Cybersäkerhet: Red team vs. Blue team – vi reder ut
Publicerad 2021-02-04 | Författare Christoffer Widjeback
Inom cybersäkerhetssfären förekommer ofta begreppen Red team och Blue team. Men vad betyder det och vad är skillnaden? Här reder vi ut vad det är, vad som skiljer dem åt och varför de finns.
Vi har i tidigare artiklar konstaterat att cybersäkerhetshoten i omvärlden ökar. Resultatet av ökningen innebär också att både angreppsmetoder och vektorer blir fler. Detta är ett skäl att ta företagets it-säkerhetsarbete på allvar. En annan pådrivande faktor är GDPR och dess potentiella ekonomiska konsekvenser i form av böter. Dessutom, och kanske viktigaste av allt, en incidents potentiella skadeverkan i egenskap av dataförlust, återställande av it-miljö, skadat varumärke eller intäktsbortfall.
Med denna utgångspunkt behöver företagen ett sätt att hållbart skydda sig över tid. Det är här Red team och Blue team blir relevant. Termerna Red team och Blue team har länge förknippats med militära försvarsövningar. Där har de använts för att beskriva olika grupper av förmågor som antingen replikerar fiendens troliga attacktekniker, eller färdigheter för att försvara sina resurser. Inom cybersäkerhetsarbete så fungerar det på ungefär samma sätt.
Vad är Red team?
I förhållandet mellan Red team och Blue team agerar Red team angriparen. Verklighetsbaserade angreppsmetoder som en angripare kan tänkas använda sig av är det främsta arbetsverktyget. Med andra ord så det är en praktisk övning, inte en teoretisk.
När Red team simulerat ett angrepp blir sårbarhetsbilden tydligare för företaget. Syftet är att upptäcka kvalitetsbrister i it-miljön. Det övergripande målet är att åtgärda kvalitetsbrister innan en incident uppstår och för att testerna skall bli så realistiska som möjligt bör man anlita någon utanför företaget. Utföraren bör alltså ha specialistkunskap i hur angrepp inom området går till, men liten eller ingen kännedom om företagets befintliga it-miljö.
Vad är Blue team?
Likt Red team behöver Blue team vara insatt i angriparens metoder som används vid en attack. Där Red team replikerar angriparens attackmetoder är Blue team istället resurserna som säkerställer så att försvaret fungerar vid ett angrepp. Blue team använder sig av olika verktyg och arbetssätt för att säkerställa att skyddet mot företagets it-resurser är tillräckligt, samt arbetar kontinuerligt för att förstärka skyddet över tid. Till skillnad från Red team fokuserar Blue team inte bara på att skydda sig mot attacker, utan syftar även till att försäkra att det finns ett tillräckligt skydd för att data inte skall exponeras och läcka ut från företaget.
För att sätta Blue team i ett sammanhang så kan verktygen som används vara en teknisk plattform som bevakar en smartphone. Plattformen larmar om en regel bryts eller om ett beteende avviker. Därefter analyseras larmet av en person med områdesspecifika kunskaper som då bedömer om det är en säkerhetsrisk och agerar sedan med lämplig åtgärd. Vid behov utförs även utredningar av incidenten som sedan kan ligga till grund för att förbättra sitt skydd.
Därför behövs både Red team och Blue team
Red team och Blue team’s förmågor består av olika typer av verktyg, kompetenser och arbetssätt för att kvalitetssäkra företagets it-säkerhet, från flera perspektiv. Där Blue team använder skruvdragaren för att montera ett lås på dörren, använder Red team en kofot för att försöka bryta sig in genom fönstret. De kompletterar helt enkelt varandra och tillsammans minskar dom risken för allvarliga incidenter.
Läs mer:
Exempel på Red team-tjänster
Exempel på Blue team-tjänster
