor te zorgen dat IT-producten en -diensten voldoen aan de beveiligingsnormen.

Alles is verbonden

Iedereen maakt verbinding met internet via hardware en netwerkinfrastructuren (denk aan je laptop en wifi). Belangrijke communicatie en bedrijven zijn gebouwd op deze infrastructuren, dus alles is met elkaar verbonden. Je maakt en bewaart bijvoorbeeld foto's op je telefoon. U maakt een back-up van die bestanden naar de cloud. Later helpen sociale media-apps op je telefoon je momenten te delen met je familie en vrienden.

Bank-apps en betalingsplatforms helpen u dingen te betalen zonder fysiek in de rij te hoeven staan ​​bij een bank of een cheque te sturen, en u kunt online belastingaangifte doen. Dit gebeurt allemaal op platforms waarmee u verbinding maakt via een draadloze communicatietechnologie die is ingebouwd in een telefoon of laptop.

Als een hacker uw apparaat of draadloze netwerk kan binnendringen, kunnen ze uw privéfoto's, bankinloggegevens en identiteitsdocumenten stelen. Ze kunnen zich zelfs voordoen als jou en dingen stelen van mensen in je sociale kring. Ze kunnen deze gestolen schat aan informatie vervolgens aan andere hackers verkopen of u losgeld laten betalen.

Erger nog, de cyclus eindigt niet met één hack. Het slachtoffer worden van één hack betekent niet dat andere aanvallers u zullen mijden. De kans is groot dat je er een magneet van wordt. Het is dus het beste om te voorkomen dat aanvallen in de eerste plaats beginnen. En als voorkomen niet werkt, dan is het belangrijk om de schade te beperken en toekomstige aanvallen te voorkomen. Van jouw kant kan dat beperk de blootstelling met gelaagde beveiliging. Het bedrijf delegeert de taak aan hun blauwe team.

Rolspelers in het blauwe team

Het blauwe team bestaat uit technische en niet-technische beveiligingsoperators met specifieke rollen en verantwoordelijkheden. Maar blauwe teams kunnen natuurlijk zo groot zijn dat er subgroepen van meerdere operators zijn. Soms overlappen rollen elkaar. Rode team vs. blauwe team oefeningen hebben doorgaans de volgende rolspelers:

  • Het blauwe team plant defensieoperaties en wijst rollen en verantwoordelijkheden toe aan andere operators in de blauwe cel.
  • De blauwe cel bestaat uit operators die voor de verdediging staan.
  • Vertrouwde agenten zijn mensen die op de hoogte zijn van de aanval of zelfs het rode team inhuren. Ondanks hun voorkennis van de oefening, zijn vertrouwde agenten neutraal. Vertrouwde agenten bemoeien zich niet met de zaken van het rode team en adviseren de verdediging niet.
  • De witte cel bestaat uit operators die fungeren als buffers en contacten onderhouden met beide teams. Het zijn scheidsrechters die ervoor zorgen dat de activiteiten van het blauwe team en het rode team geen onbedoelde problemen veroorzaken buiten de reikwijdte van de opdracht.
  • Waarnemers zijn mensen wiens taak het is om toe te kijken. Ze kijken hoe de verloving zich afspeelt en noteren hun observaties. Waarnemers zijn neutraal. In de meeste gevallen weten ze niet eens wie er in het blauwe of rode team zit.
  • Het rode team bestaat uit operators die een aanval lanceren op de beoogde beveiligingsarchitectuur. Het is hun taak om kwetsbaarheden te vinden, gaten in de verdediging te prikken en te proberen het blauwe team te slim af te zijn.

Wat zijn de doelstellingen van het blauwe team?

De doelstellingen van elk blauw team zijn afhankelijk van de beveiligingsomgeving waarin ze zich bevinden en de staat van de beveiligingsarchitectuur van het bedrijf. Dat gezegd hebbende, hebben blauwe teams doorgaans vier hoofddoelstellingen.

  • Identificeer en bedwing bedreigingen.
  • Elimineer bedreigingen.
  • Bescherm en herstel gestolen activa.
  • Documenteer en bekijk incidenten om de reactie op toekomstige bedreigingen te verfijnen.

