Red team vs blue team: kyberturvallisuusharjoitusten järjestäminen sotilasorganisaatioille

Kirjoittanut Corvus Intelligence -insinööritiimi · Tietoa tiimistä →

4. kesäkuuta 2026 9 min lukeminen

Jokainen kyberkomentaja kohtaa lopulta saman epämiellyttävän kysymyksen tietoturva-auditoinnin jälkeen: jos kansallisvaltiotason vastustaja olisi toiminut verkoissasi viimeisten kuuden kuukauden ajan, olisivatko SOC-analyytikkosi havainneet sen? Rehellinen vastaus useimmille sotilasorganisaatioille on todennäköisesti ei — ei siksi, että puolustajat olisivat epäpäteviä, vaan koska luokitellut verkot ovat monimutkaisia, operatiivisen jatkuvuuden vaatimukset rajoittavat aggressiivisten puolustusvälineiden käyttöä ja uhkatoimijoiden kaupankäyntitavat ovat kehittyneet paljon pidemmälle kuin mitä pelkällä allekirjoituspohjaisella havaitsemisella voidaan saada kiinni. Red team/blue team -harjoitukset on olemassa vastatakseen tuohon kysymykseen ennen kuin vastustaja tekee sen. Ne ovat yksi korkeimman tuoton investoinneista, joita sotilaallinen kyberorganisaatio voi tehdä — ja yksi huonoiten toteutetuista silloin, kun suunnittelukuri puuttuu.

Tämä artikkeli kattaa sotilaallisen kyberharjoituksen täydellisen kaaren: miksi puolustusverkot esittävät ainutlaatuisia haasteita, miten harjoitustyypit rakentuvat kypsyysjanalle, miten red ja blue team -roolit miehitetään ja rajataan, millaista teknistä infrastruktuuria tehokas harjoitus vaatii ja miten jälkianalyysistä saadaan käyttökelpoisia parannuksia. WARG monidoomeeniharjoitusalusta tukee kyberdomeenin tapahtumien integrointia laajempaan yhteisharjoitussuunnitteluun — kyky, jota tarkastellaan viimeisessä osiossa.

Miksi sotilaskyberharjoitukset eroavat kaupallisista

Red team/blue team -testauksen periaatteet soveltuvat eri sektoreille, mutta sotilasverkot tuovat rajoituksia ja vaatimuksia, joilla ei ole kaupallista vastinetta. Näiden erojen ymmärtäminen on edellytys harjoituksen suunnittelulle, joka tuottaa hyödyllistä koulutusdataa pelkän käsikirjoitetun esityksen sijaan.

Luokiteltu verkkoarkkitehtuuri. Sotilasverkot kattavat useita luokitustasoja — luokittelemattomista hallinnollisista järjestelmistä salaisten ja ylempien enklaavien kautta — ja niiden väliset rajat ovat itsessään korkean arvon kohteita. Red team, joka emuloi kehittynyttä pysyvää uhkaa, ei pelkästään yritä suodattaa dataa; se saattaa yrittää luokitustasojen välistä siirtoa, joka hyödyntää väärin konfiguroitua datadiodia tai huonosti toteutettua cross-domain-ratkaisua. Harjoitukset, jotka toimivat vain luokittelemattomilla harjoitusalueilla, saattavat ohittaa operatiivisesti relevanteimmat hyökkäyspolut.

Operatiivisen jatkuvuuden vaatimukset. Kaupallinen tunkeutumistestaaja voi kaataa verkkosovelluksen tunniksi ilman katastrofaalisia seurauksia. Aktiivista johtamista ja hallintaa tukevassa verkossa toimiva red team ei voi keskeyttää operatiivista liikennettä aiheuttamatta tehtävävaikutuksia, jotka ulottuvat kauas harjoituksen ulkopuolelle. Tämä rajoitus pakottaa kompromissiin: tuotantoläheisissä verkoissa tehtävät harjoitukset ovat realistisempia mutta sisältävät aidon operatiivisen riskin; eriytetyillä kyberharjoitusalueilla tehtävät harjoitukset ovat turvallisempia mutta eivät välttämättä paljasta todellisia puolustusaukkoja operatiivisissa järjestelmissä. Kokeneet harjoitussuunnittelijat käsittelevät tätä kerroksellisella lähestymistavalla — eristetyt harjoitusalueen harjoitukset tekniikoiden validointiin, rajatut tuotantoläheiset harjoitukset realistiseen ympäristön testaamiseen.

