Защита сети в 2 часа ночи часто выглядит следующим образом: аналитик копирует хэш из PDF-документа и вставляет его в запрос SIEM. Скрипт красной команды переписывается вручную, чтобы синяя команда могла его использовать. Устранение уязвимостей ожидает одобрения изменений, которое длится дольше, чем окно эксплуатации самой уязвимости. Никто в этой цепочке не является некомпетентным. Каждый человек выполняет свою работу правильно. Проблема заключается в системе, её структуре и взаимодействии команд.

На первый взгляд, работа красной и синей команд может показаться изолированной, но в реальности они должны работать в тесной связке. Пурпурная команда, которая объединяет обе стороны, должна быть способна наладить эффективное взаимодействие, но часто этого не происходит из-за недостатка интеграции и коммуникации.

Существующие процессы и инструменты могут затруднять совместную работу. Например, недостаточная автоматизация и отсутствие стандартизированных протоколов могут привести к задержкам и ошибкам, что в конечном итоге ослабляет защиту сети. В условиях напряженной работы в ночное время такие проблемы становятся особенно явными.

Важно отметить, что неэффективность не возникает из-за отсутствия усилий со стороны сотрудников, а скорее из-за недоработок в системе. Для повышения уровня безопасности необходимо пересмотреть подходы к взаимодействию между командами, внедрять новые инструменты и улучшать процессы.

Создание эффективной пурпурной команды требует времени и усилий, но именно это поможет организациям более эффективно противостоять киберугрозам. Интеграция знаний и опыта обеих команд может значительно повысить уровень защиты и снизить риски. Необходимо стремиться к созданию среды, в которой красная и синяя команды смогут работать вместе, а не по отдельности.

Источник новости:
The Hacker News

Читать полностью