opis kolorowych zespolow cybersecurity z naciskiem na purple team rainbow security concept (blue, red, purple, white, etc.) with focus on purple vs red teaming

1. Tęczowa koncepcja
cyberbezpieczeństwa
Oh My Hack, 2020
Marcin Ludwiszewski

2. Blue Team
Cel:
• Obrona przed atakami
Charakterystyka
• Informacje o zagrożeniach (ang. threat
intelligence) – kto, kogo, jak, dlaczego …
• Prewencja
• Procesy, ludzie oraz wspomagająca to
technologia, która jest nextGEN, AI,
smart itd…
• Monitorowanie, wykrywanie i reagowanie:
• tworzenie use case do rozwiązań
umożliwiających zautomatyzowaną
analizę zebranych logów zdarzeń
(SIEM)
• Monitoring zdarzeń
• Reagowanie na incydenty
bezpieczeństwa (zespoły SOC)
• Analiza powłamaniowa (DFIR).
• I też Threat Hunting

3. Red Teaming
Cel
• Ulepszenie obrony -> Znajdowanie nowych metod ataków!
Charakterystyka
• Symulacja cyberataków oparta o scenariusze zorientowane na
osiągnięcie celu
• Informacje o zagrożeniach
• Tactics, Techniques & Procedures (TTP), aktor, MITRE ATT&CK -
Odzwierciedlenie metod działania podmiotów zagrażających opisanych
przez ich modus-operandi (taktyki, techniki i procedury)
• Akcja dzieje się na produkcji ☺ -> ryzyko
• Często black / grey box oraz przy ograniczonej wiedzy organizacji o ataku
• Wektory: cyber / ludzki / fizyczny
• Często bardziej s f o r m a l i z o w a n a
• Często wymóg regulacyjny dla sektora finansowego.
• Operator Red Team - umysł ofensywny zorientowany na osiągniecie
celów (determinacja, cierpliwość, szeroka perspektywa,
niekonwencjonalne działania, wyjście poza schemat, ale też dojrzałość…
umiejętność komunikacji)

4. Red Teaming
• Długi czas realizacji i
przekazania informacji zwrotnej
(fazy + formalizacja)
• Mała elastyczność -
powtórzenie fazy przy realizacji
w ukrytym trybie w praktyce nie
jest możliwe (zmienia zasady
gry) lub kosztowne
(zakończenie, ujawnienie,
ustalenie kontekstu z obroną
itd..)
Specyfikacja
zakresu i
warunków
realizacji
Planowanie
scenariuszy i
celów
Realizacja
symulacji
Raportowanie
Zamknięcie
projektu,
sprzątanie

5. Red Teaming
Specyfikacja
zakresu i
warunków
realizacji
Planowanie
scenariuszy i
celów
Realizacja
symulacji
Raportowanie
Zamknięcie
projektu,
sprzątanie
Nadzór nad działaniami
Działania
Zarządzanie zmianą
Ustalenie właścicieli działań
Przetłumaczenie wyników na
działania
Omówienie wyników
Weryfikacja treści raportu /
aktualizacja
Analiza IoC
PODEJŚCIE ASYNCHRONICZNE

6. Red Teaming
Zalety
Teoretycznie najbardziej realna forma ataku
weryfikującego odporności organizacji na
cyberataki
Ustalenie priorytetów ochrony, inwestycji
zasobów i programów transformacyjnych
Przekrojowa analiza (przez etapy ataku – kill
chain i zdolności cyberbezpieczeństwa)
Typowe bolączki red-teamingu
My vs Oni (różne cele)
• Zdobądź flagi, obnaż słabości, wykryj
podatności
• Sukces red to porażka blue && sukces blue to
porażka red itd.. (czy to jest zachęta do
współpracy?)
• Mała skalowalność

7. Red Teaming
• Ponadto
• Długi czas feedback - często podejście kaskadowe
(ang. Waterfall)
• Bardziej sformalizowane (np. wymagane przez
regulatora)
• Zarządzanie talentami
• mała podaż operatorów z potencjałem lub
doświadczonych (nie mylić z tzw. „prawdziwymi
ekspertami od cyber…” :)
• drogie rozwijanie i utrzymanie talentów w
organizacji
• Ryzyko posiadania ludzi wewnątrz organizacji, którzy
mogliby zorganizować zamach stanu w wielu krajach
☺
• Z reguły długie czas trwania projektów -> długi czas
informacji zwrotnej -> długi czas ograniczenia ryzyka
• Zdolność konsumpcji wyników przez daną firmę /
organizację