OPSEC harjoituksen aikana. Red team -harjoituksen olemassaolo on operatiivisesti arkaluonteinen tieto. Vastustaja, joka saa tietää yksikön tekevän sisäistä testausta, saattaa sovittaa ajoituksensa välttääkseen harjoitusikkunan tai yrittää sekoittaa aidon tunkeutumistoiminnan harjoitusmeluun. Harjoitussuunnittelu ja -viestintä tulisi käsitellä asianmukaisilla luokitustasoilla, ja harjoituksen ajoituksen tietävien henkilöiden piiriä tulisi minimoida — erityisesti blue team -henkilöstön osalta, joiden havaitsemiskoulutus edellyttää aitoa epävarmuutta siitä, onko havaittu toiminta harjoituksen tuottamaa vai aitoa.

Oikeudellinen valtuutus hyökkäystekniikoille. Red team -operaattorit, jotka käyttävät offensiivisia kybertyökaluja sotilasverkkoja vasten, tarvitsevat nimenomaisen kirjallisen valtuutuksen, jota ei ole olemassa oletusarvoisesti. Yhdysvaltojen Computer Fraud and Abuse Act ja vastaavat lait liittolaismaissa luovat rikosoikeudellisen vastuun luvattomasta tietokoneen käytöstä toimijan affiliaatiosta riippumatta. Asianmukaisen oikeudellisen valtuutuksen — komentovaltuutusasiakirjat, toimintasäännöt ja vapautuskirjeet — hankkiminen ennen red team -toiminnan aloittamista ei ole byrokraattista lisätyötä; se on perusta, joka tekee harjoituksesta oikeudellisesti puolustettavan.

Harjoitustyypit kypsyysjanalla

Sotilaskyberharjoitukset vaihtelevat edullisista tabletop-keskusteluista täysimittaisiin live-fire -simulaatioihin omistetussa harjoitusinfrastruktuurissa. Eri kypsyystason organisaatiot hyötyvät eri harjoitustyypeistä, ja siirtyminen tabletopista live-fireen on itsessään jäsennelty kehityspolku.

Tabletop-harjoitukset kokoavat häiriönselvitystiimin yhteen käymään läpi skenaarion ilman live-teknistä toimintaa. Fasilitaattori esittää skenaarion — "olette saaneet hälytyksen, että komentoverkon päätelaite on käynnistänyt epätavallisen ulospäin suuntautuvan DNS-kyselykuvion; mitä teette?" — ja tiimi keskustelee vastausprosessistaan. Tabletop-harjoitukset ovat edullisia, eivät vaadi teknistä infrastruktuuria ja ovat erittäin tehokkaita prosessiaukkojen paljastamisessa: puuttuvat eskalaatiomenettelyt, määrittelemättömät roolit, päätöksenteon epäselvyydet ja SOC:n ja häiriöpäällikön välisen viestinnän epäonnistumiset. Ne eivät tuota dataa siitä, toimiiko havaitsemistyökalut todella, mutta paljastavat, tietääkö tiimi miten niitä käytetään.

Täysimittaiset simulaatioharjoitukset sisältävät ihmisred teamin, joka toimii aktiivisesti kohdeympäristöä vasten kun blue team puolustaa reaaliajassa. Red team käyttää oikeita offensiivisia työkaluja ja tekniikoita; blue team käyttää operatiivisia havaitsemis- ja vastaustyökalujaan. Nämä harjoitukset ovat korkein käytettävissä oleva koulutuksen tarkkuus lyhyenä aidon tunkeutumisen vastaamisesta, ja ne ovat ainoa harjoitustyyppi, joka tuottaa realistisia MTTD- ja MTTR-mittareita. Ne vaativat eniten suunnittelua, eniten teknistä infrastruktuuria ja perusteellisimman oikeudellisen valtuutusdokumentaation.

