Синяя команда (компьютерная безопасность)

Синяя команда представляет собой группа лиц , которые выполняют анализ информационных систем для обеспечения безопасности, выявления недостатков в безопасности, проверить эффективность каждой меры безопасности, а также убедиться , что все меры безопасности будут продолжать действовать после реализации. ^[1]

История [ править ]

В рамках инициативы США по защите компьютерной безопасности были созданы красные команды для использования других вредоносных объектов, которые могли бы причинить им вред. В результате были разработаны синие команды для разработки защитных мер против таких действий красных команд. ^[2]

Реакция на инцидент [ править ]

Если инцидент действительно происходит в организации, синяя команда выполнит следующие шесть шагов, чтобы справиться с ситуацией:

Подготовка
Идентификация
Сдерживание
Искоренение
Восстановление
Извлеченные уроки ^[3]

Повышение безопасности операционной системы [ править ]

Готовясь к инциденту с компьютерной безопасностью, синяя команда выполнит методы повышения безопасности для всех операционных систем в организации. ^[4]

Защита периметра [ править ]

Синяя команда всегда должна помнить о периметре сети, включая поток трафика, фильтрацию пакетов, прокси-брандмауэры и системы обнаружения вторжений. ^[4]

Инструменты [ править ]

Blue Teams использует широкий спектр инструментов, позволяющих им обнаруживать атаку, собирать криминалистические данные, выполнять анализ данных и вносить изменения в угрозы будущих атак и устранять угрозы. Некоторые из инструментов включают в себя:

Управление журналами и анализ [ править ]

Graylog
LogRhythm
NetWitness
FortiSIEM (также известный как AccelOps )
AlienVault
Splunk
Rapid7
SIEMonster
SolarWinds
Qradar ( IBM )
InTrust

Технология управления информацией и событиями безопасности (SIEM) [ править ]

Программное обеспечение SIEM поддерживает обнаружение угроз и реагирование на инциденты безопасности, выполняя сбор данных в реальном времени и анализ событий безопасности. Этот тип программного обеспечения также использует источники данных за пределами сети, в том числе индикаторы угроз (IoC) .

См. Также [ править ]

Красная команда

Ссылки [ править ]

^ Sypris Electronics. «DoDD 8570.1: Синяя команда» . Sypris Electronics . Архивировано из оригинального 25 апреля 2016 года . Проверено 3 июля, 2016 .
^ Джонсон, Роуленд. «Как тестеры проникновения вашей красной команды могут помочь улучшить вашу синюю команду» . Журнал SC . Архивировано из оригинального 30 мая 2016 года . Проверено 3 июля, 2016 .
^ Мердок, Дон (2014). Справочник синей команды: издание реагирования на инциденты (2-е изд.). Независимая издательская платформа reateSpace. ISBN 978-1500734756.
^ a b Институт SANS. «Cyber Guardian: Синяя команда» . SANS . Институт SANS . Проверено 3 июля, 2016 .

[ref1-1] Sypris Electronics. «DoDD 8570.1: Синяя команда» . Sypris Electronics . Архивировано из оригинального 25 апреля 2016 года . Проверено 3 июля, 2016 .

[ref2-2] Джонсон, Роуленд. «Как тестеры проникновения вашей красной команды могут помочь улучшить вашу синюю команду» . Журнал SC . Архивировано из оригинального 30 мая 2016 года . Проверено 3 июля, 2016 .

[ref3-3] Мердок, Дон (2014). Справочник синей команды: издание реагирования на инциденты (2-е изд.). Независимая издательская платформа reateSpace. ISBN 978-1500734756.

[ref4-4] Институт SANS. «Cyber Guardian: Синяя команда» . SANS . Институт SANS . Проверено 3 июля, 2016 .

[1]