АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Blue team (компьютерная безопасность)

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Blue team — это группа специалистов, выполняющих анализ информационных систем с целью обеспечения безопасности, выявления уязвимостей, проверки эффективности мер защиты и контроля их постоянной работоспособности после внедрения[1].

К основным задачам blue team относятся:

  • Использование анализа рисков и цифрового следа для поиска и устранения уязвимостей, а также предотвращения потенциальных инцидентов кибербезопасности.
  • Проведение регулярных аудитов безопасности, включая реагирование на инциденты и восстановление после них[2].

История

В рамках инициативы по защите компьютерной безопасности в США были созданы red team (красные команды) для моделирования действий потенциальных злоумышленников. В ответ были сформированы blue team (синие команды), сосредоточенные на разработке средств защиты от подобных атак[3].

Реагирование на инциденты

В случае возникновения инцидента внутри организации blue team выполняет шесть этапов реагирования:

  1. Подготовка;
  2. Идентификация;
  3. Изоляция;
  4. Устранение;
  5. Восстановление;
  6. Анализ полученного опыта[4].

Укрепление операционных систем

В рамках подготовки к инцидентам кибербезопасности blue team проводит комплекс мер по укреплению всех операционных систем в организации[5].

Оборона периметра

Blue team должны контролировать сетевой периметр, в том числе потоки трафика, фильтрацию пакетов, прокси-фейерволы и системы обнаружения вторжений[5].

Инструменты

Blue team применяют широкий спектр инструментов, позволяющих обнаруживать атаки, собирать судебно-экспертные данные, проводить анализ информации и предотвращать будущие угрозы и инциденты.

Управление и анализ журналов

Системы управления информацией и событиями безопасности (SIEM)

Программное обеспечение класса управления информацией и событиями безопасности поддерживает поиск угроз и реакции на инциденты за счёт сбора и анализа событий безопасности в реальном времени. Такие системы также используют внешние источники данных, включая индикаторы компрометации и разведывательную информацию о киберугрозах.

Примечания

  1. DoDD 8570.1: Blue Team (англ.). Sypris Electronics. Дата обращения: 3 июля 2016. Архивировано 25 апреля 2016 года.
  2. What is Blue Team? (англ.). IBM (14 декабря 2023). Дата обращения: 7 сентября 2024.
  3. Johnson, Rowland How your red team penetration testers can help improve your blue team (англ.). SC Magazine. Дата обращения: 3 июля 2016. Архивировано 30 мая 2016 года.
  4. Murdoch, Don. Blue Team Handbook: Incident Response Edition : [англ.]. — 2nd. — CreateSpace Independent Publishing Platform, 2014. — ISBN 978-1500734756.
  5. 1 2 Cyber Guardian: Blue Team (англ.). SANS. SANS Institute. Дата обращения: 3 июля 2016.

Категории