8. Purple Teaming
7. Testowanie
środków wykrywania
i reagowania
8. Omówienie i Ocena
realizacji sprintu
9. Ulepszenie kontroli
10. Raportowanie
6. Emulacja zagrożenia
w celu osiągnięcia
celów atakującego
zgodnie z ustalonym
TTP
1. Określ
zachowania
2. Zidentyfikuj
i pozyskaj
dane
3. Zdefiniuj
detekcję
4. Określ
zasady
reagowania
5. Budowanie
scenariuszy
I planowanie
11.
Podsumowanie
ćwiczenia
12. Zamknięcie i
sprzątanie
Narzędzia
Infrastruktura
Symulacja
n sprintów
INTEL
TTPs
Baza: MITRE ATT&CK

9. Purple
Teaming
• Zalety
• Skalowalność
• Szybka informacja zwrotna
• Przyspieszone ulepszenie środków bezpieczeństwa
• Zwinne metody realizacji
• Transfer wiedzy i współpraca z defensywą
• Typowe bolączki Purple Teamingu
• Wykrywanie i reagowanie: wdrożenie/ modyfikacja
use case nie oznacza, że zostanie on skutecznie
wykorzystany w SOC (na produkcji)
• Dostępność i użyteczność (trafność,
kompletność), bezpieczeństwo, logów zdarzeń
oraz informacji o zasobach (CMDB)
• Czas onboardingu use case
• Efektywność działania SOC

10. Co to
oznacza w
praktyce
• Od czego zacząć
• Ustal priorytety:
• Intel – co mamy „na radarze”
• Co najczęściej jest wykorzystywane?
• Taktyki -> Techniki
• Małe kroczki
• MITRE ATTACK HEATMAP

11. https://mitre-attack.github.io/attack-navigator/
1. Określ
zachowania

12. 1. Określ
zachowania
Taktyka: TA0002 Execution
Technika: T1047 WMI
https://attack.mitre.org/techniques/T1047

13. Inżynieria wykrywania
Sygnały -> Źródła danych ->
Logi -> Korelacja ->
Orkiestracja ->
Logi Widoczność zdarzeń + luka
Monitoring urządzeń
końcowych (EDR / HIDS)
Analityka SIEM
Telemetria:
Monitorowanie procesów wmiprivse.exe
Monitorowanie linii
poleceń
„process”, „create”
2. Zidentyfikuj
i pozyskaj
dane
3. Zdefiniuj
detekcję
4. Określ
zasady
reagowania

14. Scenariusze
Celem jest weryfikacja zdolności wykrywania jednej z bardziej popularnej
techniki wykorzystywanej podczas ataku.
Atakujący wykorzystuje narzędzie WMI jako element taktyki „execution”.
WMI jako narzędzie administracyjne umożliwia dostęp do pewnych funkcji i
komponentów systemowych, w tym dostępu lokalnego i zdalnego. Atakujący
wykorzysta WMI do nawiązania interakcji z lokalnymi i zdalnymi zasobami
wspierając realizację swoich celów:
1. Rozpoznanie środowiska, w tym: użytkowników, procesów i usług.
2. Uruchamianie procesów.
3. Lateral movement.
5. Budowanie
scenariuszy
I planowanie
https://github.com/redcanaryco/atomic-red-team

15. • https://github.com/redcanaryco/at
omic-red-team/wiki/About-Atomic-
Red-Team

16. Testowanie
Recon
#1 Users
wmic useraccount get /ALL /format:csv
#2 Process
wmic process get caption,executablepath,commandline /format:csv
wmic qfe get description,installedOn /format:csv
#3 Software
wmic /node:"#{node}" service where (caption like "%#{service_search_string}%")
#4 Remote Services
wmic process call create #{process_to_execute}
Execute
#5 Local execution
wmic /user:#{user_name} /password:#{password} /node:"#{node}" process call create
#{process_to_execute}
#6 remote execution
wmic /user:#{user_name} /password:#{password} /node:"#{node}" process where
name='#{process_to_execute}' delete >nul 2>&1
6. Emulacja zagrożenia
w celu osiągnięcia
celów atakującego
zgodnie z ustalonym
TTP
https://github.com/redcanaryco/atomic-red-
team/blob/master/atomics/T1047/T1047.yaml

