Sigurnosna procjena (security audit) - što je i kako teče
Sigurnosni audit (security audit): što obuhvaća, kako teče kroz pet faza i po čemu se razlikuje od penetracijskog testa.
Pročitaj
Red team je grupa stručnjaka koja simulira ponašanje stvarnog napadača kako bi otkrila slabosti prije nego ih iskoristi kriminalac. Blue team je obrambena strana, ljudi i tehnologija koji otkrivaju, zaustavljaju i istražuju napade. Purple team nije zaseban tim, nego način rada u kojem red i blue team surađuju i razmjenjuju nalaze u realnom vremenu kako bi obrana brže napredovala.
Naše rješenje
Penetracijsko testiranje - otkrivamo ranjivosti prije hakera. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Ovi pojmovi dolaze iz vojne terminologije, gdje "crveni" predstavlja neprijatelja, a "plavi" vlastite snage. U kibernetičkoj sigurnosti opisuju tri komplementarne uloge koje zajedno čine zreo sigurnosni program. U nastavku objašnjavamo svaku ulogu konkretno, uspoređujemo ih i pojašnjavamo kako firme i preduzeća u Mostaru, BiH i široj regiji mogu odabrati pristup koji im stvarno koristi.
Što je red team i čime se bavi
Red team radi ono što bi radio stvarni napadač, ali pod kontroliranim i unaprijed dogovorenim uvjetima. Cilj nije samo pronaći ranjivost, nego dokazati što napadač s njom može postići: doći do baze podataka, do administratorskog računa ili do poslovno kritičnih sustava. Zbog toga se red team najčešće fokusira na "scenarij" (npr. "dođi do podataka o klijentima") umjesto na puko nabrajanje ranjivosti.
Tipičan red team angažman uključuje više tehnika koje se kombiniraju:
- Izviđanje (reconnaissance) - prikupljanje javno dostupnih informacija o meti: domene, e-mail adrese, tehnologije, zaposlenici.
- Početni pristup - phishing, iskorištavanje ranjive aplikacije ili slabe lozinke kako bi se ušlo u mrežu.
- Lateralno kretanje - širenje kroz mrežu od jednog kompromitiranog računala prema vrjednijim sustavima.
- Eskalacija privilegija - dobivanje viših ovlasti, idealno administratorskih.
- Dosezanje cilja i izvještavanje - dokazivanje utjecaja i detaljan opis kako je napad izveden.
Važno je razlikovati red team od klasičnog penetracijskog testa. Penetracijski test je obično uži i tehnički. Testira određenu aplikaciju, mrežu ili sustav u zadanom opsegu i nastoji pronaći što više ranjivosti. Red team je širi i ciljno orijentiran: često uključuje socijalni inženjering, fizički pristup i dulje trajanje, a obrambeni tim u pravilu ne zna unaprijed kada će napad krenuti. Za većinu manjih i srednjih firmi penetracijski test je pravi prvi korak, dok je puni red team primjereniji organizacijama koje već imaju uspostavljenu obranu i žele je staviti na realnu provjeru.
Što je blue team i kako brani
Blue team je obrambena strana. To su ljudi i procesi koji svakodnevno štite organizaciju: prate događaje, otkrivaju sumnjivo ponašanje, reagiraju na incidente i učvršćuju sustave. Dok red team može biti vanjski tim angažiran na nekoliko tjedana, blue team je najčešće trajna funkcija, interno odjeljenje ili vanjski partner u obliku upravljane sigurnosne usluge.
Glavne aktivnosti blue teama
- Monitoring i detekcija - praćenje logova, mrežnog prometa i ponašanja krajnjih uređaja, najčešće uz pomoć SIEM i EDR alata.
- Reagiranje na incidente - zaustavljanje napada u tijeku, izolacija zaraženih uređaja i oporavak sustava.
- Učvršćivanje (hardening) - zatvaranje nepotrebnih servisa, krpanje ranjivosti i postavljanje sigurnih konfiguracija.
- Upravljanje ranjivostima - redovito skeniranje, prioritizacija i otklanjanje slabosti prije nego ih netko iskoristi.
- Threat intelligence - praćenje aktualnih prijetnji i prilagođavanje obrane novim taktikama napadača.
Dobar blue team ne mjeri uspjeh time što se "ništa nije dogodilo", nego time koliko brzo otkrije i zaustavi napad. Dvije ključne mjere su vrijeme do detekcije i vrijeme do odgovora: što su kraća, to je manja šteta. Upravo na tim brojkama red team i purple team pristup pomažu vidjeti stvarno stanje.
