Az együttműködés ereje: lila csapat, folyamatos fejlődés
A lila csapatos (Purple Teaming) megközelítés mindent megváltoztat. Itt nem egymás ellen, hanem együtt dolgozik a két csapat, a tesztelés folyamatossá válik, a visszajelzés pedig mérhető eredményeket hoz. Nem elhanyagolható tényező, hogy a támadók ma már sokkal gyorsabban fejlődnek, mint a védelmi rendszerek. Csak folyamatos visszacsatolással lehet csökkenteni a lemaradást.
A lila csapat nem egyszerűen barátságosabb vörös csapatot jelent, hanem egy hatékonyabb, önjavító munkafolyamatot. A körforgás: a vörös csapat támad, pontosan modellezi a valós fenyegetéseket, és feltárja, hol bírja a védelem, hol nem. A kék csapat azonnal elemzi, milyen védelmi mechanizmusok léptek működésbe, és mi maradt néma. Ezután újrakalibrálnak, újra lefuttatják a támadást, és addig finomítanak, amíg a hibák el nem tűnnek. Ez az ismétlődő ciklus teszi valóban „lilává” a csapatot, nem pedig a színek elegye.
Automatizált validáció: gyors, folyamatos önvizsgálat
A hagyományos lila csapatolás lassú és túl sok manuális munkát igényel. Egy új támadási szimuláció elkészítése akár órákba telik, miközben a valódi támadások már el is kezdődhetnek. Az úgynevezett BAS (Breach and Attack Simulation) eszközök teljesen automatizálják a szükséges feladatokat: folyamatosan és valós időben képesek szimulálni a valódi fenyegetési taktikákat, biztonságosan végigfuttatják a feltételezett támadásokat az élő rendszereken, és azonnal értékelik, mennyire volt hatékony a megelőzés, az észlelés és a válaszadás.
A BAS nem a kreatív szakembereket váltja ki, hanem megsokszorozza a hatékonyságukat. Így nem egyszeri esemény lesz a lila csapatolás, hanem rendszeres, gyors ütemű fejlődés: támadás, elemzés, javítás, validálás, ismétlés.
Valódi kockázat, valós kontroll: fókuszban az, ami számít
Nem éri meg csak egy kötelező ellenőrzőlistával nekivágni, hanem azokra a támadási útvonalakra kell koncentrálni, amelyek valóban veszélyt jelentenek. A figyelem középpontjában például ezek a támadásfázisok állhatnak: belső felderítés, jogosultságnövelés, oldalirányú mozgás (WMI, PsExec), kitartás (regisztrációs adatbázis, időzített feladatok), adatszivárgás, titkosítás és a biztonsági mentések manipulációja. Ezután a folyamat védelmi pontjaira kell fókuszálni: tűzfalak, WAF-ok, e-mail-szűrők, behatolásjelzők, végponti védelmek.
A BAS segítségével pontosan mérhető, mely kontrollok működtek (ezekre lehet építeni), melyek maradtak néma (ezeket sürgősen javítani kell), és mely szabályok jeleztek csak felszínesen, aláírásalapon (ezeket finomhangolni érdemes).
A prioritás átszabása: ne csak a mennyiség számítson
Minden lefuttatott támadásszimuláció konkrét bizonyítékot szolgáltat. Azonnal láthatóvá válik, mely hiányosságok csúsztak át mind a megelőző, mind az észlelő rendszereken – ezek jelentik a valódi kockázatot. Így a csapat ki tudja szűrni azokat a sebezhetőségeket, amelyekkel nem érdemes foglalkozni, mert a jelenlegi kontrollok úgyis elhárítják őket.
Mégis fontos figyelni három tényezőre: mekkora lenne a károkozás, ha kihasználják a rést; mennyire könnyű észrevenni; hol található a szervezetben az érintett terület, és milyen értékű adatot érintene.
Az igazán kritikus, nehezen észlelhető résekkel érdemes kezdeni. Ez rövidíti le leginkább azt az időt, ami a sebezhetőség felfedezése és az arra adott válasz között eltelik.
Az MI támogatása: óvatosan, emberi felügyelettel
Az MI mostanra képes néhány perc alatt feldolgozni egy fenyegetésjelentést, és teljes támadási tervet generálni. Ez hatalmas ugrás a sebességben, de egyben kockázatos is: ha csak egy nagy nyelvi modellt bízol meg a payloadok megalkotásával, könnyen olyan szimulációt hozhatsz létre, amely valójában téves képet ad.
Okosabb lépés az, ha az MI csak a fenyegetéselemzés és a technikák leképezése szintjén segít, a payloadok karbantartását viszont egy gondosan kezelt BAS-könyvtárra bízod, és mindig jóváhagyatod a terveket a biztonsági csapattal.
Az MI így nem váltja ki a humán szakértőket, csak felgyorsítja a támadási tervek elkészítését – akár 48 órányi manuális munkát spórolva.
A siker új szintje: folyamatos bizonyíték, valós védelem
Ha a vörös csapat még mindig csak a tartományi adminisztrátor elérésére büszke, vagy a kék csapat csak a riasztások számát nézi, akkor ideje új irányt venni. Ma a siker mércéje az, hogy hány támadási technikát modelleztünk le, mennyi észlelési szabályt hangoltunk finomra, és mely javításokat validáltunk újra.
A biztonsági érettség nem az eszközök számán mérhető, hanem azon, milyen gyakran győződünk meg arról, hogy valóban működnek.
A folyamatos védelem haszna: biztosabb szervezeti kultúra
A BAS-alapú lila csapatos munka néhány hónap alatt látványos változást hoz. A csapatokat nem kötik le feltételezett problémák vitái; a vezetőknek nincs szükségük külön igazoló jelentésekre, hiszen minden döntés mögött ott a naprakész, validált adat. Minden javítás, minden szabály konkrét tesztelésen ment keresztül.
Ezen a szinten a folyamatos validáció természetessé válik, ami alapjaiban változtatja meg a szervezet biztonságtudatát.
Összességében elmondható, hogy a BAS-szal támogatott lila csapatolás nem reménykedik – szüntelenül bizonyítja, mire képes a védelem, miben kell fejlődnie, és ezzel valódi, mérhető biztonságot ad.
