Киберучения
Киберучения (Adversary Emulation) – это процесс обучения сотрудников службы информационной безопасности компании (Blue Team) способам противостояния злоумышленникам на примере реальных атак на ИТ-инфраструктуру компании, совершенных командой Red Team. С помощью киберучений можно оценить способность команды Blue Team обнаруживать и предотвращать действия злоумышленников во всех точках Cyber Kill Chain.
Особенности проведения работ:
- осведомленность команды защиты о происходящем;
- постоянное общение атакующих и защитников;
- логгирование действий с обеих сторон;
- обучение защитников в реальном времени;
- наглядное повышение квалификации сотрудников.
Киберучения позволяют:
- проверить подготовку своей команды защиты и работу системы обеспечения ИБ в целом;
- улучшить работу внутренних специалистов при поддержке ИБ-экспертов;
- расширить диапазон детектируемых атак;
- ускорить и закрепить реакцию на атаки злоумышленника.
В качестве источников атак в зависимости от проекта могут быть использованы:
- Атаки уровня новой APT-группировки, неизвестной ранее (Open Red Teaming). Red Team самостоятельно разрабатывает продвинутые векторы атак, которые могут использовать в том числе уязвимости нулевого дня.
- Атаки реальных APT-группировок (действующих на момент проведения работ или действовавших ранее), актуальных для сектора компании (Open Threat-based Red Teaming). Red Team создает сценарии эмуляции APT-группировок для проверки определенных тактик, техник и процедур (TTP) реальных злоумышленников. Для работы используются данные из матрицы MITRE ATT&CK, аналитические отчеты о действиях APT-группировок и другие источники. В процессе проведения киберучений Red Team придерживается созданных сценариев.
Процесс проведения работ
Исполнитель (Red Team) проводит внутреннее тестирование на проникновение (используется стратегия assume breach), но сообщает Blue Team некоторую информацию, «подсказку» о каждой атаке (например, техника в матрице MITRE ATT&CK, время начала атаки). С использованием полученной информации Blue Team пытается обнаружить атаку. В конце каждого дня учений Red Team вместе с Blue Team разбирают все атаки, совершенные нападающими, консультируются по вопросам повышения эффективности системы обеспечения ИБ заказчика по результатам каждой успешно проведенной атаки.
Киберучения – это эффективная тренировка навыков детектирования и реагирования на атаки злоумышленника для вашей команды защитников. По результатам работ мы даем рекомендации по повышению эффективности системы реагирования на инциденты ИБ и улучшению работы средств защиты информации против реального злоумышленника. В результате проведения киберучений Blue Team приобретает навыки и знания, необходимые для успешного обнаружения и противодействия APT-атакам, а также получает реальный опыт противостояния актуальной для компании APT-группировке.
Red, Blue или Purple Teams: обзор команд для оценки кибербезопасности
Большинство организаций регулярно тестируют свои системы и протоколы безопасности, и ваша компания, вероятно, входит в число тех, кто это делает.
Независимо от размера или отрасли организации одним из наиболее эффективных способов выявления уязвимостей инфраструктуры и предотвращения возможных киберугроз является проведение тестирования на проникновение в формате Red и Purple Team.
В этой статье подробнее разберем, что такое Red, Blue и Purple Team, расскажем про различия этих команд, как проходят эти мероприятия и каким организациям нужны такие тестирования.
Кто такие Red, Blue, Purple Teams
У названий команд военные истоки. Американские военные во время учений традиционно носили синие и красные повязки, чтобы легко идентифицировать противника. Затем подобное цветовое решение перекочевало в видеоигры Player vs Player, где принадлежность к определенной команде определялась цветом брони или формы: красный с одной стороны, синий – с другой.
Red Team – это команда профессионалов в области кибербезопасности, которые думают и действуют, как настоящие злоумышленники, чтобы проверить эффективность оборонительных возможностей организаций.