Live-fire harjoitusalueverkossa käyttää omistettua kyberharjoitusaluetta — eristettyä verkkoympäristöä, joka peilaa tuotantoarkkitehtuuria ilman operatiivista liikennettä — harjoitusympäristönä. Tämä lähestymistapa säilyttää operatiivisen jatkuvuuden samalla kun se antaa red teamille mahdollisuuden käyttää koko valtuutettujen tekniikoiden kirjoa, mukaan lukien ne, jotka aiheuttaisivat palveluhäiriön tuotantoverkossa. Kyberharjoitusalueet voivat olla paikallisia, pilvipalveluita tai kansallisten koulutusorganisaatioiden tarjoamia. Harjoitusalueinfrastruktuuriin investointi on merkittävä mutta kuolettuu useissa harjoituksissa vuodessa.

Koalitioharjoitukset (CWIX-tyyli) sisältävät useita liittolaiskansoja, jotka toimivat yhdessä jaetussa harjoitusympäristössä. Cyber Warfare Interoperability eXercise (CWIX) -malli antaa osallistuville kansallisvaltioille mahdollisuuden testata paitsi sisäisiä puolustuskykyjään myös kykyään jakaa uhkatiedustelua ja koordinoida häiriöihin vastaamista kansallisten ja organisatoristen rajojen yli. Nämä harjoitukset paljastavat yhteentoimivuusaukkoja — yhteensopimattomat tikettijärjestelmät, yhteensopimattomat indikaattorien jakamismuodot, kielen ja terminologian esteet korkeatempoisessa häiriöihin vastaamisessa — joita sisäiset harjoitukset eivät voi paljastaa.

Keskeinen havainto: Yleisin epäonnistuminen sotilaskyberharjoitusohjelmissa on live red team -harjoituksen yrittäminen ennen kuin tabletop- ja prosessipohja on rakennettu. Blue team, joka ei ole koskaan käynyt läpi häiriöihin vastaamismenettelyjään tabletopissa, käyttää live-harjoituksen löytämällä prosessiaukkoja sen sijaan, että kouluttaisi havaitsemis- ja vastaustaitoja. Kypsyysprogressio — ensin tabletop, sitten simulaatio, sitten live-fire — ei ole valinnainen.

Red teamin rakenne ja uhkatoimijan emulointi

Red team -harjoituksen arvo on suoraan verrannollinen siihen, kuinka tarkasti red team emuloi todellista uhkaa. Red team, joka käyttää viisi vuotta vanhoja tekniikoita tai toimii meluisammin kuin todellinen APT siksi, että siltä puuttuu taito olla hienovarainen, tuottaa koulutusdataa, joka ei valmista blue teamia kohtaamaan uhkaa, jolle se todella on altis. Tehokkaat sotilaalliset red teamit ovat rakennettu tiettyyn uhkatoimijaemulaatioon yleisen tunkeutumistestauksen sijaan.

NATO:n ja Five Eyes -kontekstin sotilasverkoille operatiivisesti relevanteimmat uhkatoimijat ovat kansallisvaltiotason ryhmät, joilla on dokumentoitu sotilaallisten verkkojen tunkeutumiskyky. APT28 (Fancy Bear, johdettuna GRU Unit 26165:een) on dokumentoitu historia sotilaallis- ja hallintoverkkojen kohdistamisesta käyttämällä spear-phishingaa, tunnistetietojen varastamista ja living-off-the-land -tekniikoita, jotka minimoivat päätelaitteen havaitsemiselle näkyvän jalanjäljen. APT29 (Cozy Bear, johdettuna SVR:ään) toimii pidemmällä oleskeluajalla ja kärsivällisemmällä operatiivisella tempolla, usein ylläpitäen pääsyä kuukausia ennen tehtävätavoitteen toteuttamista. Red teamien, jotka emuloidaan näitä toimijoita, tulisi toimia dokumentoiduista TTP-soittolistoistaan käyttäen MITRE ATT&CK:ta järjestävänä kehyksenä.

Living-off-the-land (LotL) -tekniikat ovat erityisen tärkeitä emuloidessa, koska ne edustavat havaitsemishaastetta, joka voittaa useimmat allekirjoituspohjaiset puolustukset. Red team, joka käyttää vain avoimen lähdekoodin exploit-kehyksiä, tuottaa hälytyksiä, jotka mikä tahansa kaupallinen EDR-tuote havaitsee; red team, joka käyttää Windowsin sisäänrakennettuja hallintatyökaluja (PowerShell, WMI, PsExec, ajoitetut tehtävät) sivuttaisliikkeeseen, toimii samalla havaitsemista vastustamattomalla tavalla kuin kehittynyt kansallisvaltiotason toimija. Blue teamin kyky erottaa laillisten työkalujen haitallinen käyttö rutiininomaisesta hallintotoiminnasta on ydinosaamine, jota hyvin suunniteltu harjoitus kehittää.

