Tietotekniikka tieteenalana on kehittynyt nopeammin kuin mikään muu tieteenala ja siihen kohdistuu erilaisia uhkakuvia, jotka voivat koskettaa esimerkiksi verkkohyökkäyksiä, tietojen väärinkäyttöä, niiden hallinnointia sekä monia muita tietoturvaan liittyviä poikkeamia. Eri tilanteet aiheuttavat tietoturvariskejä organisaatioille ja sen vuoksi suosittelenkin vahvasti testaamaan omaa tietoturvaa jatkuvasti.
Puolustavat tiimit palveluksessasi
Monesti järjestelmiin tehdään erilaisia tietoturvaharjoituksia, jotta voidaan varmistua niiden toimivuudesta hyökkäyksiä vastaan. Blue Teamillä tarkoitetaan puolustavaa tiimiä, jonka tarkoituksena on pitää huolta palveluiden turvallisesta toimivuudesta. Se on ryhmä, joka omaa avaimet ja mahdollisuudet pyrkiä estämään digitaalisen maailman onnettomuudet, väärinkäytökset sekä rikokset.
Blue Team on osana tietoturvavalvontaa ja pyrkii pitämään huolen siitä, että kaikilla ei ole mahdollisuutta lukea pankkitilisi tilannetta, tutkia sivuhistoriaasi tai nähdä yksityisiä viestejäsi. Tässä kohtaa osa lukijoista saattaa ajatella, ettei hänellä ole salattavaa. On kuitenkin mahdollista, että myös sinun käyttämäsi järjestelmät saattavat joutua hyökkäyksen kohteeksi.
Mitä jos hätänumeropalvelu ei eräänä päivänä toimikkaan tai organisaation tietoverkot- ja palvelut poistetaan pysyvästi? Keneen tässä vaiheessa ollaan yhteydessä ja kenellä on vastuu?
Blue Team hallitsee monimutkaisiakin kokonaisuuksia
Blue Teamin työ tapahtuu suljettujen bunkkerien takana ja sen työntekijöillä on usein suuri vastuu, eikä työstään sovi puhua ulkopuolisille. Blue Teamissä työskentelee yleensä:
- Analyytikoita - tehtävänä on tutkia poikkeamia datavirroissa.
- Pääkäyttäjiä (adminit) - ylläpitävät analystien käyttämiä päätyökaluja, datavirtoja sekä integraatioita.
- Asiakaskontaktit – yhteydenpito asiakkaisiin.
Asiakas vaatii Blue Teamilta vastuullisuutta, kuria ja nuhteettomuutta. Kyseessä on merkittävä luottamussuhde asiakkaan ja tiimin välillä, sillä virheet voivat pahimmillaan maksaa useita satoja miljoonia euroja.
Blue Teamin tärkein tehtävä on ottaa selvää tietoturvatapahtumien juurisyistä ja tarjota ratkaisuja, mikäli verkkoympäristössä tapahtuu poikkeamia. Tietoverkot ovat usein laajoja ja monimutkaisia kokonaisuuksia, eikä niiden valvonta ole mahdollista ilman laajaa osaamisen kirjoa. On suureksi hyödyksi osata merkittävästi tietoverkkojen teoriasta, palvelinten ja virtualisoinnin konsepteista, käyttöjärjestelmien monimutkaisuuksista, automatisoinnista, skriptauksesta sekä joukko-opin perusteista. Ripaus psykologiaa, uteliaisuutta ja skeptisyyttä on hyödyksi - erityisesti, kun yrittää tulkita tietoturvatapahtumien alkuperää.
Blue Team kohtaa Red Teamin
Blue Teamin vastakohta on Red Team, jonka tarkoituksena on kiertää Blue Teamin valvonta ja osoittaa aukot valvonnassa ja estotoimissa. Red Teamin tärkein tehtävä on testata tietoturvakontrolleja ja toteuttaa hyökkäyssimulaatioita sekä raportoida ongelmakohdat. Kyseessä on yhteistyö, jonka tarkoituksena on parantaa Blue Teamin kyvykkyyksiä. Red Teamista puhuttaessa on usein kyseessä suunniteltu projekti valvonnan tason tarkastusta varten.
Kun Blue Team ja Red Team toimivat yhdessä on tarkoituksena toteuttaa hallittu hyökkäyssimulaatio, jota kutsutaan Purple Team harjoitukseksi. Tällöin Red Team tekee tietoturvahyökkäyksiä ja Blue Team tarkastaa eri tietoturvahyökkäyksistä jäävät jäljet.
Mistä ja miten lähteä liikkeelle?
Blue Team on usein pysyvä palvelu, jota kehitetään ajan kanssa. Blue Teamin jäsenten on totuttava valvottavan ympäristön normaaliin tilaan, jotta poikkeamia on helpompi nostaa esille. Jokainen hälytyssääntö on usein jollain tasolla kalibroitava ja ylläpidettävä, ja jokainen integraatio sisältää omat kujeensa.
Teknisiä toteutustapoja on monia:
- Pilvipohjaiset ratkaisut kuten Microsoft Azure ja sen sisältämä Azure Sentinel
- On-Prem ratkaisut, esimerkiksi Logpoint-instanssit omassa palvelinsalissa
- Pilvi- tai On-prem –ratkaisut, kuten vaikkapa Splunk, tarjoavat vaihtoehtoja toteutukseen
Siinä missä Red Teamin on mahdollista päätyä testaamaan valmista ympäristöä, Blue Team on usein mukana ympäristöä rakentamassa jollain tasolla. Eroavaisuuksista huolimatta molemmat värit ovat usein osa pysyviä tietoturvapalveluita. Lue lisää CGI:n muista tietoturvapalveluista esimerkiksi SOC:ista täältä.
Kirjoittajasta
Riku Ketonen
Tietoturvakonsultti
Olen tietoturvaan suuntautunut foliohattu, jolla suuri kiinnostus auditointeihin, data-analyysiin ja oppimiseen. Ensimmäinen tietokonekontakti olikin nelivuotiaana, ja siitä lähtien kiinnostunut erilaisista estävistä toimista ja niiden kiertämisestä. Yliampuvien turvakontrollien suuri fani, joka fantasioi paluusta neoliittiselle kaudelle ennen tulostimia ja sosiaalista mediaa. ...