Red Team работают над первоначальной разведкой и разведкой по открытым источникам (OSINT) для сбора информации о цели и выявления потенциальных слабых мест. Затем они могут использовать собранные данные для атак методами социальной инженерии, чтобы получить дополнительную информацию для доступа к сети. Они также создают приманки, чтобы сбить синюю команду со следа. Атаки Красной команды могут быть и физическими: специалисты могут получить доступ к местоположению инфраструктуры клиента и проверить, как долго они могут оставаться незамеченными.
Blue Team – это сотрудники ИБ-подразделений компаний в штате и на аутсорсе, которые отвечают за мониторинг безопасности сетевой инфраструктуры, выявляют любые возможные уязвимости и реагируют на все атаки. Без слаженной работы этих подразделений провести тестирование на проникновение в формате Red Team невозможно в принципе. Одной из основных задач Blue Team является реализация способов противодействия, изменения и перегруппировки защитных механизмов, чтобы сделать реагирование на инциденты более быстрым и эффективным.
Основные действия включают в себя анализ ландшафта угроз, анализ трафика и данных, создание пользовательских правил для лучшего обнаружения текущих угроз, проведение мероприятий по обучению сотрудников информационной безопасности. В обязанности Blue Team входят также функции Threat Intelligence, среди которых защита бренда, мониторинг хакерских форумов в Darknet и отслеживание попыток планирования злоумышленниками потенциальных атак (например, объявления о покупке данных для доступа во внутреннюю сеть компании).
Совместная работа
Red и Blue команды необходимы для успешного тестирования. Нельзя использовать синюю команду без красной, и наоборот. Однако, комбинируя действия обеих команд, можно добиться лучших результатов. Именно так появились Purple Team.
Purple Team
Purple Team – это взаимодействие нашей атакующей команды Red Team и защищающей Blue Team. Такой формат тестирования позволяет выявить слабые места и улучшить организацию работы обеих команд.
Тестирование Purple Team включает в себя не просто атаку на целевые системы, но также и глубокий анализ и коррекцию действий служб защиты – синей команды. Услуга Purple Team носит также обучающий характер для защитников: мы рассматриваем известные тактики, техники и процедуры злоумышленников (TTP – tactics, techniques, and procedures). Red Team, в свою очередь, атакует и получает обратную связь от Blue Team – удалось ли им обнаружить и идентифицировать вредоносную активность – таким образом давая возможность отследить большинство сценариев атак.
По итогам тестирования Purple Team заказчик получает достоверную картину: какие действия атакующей команды видны службам ИБ и при каких условиях, а какие из этих действий остаются незамеченными и могут привести к развитию атаки. Также заказчику предоставляются практические рекомендации по повышению качества противодействия и уменьшению времени на обнаружение и реагирование на действия продвинутых злоумышленников (APT).
Совместные учения Red Team и Blue Team — это метод оценки кибербезопасности, который используют имитированные атаки для проверки существующих возможностей безопасности и выявления областей, которые требуют улучшений, в среде с низким уровнем риска.
Услугами Red или Blue Team пользуются в основном крупные и компании, которые предоставляют услуги в сфере хранения данных, финансов и инновационных разработок: банки, провайдеры, IT компании, медицинские организации. Они регулярно проводят пентесты и уже сталкивались с угрозами безопасности.
Если Red Team – сторонние специалисты, то Blue Team зачастую является структурным подразделением организации или частью SOC (Security Operation Center – Оперативный центр безопасности). Синяя команда анализирует сетевой трафик, реагирует на атаки и пытается их предотвратить и предугадать.
Цели подобного тестирования формируются на основе возможных недопустимых событий, отражающих ключевые бизнес-риски клиента.
Так, на основе недопустимых событий специалисты Digital Security составляют сценарии и согласовывают с клиентами детали их реализации. Например, бизнес-риск – кража финансовых средств, и, соответственно, цель Red Team – украсть деньги, а задача Blue Team – не допустить этого. По итогу тестирования эксперты формируют рекомендации, которые помогут клиенту защитить себя от таких рисков.
Как происходит тестирование?
Смоделированная атака предназначена для точной имитации реальных условий нападения.