Command and control (C2) -infrastruktuuri tulisi rakentaa tarkoituksenmukaisesti harjoitusta varten sen sijaan, että käytettäisiin uudelleen kaupallisia tunkeutumistestauksen kehyksiä, jotka verkkoturvallisuustuotteet ovat voimakkaasti allekirjoittaneet. DNS-tunnelointi, HTTPS-majakointi domain-fronted-infrastruktuuriin ja peittokanavat sallituissa protokollissa (ICMP, legitiimit pilvivarastoinnin API:t) edustavat C2-tekniikoita, joita operatiiviset red teamit käyttävät. Työkaluvaihtoehtoja ovat CALDERA automaattiseen TTP-suoritukseen ja Cobalt Strike tai Havoc manuaalisille C2-operaatioille red team -operaattoreilla, joilla on asianmukainen koulutus ja valtuutus.

Blue teamin roolit ja SOC-rakenne harjoituksessa

Blue team ei ole yhtenäinen ryhmä kyberharjoituksen aikana — se koostuu erillisistä rooleista, joiden on koordinoitava aikapaineessa. Harjoitukset, jotka eivät määrittele näitä rooleja nimenomaisesti, tuottavat hämmentyneitä vastauksia, joissa useat analyytikot tekevät päällekkäistä työtä tai kriittiset päätökset odottavat auktoriteettia, jonka kukaan ei tiedä omistavansa.

SOC-analyytikot (taso 1 ja 2) ovat havaitsemiskerros. Heidän harjoituskoulutustavoitteensa on luokitella hälytykset tarkasti, eskaloida vahvistettu epäilyttävä toiminta nopeasti ja olla hylkäämättä aidonlaisia kompromissin indikaattoreita väärinä positiivisina. Harjoituksen tulisi tuottaa realistinen hälytysvolyymi — ei vain red teamin toimintaa vaan simuloitua taustahälyä rutiininomaisista verkkotapahtumista — kouluttaakseen analyytikkoja olosuhteissa, jotka lähentyvät operatiivista kuormaa.

Häiriöpäällikkö pitää päätösauktoriteettia ilmoitetun häiriön aikana. Heidän harjoituskoulutustavoitteensa on tehdä oikeita triage-päätöksiä puutteellisen tiedon vallitessa: milloin käynnistää eristystoimenpiteet, jotka aiheuttavat palveluhäiriön, milloin antaa vastustajan toiminnan jatkua tiedustelukeräystä varten, ja milloin eskaloida komentovaltuutukseen. Häiriöpäälliköt, jotka eivät ole harjoitelleet näitä päätöksiä simuloidussa ympäristössä, tekevät luotettavasti suboptimaalisia valintoja aidon häiriön kognitiivisessa kuormassa.

Forensiikkatiimi rekonstruoi hyökkäysaikajanan eristyksen jälkeen. Heidän harjoituskoulutustavoitteensa on tuottaa tarkka aikajana saatavilla olevasta lokidatasta määritellyn aikarajan sisällä. Forensisen rekonstruktion laatu — tunnistivatko he oikein alkupääsyvektorin, sivuttaisliikkeen täydellisen laajuuden ja käytetyn datan — on suora mittari organisaation kyvystä tehdä tapahtuman jälkeinen korjaus pelkän tapauksen tiketin sulkemisen sijaan.

Keskeinen havainto: Häiriöpäällikön rooli on useimmissa sotilaisissa SOC-rakenteissa alimmin koulutettu asema. SOC-analyytikot saavat säännöllistä teknistä koulutusta; häiriöpäälliköt harjoittelevat harvoin päätöksentekoa simuloidussa häiriöpaineessa. Kyberharjoitus, joka ajaa kaikkia kolmea blue teamin roolia samanaikaisesti — analyytikko, häiriöpäällikkö, forensiikka — tuottaa paljon enemmän koulutusarvoa kuin sellainen, joka keskittyy yksinomaan havaitsemiskerrokseen.

