Verstärken Sie die Verteidigung der Angriffsfläche durch besseren Informationsaustausch zwischen Team Rot und Team Blau.
Entdecken Sie Surface CommandEin Purple Team ist eine Gruppe von Cybersecurity-Mitarbeitern, die sowohl als Kombination von Red-Team- und Blue-Team -Funktionen als auch als Kommunikations- und Praxisvermittler zwischen diesen beiden Teams fungieren. In einem Szenario für Penetrationstests von IT-Netzwerken bedeutet dies offensive „Angriffe“ durch rote Teams und defensiven „Schutz“ durch blaue Teams.
Laut Forrester können Purple-Team-Übungen die Form von „gemeinsamen Anstrengungen zwischen offensiven Sicherheitsteams (die als Eindringlinge agieren) und Verteidigern“ annehmen. Verteidiger können Abwehrmaßnahmen validieren, Kontrolllücken identifizieren, Schwachstellen aufdecken und lernen, wie sich Gegner von Moment zu Moment anpassen.“
Purple Teams unterstützen im Wesentlichen die Optimierung und Maximierung von Erkenntnissen sowohl für Red als auch für Blue Teams. Sie sorgen dafür, dass diese Teams entweder die besten Erkenntnisse für den Kunden liefern, der sie beauftragt hat, oder diese Erkenntnisse für den Einsatz in ihrem Security Operations Center (SOC) nutzen.
Der Purple Team Mitigation Cycle unterteilt die allgemeinere Funktion des Purple Teaming im Wesentlichen in technische Segmente. Entscheidend für die Beschreibung des Zyklus ist, dass er kontinuierlich ist und sich wiederholen sollte.
Das ultimative Teamziel sollte darin bestehen, sicherzustellen, dass die roten und blauen Teams ihre bisherigen Lösungen für ausnutzbare Vektoren verbessern oder versuchen, neue Vektoren zu finden und zu entschärfen. Dieser Prozess sollte mindestens folgende Phasen umfassen:
Da die Konzepte „Team Blau“ und „Team Rot“ für Branchenexperten im Allgemeinen klarer definiert sind, kann es schwierig sein, die tägliche Arbeit des „Purple Teams“ genau zu beschreiben.
Oben haben wir den Zyklus der Schadensbegrenzung auf Makroebene und die langfristigen Ziele eines effektiven Purple Teams erörtert, aber lassen Sie uns nun in einige konkrete Beispiele für Purple Team-Übungen eintauchen.
Es ist wichtig, sich daran zu erinnern, dass der Zweck eines Purple Teams darin besteht, die Zusammenarbeit zwischen Red und Blue Teams zu fördern. Auf diese Weise führt ein „lila“ Team nicht unbedingt Übungen auf die gleiche Art und Weise durch wie rote und blaue Teams, sondern es ist letztlich dazu da, sicherzustellen, dass die anderen Teams Erkenntnisse und Erfahrungen aus den Abschnitten „Angriff“ und „Verteidigung“ der Penetrationstestübungen mitnehmen. Zu diesen Übungen gehören:
Das Atomic Purple Team Framework bietet einen spezifischen Lifecycle, der sich an den individuellen Geschäftszielen der jeweiligen Organisation orientiert, die es nutzen möchte. Es wird in der Regel eingesetzt, um "attack-detect-defend" Angriffsflächenanalysen zu erstellen, einzusetzen und zu rechtfertigen. Dieser Lifecycle beinhaltet:
Ein weiteres wichtiges Beispiel für ein Purple Team ist das Übungsframework „Purple Team“, das entwickelt wurde, um Organisationen die Grundlagen des Purple Teaming zu vermitteln und sie bei der Implementierung eines Frameworks auf eine der folgenden Arten zu unterstützen: Ad-hoc, operationalisiert bei Auftreten neuer Bedrohungen oder dediziert/kontinuierlich.
Die Vorteile des Purple Teaming liegen in gewissem Sinne im ultimativen Erkenntnisgewinn bei der Durchführung von Red- und Blue-Team-Übungen. Auch wenn das „Purple Team“ fehlt, ist die Ermittlung und Reporting von Best Practices natürlich möglich. Das Purple Team ist jedoch - wie wir bereits mehrfach auf dieser Seite erwähnt haben - dazu da, die Zusammenarbeit zwischen dem roten und dem blauen Teams zu gewährleisten.
Das Purple Team unterstützt die beiden Teams beim Informationsaustausch, der Korrelation von Erkenntnissen und der Nutzung daraus resultierender Erkenntnisse, um die Härtung der Angriffsfläche und die Netzwerkintegrität zu maximieren. Lassen Sie uns einige der Vorteile des Purple Teaming genauer besprechen.
Mithilfe eines Purple Teams können SOC-Leiter den größtmöglichen Nutzen aus den Red- und Blue-Team-Übungen ziehen und die gewonnenen Erkenntnisse nutzen, um die Monitoring- und Warnfunktionen zu stärken und die Verbesserung von Programmen zur Incident Detection and Response voranzutreiben.