Например, Red Team делает фишинговую рассылку для сотрудников. Задача Blue Team – сделать так, чтобы это вредоносное письмо было отфильтровано. Однако, если этого не происходит, и хотя бы один из сотрудников компании открывает зловредное сообщение, защищающие члены Blue Team должны отследить этот момент и найти вредоносное ПО, прежде чем оно распространится по сети и заразит веб-серверы и другие приложения. Моделирование воспроизводит реальный сетевой трафик, чтобы скрыть атаки, как это происходит в реальном мире.
Члены красной команды играют роль злоумышленников и пытаются обойти протоколы безопасности. Во время “редтиминга” важно найти хотя бы одну уязвимость, которая позволит выполнить поставленные цели. Синяя команда состоит из защитников, созданных по образцу команд внутренней безопасности. Их задача отследить подозрительную активность на всех этапах.
Подводим итоги
Red, Blue и Purple Team играют важную роль в обеспечении безопасности и сохранности систем. Без постоянного тестирования с использованием новейших методов и различных сценариев атак компания может подвергнуть большому риску не только свою безопасность, но и конфиденциальные данные своих клиентов, понести репутационные и финансовые потери.
Стоит отметить, что услуги Red и Purple Team необходимы зрелым компаниям, которые регулярно проводят пентесты и хотят проверить свои силы во время имитации реальной атаки продвинутых злоумышленников.
Тестирование Red и Purple Team не дает 100% гарантии защиты от хакеров. Цель такого рода тестирования не в поиске максимального количества уязвимостей, а в том, чтобы найти наибольшее количество возможных цепочек атак, которые можно использовать для достижения поставленных целей: например, кражи интеллектуальной собственности или финансовых средств.
Специалисты по анализу защищенности Digital Security регулярно выступают на конференциях с докладами по теме “Red Teaming”. Чтобы не пропустить анонсы будущих мероприятий, следите за обновлениями!
Red Team vs. Blue Team (команды атакующих и обороняющихся)
Безопасность информационных систем и данных – это критически важный аспект для организаций всех масштабов. В поисках надежных и эффективных способов защиты от кибератак, компании обращаются к различным методологиям и инструментам. Одним из самых распространенных подходов к проверке и повышению уровня безопасности является применение команд «Red» и «Blue».
В этой статье мы рассмотрим, что это за группы разработчиков, и как их сотрудничество способствует более надежной защите от киберугроз.
Red Team: команда атакующих
Команда Red Team представляет собой группу специалистов по кибербезопасности, которая имитирует злоумышленников и проводит контролируемые кибератаки на информационные системы и инфраструктуру организации.
Целью “красных” является поиск уязвимостей в защите и оценка эффективности существующих мер приватности. Для этого используются DDoS-атаки, различные стресс-тесты.
Задачи и действия:
- Поиск уязвимостей: активно ищет уязвимости в сетевой инфраструктуре, приложениях, системах и процессах.
- Имитация атак: проводят симуляции кибератак, чтобы проверить, как организация реагирует на реальные угрозы.
- Эксплуатация уязвимостей: если она обнаруживает уязвимости, они могут использовать их для проникновения в приложениях.
- Составление отчетов: после завершения тестирования Red Team создает отчет с результатами и рекомендациями для улучшения работы.
Blue Team: команда обороняющихся
Это группа специалистов по кибербезопасности, ответственных за защиту информационных компонентов и данных организации. Они действуют как противовес атакующей группе “красных” и стремятся обнаруживать и предотвращать киберугрозы. Для этого может использоваться аналитическое и антивирусное ПО, а потом разрабатываться свое.
Задачи и действия:
- Мониторинг профилей и компонентов: следит за активностью в сетях и компонентах для обнаружения аномалий и необычной активности.
- Реагирование на инциденты: если она обнаруживает атаку или инцидент нарушения протокола, они быстро реагируют на него и предпринимают меры по нейтрализации угрозы.
- Усиление защиты: они улучшают системы, чтобы предотвратить будущие атаки и повысить уровень протекции.
- Сотрудничество с противоположной стороной: “синие” обменивается информацией с “красными”и использует полученные знания для улучшения работы.