Purple team jatkuvaan parantamiseen

Perinteinen punainen vastaan sininen -vastakkaisasettelumalli tuottaa binaarisen tuloksen: joko blue team havaitsi tekniikan tai ei. Purple teaming muuttaa tätä mallia tuottamaan jatkuvaa, yhteistyöhön perustuvaa parannusta yksittäisen mittaustapahtuman sijaan. Purple team -harjoituksessa red ja blue team -jäsenet työskentelevät yhdessä — red team suorittaa tietyn tekniikan, blue team yrittää havaita sen, ja molemmat tiimit keskustelevat välittömästi siitä, mitä lokidataa tuotettiin, mikä havaitsemissääntö havaitsisi sen ja mitä muutoksia havaitsemispinossa tarvitaan. Tätä prosessia toistetaan koko TTP-luettelon läpi.

Purple teaming ei ole korvike vastakkaisasetteluun perustuville red team -harjoituksille — koulutusarvo toimimisesta aidon epävarmuuden alla tietämättä mitä tekniikoita käytetään on korvaamaton blue teamin kehitykselle. Purple teaming on täydennys, joka rakentaa havaitsemisinsinööriosaamista nopeammin kuin pelkät vastakkaisasetteluharjoitukset. Useimpien sotilasorganisaatioiden tahti tulisi olla: vuosittainen vastakkaisasettelun red team -harjoitus, neljännesvuosittaiset purple team -työpajat, jatkuva automaattinen vastustajan emulointi CALDERA:lla harjoitusalueverkossa pysyvänä taustatoimintana.

Tekninen infrastruktuuri sotilaskyberharjoituksille

Teknisen infrastruktuurin vaatimus sotilaskyberharjoituksessa skaalautuu harjoitustyypin mukaan. Tabletop-harjoitukset vaativat vain kokoushuoneen ja skenaariodokumentin. Täysimittaiset simulaatioharjoitukset eriytetyllä kyberharjoitusalueella vaativat verkkoinfrastruktuuria, virtualisointialustoja, lokien aggregointia ja työkaluja, jotka edustavat merkittävää mutta kertaluonteista investointia.

Kyberharjoitusalueen tulisi heijastaa tuotantoverkon arkkitehtuuria mahdollisimman tarkasti — samat käyttöjärjestelmäversiot, sama verkkojen segmentointimalli, samat tietoturvatyökalut — koska harjoitusalueella olevat havaitsemisaukot lähes varmasti ovat olemassa myös tuotantoverkossa. Geneerisissä malleissa rakennetut harjoitusalueet eivät tuota harjoitustuloksia, jotka siirtyvät operatiivisiin puolustusparannuksiin. Pilvipohjaiset kyberharjoitusalueet (Azure Government, AWS GovCloud) ovat vähentäneet harjoitusalueen käyttöönottokustannuksia merkittävästi, mutta tuotantoarkkitehtuurin tarkan mallinnuksen konfigurointityö on edelleen merkittävä.

Hyökkäyssimulaatiotyökalut red teamille tulisi sisältää: CALDERA automaattiseen TTP-suoritukseen ja skenaarion ketjutukseen; Atomic Red Team yksittäisten tekniikoiden validointiin havaitsemispinoa vasten; ja asianmukaiset C2-kehykset harjoituksen laajuudelle valtuutettuina. MITRE ATT&CK Navigator tarjoaa visuaalisen kattavuuskartan — näyttäen mitkä tekniikat sisältyvät harjoitusskenaarioon verrattuna siihen, millä tekniikoilla on vahvistettu havaitsemiskattavuus — joka on yksittäisesti hyödyllisin suunnitteluartefakti sekä red teamin skenaarion suunnitteluun että harjoituksen jälkeiseen korjauksen seurantaan.

Lokitus ja SIEM-konfiguraatio on yleisin harjoituksen infrastruktuurin epäonnistumispiste. Harjoitukset, jotka eivät tuota käyttökelpoista havaitsemisdataa, koska lokilähteet eivät syöttäneet SIEM:iin tai koska säilytysajat olivat liian lyhyitä tukemaan harjoituksen jälkeistä forensista rekonstruktiota, eivät tuota koulutusarvoa riippumatta siitä, kuinka hyvin red team suoriutui. Varmista lokilähteiden kattavuus ennen harjoituksen alkua, ei sen jälkeen.

