Синяя команда представляет собой группа лиц , которые выполняют анализ информационных систем для обеспечения безопасности, выявления недостатков в безопасности, проверить эффективность каждой меры безопасности, а также убедиться , что все меры безопасности будут продолжать действовать после реализации. [1]
История [ править ]
В рамках инициативы США по защите компьютерной безопасности были созданы красные команды для использования других вредоносных объектов, которые могли бы причинить им вред. В результате были разработаны синие команды для разработки защитных мер против таких действий красных команд. [2]
Реакция на инцидент [ править ]
Если инцидент действительно происходит в организации, синяя команда выполнит следующие шесть шагов, чтобы справиться с ситуацией:
- Подготовка
- Идентификация
- Сдерживание
- Искоренение
- Восстановление
- Извлеченные уроки [3]
Повышение безопасности операционной системы [ править ]
Готовясь к инциденту с компьютерной безопасностью, синяя команда выполнит методы повышения безопасности для всех операционных систем в организации. [4]
Защита периметра [ править ]
Синяя команда всегда должна помнить о периметре сети, включая поток трафика, фильтрацию пакетов, прокси-брандмауэры и системы обнаружения вторжений. [4]
Инструменты [ править ]
Blue Teams использует широкий спектр инструментов, позволяющих им обнаруживать атаку, собирать криминалистические данные, выполнять анализ данных и вносить изменения в угрозы будущих атак и устранять угрозы. Некоторые из инструментов включают в себя:
Управление журналами и анализ [ править ]
- Graylog
- LogRhythm
- NetWitness
- FortiSIEM (также известный как AccelOps )
- AlienVault
- Splunk
- Rapid7
- SIEMonster
- SolarWinds
- Qradar ( IBM )
- InTrust
Технология управления информацией и событиями безопасности (SIEM) [ править ]
Программное обеспечение SIEM поддерживает обнаружение угроз и реагирование на инциденты безопасности, выполняя сбор данных в реальном времени и анализ событий безопасности. Этот тип программного обеспечения также использует источники данных за пределами сети, в том числе индикаторы угроз (IoC) .
См. Также [ править ]
Ссылки [ править ]
- ^ Sypris Electronics. «DoDD 8570.1: Синяя команда» . Sypris Electronics . Архивировано из оригинального 25 апреля 2016 года . Проверено 3 июля, 2016 .
- ^ Джонсон, Роуленд. «Как тестеры проникновения вашей красной команды могут помочь улучшить вашу синюю команду» . Журнал SC . Архивировано из оригинального 30 мая 2016 года . Проверено 3 июля, 2016 .
- ^ Мердок, Дон (2014). Справочник синей команды: издание реагирования на инциденты (2-е изд.). Независимая издательская платформа reateSpace. ISBN 978-1500734756.
- ^ a b Институт SANS. «Cyber Guardian: Синяя команда» . SANS . Институт SANS . Проверено 3 июля, 2016 .