Što je purple team
Purple team naziv dolazi od miješanja crvene i plave boje. Ideja je jednostavna: umjesto da napadači i branitelji rade odvojeno i tek na kraju razmijene izvještaj, oni surađuju tijekom samog testiranja. Red team izvodi određenu tehniku, a blue team odmah provjerava je li je njihova obrana uopće zabilježila. Ako nije, zajedno otkrivaju zašto i što treba podešavati.
Purple team najčešće nije stalni tim, nego način rada. U praksi to izgleda ovako:
- Red team odabere konkretnu tehniku napada, primjerice određeni način krađe vjerodajnica.
- Tehnika se izvede u kontroliranom okruženju, uz znanje blue teama.
- Blue team provjerava jesu li njihovi alati podigli uzbunu i je li detekcija bila točna.
- Ako je detekcija izostala, zajedno se podešavaju pravila, alarmi ili konfiguracije.
- Test se ponavlja dok obrana pouzdano ne prepozna napad.
Prednost ovog pristupa je brzina učenja. Klasični red team daje vrijednu sliku stanja, ali povratna informacija dolazi tek u završnom izvještaju. Purple team pretvara svaki test u priliku za trenutno poboljšanje obrane, što je posebno korisno za firme koje grade svoje sigurnosne sposobnosti od nule.
MITRE ATT&CK kao zajednički jezik
Da bi red i blue team uopće mogli komunicirati o istim stvarima, koriste zajednički okvir. Najrašireniji je MITRE ATT&CK, javno dostupna baza znanja koja popisuje taktike i tehnike koje napadači stvarno koriste, od početnog pristupa do izvlačenja podataka. Svaka tehnika ima svoj kod i opis, pa red team može precizno reći koju je tehniku izveo, a blue team provjeriti pokriva li je njihova detekcija.
U praksi se često radi takozvano mapiranje pokrivenosti: na matrici tehnika označava se koje napade obrana pouzdano otkriva, koje djelomično, a koje uopće ne. Tako se umjesto subjektivnog dojma o sigurnosti dobiva konkretna karta praznina. Za firme u regiji koje tek grade svoj sigurnosni program, ovaj okvir je koristan jer pretvara apstraktnu temu "jesmo li sigurni" u listu provjerljivih stavki na kojoj se može sustavno raditi.
Usporedba: red, blue i purple team
| Obilježje | Red team | Blue team | Purple team |
|---|---|---|---|
| Uloga | Napad i simulacija prijetnje | Obrana i detekcija | Suradnja i razmjena znanja |
| Cilj | Dokazati stvarni utjecaj napada | Otkriti i zaustaviti napad | Ubrzati poboljšanje obrane |
| Trajanje | Povremeno, projektno | Kontinuirano | Po potrebi, kroz radionice |
| Tko zna za test | Najčešće samo uži krug | Stalno operativni | Obje strane surađuju otvoreno |
| Glavni rezultat | Scenarij napada i izvještaj | Brža detekcija i odgovor | Konkretno podešena pravila detekcije |
Važno je shvatiti da ova tri pristupa nisu konkurencija, nego se nadopunjuju. Red team bez blue teama daje listu problema koju nitko ne brani; blue team bez red teama brani protiv zamišljenih, a ne stvarnih napada; purple team povezuje oba kako bi cijela organizacija brže napredovala.
Koji pristup odabrati za firmu u BiH i regiji
Izbor ovisi o zrelosti vaše sigurnosti, veličini organizacije i budžetu. Za većinu malih i srednjih preduzeća u Mostaru i široj regiji preporučeni redoslijed izgleda otprilike ovako:
- Ako tek počinjete: krenite od penetracijskog testa i osnovnog upravljanja ranjivostima. Najprije treba zatvoriti očite rupe.
- Ako već imate osnovnu obranu: uvedite kontinuirani monitoring i detekciju, bilo internim blue teamom ili kroz vanjsku upravljanu uslugu.
- Ako imate uspostavljen SOC ili MDR: razmislite o red team angažmanu kako biste realno provjerili koliko dobro vaša obrana stvarno radi.
- Ako želite brzo podići razinu: purple team radionice daju najbržu povratnu informaciju jer odmah pretvaraju nalaze u poboljšanja.