Pisteytys ja mittarit: mitataan se mikä on tärkeää

Mean time to detect (MTTD) — aikaväli red teamin tekniikan suorituksesta blue teamin vahvistettuun hälytykseen — on ensisijainen kvantitatiivinen mittari sotilaskyberharjoituksessa. Se lasketaan tekniikkakohtaisesti, ei yksittäisenä harjoituksen laajuisena keskiarvona, koska blue team, jolla on erinomainen verkkojen havaitseminen ja heikko päätelaite-havaitseminen, näyttää hyvin erilaisia MTTD-arvoja tekniikoiden spektrissä. Tekniikkakohtainen erittely on se, mikä ajaa kohdennettua korjausta yleisen "paranna havaitsemista" -suosituksen sijaan.

Mean time to respond (MTTR) — vahvistetusta hälytyksestä valmiiseen eristystoimenpiteeseen — mittaa häiriöihin vastaamisprosessin tehokkuutta eikä havaitsemispinoa. Korkea MTTD ja matala MTTR osoittaa havaitsemisinsinööriongelma. Matala MTTD ja korkea MTTR osoittaa prosessi- tai henkilöstöongelman. Molemmat mittarit ovat välttämättömiä tarvittavan korjaustyypin erottamiseksi.

Datansuodatussimulaatio tarjoaa tehtävävaikutusmittarin. Red team yrittää suodattaa synteettisen datajoukon (paikkamerkintätiedostot, jotka on merkitty kohdedatan luokituksella ja datatyypillä, mutta jotka eivät sisällä todellista arkaluonteista sisältöä), ja harjoitus pisteytta sen, havaittiinko ja estettiin suodatus, havaittiinko jälkikäteen vai jäikö se täysin havaitsematta. Tämä mittari yhdistää teknisen harjoituksen operatiiviseen seuraukseen, jonka vanhemmat komentajat ymmärtävät: jos tämä olisi ollut aito vastustaja, mitä he olisivat vieneet?

Kattavuusaste — niiden red team -tekniikoiden prosenttiosuus, jotka tuottivat minkään havaitsemisen riippumatta MTTD:stä — on havaitsemisinsinöörinnin täydellisyysmittari. Alle 60 %:n kattavuusaste osoittaa, että havaitsemispinossa on merkittäviä katvealueita, joita kehittynyt vastustaja voi hyödyntää vapaasti. Organisaatioiden, jotka käyttävät MITRE ATT&CK -kehystä harjoituksen suunnittelupohjana, tulisi seurata kattavuutta koko tekniikkamatriisia vasten, ei vain tietyssä harjoitusskenaariossa sisältyviin tekniikoihin.

Jälkianalyysimenetelmä

Jälkianalyysi on se, missä harjoituksen koulutusarvo realisoidaan. Harjoitus, joka ei tuota jäsenneltyä jälkianalyysia, ei tuota kestävää parannusta puolustusasemaan riippumatta siitä, kuinka hyvin tekninen toteutus sujui. Sotilasorganisaatiot, jotka soveltavat samaa jälkianalyysikuria kyberharjoituksiin kuin kineettisiin harjoituksiin, sulkevat puolustusaukkoja; ne, jotka pitävät lyhyen palautesession ja palaavat rutiinioperaatioihin, eivät.

Kyberharjoituksen jälkianalyys tulisi rekonstruoida täydellinen aikajana molemmista näkökulmista samanaikaisesti: jokainen red teamin toimenpide tarkalla aikaleimalla ja jokainen blue teamin havaitsemis- tai havaitsemattomuustapahtuma vastaavalla hetkellä. Näiden aikajanjen päällekkäin asettelu paljastaa visuaalisesti havaitsemisaukot — ajanjaksot, joiden aikana red team toimi aktiivisesti ja tuotti lokidataa, jonka blue team joko ei nähnyt, ei luokitellut tai ei eskaloinut. Jokaisen aukon osalta jälkianalyysi tunnistaa erityisen syyn: puuttuva havaitsemissääntö, puuttuva lokijärjestelmälähde, hälytys hylätty vääränä positiivisena tai hälytys tuotettiin mutta vastausprosessi epäonnistui.

