Blue Тeam – це частина підрозділу інформаційної безпеки, команда якої складається з висококваліфікованих аналітиків, які працюють над захистом і поліпшенням стану системи безпеки організації в реальному часі.
Blue Тeam повинна виявляти, протистояти та послаблювати як дії зловмисників так і Red Тeam. Сценарій фіктивної атаки з боку Red Тeam покликаний поліпшити їх навички, готуючи до небезпечних атак у випадку реальної небезпеки.
Багато сучасних загроз, таких як шкідливі програми і фішингові електронні листи, зупиняються автоматичними інструментами на периметрі мережі та рішеннями для захисту кінцевих пристроїв і платформами для виявлення загроз. Blue Team, в свою чергу, додає життєво важливий людський інтелект до технічних інструментів та рішень захисту.
Завдання синьої команди – виявити і нейтралізувати більш складні атаки (АРТ, 0-day), стежити за поточними і виникаючими загрозами для превентивного захисту організації.
Цілі і обов’язки Blue Тeam включають в себе:
• Розуміння кожної фази інциденту та адекватне реагування на нього;
• Виявлення підозрілих аномалій трафіку і виявлення ознак компрометації;
• Швидка локалізація інциденту або будь-якої іншої форми компрометації системи;
• Складання звіту про інцидент, коригування алгоритмів реакції на інцидент;
• Виявлення командних і контрольних серверів Red Тeam / Зловмисників (C&C або C2) і блокування їх підключення до цілі;
• Проведення аналізу та криміналістичної експертизи в системах, включаючи використання сторонніх систем.
Методи Blue Тeam включають в себе:
• Перегляд та аналіз даних журналів подій;
• Використання платформи захисту інформації та управління подіями для спостереження і виявлення вторгнень; сортування попереджень систем безпеки та аномалій у режимі реального часу;
• Збір нової інформації про загрози і визначення пріоритетності відповідних дій у контексті ризиків;
• Виконання аналізу трафіку і потоку даних.
