Kể từ khi thử nghiệm bảo mật tấn công bắt đầu, chúng tôi đã mong đợi rằng thử nghiệm hoặc mô phỏng sẽ tìm thấy một cái gì đó. Ngay cả khi người kiểm tra bút không phát hiện ra vấn đề, những người tốt nhất luôn có thể đạt được thành công thông qua lừa đảo hoặc kỹ thuật xã hội của nhân viên trong tổ chức của bạn. Theo cách tương tự, Đội đỏ - Đội xanh Các bài tập làm nổi bật khả năng gần như không thể truy cản một kẻ tấn công có động cơ - tỷ lệ thành công nghiêng nhiều về kẻ tấn công và gây khó khăn vô cùng cho người phòng thủ.
Giờ đây, với các tổ chức nhận ra giá trị của Thử nghiệm Đội Đỏ-Đội Xanh lam, điều quan trọng là phải hiểu rằng thử nghiệm như vậy thiên về tác động tổng thể đối với an ninh mạng nhóm hơn là về kết quả cá nhân. Chắc chắn, việc tìm ra các khiếm khuyết trong tư thế bảo mật hoặc bề mặt tấn công được bảo vệ của bạn là quan trọng, nhưng nhóm của bạn sẽ không phát hiện ra tất cả: giá trị lớn nhất đến từ việc cải thiện hiệu quả của nhóm của bạn.
Đó là bởi vì an ninh mạng không chỉ là vấn đề kỹ thuật: nó không chỉ là về các giải pháp phòng thủ vành đai, chính sách, quy tắc, hệ thống phát hiện, bản vá và các vấn đề khác. An ninh mạng cũng là một vấn đề vận hành. Đặc biệt với các cuộc tấn công có giá trị cao, an ninh mạng cuối cùng đến với con người. Các cuộc tấn công chủ yếu là các hoạt động do con người điều khiển nhằm tìm kiếm một con đường ít phản kháng nhất. Tương tự, phòng thủ mạng liên quan đến các chuyên gia an ninh. Mặc dù một số hệ thống tự động có thể ngăn chặn hoặc giảm thiểu các cuộc tấn công đơn giản, nhưng một hệ thống được sắp xếp cẩn thận phải được xác minh và thực hiện bởi nhóm bảo mật.
Tại sao điều này là một vấn đề? Bởi vì an ninh mạng các đội làm việc quá sức và thiếu nhân lực. Các nhóm không có thời gian hoặc nguồn lực để phản hồi tất cả các cảnh báo, điều tra tất cả các sự kiện hoặc xem xét và phát triển tất cả các chính sách; và ngay cả các tổ chức có tài khoản mở cho các nhà bảo mật bổ sung cũng khó lấp đầy các vị trí này do sự thiếu hụt nghiêm trọng trên toàn cầu an ninh mạng các chuyên gia. Những điều kiện này không có khả năng thay đổi sớm. An ninh mạng các nhóm cần trở nên hiệu quả và hiệu quả hơn để tập trung vào các sự kiện thực sự quan trọng. Đó là nơi mà thử nghiệm gây khó chịu có thể giúp ích.
Hơn bất cứ điều gì, thử nghiệm Đội Đỏ-Đội Xanh sẽ giúp tiết lộ mức độ hiệu quả và hiệu quả của nhóm bạn.
Khi tiến hành các bài tập này, đội an ninh mạng có thể hiểu rõ hơn hệ thống nào của họ là phù hợp nhất để phát hiện ra các mối đe dọa đang hoạt động đáng kể và chúng có thể được nhìn thấy như thế nào. Các hệ thống cung cấp độ trung thực thấp và có nhiều kết quả dương tính giả không có khả năng hữu ích trong nỗ lực này. Trên thực tế, một số hệ thống thậm chí có thể phản tác dụng khi đề cập đến tính hiệu quả và hiệu lực và khả năng giữ an toàn cho tổ chức. Để chắc chắn, việc đánh giá hoạt động liên tục của các công cụ và hệ thống bảo mật như vậy - ngoài việc thực hiện theo lịch trình - sẽ chỉ ra tính hữu ích của chúng. A Đội đỏ - Đội xanh Tuy nhiên, thử nghiệm sẽ đặt những trải nghiệm này vào bối cảnh của hoạt động tấn công và có thể là thử nghiệm axit đối với cách chúng hoạt động.
Một số tổ chức đã sửa đổi Thử nghiệm Đội Đỏ-Đội Xanh lam để bao gồm thành phần Đội Tím, nhưng điều đó không thay đổi mục tiêu tổng thể. Cho dù Đội Tím có phải là một chức năng được chính thức hóa hay không, một trong những mục tiêu chính cần phải hiểu là “chúng ta có những gì cần thiết để phát hiện ra một cuộc tấn công đang hoạt động và ngăn chặn hoặc giảm thiểu thiệt hại từ nó không?” Bạn có thể bị bao trùm bởi danh pháp và những bất đồng về cách cấu trúc tốt nhất các bài kiểm tra và đánh giá gây khó chịu, nhưng một trong những kết quả quan trọng nhất là hiểu được khía cạnh hoạt động của bảo mật và mức độ tốt của một nhóm, được hỗ trợ bởi các công cụ và hệ thống, có thể tìm ra và ngăn chặn một cuộc tấn công.
Vì vậy, Thử nghiệm Đội Đỏ-Đội Xanh lam không chỉ có giá trị trong việc dự đoán phản ứng của tổ chức bạn đối với một cuộc tấn công mà còn để xác định an ninh mạng khả năng phản hồi chung của nhóm. Và khi tiến hành thử nghiệm này, điều quan trọng là phải có các công cụ như Nền tảng Stellar Cyber, cung cấp các cảnh báo có độ trung thực cao và giảm thiểu các cảnh báo sai để giúp nhóm của bạn tập trung vào các vấn đề thực tế.