Jokaisen tunnistetun aukon on tultava seuratuksi korjaustehtäväksi, jolla on omistaja ja määräaika. Organisaatiot, jotka tuottavat pitkiä listoja jälkianalyysihavainnoista ilman omistajien osoittamista ja sulkemisen seurantaa, eivät ole parantaneet puolustusasemaansa — ne ovat dokumentoineet sen. Korjauksen seurantaprosessi on se mekanismi, joka muuntaa harjoituksen havainnot operatiivisiksi tietoturvaparannuksiksi. Jatko-tabletop tai purple team -istunto 90 päivän kuluessa pääharjoituksesta tulisi vahvistaa, että kriittiset korjaukset on toteutettu ennen kuin harjoituksessa tunnistetut puolustusaukot on ehditty hyödyntää aidolla vastustajalla.

Kyberharjoitusten suunnittelu laajassa mittakaavassa — kyberdomeenin koulutustapahtumat integroituna monidomeenisiin yhteisharjoituksiin — hyötyy harjoitusten hallinta-alustoista, jotka koordinoivat skenaariot, osallistujat ja jälkianalyysidatan eri toimialoilla. WARG-alusta tukee tätä monidomeenisen harjoituksen suunnittelukykyä, mahdollistaen kyberharjoitustapahtumien aikataulutuksen, miehittämisen ja analysoinnin samassa suunnittelukehyksessä kuin kineettisten toimialojen harjoitustapahtumat. Aiheeseen liittyvää luettavaa: live-sotilasharjoitukset vs tekoäly-sotapelit ja jälkianalyysiohjelmisto sotilaskoulutukselle.

Keskeinen havainto: Yksittäinen yleisin syy pysähtyneeseen puolustusasemaan sotilaisissa SOC-organisaatioissa on epäonnistuminen sulkea silmukka harjoitushavaintojen ja korjauksen vahvistamisen välillä. Jälkianalyysi, joka tuottaa havaintolistan ilman seurattavia omistajia ja jatkovalidointia, on hallinnollinen asiakirja, ei koulutusen lopputulos. Harjoitusohjelma on vain niin arvokas kuin sitä seuraava korjausdisipliini.

Integroi kyberharjoitukset yhteiseen koulutusohjelmaasi

Rakennamme monidomeenisia harjoituksen suunnittelualustoja puolustusorganisaatioille — kyberharjoitusalueen skenaariosuunnittelusta yhteiseen jälkianalyysiin.

WARG-alusta → Varaa esittely

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat tehtäväkriittistä ohjelmistoa puolustus- ja valtiohallinnon organisaatioille. Lue lisää tiimistämme →

Usein kysytyt kysymykset

Kuinka usein sotilasorganisaatioiden tulisi järjestää red team -kyberharjoituksia?

Useimmat puolustuksen tietoturvakehykset suosittelevat vähintään yhtä täyttä red team/blue team -harjoitusta vuodessa jokaista operatiivisesti kriittistä verkkoenklaavia kohti, ja tabletop-harjoituksia neljännesvuosittain niiden välillä. Operatiivista johtamista ja hallintaa tukevat korkean prioriteetin verkot edellyttävät tiheämpää testausta — puolivuosittaisia live-harjoituksia täydennettynä jatkuvalla automaattisella vastustajan emuloinilla CALDERA:n kaltaisilla työkaluilla. Tiheyden tulisi skaalautua käsiteltävän datan herkkyydellä ja onnistuneen tunkeutumisen operatiivisella vaikutuksella. Organisaatiot, jotka eivät voi ylläpitää sisäistä red team -kapasiteettia, tulisi priorisoida vähintään yksi vuosittainen ulkoinen red team -toimeksianto sopimuksellisen uhkan emulointipalveluntarjoajan tukemana.

Miten sotilasyksikkö voi hankkia red team -kyvykkyyden ilman sisäistä rekrytointia?

Organisaatioille, jotka eivät voi palkata pysyvää sisäistä red teamia, on useita vaihtoehtoja. Ensinnäkin kansalliset kyberpuolustusvirastot — CYBERCOM Yhdysvalloissa, NCSC-sidonnaiset yksiköt liittolaismaissa — tarjoavat red team -tukea alaisille komentojärjestelmille tehtäväkehyksen puitteissa. Toiseksi sopimukselliset uhkan emulointipalveluntarjoajat omaavat tarvittavat turvallisuusselvitykset ja voivat toimia luokiteltujen enklaavien vasten asianmukaisten oikeudellisten valtuutussopimusten nojalla. Kolmanneksi koalitioharjoitukset kuten CWIX ja Locked Shields mahdollistavat yksiköiden osallistumisen monikansallisiin kyberharjoituksiin, joissa red team -toiminto on keskitetysti hallinnoitu. Neljänneksi automaattiset vastustajan emulointialustat kuten CALDERA voivat toimia jatkuvana edullisena red team -täydennyksenä live-harjoitusten välillä, ajamalla jatkuvia skenaarioperusteisia hyökkäyksiä eristettyjä verkkoympäristöjä vasten ilman pysyvää ihmisjohtoista red teamia.