Das ist nicht nur ein Satz, mit dem CEOs versuchen, ihre Mitarbeiter zur Rückkehr ins Büro zu bewegen. In einem Szenario einer Angriffsflächenanalyse oder eines Penetrationstests stehen das rote und das blaue Team – obwohl beide technisch gesehen die „Guten“ sind – bei einer Übung auf entgegengesetzten Seiten. Das kann zu Unmut führen und dazu, dass Sie das eigentliche Ziel aus den Augen verlieren.
Mit einem effektiven Purple Team lassen sich potenzielle Reibereien auf ein Minimum beschränken und die Zusammenarbeit in den Vordergrund stellen, indem die Purple Team-Mitglieder die Red und Blue Teams – wenn angebracht – dazu ermutigen, so viele Daten wie möglich auszutauschen, um ihrem Kunden oder der internen Organisation zu helfen.
Purple Teaming kann beim Reporting große Vorteile bringen. Das bedeutet nicht nur, dass Informationen zwischen roten und blauen Teams ausgetauscht werden müssen, sondern auch, dass die Effektivität der vorhandenen Cybersecurity-Systeme gegenüber der Unternehmensleitung kurz und bündig bestätigt werden muss - oder eben nicht.
Selbst wenn das Feedback lautet, dass die aktuellen Systeme ineffektiv sind, kann das Purple Team mit seinen "roten" und "blauen" Kollegen zusammenarbeiten, um der Geschäftsleitung konkrete Empfehlungen zur Verbesserung der aktuellen Prozesse und letztlich zur Steigerung des ROI im Laufe der Zeit vorzulegen.
Der oben beschriebene Schadensbegrenzungszyklus stellt das ideale Format dar, in dem ein Purple Team die Ergebnisse der "roten" und "blauen" Teamübungen verbessern würde.
Lassen Sie uns nun einige der besten Praktiken erörtern, mit denen ein Purple Team einen effektiven Schadensbegrenzungszyklus erreichen und konsequent die Erkenntnisse gewinnen kann, die für einen starken Sicherheitsstatus des Unternehmens erforderlich sind.
Um optimale Ergebnisse zu erzielen, sollte ein Red Team einen Angriff so vollständig wie möglich replizieren. Ein Purple Team sollte sicherstellen, dass das blaue Team — wenn es den Incident-Response-Plan (IR) während eines Penetrationstests mit einer externen Firma testet — diese Firma nicht benachrichtigt, sobald es sie im Netzwerk entdeckt hat.
Es ist wichtig sicherzustellen, dass das blaue Team die Bewegungen des roten Teams verfolgen und Folgendes erkennen kann:
Auch wenn der erste Impuls eines Cybersecurity-Teams nach der Feststellung eines Incidents sein mag, die kompromittierten Rechner so schnell wie möglich aus dem Netzwerk zu entfernen, sollte es das Gegenteil in Erwägung ziehen: die Rechner laufen zu lassen. Es könnte durchaus kritisch sein, wichtige Beweise — wie den Systemspeicher — im Zusammenhang mit digitaler Forensik und Incident Response (DFIR) aufzubewahren.
In ähnlicher Weise helfen Dokumentation und Reporting des Purple Team dem Unternehmen, das einem Penetrationstest unterzogen wird, dabei, genau herauszufinden, wie ein Angriff abgelaufen ist. Schriftliche Unterlagen und elektronische Beweise sind in der Zeit während und nach einem "Angriff" unverzichtbar.
Aus diesen und weiteren Gründen müssen Purple Teams dokumentieren, welche Blue Team-Mitglieder in dem Cybersecurity-Team was, wann und warum getan haben, damit die Zuverlässigkeit der Beweise gewährleistet werden kann. Aus diesen Erkenntnissen könnte ein Purple Team die folgende Fragenliste zusammenstellen:
Eine ordnungsgemäße Dokumentation des Vorfallverlaufs bildet die Grundlage zur Beantwortung dieser Fragen.
Abschließend findet eine Nachbesprechung statt. Auf diese Weise kann ein Cybersecurity-Team genau sehen, was bei der Reaktion auf einen Incident funktioniert – und was nicht. Die gewonnenen Erkenntnisse können dann genutzt werden, um sich besser vor zukünftigen Angriffen zu schützen.
Eine erfolgreiche Überprüfung setzt voraus, dass die Cybersecurity-Mitarbeiter die tatsächlichen Risiken erkennen und ehrlich darüber sind, wie sie diese angehen oder akzeptieren. Ein solider Plan ist ein bewegliches Ziel und muss sich weiterentwickeln, um neuen Angriffsvektoren in einer sich ständig verändernden Umgebung gerecht zu werden.
Im Folgenden finden Sie Beispiele für Ziele, die ein SOC bei der Ausarbeitung eines IR-Plans anstreben sollte, der aus den Übungen der roten/blauen/lila Teams hervorgeht: