ND
Как - зачем? Что бы все при деле были
Size: a a a
2021 November 01
B
иногда вижу, что под Red team понимают внешнюю команду пентестеров, которым делают заказ на обследование защищенности
ND
Часто слышу рассказы про то, что таким образом, якобы, можно научить свою блю-тим ловить хакеров. Только вот есть подозрение, что таким образом блю-тим научится ловить ред-тим, и все.
Какой-то информации о том, на сколько эффективнее (или не эффективнее) ловит реальных хакеров SOC со своим ред-тимом, по сравнению с SOC-ами, у которых своего ред-тима нет, я не смог найти
Какой-то информации о том, на сколько эффективнее (или не эффективнее) ловит реальных хакеров SOC со своим ред-тимом, по сравнению с SOC-ами, у которых своего ред-тима нет, я не смог найти
m
у вас есть свой SOC?
AL
Так если у вас проактивное подразделение TI и Use Case оно отлично пишет и тестит и внедряет, то может и нет разницы. А если нет, то Red Team (неважно, внешний или внутренний) его направляет в нужное русло, делая тем самым SOC эффективнее
RI
Ну и в тонусе всех держит, что тоже плюс
IM
Думаю все упирается в цену вопроса
ND
Идея-то понятна, да. Нюанс в том, что если пользоваться услугами одного ред-тима (и тут уже действительно не важно, внутреннего или внешнего), то у вас блю-тим будет тренироваться ловить конкретно его, со всеми их TTP. Использование разных ред-тимов с разным инструментарием тут выглядит гораздо интереснее
ND
Но, к сожалению, это теоритезирование. Натурных наблюдение, на сколько я знаю, не проводилось
m
Почему?
RI
Эдак мы сейчас и до багбаунти договоримся. Всё-таки комплекс мер всегда лучше
AL
В Штатах на 32,5 миллиона компаний всего около 2000 Red Team. О какой серьезной статистике можно говорить?
IM
Понятно же, что большинство из указанных компаний не смогут содержать свою red team команду в принципе.
ND
Ну сколько есть. НЯЗ, при проведении клинических исследований выборка в 2000 пациентов - это вполне норм.
AL
Только при КИ пациенты идут на это осознанно (или за деньги). Зачем разрозненным red team участвовать в таких исследованиях непонятно
ND
Так это не самим ред-тимам надо, а их потребителям.
AL
А кто-то из потребителей организовывал такие исследования?
K
Это много или мало? Это коммерческие только или включая государственные?
ND
На сколько я знаю - нет. Я вообще видел только одно исследование по эффективности SOC-ов, и то - довольно старое, 2014 что ли года
AS
Половине компание ни ред тим, ни ТИ ни вообще ИБ не нужна )