Purple Teaming — относительно новый формат работ на рынке услуг информационной безопасности в России. На отечественной почве развилось своё восприятие уровня зрелости и готовности заказчиков к тем или иным этапам анализа защищённости.
Введение
Основа концепции Purple Teaming, как и многих других видов услуг в отрасли кибербезопасности, была позаимствована у наших западных коллег, но в России её существенно переработали и адаптировали под требования рынка.
Западная практика предполагает, что Purple Teaming должен проводиться по результатам тестирований на проникновение в формате командной имитации кибератак (Red Teaming). В теории такая модель выглядит логичной: тестирование на проникновение выявляет основные бреши в защите периметра техническими средствами, затем Red Teaming высвечивает проблемы в действиях команды информационной безопасности. После устранения этих недостатков проводится Purple Teaming — уже как средство доведения различных механизмов защиты до идеала.
Рисунок 1. Последовательность этапов оценки защищённости
Практика наших проектов у заказчиков показывает, что последовательность этих работ должна быть обратной. Когда компания реализовала и поставила на поток регулярное проведение пентестов и контролирует уязвимости периметра на постоянной основе, возникает острая потребность в оценке, формировании и совершенствовании процессов по своевременному обнаружению угроз информационной безопасности, реагированию на них и противодействию им. На этом этапе эффективнее проводить мероприятия в рамках Purple Teaming, а не Red Teaming.
Почему Purple Teaming предпочтительнее?
По аналогии со многим знакомой концепцией эффекта Даннинга — Крюгера, если начинающий боксёр, который знаком с основными техниками ударов и блоков, выходит на ринг против опытного бойца, который провёл десятки тысяч часов на тренировках, совершенствуя свою технику на практике, и развил навыки до уровня рефлексов, то, скорее всего, нокаут новичку обеспечен уже в первом раунде. То же самое случится при проведении Red Teaming на подобном уровне зрелости: клиент просто заплатит за подтверждение того факта, что в его защите есть серьёзные недостатки, не получив при этом никакой практической пользы, как это часто бывает на Западе. Отчёты по итогам Red Teaming в лучшем случае помогут разобрать один конкретный бой в пресловутом теоретическом ключе: «когда я бил, надо было ставить блок, а потом бить сильнее в ответ».
Вполне возможно, что в данном случае последовательность обусловлена банальной коммерческой выгодой, но мы в своей практике предпочитаем придерживаться подхода по выстраиванию долгосрочных партнёрских взаимоотношений, где ИБ-компания и заказчик руководствуются взаимовыгодностью сотрудничества.
Именно поэтому в качестве следующего шага после регулярных пентестов мы рекомендуем Purple Teaming. Он позволит последовательно отработать на практике методы обнаружения, реагирования и противодействия техникам реальных злоумышленников на основе матрицы MITRE ATT&CK и модели угроз конкретной организации на каждом этапе цепочки киберугроз (cyber kill chain).
Методология Purple Teaming в МТС RED
В процессе разработки и формирования методологии проведения Purple Teaming мы подробно изучили и проанализировали мировую практику, а также существующие фреймворки, регламентирующие проведение этого вида работ в разных странах:
- Purple Team Exercise Framework (PTEF),
- G-7 Fundamental Elements for Threat-Led Penetration Testing,
- CBEST Intelligence Led Testing,
- Threat Intelligence-Based Ethical Red Teaming (TIBER-EU),
- Intelligence-led Cyber Attack Simulation Testing (iCAST),
- Cyber Operational Resilience Intelligence-led Exercises (CORIE),
- Framework for the Regulatory Use of Penetration Testing and Red Teaming in the Financial Services Industry (GFMA).
На основе этих стандартов мы сформировали собственную методологию Purple Teaming. На первоначальном этапе проекта мы выделяем следующие задачи:
- Формирование или актуализация модели угроз на основе собственной методики или методики ФСТЭК России от 5 февраля 2021 года, а также аналитики на базе киберразведывательных (CTI) трендов с учётом географической и отраслевой принадлежности заказчика.
- Категоризация модели угроз относительно целей и возможностей злоумышленников на основе СTI-анализа известных групп, занимающихся целевыми кибератаками (APT).
- Согласование и утверждение ключевых бизнес-рисков на основе модели угроз для заказчика.
- Планирование, подготовка и согласование сценариев и тест-кейсов (векторов) реализации бизнес-рисков.
Далее команда специалистов поэтапно реализовывает согласованные сценарии при тесном взаимодействии с сотрудниками подразделений защиты. На каждом этапе реализации сценариев в режиме реального времени c помощью специализированного ПО ведутся сбор, анализ и корреляция ключевых метрик по оценке эффективности центра мониторинга (SOC): скорости детектирования (MTTD), расследования (MTTI), реагирования (MTTR) и пр.
После этого мы даём экспертную оценку эффективности работы SOC относительно инструментов мониторинга, механизмов и методик обнаружения, процессов реагирования на каждом этапе тестирования. По результатам реализации сценариев и тест-кейсов действий злоумышленников по MITRE ATT&CK заказчик получает детальные отчёты (опять же на каждом этапе проекта) с подробным техническим описанием проведённых проверок и полученных результатов, а также с объективной оценкой эффективности работы SOC по его ключевым зонам ответственности.
В части мониторинга оцениваются полнота логирования инцидентов — локально на серверах и рабочих станциях и централизованно в системе управления событиями (SIEM), а также MTTD, т. е. количество времени, затрачиваемое защитниками на детектирование действий атакующих. В аспекте обнаружения кибератак мы оцениваем качество корреляции событий, поиска и анализа индикаторов компрометации (IoC), степень эффективности и оперативности расследования инцидентов (MTTI). В части реагирования также оцениваются эффективность соответствующих процессов и инструментов и длительность восстановления (MTTR).
Выводы
По итогам описанной работы формируются рекомендации по повышению эффективности подразделений защиты, а также по созданию и внедрению дополнительных уровней контроля событий в информационной безопасности, комплексных мер проактивной защиты и противодействия кибератакам. Сюда же входит информация о том, как компания может применить методики киберобмана (deception), которые направлены на замедление действий и дезинформирование злоумышленников.
На базе этих данных мы помогаем сформировать сценарии (плейбуки) по эффективному взаимодействию не только ИБ и ИТ, но и ключевых нетехнических подразделений — финансового и юридического блоков, связей с общественностью и других. Совокупно такие плейбуки описывают действия всей компании при возникновении инцидентов в ИБ, помогают всем командам действовать синхронно, чтобы нивелировать возможный финансовый и репутационный ущерб организации.
Далее, после выполнения рекомендаций, мы повторно проверяем актуальность сценариев реализации бизнес-рисков в случае кибератак и ищем способы обхода компенсирующих защитных мер.
После этого можно считать, что заказчик провёл серьёзную отладку в сфере технических мер и процессов защиты и прошёл «проверку боем». Достигнутый уровень защищённости понадобится поддерживать — в том числе и с помощью регулярных тестирований на проникновение или мероприятий в формате Red Teaming.
