Эксперт SolidLab рассказал о роли Purple Team в киберучениях на SOC-Форуме в Москве
14–15 ноября в Москве прошел ежегодный SOC-Форум, в котором приняли участие представители регуляторов, специалисты IT-компаний и цифровых корпораций.
На конференции выступил Максим Ильин, руководитель подразделения по анализу киберинцидентов компании SolidLab. Эксперт рассказал о работе Purple Team в процессе командной работы, а также разобрал взаимодействия на примере атаки и детектирования Process Hollowing, техники внедрения кода, которую использует вредоносное ПО. Доклад проходил совместно с Игорем Ландыревым из компании Solar.
«Участники Purple Team знают, как работают команды „красных“ и „синих“. Это позволяет им отвечать за взаимодействие, формулировать требования к результатам учений, планировать сценарии, минимизировать риски хаотичного развития игры и контролировать максимальную проработку техник и тактик. Даже на примере сложных атак вида детектирования обхода Defender с помощью Process Hollowing. В совокупности все это в разы повышает ценность командной работы и качества обучения.
Роль Purple Team может выполнять сотрудник SOC, не задействованный в процессах проекта, или руководитель, который заинтересован в развитии команд», — рассказал Максим Ильин.
Справочно
SOC-форум — ключевая конференция в сфере информационной безопасности, которая проходит при поддержке нацпроекта «Цифровая экономика». Мероприятие объединяет представителей отрасли информационной безопасности на одной коммуникационной площадке.