Mitkä oikeudelliset kehykset koskevat red team -operaatioita sotilasverkkoja vasten?

Red team -operaatiot sotilasverkkoja vasten edellyttävät nimenomaisen kirjallisen valtuutuksen ennen minkään toiminnan aloittamista. Yhdysvalloissa tämä pohjautuu Computer Fraud and Abuse Act -lain poikkeuksiin valtuutettua testausta varten yhdistettynä komentovaltuutukseen, joka myönnetään operatiivisten käskyjen tai erityisen testausvaltuutusdokumentin kautta. NATO-jäsenten operaatioita säätelee lisäksi sovellettava SOFA (Status of Forces Agreement), kun monikansallinen henkilöstö on osallisena. Kriittiset asiakirjat ovat: toimintasäännöt määrittelevä asiakirja, jossa määritellään mitkä järjestelmät ovat harjoituksen piirissä ja mitkä hyökkäystekniikat on valtuutettu; asianmukaisen komentajan allekirjoittama vapautuskirje, jonka red team -operaattorit kantavat harjoituksen aikana; sekä dekonfliktointimenettely käynnissä olevien puolustusoperaatioiden kanssa, jotta aito häiriöihin vastaaminen ei käynnisty. Näiden valtuutusten puuttuminen ennen harjoituksen alkua on yleisin oikeudellinen riski sotilaan red team -ohjelmissa.

Mikä ero on red team -harjoituksella ja tunkeutumistestillä sotilaskontekstissa?

Tunkeutumistesti on rajattu tekninen arvio: testaajille annetaan määritelty kohde, määritelty aikataulu ja määritelty tavoite — tyypillisesti haavoittuvuuksien löytäminen tietystä järjestelmästä. Se on auditointitoimintaa, ei harjoitus. Red team -harjoitus on vastustajan simulaatio: red teamille annetaan tehtävätavoitteet ja se toimii laajalla vapaudella käyttää mitä tahansa tekniikkaa, jota todellinen uhkatoimija käyttäisi, mukaan lukien sosiaalinen manipulointi, fyysisen pääsyn yritykset ja toimitusketjuhyökkäysten simulointi. Sotilasorganisaatioille red team -harjoitus on ensisijainen koulutusväline — se kouluttaa blue teamia havaitsemaan realistista vastustajan toimintaa ja vastaamaan siihen, kun taas tunkeutumistesti kouluttaa järjestelmänvalvojia korjaamaan tiettyjä haavoittuvuuksia. Molemmat ovat tarpeellisia; kumpikaan ei korvaa toista.

Miten menestystä mitataan sotilaan kyberpuolustusharjoituksessa?

Ensisijaiset kvantitatiiviset mittarit ovat mean time to detect (MTTD) — aikaväli siitä kun red team saa ensimmäisen jalansijansa siihen kun blue team tuottaa vahvistetun hälytyksen — ja mean time to respond (MTTR) — aikaväli vahvistetusta hälytyksestä valmiiseen eristystoimenpiteeseen. Toissijaisiin mittareihin kuuluvat niiden red team -tekniikoiden prosenttiosuus, jotka tuottivat minkään havaitsemisen (kattavuusaste), harjoitusjakson väärät positiiviset ja se, saavuttiko red team ilmoitetun tehtävätavoitteensa ennen karkottamista. Laadulliset mittarit jälkianalyysistä mittaavat päätöksenteon laatua: triksiikö häiriöpäällikkö uhkan oikein, tehtinkö oikeat eskalaatiopäätökset ja rekonstruoitiinko forensinen aikajana tarkasti harjoituksen jälkeen? Blue team, joka hillitsee red teamin nopeasti mutta tunnistaa hyökkäysreitin väärin, on epäonnistunut kriittisessä koulutustavoitteessa vaikka sen MTTR olisi erinomainen.