ทีม Purple ของคุณไม่ใช่ Purple จริง แค่เอา Red กับ Blue มารวมห้องกัน

การป้องกันเครือข่ายตอนตีสองอาจมีภาพจำลองเช่นนี้นักวิเคราะห์คัดลอกแฮชจาก PDF ไปวางค้นหาในระบบ SIEM สคริปต์ของทีม Red Team ถูกเขียนใหม่ด้วยมือเพื่อให้ทีม Blue Team สามารถใช้งานได้ แพตช์ความปลอดภัยที่รออนุมัติเปลี่ยนแปลงนานกว่าระยะเวลาที่ระบบถูกโจมตีได้

ไม่มีใครในสายงานนี้ไร้ความสามารถ ทุกคนทำงานตามหน้าที่อย่างถูกต้อง ปัญหาที่แท้จริงคือระบบ

ภาพจำลองของทีมรักษาความปลอดภัยที่ทำงานผิดพลาด

เมื่อมองจากภายนอกอาจคิดว่าทีมรักษาความปลอดภัยไซเบอร์ทำงานร่วมกันอย่างราบรื่น แต่ความจริงกลับแตกต่างออกไป ทีม Red Team ซึ่งทำหน้าที่โจมตีจำลองและทีม Blue Team ซึ่งทำหน้าที่ป้องกันมักทำงานแยกส่วนกันโดยสิ้นเชิง การส่งต่อข้อมูลระหว่างสองทีมมักเกิดจากการเขียนสคริปต์ใหม่ด้วยมือหรือการคัดลอกข้อมูลแบบไม่มีระบบ

ปัญหาที่แท้จริงไม่ใช่คน แต่เป็นกระบวนการ

ข้อผิดพลาดที่เกิดขึ้นบ่อยครั้งไม่ได้เกิดจากความไม่รู้หรือความประมาทของบุคลากร แต่เกิดจากกระบวนการทำงานที่ขาดการบูรณาการ เมื่อทีม Red Team พบช่องโหว่ก็ต้องส่งข้อมูลให้ทีม Blue Team ด้วยวิธีการที่ซับซ้อนและล่าช้า เช่น การเขียนโค้ดใหม่ด้วยมือหรือการคัดลอกข้อความจากเอกสาร PDF ซึ่งทำให้ข้อมูลสูญหายหรือผิดพลาดได้ง่าย

ทีม Purple Team ที่แท้จริงคืออะไร

ทีม Purple Team ไม่ใช่แค่การเอาทีม Red และ Blue มานั่งทำงานในห้องเดียวกัน แต่คือการสร้างกระบวนการทำงานที่ทั้งสองทีมสามารถแบ่งปันข้อมูลและเครื่องมือกันได้อย่างอัตโนมัติและมีประสิทธิภาพ การทำงานแบบ Purple Team ที่แท้จริงต้องมีการใช้ระบบที่ช่วยให้ข้อมูลการโจมตีและการป้องกันเชื่อมต่อกันโดยอัตโนมัติ ไม่ต้องพึ่งพาการคัดลอกหรือเขียนใหม่ด้วยมือ

แนวทางการปรับปรุงเพื่อให้ทีมรักษาความปลอดภัยทำงานได้ดีขึ้น

องค์กรควรลงทุนในระบบที่ช่วยให้ทีม Red Team และ Blue Team สามารถสื่อสารกันได้อย่างเป็นธรรมชาติ เช่น การใช้แพลตฟอร์มที่แชร์ข้อมูลการโจมตีแบบเรียลไทม์หรือการใช้เครื่องมือที่รองรับการทำงานร่วมกันโดยอัตโนมัติ การเปลี่ยนกระบวนการทำงานแบบเดิมที่ต้องพึ่งพามนุษย์ในการส่งต่อข้อมูลจะช่วยลดความเสี่ยงและเพิ่มประสิทธิภาพในการป้องกันภัยคุกคาม

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th