opis kolorowych zespolow cybersecurity z naciskiem na purple team
rainbow security concept (blue, red, purple, white, etc.) with focus on purple vs red teaming
2. Blue Team
Cel:
• Obrona przed atakami
Charakterystyka
• Informacje o zagrożeniach (ang. threat
intelligence) – kto, kogo, jak, dlaczego …
• Prewencja
• Procesy, ludzie oraz wspomagająca to
technologia, która jest nextGEN, AI,
smart itd…
• Monitorowanie, wykrywanie i reagowanie:
• tworzenie use case do rozwiązań
umożliwiających zautomatyzowaną
analizę zebranych logów zdarzeń
(SIEM)
• Monitoring zdarzeń
• Reagowanie na incydenty
bezpieczeństwa (zespoły SOC)
• Analiza powłamaniowa (DFIR).
• I też Threat Hunting
3. Red Teaming
Cel
• Ulepszenie obrony -> Znajdowanie nowych metod ataków!
Charakterystyka
• Symulacja cyberataków oparta o scenariusze zorientowane na
osiągnięcie celu
• Informacje o zagrożeniach
• Tactics, Techniques & Procedures (TTP), aktor, MITRE ATT&CK -
Odzwierciedlenie metod działania podmiotów zagrażających opisanych
przez ich modus-operandi (taktyki, techniki i procedury)
• Akcja dzieje się na produkcji ☺ -> ryzyko
• Często black / grey box oraz przy ograniczonej wiedzy organizacji o ataku
• Wektory: cyber / ludzki / fizyczny
• Często bardziej s f o r m a l i z o w a n a
• Często wymóg regulacyjny dla sektora finansowego.
• Operator Red Team - umysł ofensywny zorientowany na osiągniecie
celów (determinacja, cierpliwość, szeroka perspektywa,
niekonwencjonalne działania, wyjście poza schemat, ale też dojrzałość…
umiejętność komunikacji)
4. Red Teaming
• Długi czas realizacji i
przekazania informacji zwrotnej
(fazy + formalizacja)
• Mała elastyczność -
powtórzenie fazy przy realizacji
w ukrytym trybie w praktyce nie
jest możliwe (zmienia zasady
gry) lub kosztowne
(zakończenie, ujawnienie,
ustalenie kontekstu z obroną
itd..)
Specyfikacja
zakresu i
warunków
realizacji
Planowanie
scenariuszy i
celów
Realizacja
symulacji
Raportowanie
Zamknięcie
projektu,
sprzątanie
5. Red Teaming
Specyfikacja
zakresu i
warunków
realizacji
Planowanie
scenariuszy i
celów
Realizacja
symulacji
Raportowanie
Zamknięcie
projektu,
sprzątanie
Nadzór nad działaniami
Działania
Zarządzanie zmianą
Ustalenie właścicieli działań
Przetłumaczenie wyników na
działania
Omówienie wyników
Weryfikacja treści raportu /
aktualizacja
Analiza IoC
PODEJŚCIE ASYNCHRONICZNE
6. Red Teaming
Zalety
Teoretycznie najbardziej realna forma ataku
weryfikującego odporności organizacji na
cyberataki
Ustalenie priorytetów ochrony, inwestycji
zasobów i programów transformacyjnych
Przekrojowa analiza (przez etapy ataku – kill
chain i zdolności cyberbezpieczeństwa)
Typowe bolączki red-teamingu
My vs Oni (różne cele)
• Zdobądź flagi, obnaż słabości, wykryj
podatności
• Sukces red to porażka blue && sukces blue to
porażka red itd.. (czy to jest zachęta do
współpracy?)
• Mała skalowalność
7. Red Teaming
• Ponadto
• Długi czas feedback - często podejście kaskadowe
(ang. Waterfall)
• Bardziej sformalizowane (np. wymagane przez
regulatora)
• Zarządzanie talentami
• mała podaż operatorów z potencjałem lub
doświadczonych (nie mylić z tzw. „prawdziwymi
ekspertami od cyber…” :)
• drogie rozwijanie i utrzymanie talentów w
organizacji
• Ryzyko posiadania ludzi wewnątrz organizacji, którzy
mogliby zorganizować zamach stanu w wielu krajach
☺
• Z reguły długie czas trwania projektów -> długi czas
informacji zwrotnej -> długi czas ograniczenia ryzyka
• Zdolność konsumpcji wyników przez daną firmę /
organizację
8. Purple Teaming
7. Testowanie
środków wykrywania
i reagowania
8. Omówienie i Ocena
realizacji sprintu
9. Ulepszenie kontroli
10. Raportowanie
6. Emulacja zagrożenia
w celu osiągnięcia
celów atakującego
zgodnie z ustalonym
TTP
1. Określ
zachowania
2. Zidentyfikuj
i pozyskaj
dane
3. Zdefiniuj
detekcję
4. Określ
zasady
reagowania
5. Budowanie
scenariuszy
I planowanie
11.
Podsumowanie
ćwiczenia
12. Zamknięcie i
sprzątanie
Narzędzia
Infrastruktura
Symulacja
n sprintów
INTEL
TTPs
Baza: MITRE ATT&CK
9. Purple
Teaming
• Zalety
• Skalowalność
• Szybka informacja zwrotna
• Przyspieszone ulepszenie środków bezpieczeństwa
• Zwinne metody realizacji
• Transfer wiedzy i współpraca z defensywą
• Typowe bolączki Purple Teamingu
• Wykrywanie i reagowanie: wdrożenie/ modyfikacja
use case nie oznacza, że zostanie on skutecznie
wykorzystany w SOC (na produkcji)
• Dostępność i użyteczność (trafność,
kompletność), bezpieczeństwo, logów zdarzeń
oraz informacji o zasobach (CMDB)
• Czas onboardingu use case
• Efektywność działania SOC
10. Co to
oznacza w
praktyce
• Od czego zacząć
• Ustal priorytety:
• Intel – co mamy „na radarze”
• Co najczęściej jest wykorzystywane?