Как происходит сотрудничество
Сотрудничество между этими группами имеет ряд преимуществ для организации:
Комплексное тестирование безопасности: взаимодействие между атакующей и обороняющейся сторонами позволяет провести более полное и комплексное тестирование протекции. “Красные” имитируют реальные угрозы, а “Синие” разрабатывают стратегии для их предотвращения.
Повышение осведомленности: позволяет обеим командам обмениваться знаниями и опытом. Атакующие могут дать обороняющимся ценную информацию об актуальных угрозах, и наоборот можно понять слабые места и недостатки в разработках.
Постоянное улучшение: взаимодействие помогает организации постоянно улучшать свои меры безопасности. Каждый тест безопасности становится уроком, на основе которого внедряются новые и эффективные методы борьбы.
Заключение
Две этих группы играют важную роль в обеспечении безопасности информационных систем и данных организаций. Красная команда активно ищет уязвимости и тестирует модули на прочность, а синяя команда стремится предотвратить и отразить кибератаки. Сотрудничество между этими командами способствует более надежной и комплексной защите от киберугроз.
Что выбрать: Red Team или Penetration Testing
За последний год информационная безопасность стала одной из наиболее горячих тем для обсуждения, выйдя далеко за пределы IT-сообщества. Это не удивительно — количество инцидентов ИБ в 2022 году выросло во много раз, заставив многих руководителей всерьёз задуматься о кибербезопасности своих компаний.
Помимо поиска новых технических решений много вопросов возникает по поводу анализа защищённости. И тут начинается самое интересное: с чего начать, что выбрать и в чём разница между тем или иным типом услуг? Самые жаркие споры идут вокруг Red Team и Penetration Testing и стоит ли компании создавать внутренние команды offensive-специалистов.
Меня зовут Александра Антипина, я работаю экспертом в отделе Red Team VK. Кратко расскажу о различиях в анализах защищённости и в каких случаях компании необходимы услуги Red Team.
Давайте начнём с определений видов анализа защищённости.
Red Team
Термин «Red Team» впервые возник во времена Холодной войны, когда красный цвет устойчиво ассоциировался с коммунизмом. В этом многолетнем военном противостоянии Запада и Востока США обозначали себя как Blue Team, а СССР и КНР — как Red Team. Оценивая возможные действия противника при атаке и используя критическое мышление, военные моделировали различные угрозы и нештатные ситуации, тем самым добиваясь качественной проработки своих стратегических планов. Со временем этот метод прогнозирования действий противника стал активно применяться во многих областях, которые требуют тщательного анализа систем защиты.
В информационной безопасности Red Team — это команда экспертов, которые имитируют реальную кибератаку, и их цель — мыслить и действовать, как злоумышленник, испытывая все возможные пути проникновения в систему информационной безопасности компании с помощью технических, социальных и даже физических* средств. Поэтому оценка Red Team по сравнению с другими типами анализов защищённости обычно даёт более развёрнутое и реалистичное описание.
Когда мы только начали планировать создание нашего отдела, мы старались посетить как можно больше профильных мероприятий, чтобы познакомиться с мнениями специалистов других компаний о том, какие функции должна выполнять Red Team. В классических определениях и концепциях Red Team физический метод анализа защищённости является исторически основополагающим. Например, некоторые команды практикуют проникновение на объект с помощью клонированных карт пропусков или внедрения аппаратных закладок. У таких методов существуют категорические противники, но лично мне этот вид анализа кажется крайне забавным и увлекательным.
Penetration testing (pentest или пентест)
Пентест, или тестирование на проникновение, — это анализ, который проводят этичные хакеры, чтобы оценить степень защиты компании и выявить уязвимости. Пентестеры сосредоточены на поиске технических изъянов и могут, в частности, сканировать сети, искать и использовать уязвимости в сервисах. Результаты пентеста зачастую представлены в виде отчёта, в котором перечислены обнаруженные недостатки и рекомендации по их устранению.