U praksi mnoge firme nemaju resurse za vlastiti tim koji 24 sata prati sigurnost. Tu pomaže model upravljane detekcije i odgovora (MDR), gdje vanjski partner preuzima ulogu blue teama. NeoBit kroz uslugu Guardian 360 SOC i ostale servise pokriva i obrambenu i ofenzivnu stranu, od penetracijskog testiranja do kontinuiranog nadzora i odgovora na incidente.
Ako niste sigurni gdje se vaša organizacija nalazi, dobro polazište je kratka procjena opsega. Ispunjavanjem upitnika za penetracijsko testiranje dobivate jasniju sliku što vam je realno potrebno, a naš tim vam može predložiti odgovarajući pristup bez nepotrebnog troška.
Kako ova tri tima rade zajedno u praksi
Najzreliji sigurnosni programi ne biraju samo jedan pristup, nego ih ciklički kombiniraju. Red team otkrije realan put napada, blue team na temelju toga jača detekciju, a purple team radionice osiguravaju da se naučeno stvarno ugradi u alate i procese. Nakon nekoliko ciklusa organizacija ne dobiva samo zakrpane ranjivosti, nego mjerljivo bolju sposobnost da napad prepozna i zaustavi.
Za firme u BiH koje posluju s klijentima u EU ili se pripremaju za ISO 27001, ovakav pristup ima i dodatnu vrijednost: dokumentira da sigurnost nije jednokratan papir, nego proces koji se redovito testira i poboljšava. Ako želite razgovarati o tome koji je sljedeći korak za vašu organizaciju, javite nam se i dogovorit ćemo procjenu.
Česte zablude o ovim pojmovima
Oko ovih pojmova kruži nekoliko nesporazuma koji firme znaju skupo koštati ako ih se ne ispravi na vrijeme:
- "Red team je samo skuplji penetracijski test." Nije. Razlikuje se po cilju: red team mjeri koliko dobro obrana reagira na realan napad, a ne koliko ranjivosti postoji. Ako nemate obranu koja bi reagirala, red team trošite uzalud.
- "Imamo antivirus i firewall, znači imamo blue team." Alati nisu tim. Blue team su ljudi i procesi koji te alate prate, tumače alarme i reagiraju. Sam alat bez nekoga tko gleda njegove izlaze rijetko zaustavi ozbiljan napad.
- "Purple team znači da nam treba treći tim." Ne. To je suradnja postojećih ljudi, a ne novo zapošljavanje. Čak i kada su red i blue team vanjski partneri, mogu raditi u purple modelu.
- "Jedan test riješi problem." Sigurnost je pokretna meta. Nove ranjivosti i nove taktike pojavljuju se stalno. Test pokazuje stanje u trenutku testiranja, pa ima smisla ponavljati ga periodički.
Ispravljanje ovih zabluda obično je prvi korak prema realnom planu. Kada je jasno što koji pristup zaista radi, lakše je rasporediti ograničeni budžet tamo gdje donosi najveću korist.
Često postavljana pitanja
Je li red team isto što i penetracijski test?
Nije, iako se preklapaju. Penetracijski test je uži i tehnički, fokusiran na pronalaženje što više ranjivosti u zadanom opsegu. Red team je širi i ciljno orijentiran: simulira stvarni scenarij napada, često uključuje socijalni inženjering i traje dulje, a obrambeni tim obično ne zna unaprijed kada napad kreće.
Treba li maloj firmi red team?
Većini malih firmi prvo treba penetracijski test i osnovni nadzor sigurnosti, a ne puni red team. Red team ima najviše smisla kada organizacija već ima uspostavljenu obranu i želi je realno provjeriti. Bez postojeće detekcije, red team će samo potvrditi ono što se ionako pretpostavlja.
Je li purple team poseban tim koji treba zaposliti?
Najčešće ne. Purple team je način rada u kojem postojeći red i blue team surađuju tijekom testiranja, a ne zasebno odjeljenje. Može se organizirati kroz povremene radionice u kojima napadači i branitelji zajedno provjeravaju i podešavaju detekciju.
Može li vanjski partner preuzeti ulogu blue teama?
Da. Mnoge firme nemaju resurse za vlastiti tim koji neprekidno prati sigurnost, pa koriste model upravljane detekcije i odgovora (MDR), gdje vanjski partner preuzima monitoring, detekciju i reagiranje na incidente. To omogućuje pristup iskusnom blue teamu bez gradnje cijelog odjela iznutra.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Black box, white box i grey box testiranje - razlike · Penetration testing vs skeniranje ranjivosti - što odabrati
