Fejléc

Purple Teaming: a red teaming új megközelítése

Szerző ikon Kovács Erik

Dátum ikon 2023.02.21

Az elmúlt évek során bebizonyosodott, hogy ma már egyetlen cég sem veheti félvállról az IT biztonságot, így a vállalatvezetők szemében jelentősen felértékelődtek a megbízható biztonsági tesztek is. Ezek közé tartozik a red teaming, amely a vállalatok kiberbiztonsági intézkedéseinek tesztelésére szolgál, mint kipróbált és jól bevált gyakorlati módszer. E tesztek segítségével ellenőrizhető, hogy egy szervezet mennyire felkészült a kibertámadásokkal szemben. A klasszikus esetben a piros és a kék csapat általában egymástól elkülönítve dolgozik, de az úgynevezett lila csoport alkalmazása új szintre emeli a t red teaminget, amely így a csapatok elszigetelése helyett az átláthatóságra és az együttműködésre összpontosít.

A felügyelt biztonság ma már számos különböző összetevőt és módszert foglal magába. Azok, akik nem csak elméletben, hanem a gyakorlatban is próbára tennék biztonsági infrastruktúrájukat, gyakran választják a red teaminget. Sajnos még a leggondosabban kidolgozott biztonsági intézkedéseknél is megbújhatnak gyenge pontok, s ezek kizárólag gyakorlati teszteléssel fedezhetők fel. A red teaming bizonyítottan jó választás a sérülékenységek, sebezhető pontok felfedezésére, ám még az ilyen jól bevált módszereket is érdemes továbbfejleszteni: a Purple Teaming a következő lépcsőfokot jelenti a kiberbiztonsági tesztelés fejlődéstörténetében.

Red teaming: közel a valósághoz, elszigetelt csapatokon keresztül

A red teaming alapelve mindeddig éppoly nyilvánvaló volt, mint amennyire bevált és kipróbált: egy, a valósághoz minél közelebb álló támadási forgatókönyvet játszottak el, s a biztonsági intézkedéseket a hatékonyság és a reakciógyorsaság szempontjából tesztelték.

Egy etikus hackerekből álló csoport vállalta a támadói (red team) szerepkört. Céljuk az volt, hogy leküzdjék a biztonsági szakértők egy csoportja – a blue team – által védelmezett falakat. A különböző gyakorlatok főként a tesztelt támadási mintákban különböztek, illetve abban, hogy a vörös csapatnak mennyit kellett előre tudnia a biztonsági struktúrákról (fekete doboz vs fehér doboz). Egy valami azonban szinte minden red teamingben közös volt: a red és a blue team egymástól függetlenül, titokban tevékenykedett, hogy a forgatókönyv a lehető legközelebb álljon a valósághoz. Ám az ilyen eseteknél mindig szem előtt tartandó, hogy ez a tesztelés csak a technikai felkészültség révén nyújt megfelelő tájékoztatást.

Az átláthatóság pontosabb eredményekhez vezet

A Purple Teaming alapgondolata már a nevében is következik: a red teaminggel ellentétben ez enyhíti a piros és kék csapatok közötti együttműködés tilalmát. Ahelyett, hogy a két csoport egymástól tökéletesen elszigetelten dolgozna, a Purple Teamingben mindketten átláthatóan munkálkodnak. Ha a piros csapat teszi meg az első lépést és kezdi meg a támadást, tájékoztatja a kék csapatot a követett stratégiáról és az alkalmazott technikákról. A kék csapat így láthatja, hogy a használt biztonsági eszközök mennyire működnek, és az is kiderülhet, hogy az ilyen esetre létrehozott eljárások ésszerűek és hatékonyan megtervezettek-e. Ennek során olyan értékeket mérnek, amelyek indikátorként szolgálnak. Az összegyűjtött mérőszámok így összehasonlítók az elméletben meghatározott incidensre adott válaszstratégiával, és a gyakorlatban értékelhető a hatékonyságuk. 