А теперь о том, что не является Red Team, или Почему мы не учим SOC (во всяком случае, напрямую)
Хотя стоит отметить, что в разных организациях к прямому обучению SOC относятся по-разному, и Red Team может принимать дополнительное участие в перечисленных далее мероприятиях.
Purple Teaming
Под Purple Teaming часто подразумевают несколько разных концепций, но они сходятся в определении его основных задач: проверка конфигурации СЗИ и правил для SIEM внутри компании в формате White-Box. В этом процессе участвуют как offensive-, так и defensive-специалисты, что повышает эффективность двух команд (Red Team и Blue Team), а в идеальном мире, — ещё и создаёт постоянное динамическое взаимодействие между ними. Purple Teaming характеризуется моментальной обратной связью от всех сторон и сосредоточен внутри ИБ-отдела компании без привлечения сторонних специалистов.
Киберучения
В самом широком понимании, киберучения — это объединение нескольких компаний, организаций, государственных служб и правоохранительных органов для моделирования совместного противостояния крупной киберугрозе. В менее масштабном представлении — это процесс имитации целевых угроз со стороны offensive-специалистов из Red Team или пентест-команд, проходящий в формате Black/Gray-Box.
К киберучениям могут привлекаться как внутренние, так и внешние специалисты. Их цель — протестировать и улучшить согласованность действий, а также сотрудничество между компаниями или командами при отражении киберугроз. Либо, как и в случае с Purple Teaming, — усилить системы защиты и Blue Team. После киберучений атакующие предоставляют для дальнейшего изучения отчёт с журналом своих действий и информацию, необходимую для сравнения с логами систем безопасности Blue Team.
Киберполигоны
На случай, если вы ещё не потерялись в количестве киберопределений и понятий, затронем и киберполигоны. Это специализированные тренировочные площадки для симуляции кибератак на «тренировочной» инфраструктуре. Киберполигоны обычно включают в себя различные сети и компьютерные системы, которые предназначены для имитации реальных сред, что позволяет Red Team и Blue Team оттачивать свои навыки в контролируемой среде.
А теперь немного о различиях
В целом, Purple Teaming, киберучения и киберполигоны похожи тем, что они включают в себя моделирование киберугроз для тестирования систем защиты компании. Однако они отличаются по охвату и фокусу: Purple Teaming нацелен на тестирование средств защиты, киберучения сосредоточены на тестировании координации между сотрудниками компании, а киберполигоны представляют собой контролируемую среду для оттачивания навыков Red Team и Blue Team.
Различия между Red Team и пентестерами
Методы и цели
Подход Red Team зачастую более широкий и гибкий, состоящий из комбинаций различных методологий (MITRE ATT&CK, OWASP, PTES), у пентестеров же он более структурированный и следует определённой методологии. Цель команды Red Team — выявить уязвимости и слабые места в системах защиты компании, предоставив рекомендаций по их улучшению. Действия её обычно более скрытные и могут включать в себя такие методы, как социальная инженерия*. Пентестеры же сосредоточены на поиске и использовании технических уязвимостей в системах и сетях компании.
Red Team будет использовать методы социальной инженерии в виде целевой атаки, например, фишинга с вредоносным вложением. Пентестеры и ИБ-специалисты внутри компании также могут проводить фишинговые рассылки, но они будут массового характера и предназначены для проверки осведомлённости пользователей.
TTP (Tactics, Techniques, and Procedures)
Red Team использует тактики, техники и процедуры (TTP) злоумышленников, причём несколькими способами:
- Исследует и анализирует TTP различных хакеров и организованных киберпреступных групп и на их основе разворачивает специфический софт или разрабатывает, например, специфические методы коммуникации с С2.
- Использует TTP для моделирования последовательности действий атакующих. Например, может провести фишинговую кампанию для получения первоначального доступа к сети организации, а затем применить TTP, используемые конкретной APT, для перемещения по сети и повышения привилегий.
- Наконец, Red Team может использовать TTP для оценки эффективности мер безопасности и планов реагирования на конкретные угрозы или акторов.
