Miks Purple Teaming on puuduv lüli tänapäevases küberturvalisuses?
Tänasel küberturvalisuse maastikul leiavad enamik organisatsioone end kahe reaalsuse vahel: nad teavad, et ründajad arenevad pidevalt ning oma kaitsemeetmeid saab usaldada vaid siis, kui neid on välise surve all proovile pandud. Red Teaming’u teenus, läbistustestid ja turvaauditid pakuvad küll kasulikke andmeid, kuid sageli jääb siiski õhku küsimus: kas vastase rünnaku korral ollakse selleks tõeliselt valmis?
Siin tulebki mängu Purple Teaming. See ühendab endas parima ründetestimise ja kaitsekontrolli praktika, liidab need ühiseks koostööharjutuseks ning muudab teooria praktiliseks valmisolekuks.
Mis on Purple Teaming ?
Purple Teaming’u teenus on struktureeritud simulatsioon pärismaailma ründemeetoditest, mis tugineb MITRE ATT&CK raamistikule ning lähtub kliendi tööstusharu kõige asjakohasematest ohtudest. Erinevalt Red Teaming’ust, kus ründajad tegutsevad varjatult, et kaitsjate eest kõrvale hoida, põhineb Purple Teaming läbipaistvusel ja koostööl.
Red Teaming’u puhul rakendatakse erinevaid tehnikaid: esmane ligipääs, kaitsemehhanismide vältimine, mandaatide kogumine, õiguste tõstmine, külgliikumine võrgus või andmete väljaviimine. Samas Blue Teaming’u puhul toimub aktiivne jälgimine, uurimine ja reageerimine. Iga samm on läbimõeldud: alustatakse lihtsatest ja ilmselgetest meetoditest, mida küps kaitsesüsteem peaks suutma tuvastada, ning liigutakse järk-järgult varjatumate tehnikate suunas, mis panevad organisatsiooni tuvastusvõimekuse proovile.
Töövõtt võib näiteks alata sellega, et Mimikatz paigutatakse otse kettale, kui simuleeritakse tehnikat T1003 OS Credential Dumping – see käivitab tõenäoliselt enamikes lõppseadmete kaitsesüsteemides häire. Hiljem võib sama mandaatide kogumise eesmärki saavutada üksnes mälus toimiva beacon’i kaudu või süsteemi sisseehitatud binaaride abil, mis sulanduvad õiguspäraste protsesside hulka.
Eesmärk ei ole üksnes rünnaku õnnestumine või ebaõnnestumine, vaid tuvastamissügavuse mõõtmine, kaitseprotsesside valideerimine ja mõlema meeskonna reaalajas õppimise toetamine.
Kuidas toimib Purple Teaming’u teenus?
Purple Teaming’u teenust piiritletakse vastavalt kliendi eesmärkidele ja võimekusele. Väiksema töövõtu puhul võidakse testida 20 ründetehnikat kogu ründeahela ulatuses, samas suuremahulisem töövõtt võib hõlmata 40 või enamat tehnikat, simuleerides kõike alates õngitsemise (phishing) rünnakutest kuni andmete väljaviimiseni.
Tööprotsess on metoodiline:- Planeerimine ja kooskõlastamine – töövõtt algab sidusrühmadega kooskõlastatud testimisplaaniga, et vältida üllatusi. See tagab, et valitud TTP-d (taktikad, tehnikad ja protseduurid) ei kajasta vaid levinud ründevektoreid, vaid ka kliendi sektorile omast ohuluuret ning organisatsiooni prioriteetseid algatusi.
- Ründeahela täideviimine – operaatorid sooritavad rünnakuid kogu sissetungi elutsükli vältel: sisenemine, käivitamine, õiguste suurendamine, avastamine, püsimajäämine, külgsuunaline liikumine, andmete kogumine ja väljaviimine. Iga sammu logitakse, jälgitakse ja vaadatakse üle selle toimumise ajal.
