Jaký je přínos duhových týmů
Aneb od červených, žlutých a modrých týmů k fialovým, oranžovým a zeleným.
V každé organizaci vývoj, provoz a nasazování nových verzí nějak funguje a nějakým způsobem se i řeší bezpečnost. Někde více, někde méně a někde vůbec.
Mezi bezpečností, vývojem a provozem je stále propast a všechny tři týmy fungují na sobě spíše nezávisle a bezpečnost stále není jejich nedílnou součástí. Ostatně proto je tu SecDevOps. Dnes se však podíváme především na vztah bezpečnosti a vývoje.
V zásadě můžeme identifikovat tři týmy, které spolu nějakým způsobem interagují a disponují i určitými znalostmi. Graficky pak lze vztah mezi těmito týmy zachytit na následujícím grafu.
Všimněte si, že každý tým může komunikovat s dalšíma dvěma a dochází zde k oboustrannému obohacení. Ovšem pozor, v každé organizaci je poměr mezi jednotlivými týmy jiný, takže rovnoměrné rozdělení barev na obrázku je použito jen pro lepší pochopení tohoto modelu, kde:
- útočníci jsou znázorněni červenou barvou (red, zkr. R, barevný kód: #FF0000), a jedná se o tzv. red tým, (offensive security), který provádí ethical hacking, penetrační testy apod.;
- obránci jsou znázorněni modrou barvou (blue, zkr. B, barevný kód: #0000FF) a jedná se o tzv. blue team, který se snaží útokům bránit (defensive security), provádí hardening, skenování zranitelnosti, revize konfigurace, detekce hrozeb, řešení incidentů;
- vývojáři jsou znázornění žlutou barvu (yellow, zkr. Y, barevný kód: #FFFF00) a usilují o vytvoření produktu s požadovanými vlastnostmi.
Tuto triádu pak můžeme označit jako RYB. Dal by se jistě použít i RGB model, ovšem vzhledem k tomu, že v tomto rozšířeném modelu potřebujeme jasné barevné odlišení jednotlivých kompetencí, jeví se použití RYB modelu jako vhodnější.
Aby bylo dosaženo vyšší úrovně bezpečnosti, je nutné šířit bezpečnostní osvětu mezi týmy, aby se v jednotlivých týmech postupně začali objevovat lidé, co budou mít znalosti z týmů, se kterými spolupracují. To je zachyceno na následujícím grafu pomocí dalších barev, které vznikají jejich subtraktivním mícháním, kdy získáváme barvy komplementární.
V zásadě nám zde vznikají tři další týmy nebo chcete-li role či funkce:
- jak modrý a červený tým vzájemně sdílí informace, má lepší přehled o použitých technologiích, jejich možnostech a dokáže se pak lépe bránit. V grafu získává fialovou barvu (purple, zkr. P, barevný kód: #800080);
- jak se žlutý tým obohacuje o znalosti červeného týmu a získává přehled o útocích, které mohou být vedeny na jeho SW a jak se vyhnout známým chybám a jak jej lépe zabezpečit. V grafu získává oranžovou barvu (orange. zkr. O, barevný kód: #FFA500);
- jak modrý tým komunikuje se žlutým týmem ohledně možnosti hardeningu, detekce a hlášení podezřelých událostí, zvyšuje se šance, že systém bude odolný a potřebná data budou k dispozici. V grafu získává zelenou barvu (green, zkr. G, barevný kód: #00FF00).
Tuto triádu pak můžeme označit jako POG. V každém původním týmu se nyní nachází specialisté na dvě další oblasti a je otázka, zda by naším cílem mělo být kompletní zezelenání, zoranžovění a zfialovění anebo bychom měli jít ještě dál a mít specialisty, kteří budou mít znalosti ze všech třech oblastí, a ti by pak mohli být zachyceni pomocí černé barvy, která vznikne smícháním červené, modré a žluté. Ovšem pozor, aby na úkor generalizace nedošlo ke ztrátě specializace, která je rovněž potřeba.
Výsledkem by měl být nepoměrně kvalitnější produkt, který bude nasazen v lépe zabezpečeném prostředí, a případné chyby budou včas odhaleny, stejně jako útoky, na které bude adekvátně reagováno.
Zdroj: https://hackernoon.com/introducing-the-infosec-colour-wheel-blending-developers-with-red-and-blue-security-teams-6437c1a07700.
ČERMÁK, Miroslav, 2024. Jaký je přínos duhových týmů. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jaky-je-prinos-duhovych-tymu/. [citováno 07.12.2024].
K článku “Jaký je přínos duhových týmů” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.