Nagyobb hatásfokú tanulás, együttműködéssel

Az újonnan nyert átláthatóság előnye az értékelés pontosságában rejlik. Természetesen a red teaming a saját struktúrák hatékonyságát is elemzi, hisz végsősoron ez az egész módszer célja. A Purple Teaming azonban a pontos jelentés új szintjét éri el, mert ahelyett, hogy csak azt ellenőriznénk, hogy egy támadás működött-e, így közvetlenül felismerhetők a gyenge pontok, illetve beazonosítható, hogy a támadás mely fázisában volt átjárható a rendszer. Ha a piros csapat a támadás során közvetlenül tájékoztatja a kék csapatot arról, hogy hol található sebezhetőség, az időt és energiát takarít meg a kék csapatnak, mivel így közvetlenül kiküszöbölhetik a meglévő sebezhetőségeket.

A lila csoport másik előnye a megismételhetőség. Ha minden támadási terv nyitott, akkor azok célzottan megismételhetők, így a védők egy második kísérletben tesztelhetik, hogy újonnan kidolgozott védelmük megállítja-e a behatolókat.

Végül, de nem utolsósorban, a Purple Teaming óriási hatással van a tanulásra is: a vörös csapat nemcsak ismerteti a védőkkel az alkalmazott stratégiákat, technológiákat, hanem lépésről lépésre elmagyarázza azt is, hogy miért éppen ezt a módszert választották. Így a kék csapat megismeri a támadókat és megérti gondolkodásmódjukat. Az esetleges működési vakság ezzel hatékonyan ellensúlyozható.

Így sikeres a Purple Teaming

A Purple Teaming hatékony alkalmazásához számos szempontot kell figyelembe venni, amelyek közül talán ezek a legfontosabbak:

  • Technikai szakértelem a különböző módszerekkel kapcsolatban: A szolgáltatóknak ismerniük kell mind a kék, mind a piros csapat módszereit. Ez magában foglalja például a biztonsági felügyeletet és a támadásokra való reagálást, az úgynevezett incidensreakciót a kék csapat számára, vagy az automatizált támadásokat a piros csapat esetében. Ennek eredményeképpen a helyes tartalmi beállítások és egyéb rendszerspecifikus tippek is elérhetők.
  • Csapatvezetés és -irányítás: Mivel a Purple Teaming a tanulás sikerességére összpontosít és rendszeres ellenőrzéseket igényel annak megállapítása érdekében, hogy a fejlődés megvalósul-e, a szolgáltatóknak a csapatok vezetésében és irányításában is jártasságot kell szerezniük.
  • Tervezés: Mint minden tesztelési módszer esetében, a Purple Teaming sikeréhez is fontos a pontos terv kidolgozása. Ha a csapat aprólékosan felkészült, az eredmények is magasabb színvonalúak és meggyőzőbbek lesznek.


Annak érdekében, hogy a kék csapatnak legyen elképzelése arról, hogy mire számíthat a végső gyakorlaton, a csapatok általában ismert APT-támadók cyber killchain-jét használják.

Együtt a sikerért

A Purple Teaming sikeréhez elengedhetetlen, hogy a két csapat szorosan és átláthatóan összedolgozzon. Ez egyrészt azt jelenti, hogy a vörös csapat nyilvánosságra hozza: hogyan, miért és milyen eljárásokat alkalmaz. Így a kék csapat jobban megismeri a támadókat és viselkedési mintáikat. Mindeközben a kék csapatnak is közölnie kell, hogy milyen hibákat követett el, és hol képes javítani a hozzáállásán. Ha a csapatok ily módon kéz a kézben dolgoznak, a gyakorlat tartós hatású lehet és elősegíti a biztonsági szint növelését.

Számos előnye ellenére azonban nem az a cél, hogy a Purple Teaming teljesen felváltsa a red teaminget, inkább azok továbbfejlesztésére alkalmas. A helyzettől függően az is lehet, hogy a csapatok egymástól függetlenül dolgoznak, így a tesztkörnyezet közelebb kerül a valósághoz.

A Purple Teaming esetében a SOC szolgáltató alkalmazása is előnyös lehet: ez a szolgáltató olyan további lehetőségekkel rendelkezik, amelyekkel még átfogóbbá tehető a teszt. A kiberbiztonság területén szerzett magas szintű szakértelemmel, valamint a legkorszerűbb eszközökkel és módszerekkel a SOC szolgáltató pontosan az adott vállalatra szabhatja az eljárást, s így teljes mértékben kiaknázhatja a Purple Teamingben rejlő lehetőségeket.