- Reaalajas koostöö – pärast iga tehnika rakendamist tehakse lühike paus. Blue Team jagab, mida nad märkasid või ei märganud. Red Team selgitab, mida tehti, millised jäljed jäid maha ning mida võiksid kaitsjad järgmine kord otsida. Õppimine toimub jooksvalt, mitte mitu nädalat hiljem.
- Aruandlus ja soovitused – lõpus koondatakse tulemused üksikasjalikku raportisse, kus tuuakse muu hulgas välja, milliseid variatsioone tuvastati või tõkestati, kus vajab kaitse tugevdamist ning kuidas tuleks parendusi prioritiseerida. Juhtidele esitatakse selge ülevaade tugevustest, nõrkustest ja strateegilistest järgmistest sammudest.
Purple Teaming’u eelised
Tegutsemiskindlus
Küberjulgeoleku eest vastutavad juhid investeerivad sageli palju lõppseadmete tuvastusse, SIEM-platvormidesse ja ohuluure voogudesse, ent paratamatult tekib küsimus: kas kõik need lahendused töötavad ka tegelikkuses koos? Purple Teaming’uga pannakse need investeeringud proovile. See näitab, millised häired käivituvad usaldusväärselt, millised reeglid on liiga mürarikkad, et olla praktiliselt kasutatavad, ning milliseid turvaauke võiksid ründajad kasvõi hommepäev ära kasutada.
Kaitseoskuste arendamine
Blue Team’i jaoks on Purple Teaming ehe näide õppimisest. Analüütikud ei loe pelgalt blogidest või ohuraportitest vastaste käitumise kohta, vaid nad näevad seda omaenda võrgus toimumas ja saavad reageerida realistlikes tingimustes. Tagasiside on kohene, kiirendades oskuste arengut viisil, mida situatsiooniharjutused ei suudaks kunagi pakkuda.
Vastavus ja regulatiivne kooskõla
Üha rohkem järelevalveasutusi ja katusorganisatsioone mõistavad, kui oluline on testida tuvastamis- ja reageerimisvõimekust, mitte ainult ennetavaid kontrollimeetmeid. Purple Teaming saab otseselt toetada finantsteenuste, tervishoiu või elutähtsa infrastruktuuri valdkonnas tegutsevate organisatsioonide regulatiivse vastavuse eesmärke, näidates, et kaitsemonitooring pole mitte üksnes olemas, vaid ka testitud reaalse ohuolukorra taktikate vastu.
Kulutõhus kindlustunne
Täismahus Red Teaming’u testid on väärtuslikud, kuid samas väga ressursimahukad. Purple Teaming pakub vahepealset lahendust: struktureeritud ja korduv viis kaitsemeetmete valideerimiseks ilma kuudepikkust varjatud kampaaniat operatiivkulude ja -koormuseta. Paljudele organisatsioonidele annab see 80% vajalikust infost oluliselt väiksema kuluga.
Kohandatud sinu ohupildile
Purple Teaming’u teenust saab kohandada sinu organisatsiooni jaoks kõige relevantsematele ohtudele vastavaks – olgu selleks sinu sektorit sihtivad lunavararühmad, tarneahela rünnakud sinu piirkonnas või sisemiste ohtude stsenaariumid. See tagab, et teenus on konkreetselt sinu vajadustele vastav, mitte pelgalt teoreetiline.
Miks see on just praegu oluline?
Küberturvalisuse maastik pole kunagi olnud nii dünaamiline ja kiirelt muutuv. Kurjategijad uuendavad oma meetodeid iga päev, kasutades nullpäevade haavatavust, kuritarvitades seaduspäraseid tööriistu ning muutes taktikaid kohe, kui kaitsemeetmed järele jõuavad. Samal ajal juurutavad organisatsioonid üha rohkem tehnoloogiaid – pilveplatvorme, SaaS-rakendusi, kaugtöö infrastruktuuri –, millest igaüks toob kaasa uusi tuvastamise ja monitoorimise väljakutseid.