17. Przykładowe aspekty ataku i obrony
7. Testowanie
środków
wykrywania i
reagowania
8. Omówienie i
Ocena
realizacji
sprintu
Które działania zostały
wykryte i co zadziałało
Które działania zostały
nie wykryte i co nie
zadziałało
Luka widoczności i inne
Alert jest, ale
niewłaściwie obsłużony
Incydent obsłużony, ale
nieskutecznie
Reakcja na incydent
skuteczna w kwestii
zamknięcia wektora, ale
nie zatrzymała realizacji
celów atakującego
• Co z tego wynika? Wnioski?
• Następne kroki?
• Zmiana np.:
• Nowy use case lub tunning obecnego;
• Brak logów -> skontaktować się z określonymi zespołami itd..
• Kolejny SPRINT
Zarządzanie przepływem danych i automatyzacja:
https://github.com/mitre/caldera
Zarządzanie przepływem danych
https://vectr.io/getting-started/
Opis działania i jego
metadane
Sukces (kod wykonał
się poprawnie, wynik
działania był
oczekiwany)
Kod wykonał się, ale
został wykryty i
zablokowany
Brak informacji
zwrotnej
Kod nie wykonał się

18. Mierzenie postępów
• Średni czas wykrycia zagrożenia
Mean Time to Detect
• Średni czas reakcji na wykryte zagrożenie
Mean Time to Respond
• Średni czas obsługi incydentu (od wykrycia do
zamknięcia) - Dwell Time
• Średni czas wdrożenia zaprojektowanej detekcji
• Ilość wykrytych słabości vs ilość zamkniętych
http://kpilibrary.com/kpis/mean-time-to-detect-mttd-2
11.
Podsumowanie
ćwiczenia

19. Kto jest
najfajniejszy?
Ale mogą mieć inne cele taktyczne:
Wykryć nowe ścieżki ataku
Wdrożyć nowe
zabezpieczenia
Przyspieszyć wdrażanie
poprawek
Wprowadzać
zweryfikowane rozwiązania
do organizacji
Wszystkie zespoły powinny mieć 1 cel strategiczny:
Podnieść dojrzałość w zakresie cyberbezpieczeństwa
Każdy zespół testujący (Red Team, Purple czy Pentest) dodaje
wartości do organizacji, ale trzeba rozumieć różnice w celach
dla tych zespołów i perspektywę, z której realizują te cele.

20. White Team
• Nadzór nad realizacją projektu ofensywnego
• Koordynacja + spotkania na poziomie decyzyjnym i strategicznym
• Z reguły w składzie: ofensywa/defensywa + przedstawiciele sponsora
projektu (biznes)
• Podejmowanie decyzji
WG TIBER EU dodatkowo:
• Planowanie
• Zarządzenie projektem
https://www.ecb.europa.eu/pub/pdf/other/ecb.tibereu.en.pdf

21. Tęcza
cyberbezpieczeństwa

22. Materiały
Framework MITRE ATT&CK (TTPs)
• https://attack.mitre.org
• https://mitre-attack.github.io/attack-navigator/
Atomic testing:
• https://github.com/redcanaryco/atomic-red-team
• https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1047/T1047.yaml
• https://github.com/redcanaryco/atomic-red-team/wiki/About-Atomic-Red-Team
KPIs:
• http://kpilibrary.com/kpis/mean-time-to-detect-mttd-2
TIBER –EU, White Team:
• https://www.ecb.europa.eu/pub/pdf/other/ecb.tibereu.en.pdf
Automatyzacja i współpraca:
• https://github.com/mitre/caldera
Raportowanie i współpraca:
• https://vectr.io/getting-started/

23. • Thanks!
• https://www.linkedin.com/in/mludwiszewski/
• https://twitter.com/mludwiszewski