<img height="1" width="1" style="display: none" src="https://www.facebook.com/tr?id=2415267652073743&amp;ev=PageView&amp;noscript=1">
Meny

Artikel

Red team vs. Blue team - vi reder ut

Dizparc Secured

tre kvinnor som samtalar och skrattar

Inom cybersäkerhetssfären förekommer ofta begreppen Red team och Blue team. Men vad betyder det och vad är skillnaden? Här reder vi ut vad det är, vad som skiljer dem åt och varför de finns.

Vi kan konstatera att cybersäkerhetshoten i omvärlden ökar. Resultatet av ökningen innebär också att både angreppsmetoder och vektorer blir fler. Detta är ett skäl att ta företagets IT-säkerhetsarbete på allvar. En annan pådrivande faktor är GDPR och dess potentiella ekonomiska konsekvenser i form av böter. Dessutom, och kanske viktigaste av allt, en incidents potentiella skadeverkan i egenskap av dataförlust, återställande av it-miljö, skadat varumärke eller intäktsbortfall.

Med denna utgångspunkt behöver företagen ett sätt att hållbart skydda sig över tid. Det är här Red team och Blue team blir relevant. Termerna Red team och Blue team har länge förknippats med militära försvarsövningar. Där har de använts för att beskriva olika grupper av förmågor som antingen replikerar fiendens troliga attacktekniker, eller färdigheter för att försvara sina resurser. Inom cybersäkerhetsarbete så fungerar det på ungefär samma sätt.

Vad är Red team?

I förhållandet mellan Red team och Blue team agerar Red team angriparen. Verklighetsbaserade angreppsmetoder som en angripare kan tänkas använda sig av är det främsta arbetsverktyget. Med andra ord så det är en praktisk övning, inte en teoretisk.

När Red team simulerat ett angrepp blir sårbarhetsbilden tydligare för företaget. Syftet är att upptäcka kvalitetsbrister i it-miljön. Det övergripande målet är att åtgärda kvalitetsbrister innan en incident uppstår och för att testerna skall bli så realistiska som möjligt bör man anlita någon utanför företaget. Utföraren bör alltså ha specialistkunskap i hur angrepp inom området går till, men liten eller ingen kännedom om företagets befintliga it-miljö.

Vad är Blue team?

Likt Red team behöver Blue team vara insatt i angriparens metoder som används vid en attack. Där Red team replikerar angriparens attackmetoder är Blue team istället resurserna som säkerställer så att försvaret fungerar vid ett angrepp. Blue team använder sig av olika verktyg och arbetssätt för att säkerställa att skyddet mot företagets it-resurser är tillräckligt, samt arbetar kontinuerligt för att förstärka skyddet över tid. Till skillnad från Red team fokuserar Blue team inte bara på att skydda sig mot attacker, utan syftar även till att försäkra att det finns ett tillräckligt skydd för att data inte skall exponeras och läcka ut från företaget.

För att sätta Blue team i ett sammanhang så kan verktygen som används vara en teknisk plattform som bevakar en smartphone. Plattformen larmar om en regel bryts eller om ett beteende avviker. Därefter analyseras larmet av en person med områdesspecifika kunskaper som då bedömer om det är en säkerhetsrisk och agerar sedan med lämplig åtgärd. Vid behov utförs även utredningar av incidenten som sedan kan ligga till grund för att förbättra sitt skydd.

Därför behövs både Red team och Blue team

Red team och Blue team’s förmågor består av olika typer av verktyg, kompetenser och arbetssätt för att kvalitetssäkra företagets it-säkerhet, från flera perspektiv. Där Blue team använder skruvdragaren för att montera ett lås på dörren, använder Red team en kofot för att försöka bryta sig in genom fönstret. De kompletterar helt enkelt varandra och tillsammans minskar dom risken för allvarliga incidenter.

Kom ihåg

Blunda inte för faktumet att angriparen är ute efter er. Det är inte paranoia (förresten, de har säkert redan ryckt lite i era dörrar, men ni vet bara inte om det än).

Är ni flera som är jagade av björnen? Troligen. Se då till att åtminstone springa snabbare än den som är långsammast. Det räcker. Då kommer ni kunna öppna butiken imorgon också.

Låter det svårt att göra eller svårt att hinna med? Ta gärna en kontakt med oss på Dizparc Secured så hjälper vi er med exakt detta arbete. Låt oss hjälpa er att snabbt identifiera det där kritiska försprånget som är så viktigt att skaffa er!

Kontakt

christoffer widjeback

Christoffer Widjeback

Låt oss ta en kaffe

Ta en kontakt så hör vi av oss.