Purple Team — это современный подход к повышению уровню безопасности информационной инфраструктуры и оценке эффективности SOC, сочетающий усилия Red Team и Blue Team.
Red Team — команда, которая имитирует действия злоумышленников, проводя целевые атаки для выявления уязвимостей в инфраструктуре. Задача Red Team — определить слабые места, которые могут быть использованы для проникновения, и протестировать реакцию системы безопасности на реальные угрозы.
Blue Team — команда, ответственная за защиту инфраструктуры и реагирование на кибератаки. Основные задачи Blue Team включают мониторинг, выявление и предотвращение атак, анализ угроз и выполнение регламентов по защите информации.
Когда может быть необходима услуга тестирования защищенности по модели Purple Team:
- Требуется поддержка в улучшении процессов мониторинга, обнаружения и реагирования на инциденты ИБ вашего отдела SOC, включая совместную доработку правил и настроек с нашими аналитиками (не ограничиваясь только финальным отчетом, как в случае Red Team тестирования).
- Нужно проверить готовность и устойчивость вашего SOC к реальным кибератакам.
- Необходимо выявление областей, непокрытых процессом мониторинга.
- Требуется проверка, эффективная настройка и развитие систем выявления атак на основе реальных кейсов.
Как устроен процесс:
- Мы проводим сбор необходимых данных о составе тестируемой инфраструктуры, определяем области тестирования и сценарии атак.
- Эмулируем действия злоумышленников по выбранным областям, фиксируя время выполнения каждого шага атаки и параллельно проводя мониторинг и реагирование специалистами Blue Team.
- Проводим оценку детектирования действий Red Team по таймлайну и деталям атак: проверяем качество контента SIEM-системы, отслеживаем полноту покрытия мониторинга инфраструктуры, оцениваем качество и оперативность реагирования вашего SOC.
- Формируем детальный отчет с независимой оценкой процессов мониторинга и реагирования SOC и рекомендациями по оптимизации процессов и защитных механизмов.
Вы получите:
- Представление о текущем состоянии и качестве процессов вашего SOC и рекомендации по устранению слабых мест.
- Улучшение настроек мониторинга и реагирования на реальные угрозы.
- Повышение общего уровня киберустойчивости организации.