Che cos'è una "squadra arancione"?

4

Ho sentito che Google ha un team "virtuale" non ufficiale chiamato Orange Team composto da personale esterno al team di sicurezza ufficiale, che si è impegnato in una serie di attività white hat per sviluppare le proprie competenze e migliorare la sicurezza a Google. (un po 'come una squadra di Dick Feynmans che si aggira per Los Alamos)

Purtroppo ho avuto problemi nell'individuare ulteriori informazioni sulla definizione del ruolo e dei parametri di funzionamento di un Team Orange in modo da poterne stabilire uno in modo sicuro ed efficace.

Qualcuno può aiutare;

  • Definisci più chiaramente il ruolo di un Team Orange e dei suoi membri?
  • Definisci qual è una pratica accettabile?

In breve, assicurati che i membri del team possano contribuire alla sicurezza in sicurezza, senza mettere in pericolo la sicurezza dell'organizzazione?

    
posta Stephen 22.12.2017 - 13:19
fonte

2 risposte

3

Ci sono un certo numero di aziende che fanno questo. In genere, l'organizzazione definisce l'ambito del team, definisce chiaramente le attività, i treni e i supervisori.

L'ho visto fare come parte del programma Security Awareness Champions che consente alle persone che sono state attive nel migliorare la sicurezza dei loro colleghi utilizzando gli strumenti e i processi disponibili per tutti. Questo nuovo livello di formazione è un tipo di "ricompensa" per essere un leader nella sicurezza tra i loro pari.

Attingendo al programma Champions, dai agli impiegati qualcosa a cui mirare e ottieni quelli che mostrano veramente interesse per la sicurezza e non quelli che sono attratti solo dalla parte "hacking".

Dopo tutto, tutto dipende da ciò che la tua organizzazione vuole affrontare. Ho visto team di phishing (phish your peers!), Team di sicurezza fisica (Mission Impossible your way into the building!) E team di sicurezza delle applicazioni (rompono il nostro prodotto!).

    
risposta data 22.12.2017 - 19:22
fonte
1

Non ci sono molte informazioni su ciò che specificamente è lo scopo della squadra arancione di Google o su quello che hanno fatto (un po 'ovvio perché ...), ma in generale ci sono due tipi di test di penetrazione che uno vorrebbe da fare: l'ovvio in cui si garantisce che i sistemi esposti al mondo esterno siano sicuri e meno ovvi in cui si garantisce che i sistemi siano sicuri dall'interno.

Pensalo in questo modo: cosa potrebbe fare un utente con una conoscenza interna dei sistemi e un livello di sicurezza standard per farlo male. non si tratta necessariamente di proteggersi da un malvagio dipendente (anche se questo fa parte dell'obiettivo per le aziende più grandi), si tratta di mantenere la propria architettura onesta. Vuoi che le cose brutte siano impossibili anche in linea di principio , non solo perché presumi che nessuno possa piegare le regole (sia per scopi nefandi o semplicemente per pigrizia).

La mia comprensione in base a ciò che ho sentito su Internet è che la squadra arancione di Google è qualcosa del genere, che essenzialmente cercano di hackerare Google da dentro usando qualsiasi mezzo a cui possano pensare (alla tua domanda, immagino breve di causare effetti visibili sulla produzione), incluso effettuare chiamate a API interne che non sono disponibili esternamente.

Per una grande azienda in cui molti team e membri del team dovrebbero avere diversi livelli di accesso a diverse risorse interne, questo tipo di test di penetrazione aiuta a migliorare la sicurezza dell'architettura dei sistemi interni. E sì, sono sicuro che il fattore "male impiegato" incombe su questo tipo di attività ... immagina cosa succederebbe se la persona sbagliata riuscisse a inserire un po 'di codice in un compilatore o in un browser popolare.

Inoltre, dev'essere un lavoro davvero divertente! : P

    
risposta data 10.08.2018 - 20:32
fonte

Leggi altre domande sui tag