Purple Teaming

Estrutura Purple Teaming

Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
Purple Teaming por Mind Map: Purple Teaming

1. Objetivos

1.1. Avaliar a eficiência dos controles de segurança e identificar oportunidades de melhorias nos controles e nos processos de resposta a incidentes

1.2. Identificar redundâncias e sobreposições de falhas nas soluções de segurança

1.3. Identificar vulnerabilidades nos endpoints corporativos

1.4. Promover e elevar a sinergia entre os times de segurança cibernética

1.5. Compartilhar insights e estratégias de ataque e defesa

1.6. Contribuir para o adestramento das forças operacionais de segurança cibernética

1.7. Desenvolver a resiliência e a descoberta de novas TTP voltadas para o ambiente corporativo

1.8. Motivar o uso e o desenvolvimento de artefatos seguros voltados para a exploração

2. Planejamento

2.1. Escopo

2.1.1. Endpoints

2.1.1.1. AV

2.1.1.2. DLP

2.1.1.3. E-mail

2.1.1.4. Proxy

2.1.2. Cyber Kill Chain

2.1.2.1. 1. Reconhecimento 2. Armamento 3. Entrega 4. Exploração

2.1.2.2. 5. Instalação 6. Comando e Controle 7. Ações nos objetivos

2.1.2.2.1. Mitre ATT&CK

2.2. Equipes

2.2.1. Coordenação

2.2.1.1. 4 pessoas

2.2.2. Red Team

2.2.2.1. 6 pessoas

2.2.3. Blue Team

2.2.3.1. 6 pessoas

2.3. Recursos

2.3.1. Equipamentos

2.3.1.1. Red Team

2.3.1.1.1. Windows

2.3.1.1.2. Linux

2.3.1.1.3. MacOS

2.3.2. Espaço físico

2.3.2.1. Sala

2.3.2.1.1. 20 pessoas

2.3.3. Tempo

2.3.3.1. 3 horas

2.3.3.1.1. 0h15m: apresentação

2.3.3.1.2. 2h30m: exercício

2.3.3.1.3. 0h15m: encerramento

3. Execução

3.1. Red Team

3.1.1. Empregar TTP mapeadas por Threat Intel dentro do escopo estabelecido

3.1.2. Empregar novas TTP voltadas para o ambiente dentro do escopo estabelecido

3.1.3. Compartilhar as ações e os resultados obtidos durante o exercício

3.2. Blue Team

3.2.1. Detectar os dos ataques em tempo de execução através das soluções de segurança

3.2.2. Mapear as TTP e IoC&A empregados pelo Red Team em tempo de execução

3.2.3. Realizar ações manuais de contenção e a criação de automações para responder aos ataques

3.2.4. Avaliar a eficiência das soluções de segurança durante o exercício (alertas, ações, logs detalhados, delay etc)

3.2.5. Compartilhar as ações e os resultados obtidos durante o exercício

3.3. Feedback

3.3.1. Compartilhar os resultados parciais durante o exercício conforme planejamento

3.3.2. Ajustar estratégias

3.4. Debriefing

3.4.1. Apresentação dos resultados conforme planejamento

4. Pós-exercício

4.1. Criação de um plano de melhorias

4.2. Programar novos exercícios