• Taktyki -> Techniki
• Małe kroczki
• MITRE ATTACK HEATMAP
13. Inżynieria wykrywania
Sygnały -> Źródła danych ->
Logi -> Korelacja ->
Orkiestracja ->
Logi Widoczność zdarzeń + luka
Monitoring urządzeń
końcowych (EDR / HIDS)
Analityka SIEM
Telemetria:
Monitorowanie procesów wmiprivse.exe
Monitorowanie linii
poleceń
„process”, „create”
2. Zidentyfikuj
i pozyskaj
dane
3. Zdefiniuj
detekcję
4. Określ
zasady
reagowania
14. Scenariusze
Celem jest weryfikacja zdolności wykrywania jednej z bardziej popularnej
techniki wykorzystywanej podczas ataku.
Atakujący wykorzystuje narzędzie WMI jako element taktyki „execution”.
WMI jako narzędzie administracyjne umożliwia dostęp do pewnych funkcji i
komponentów systemowych, w tym dostępu lokalnego i zdalnego. Atakujący
wykorzysta WMI do nawiązania interakcji z lokalnymi i zdalnymi zasobami
wspierając realizację swoich celów:
1. Rozpoznanie środowiska, w tym: użytkowników, procesów i usług.
2. Uruchamianie procesów.
3. Lateral movement.
5. Budowanie
scenariuszy
I planowanie
https://github.com/redcanaryco/atomic-red-team
16. Testowanie
Recon
#1 Users
wmic useraccount get /ALL /format:csv
#2 Process
wmic process get caption,executablepath,commandline /format:csv
wmic qfe get description,installedOn /format:csv
#3 Software
wmic /node:"#{node}" service where (caption like "%#{service_search_string}%")
#4 Remote Services
wmic process call create #{process_to_execute}
Execute
#5 Local execution
wmic /user:#{user_name} /password:#{password} /node:"#{node}" process call create
#{process_to_execute}
#6 remote execution
wmic /user:#{user_name} /password:#{password} /node:"#{node}" process where
name='#{process_to_execute}' delete >nul 2>&1
6. Emulacja zagrożenia
w celu osiągnięcia
celów atakującego
zgodnie z ustalonym
TTP
https://github.com/redcanaryco/atomic-red-
team/blob/master/atomics/T1047/T1047.yaml
17. Przykładowe aspekty ataku i obrony
7. Testowanie
środków
wykrywania i
reagowania
8. Omówienie i
Ocena
realizacji
sprintu
Które działania zostały
wykryte i co zadziałało
Które działania zostały
nie wykryte i co nie
zadziałało
Luka widoczności i inne
Alert jest, ale
niewłaściwie obsłużony
Incydent obsłużony, ale
nieskutecznie
Reakcja na incydent
skuteczna w kwestii
zamknięcia wektora, ale
nie zatrzymała realizacji
celów atakującego
• Co z tego wynika? Wnioski?
• Następne kroki?
• Zmiana np.:
• Nowy use case lub tunning obecnego;
• Brak logów -> skontaktować się z określonymi zespołami itd..
• Kolejny SPRINT
Zarządzanie przepływem danych i automatyzacja:
https://github.com/mitre/caldera
Zarządzanie przepływem danych
https://vectr.io/getting-started/
Opis działania i jego
metadane
Sukces (kod wykonał
się poprawnie, wynik
działania był
oczekiwany)
Kod wykonał się, ale
został wykryty i
zablokowany
Brak informacji
zwrotnej
Kod nie wykonał się
18. Mierzenie postępów
• Średni czas wykrycia zagrożenia
Mean Time to Detect
• Średni czas reakcji na wykryte zagrożenie
Mean Time to Respond
• Średni czas obsługi incydentu (od wykrycia do
zamknięcia) - Dwell Time
• Średni czas wdrożenia zaprojektowanej detekcji
• Ilość wykrytych słabości vs ilość zamkniętych
http://kpilibrary.com/kpis/mean-time-to-detect-mttd-2
11.
Podsumowanie
ćwiczenia
19. Kto jest
najfajniejszy?
Ale mogą mieć inne cele taktyczne:
Wykryć nowe ścieżki ataku
Wdrożyć nowe
zabezpieczenia
Przyspieszyć wdrażanie
poprawek
Wprowadzać
zweryfikowane rozwiązania
do organizacji
Wszystkie zespoły powinny mieć 1 cel strategiczny:
Podnieść dojrzałość w zakresie cyberbezpieczeństwa
Każdy zespół testujący (Red Team, Purple czy Pentest) dodaje
wartości do organizacji, ale trzeba rozumieć różnice w celach
dla tych zespołów i perspektywę, z której realizują te cele.
20. White Team
• Nadzór nad realizacją projektu ofensywnego
• Koordynacja + spotkania na poziomie decyzyjnym i strategicznym
• Z reguły w składzie: ofensywa/defensywa + przedstawiciele sponsora
projektu (biznes)
• Podejmowanie decyzji
WG TIBER EU dodatkowo:
• Planowanie
• Zarządzenie projektem
https://www.ecb.europa.eu/pub/pdf/other/ecb.tibereu.en.pdf