Hoe werkt Blue Teaming?

In de meeste organisaties werken blauwe teamoperators in een Beveiligingsoperatiecentrum (SOC). Het SOC is waar cyberbeveiligingsexperts het beveiligingsplatform van een bedrijf runnen en waar ze beveiligingsincidenten bewaken en afhandelen. De SOC is ook de plaats waar operators niet-technisch personeel en gebruikers van bedrijfsmiddelen ondersteunen.

Incidentpreventie

Het blauwe team is verantwoordelijk voor het begrijpen en in kaart brengen van de omvang van de beveiligingsomgeving. Ze noteren ook alle activa in de omgeving, hun gebruikers en de staat van die activa. Met deze kennis treft het team maatregelen om aanvallen en ongelukken te voorkomen.

Enkele van de maatregelen die operators van blauwe teams implementeren voor incidentpreventie, zijn onder meer het instellen van beheerdersrechten. Op deze manier hebben onbevoegden geen toegang tot middelen die ze in de eerste plaats niet zouden moeten hebben. Deze maatregel is effectief bij het beperken van zijwaartse beweging als een aanvaller toegang krijgt.

Naast het beperken van beheerdersbevoegdheden, omvat incidentpreventie ook volledige schijfversleuteling, het opzetten van virtuele particuliere netwerken, firewalls, veilige logins en authenticatie. Veel blauwe teams passen verder misleidingstechnieken toe, valstrikken met dummymiddelen om aanvallers te vangen voordat ze schade aanrichten.

Reactie op incidenten

Incidentrespons verwijst naar hoe het blauwe team een ​​inbreuk detecteert, afhandelt en herstelt. Verschillende incidenten activeren beveiligingswaarschuwingen en het is niet mogelijk om op elke trigger te reageren. Het blauwe team moet dus een filter instellen voor wat telt als een incident.

Over het algemeen doen ze dit door een SIEM-systeem (Security Information and Event Management) te implementeren. SIEM's stellen operators van het blauwe team op de hoogte wanneer beveiligingsgebeurtenissen plaatsvinden, zoals ongeautoriseerde aanmeldingen in combinatie met pogingen om toegang te krijgen tot gevoelige bestanden. Gewoonlijk beoordeelt een geautomatiseerd systeem na melding van een SIEM de dreiging en escaleert het indien nodig naar een menselijke operator.

Operators van het blauwe team reageren doorgaans op incidenten door het gecompromitteerde systeem te isoleren en de dreiging te verwijderen. Reacties op incidenten kunnen bestaan ​​uit het uitschakelen van alle toegangssleutels in geval van ongeoorloofde toegang, het maken van een persbericht in gevallen waarin het incident gevolgen heeft voor klanten en het uitbrengen van een patch. Later doet het team een forensische audit na een inbreuk om bewijsmateriaal te verzamelen dat herhaling helpt voorkomen.

Dreigingsmodellering

Bij bedreigingsmodellering gebruiken operators bekende kwetsbaarheden om een ​​aanval te simuleren. Het team maakt een draaiboek voor het reageren op dreigingen en het communiceren met stakeholders. Dus als er een echte aanval plaatsvindt, heeft het blauwe team een ​​plan voor hoe ze activa prioriteren of mankracht en middelen toewijzen aan verdediging. Natuurlijk gaan dingen zelden precies zoals gepland. Toch helpt het hebben van een dreigingsmodel blauwe teamoperators om het grote geheel in perspectief te houden.

Robuuste Blue Teaming is proactief

De operators van het Work Blue-team zorgen ervoor dat uw gegevens veilig zijn en dat u veilig technologie kunt gebruiken. Een snel veranderend cyberbeveiligingslandschap betekent echter dat een blauw team niet elke dreiging kan voorkomen of elimineren. Ze kunnen een systeem ook niet te veel verharden; het kan onbruikbaar worden. Wat ze kunnen doen, is een acceptabel risiconiveau tolereren en samenwerken met het rode team om de beveiliging voortdurend te verbeteren.