Nếu bạn làm trong lĩnh vực Công nghệ thông tin (CNTT) nói chung hoặc phụ trách bảo vệ an ninh mạng nói riêng, chắc hẳn bạn không còn xa lạ gì với các thuật ngữ chuyên ngành như Red Team và Blue Team hay Purple Team. Tuy nhiên, bạn đã hiểu rõ nhiệm vụ và tầm quan trọng của 2 team này chưa? Cùng SmartPro kiểm tra lại kiến thức của bạn nhé.

Red Team là gì?

Công việc của Red Team tập trung vào việc kiểm thử xâm nhập ở các hệ thống với các mức độ bảo mật phần mềm khác nhau. Họ phát hiện, ngăn chặn và xóa bỏ các lỗ hổng bảo mật.

Nhiệm vụ của Red Team

Red Team mô phỏng lại các cuộc tấn công có thật, có thể nhắm vào một công ty hoặc một tổ chức và họ thực hiện tất cả các các bước cần thiết mà một kẻ tấn công có thể sử dụng. Bằng việc đóng vai một kẻ tấn công, họ cho các tổ chức thấy được những lỗ hổng bảo mật hoặc các “cửa hậu” có thể bị lợi dụng để đe dọa An ninh mạng của tổ chức.

Các công ty thường thuê ngoài đội ngũ Red Team để kiểm tra hệ thống của mình. Đội ngũ này phải là những người có kiến thức về việc tận dụng lỗ hổng bảo mật nhưng lại không được biết về sự phòng ngự được xây dựng sẵn trong cơ sở hạ tầng của tổ chức.

Red team cung cấp những lợi thế rất quan trọng, bao gồm cả việc nắm được rõ hơn về những nguy cơ lợi dụng dữ liệu và ngăn chặn việc rò rỉ trong tương lai. Bằng việc mô tả các cuộc tấn công mạng và các nguy cơ an minh mạng, các công ty sẽ đảm bảo được an ninh sẽ đạt tiêu chuẩn cùng với hệ thống phòng ngự phù hợp.

Blue Team là gì?

Blue Team khác với Red Team đó là họ sẽ tìm cách phòng thủ, thay đổi và tập hợp lại các cơ chế phòng ngự để cho việc xử lý sự cố được tốt hơn trong khi Red Team đóng vai một kẻ tấn công sử dụng các chiến thuật và chiêu thức đặc trưng.

Nhiệm vụ của Blue Team

Giống như Red Team, Blue Team cần phải biết đến cùng loại chiến thuật, chiêu thức và các quy trình có hại để xây dựng được chiến thuật phản hồi tương ứng. Các hoạt động của Blue Team không chỉ giới hạn ở việc tấn công. Họ liên tục tham gia củng cố toàn bộ cơ sở hạ tầng an ninh số, sử dụng các phần mềm như Hệ thống phát hiện đột nhập (IDS – intrusion detection system) để lấy được phân tích thời gian thực về những hoạt động bất thường, đáng nghi.

Một số bước mà Blue Team thường kết hợp là:

• Kiểm tra bảo mật, ví dụ như kiểm tra DNS
• Phân tích bộ nhớ và log
• PCAP
• Phân tích rủi ro về tin tức dữ liệu
• Phân tích Digital Footprint
• Đảo ngược thiết kế
• Kiểm thử DDoS
• Phát triển các tình huống rủi ro.

Tầm quan trọng của Red Team & Blue Team

Để hoạt động bảo vệ an ninh mạng của doanh nghiệp diễn ra hiệu quả, Red Team và Blue Team cần hợp tác thiện chí với nhau.

• Blue Team nên thường xuyên cập nhật các công nghệ mới để nâng cao tính bảo mật. Blue Team cũng nên chia sẻ những kiến thức này với Red Team.
• Red Team phải luôn nhận thức được các mối đe dọa và nắm rõ các kỹ thuật xâm nhập mới của tin tặc để tư vấn cho Blue Team cách ngăn chặn triệt để.

Trước các cuộc diễn tập an ninh mạng, thường Red Team sẽ không được biết trước kế hoạch phòng thủ của Blue Team để đảm bảo độ chính xác và tính bảo mật của cuộc diễn tập. Khi cuộc diễn tập hoàn thành, cả hai team sẽ thu thập thông tin và đưa ra lời khuyên cải thiện cho đối phương. Sau đó, cả hai team tiếp tục làm việc cùng nhau để phát triển và thực hiện các biện pháp kiểm soát bảo mật mạnh mẽ hơn nếu cần.

Vậy Purple Team là gì và họ có vai trò như thế nào?

Mặc dù Red Team và Blue Team có chung mục tiêu là bảo vệ an ninh mạng cho tổ chức. Tuy nhiên, đôi khi, hai team này sẽ gặp tình trạng coi nhau như đối thủ, dẫn đến khó làm việc cùng nhau. Đây là lúc Purple Team ra đời.

Purple Team không nhất thiết phải là một team độc lập. Mục tiêu của Purple Team là tập hợp cả hai đội Red Team và Blue Team lại với nhau; khuyến khích họ làm việc như một nhóm để tạo ra một vòng phản hồi mạnh mẽ. Bởi vì mục đích cuối cùng của các cuộc diễn tập giữa Red Team và Blue Team là để củng cố thế trận an ninh chung của doanh nghiệp.

Mặc dù cách thức hoạt động khác nhau nhưng Red Team và Blue Team vẫn có cùng mục tiêu là bảo vệ hệ thống mạng doanh nghiệp. Nếu hai team này hợp tác thiện chí với nhau; doanh nghiệp có thể vận hành mà không phải lo lắng về các rủi ro an ninh mạng.

Bạn chọn team nào???

Nếu chưa chọn được team nào, bạn có thể liên hệ SmartPro để được tư vấn kỹ hơn cùng các khóa học Security.

Nếu bạn là doanh nghiệp, bạn đang cần tư vấn các giải pháp về bảo mật hệ thống an ninh thông tin, hãy liên hệ SmartPro để được tư vấn và nhận bản demo dùng thử nhé.

Tham khảo thêm về các phương thức Tấn công mạng – DDOS

Tham khảo thêm về LKG quý 2