Kõige selle valguses ei piisa enam traditsioonilistest testidest. Iga-aastased läbistustestid kinnitavad konfiguratsioone ja Red Team’id simuleerivad vastaseid, kuid kumbki neist ei taga, et sinu organisatsiooni kaitse suudab rünnakuid reaalajas tuvastada ja peatada. Purple Teaming aitab seda lünka täita: see ei mõõda üksnes seda, kas süsteemi saab kompromiteerida, vaid ka seda, kas kompromiteerimine avastatakse ning milline on meeskonna reageerimisvõime.
Juhtidele annab see kindluse, et küberturvalisuse investeeringud on efektiivsed. Spetsialistidele pakub see selget tegevusplaani tuvastusvõimekuse ja intsidentidele reageerimise tugevdamiseks. Kogu organisatsiooni jaoks loob see koostöökultuuri, kus rünnak ja kaitse ei ole vastandid, vaid töötavad koos vastupidavuse nimel.
Purple Teaming ei ole luksus – see on muutumas hädavajalikuks praktikaks organisatsioonidele, kes võtavad turvalisust tõsiselt. Maailmas, kus ründajad ei lõpeta kunagi õppimist, ei saa ka kaitsjad seda endale lubada.
Kas oled valmis oma kaitsevõimet proovile panema?
Pakume KPMG-s Purple Teaming’u teenust maailmatasemel ründe- ja kaitseekspertiisiga. Meie spetsialistid suudavad mööda hiilida kaasaegsetest lõppseadmete kaitsetest, vältida logimist ning simuleerida arenenud ründajate töövõtteid. Oluline on ka see, et töötame kaitsjatega kõrvuti, et õppetunnid oleksid kohesed ja rakendatavad.
Olenemata sellest, kas vajad fokusseeritud teenust või kogu ründeahela terviklikku simulatsiooni, kohandame teenuse sinu organisatsiooni keskkonnale, valdkonnale ja kõige olulisematele ohtudele vastavaks. Tulemuseks ei ole lihtsalt raport, vaid mõõdetav areng sinu organisatsiooni võimes tuvastada, reageerida ja säilitada vastupanuvõime reaalsete rünnakute korral.
Kui soovid teada, kuidas Purple Teaming saab sinu kaitsevõimet tugevdada, võta meiega ühendust. Aitame määratleda just sinu eesmärkidele vastava teenuse ulatuse ning anname selge ülevaate su küberturvalisuse seisust ja mis suunas see peaks edasi liikuma.
Jagjit Singh Sohal
KPMG Cyber Expert
Viimased artiklid
Kas Sinu organisatsioon on valmis ootamatuks küberrünnakuks või süsteemikatkestuseks?
Küberturvalisus ei ole enam valikuline, vaid lausa hädavajalik investeering, mis aitab kaitsta äri..
Ettevõtte ostmisel ei tohi küberturvalisus jääda põrsaks kotis
„Mis on esimene asi, mida sa teed, kui kuhugi investeerid,“ küsib KPMG Baltics küberturvalisuse te..
Auditit võib vaja minna ka IT-osakonnal
Auditite tegemisest on saanud hea juhtimiskultuuri osa, kuid harva mõeldakse finantsaudititest kau..
KPMG: vähesest küberturvalisusest on saanud viimase kümnendi suurim oht ettevõtetele
KPMG 2024. aasta ülemaailmne tippjuhtide uuring näitab, et tegevjuhid peavad küberturvalisust viim..
Küberturvalisuse ekspert Mihkel Kukk: endine töötaja kui IT-turvarisk
Kõik sai alguse ühest justkui tähtsusetuna tundunud juhtumist. Üks ettevõte oli lõpetamas oma eduk..
Muuda ohud võimalusteks
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
KPMG Baltics OÜ
+372 626 8700cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
Võta meiega ühendust
${i18n('ask_more')}
Töötajate teadlikkuse analüüs
Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
${i18n('ask_more')}
Ohuanalüüs
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
${i18n('ask_more')}
Küpsusanalüüs
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.