蓝队成功的6个最佳实践

如今的网络安全团队中,蓝队可以说肩负着最关键的任务:保护组织免受网络安全威胁和漏洞的影响。
如今的网络安全团队中,红队、蓝队和紫队各司其职,尽管每个团队都有其独特的视角和任务,但蓝队可以说肩负着最关键的任务:保护组织免受网络安全威胁和漏洞的影响。
为此,蓝队必须了解组织的业务需求、相关威胁、数字足迹和相关漏洞。从那里,团队可以通过实施安全控制和缓解措施来解决最紧迫的威胁和漏洞,从而加强组织的安全防御能力。
Aquia, Inc.高级安全工程师和紫队负责人Maril Vernon表示:
蓝队的组成远不止SOC分析师和IT运营人员。从业务信息安全官 [BISO] 到网络威胁情报 [CTI] 团队,再到企业风险和业务连续性计划 [BCP] 专业人员,每个人都是如此。归根结底,即使是您的红队也在为蓝方工作。
我们都在努力主动证明和提高安全性。在紫队练习中,我们所做的最关键和最重要的部分是识别和整合各个蓝队的成员,并将对抗性目标、思维方式和交易技巧真正传授给他们。底线是,蓝队在不同级别上构成了第一、第二和第三道防线,我们不想赌他们中任何一个的能力。事件的中间不是识别和补救流程和控制差距的地方。我们从来都不想在与对手的公平竞争中表现出来,而适当的蓝队成熟是我们赋予自己优势的方式。

以下是蓝队可以采取的六种最佳实践:

01

使用网络安全框架

如果没有构建框架,就很难制定和实施连贯的网络安全计划。网络安全框架并不缺乏,比如:国内基于《网络安全法》的等保2.0、《数据安全法》、行业规范、ISO 27001等框架。
这些框架都提供了减轻组织网络安全威胁的指南。它贯穿识别、保护、检测、响应和恢复的基本活动。随着风险和威胁的出现,组织将多次经历这些阶段。

02

了解要保护的资产

如果没有适当的可见性和对其必须保护的资产的识别,任何网络安全计划都不会有效。这就是为什么对硬件和软件资产清单等的控制多年来一直是CIS安全管控的基础。
网络安全的一个基本事实是,你无法保护你看不到或不知道存在的东西。在当今的云驱动环境中,传统资产越来越多地成为软件定义并存在于云服务提供商 (CSP) 的环境中。随着虚拟桌面的使用持续增长,这也适用于端点。可见性适用于所有组织资产,无论是实体的还是虚拟的。

03

产品组合去芜存菁

今天的蓝队专业人员正在处理无数的工具、平台和资源,以涵盖他们必须监控和保护的环境。这意味着一系列令人眼花缭乱的警报和通知,这些警报和通知会分散他们的注意力、认知能力,甚至会影响他们的士气。为了最大限度地提高蓝队的价值,必须做的一件事是最大限度地减少误报、重复警报和无附加价值通知的数量。做到这一点的一种方法是合理化工具组合以消除重复性,并确保团队接收和响应高保真数据。

04

选择团队可以掌握和有效使用的工具

网络安全领导者可能会感到有必要采购和实施无数工具来应对相关威胁和风险,这是理所当然的,因为有很多东西需要防范。研究表明,尽管安全工具增长迅猛,但相关指标表明这些工具并未产生预期的影响。例如,Ponemon报告称,组织平均拥有40多种安全工具,团队成员承认他们不知道自己的工作情况如何。Market Cube的一项研究指出,团队添加工具的速度比他们有效使用工具的速度要快。
具有讽刺意味的是,工具维护的负担正在损害威胁响应和最终的安全态势。每种工具的引入都会增加团队的整体认知负担。学习该工具、提供和配置它,然后监控它,以便对其遥测进行可操作的使用,这些都需要时间。
网络安全中的倦怠和认知超载是真正的问题,不仅因为它们会消耗团队的精力和士气,而且因为使用太多工具意味着更少的时间来优化安全防御能力并降低组织风险。因此,工具的堆砌通常并不会减少威胁和漏洞,反而会加剧风险暴露。这些工具本身也代表了组织攻击面的一部分,并且通常具有被攻击者利用的权限。

05

从对手的角度思考

对于防御专业人士来说,在网络安全行业重复的一个常见比喻是“像攻击者一样思考”。这是直观的,因为要阻止恶意活动,必须了解敌人的想法。做到这一点的最好方法是设身处地为他们着想。
也就是说,蓝队花一些时间从进攻的角度进行练习是有价值的。了解攻击者使用的相关工具、策略和程序可以大大有助于了解蓝队如何开展他们的防御活动。有人称这可以通过获得一些实际的进攻性安全经验来更好地与攻击者建立联系。这不必是正式的角色改变或针对真正的目标,但可以通过实验室或参与夺旗 (CtF) 练习来促进。

06

像训练一样战斗

已故的美国将军乔治巴顿曾经说过,“你像训练一样战斗”。他的意思是,到了战斗的时候,你会按照你训练的方式来表现。在压力之下,组织和个人不只是奇迹般地应运而生;他们下降到他们的训练水平。这强调了为什么定期和严格的训练如此重要,不仅仅是桌面练习和文书练习,而是真正的红队练习和经验。这是一种成熟的方法,它迫使组织不仅要推测他们对检测事件、防范攻击者并最终抵御攻击的准备程度,还要实际证明这一点。战斗训练将更好地赋能您的团队和组织,以应对他们面临的现实威胁。
塞讯验证始终站在组织的角度,帮助客户去发现自身防御体系存在的根本问题,比如产品冗余、团队经验不足等。通过安全验证技术,塞讯验证从攻击者的角度入手,还原真实的攻击场景,去帮助组织验证其安全产品和工具是否起到其声称的作用、是否合理配置,让组织能够对自身防御体系的能力与结构产生清晰的认知,让不同层级不同岗位的人员能够从各自的角度了解安全防御情况,实现“知彼、知己”。在此基础上,蓝队才能够精准掌握防御体系的薄弱处,有的放矢,采取措施应对风险。
| 参考来源:
https://www.csoonline.com/article/3670132/6-best-practices-for-blue-team-success.html