Информационная безопасность

Red Team vs Blue Team

SolarWinds 2020. Атакующие присутствовали 9 месяцев. FireEye - компания с топовой Red Team - обнаружила атаку на собственные инструменты случайно. Если профессиональная Red Team компания не заметила компрометацию месяцами - что это говорит о среднем Blue Team? Red Team/Blue Team разделение существует чтобы системно отвечать на этот вопрос.

  • SolarWinds 2020: 9 месяцев незамеченного присутствия. FireEye - топовая Red Team компания - тоже жертва
  • SWIFT Bangladesh 2016: $81 млн. Атакующие имитировали легитимных операторов - задача Red Team
  • MITRE ATT&CK Evaluations 2023: лучший EDR детектирует 91% техник Turla APT, худший - 34%

Red Team: adversary emulation

2016 год. SWIFT Banking Network. Атакующие украли $81 млн из Bangladesh Bank. Имитировали поведение легитимных операторов: правильные временные паттерны, правильные транзакции, правильные форматы. Red Team делает то же самое: не просто ищет уязвимости, а имитирует конкретных threat actors (APT28, Lazarus Group) с их реальными TTPs (Tactics, Techniques, Procedures).

C2 (Command and Control) фреймворки для Red Team: Cobalt Strike ($3500/год, enterprise стандарт), Sliver (open source, Go), Havoc (open source). MITRE ATT&CK - база знаний 600+ техник реальных атак, организованных по тактикам. Красная нить Red Team операции: имитировать конкретного threat actor, не просто 'взломать'.

Red Team получила initial access через phishing. Следующий шаг по MITRE ATT&CK?

Blue Team: обнаружение и защита

Blue Team - защищающая сторона: SOC аналитики, threat hunters, incident responders. 2021 год. Microsoft Exchange ProxyLogon (CVE-2021-26855). 250 000 серверов скомпрометированы за 4 дня. Blue Team организаций с хорошим мониторингом обнаружила атаки в первые часы по аномалиям в IIS логах. Без мониторинга - недели незамеченного присутствия.

MITRE D3FEND - зеркало ATT&CK для защиты: каждой технике атаки (ATT&CK) соответствует контрмера (D3FEND). T1059 PowerShell Execution -> D3-PSA PowerShell Anti-Abuse. Blue Team матчит Red Team TTPs с контрмерами.

SIEM показывает: рабочая станция user1-pc подключилась по SMB к 15 другим рабочим станциям за 5 минут. Это аномалия?

Purple Team: совместная итерация

Традиционный пентест: Red Team атакует, Blue Team защищает, результат - отчёт после. Purple Team - другая модель: Red и Blue работают вместе в реальном времени. Iterative improvement: Red атакует технику -> Blue проверяет обнаружение -> разрыв в детектировании -> создать detection rule -> верифицировать -> следующая техника. CISA Adversary Emulation Plans документируют реальные APT операции для Purple Team тренировок.

Atomic Red Team от Red Canary - библиотека 1000+ atomic tests для ATT&CK техник. Каждый тест: минимальное воздействие для верификации одной техники. Ideal для Purple Team: быстро проверить coverage детектирования без full Red Team engagement.

Purple Team тест показал: Mimikatz детектируется, но ProcDump (legit tool) для дампа LSASS - нет. Что делать?

Adversary Emulation: имитация реальных APT

MITRE Engenuity ATT&CK Evaluations: проверяют EDR продукты против реальных APT TTPs. 2022: тест против Wizard Spider (Ryuk ransomware) и Sandworm (NotPetya). Результат публичный: какой процент техник детектирован каждым продуктом. Adversary Emulation Plans CISA - детальные описания реальных кампаний для организаций чтобы тестировать свои детекции.

MITRE ATT&CK Navigator - веб инструмент визуализации coverage. Загрузить Red Team результаты + Blue Team detection rules -> наглядная heat map покрытия. Красные клетки = gap, зелёные = покрыто. Приоритизировать патчинг detection по frequent vs critical техникам.

Red Team vs Blue Team - это соревнование, Blue Team должна выиграть

Red Team и Blue Team работают к одной цели: улучшить реальную безопасность организации. Red Team 'выигрывает' только если Blue Team улучшается

Организации нанимают Red Team именно для нахождения слабых мест. Если Blue Team идеально детектирует всё - значит Red Team недостаточно creative. Цель - взаимное улучшение, не победа одной стороны.

MITRE ATT&CK Evaluation показывает: EDR детектирует 85% техник Wizard Spider. Как интерпретировать 15% пропущенных?

Итоги

  • Red Team имитирует конкретных threat actors (APT) по MITRE ATT&CK TTPs, не просто ищет уязвимости
  • Blue Team детектирует по Event IDs, Sigma rules, поведенческим аномалиям. MITRE D3FEND - контрмеры к ATT&CK
  • Purple Team: итеративное улучшение. Red атакует технику -> Blue проверяет detection -> fix gap -> повторить
  • Adversary Emulation Plans (CISA, MITRE) - готовые сценарии реальных APT для тестирования

Связанные темы

Red/Blue/Purple Team модели объединяют атакующие и защищающие практики в систему:

  • Инструменты пентеста — Red Team использует Nmap, Burp, Metasploit и Cobalt Strike
  • SIEM и мониторинг — Blue Team работает с SIEM для обнаружения Red Team активности
  • Incident Response — Успешная Red Team атака = упражнение по IR для Blue Team

Вопросы для размышления

  • Почему Red Team имитирует конкретный threat actor (APT28), а не атакует произвольно?
  • Как Purple Team повышает эффективность по сравнению с традиционным пентестом?
  • Что означает 85% coverage в MITRE ATT&CK Evaluation - это хорошо или плохо?

Связанные уроки

  • sec-30 — Red Team использует инструменты пентеста
  • sec-33 — Blue Team работает с SIEM для обнаружения Red Team активности
  • sec-34 — Incident Response - реакция Blue Team на успешные Red Team атаки
  • net-43-ddos
Red Team vs Blue Team

0

1

Войти