Риски и бизнес-риски
Помимо использования различных методологий и TTP, у Red Team есть ещё одна крайне важная задача: проверять на практике вероятности реализации нежелательных для бизнеса событий. Если простыми словами, то это про критичные с точки зрения информационной безопасности активы компании и связанные с этим риски.
Например, если взять финансовую компанию, то будет логично предположить, что наиболее критичными её активами будут системы, связанные с приёмом и обработкой платежей, а также системы, содержащие информацию о пользователях. Зная о таких активах, их расположении в корпоративной сети, внешних точках доступа и стеках технологий, использованных при создании информационных систем, можно оценить вероятности наступления нежелательных событий, просчитать потенциальные потери организации и даже спрогнозировать частоту наступления этих событий. Именно для этого и существуют специалисты по оценке рисков, наборы метрик и фреймворков. С помощью собранной аналитики и исследований рисков можно договориться о применении TTP конкретных хакерских организаций. В случае с финансовой компанией можно эмулировать APT-группы, специализирующиеся на таких организациях, например Carbanak.
Red Team может помочь в подтверждении или опровержении гипотезы о наступлении того или иного нежелательного события, чтобы скорректировать используемую в конкретной компании методологию или фреймворк по оценке рисков.
Сроки
Во время проведения пентестов практикуется отключение средств защиты и добавление IP-адресов пентестеров в белые списки, чтобы они успели идентифицировать как можно больше уязвимостей в заданные сроки. Для работы команды Red Team, как правило, отводится от нескольких месяцев до года, и средства защиты не отключают.
Уровень скрытности
Подход Red Team более скрытный, потому что для проведения подобного анализа системы защиты не отключаются. В такой ситуации каждый шаг может стать последним и придётся начинать цепочку эксплуатации с начала. При проведении пентеста компания-заказчик и служба информационной безопасности проинформированы о сроках начала и окончания тестов, и они проводятся по чётко прописанным в ТЗ условиям.
Внутренние и внешние команды
Главное преимущество специалистов Red Team внутри компании в том, что они знают устройство её систем и процессов. Это делает их более эффективными при имитации угроз. С доступом к конфиденциальной информации и системам они легче находят и используют уязвимости.
Внешние команды могут посмотреть на всё свежим взглядом и предоставить непредвзятые оценки безопасности компании. Они не знакомы с внутренними системами и процессами, поэтому им будет проще думать, как настоящий злоумышленник, и выявлять уязвимости, которые внутренняя команда Red Team может упустить.
Выбор между внутренней или внешней командой зависит от конкретных потребностей и целей компании. В целом, оба варианта Red Team будут ценным инструментом по анализу защищённости, и даже с возможностью дополнять друг друга.
Когда лучше использовать пентест, а когда Red Team?
Пробуем на себе кибератаку
Если вы хотите узнать:
- выдержит ли ваша организация настоящую целевую кибератаку;
- проверить, как поведут себя сотрудники информационной безопасности и SOC;
- определить эффективность используемых вами средств защиты;
- узнать реальную вероятность нанесения ущерба бизнесу от кибератаки.
В таком случае вам необходим анализ защищённости силами Red Team. К тому же, регулярное проведение таких проверок поможет вашей организации выявить новые риски безопасности и подготовиться к реальным угрозам.
Ищем баги
Если вас беспокоит:
- Сколько уязвимостей на внешнем и внутреннем периметре организации?
- Как много багов попадает в эксплуатацию и правильно ли работает SSDLC?
- Ошибаются ли администраторы в конфигурации систем и сетей?
- Нужно ли внедрить дополнительные системы безопасности?
На эти вопросы сможет ответить пентест. Он сосредоточен на поиске и устранении конкретных уязвимостей, поможет определить слабые места и направление для дальнейшего улучшения безопасности.
Когда есть кому противостоять
Как я уже говорила, Red Team полезен для организаций, которые хотят проверить эффективность своего реагирования на инциденты ИБ. Но как понять, что вы можете полноценно реагировать на инциденты?
- У вас есть SOC, и он функционирует 24/7; вы уверены, что в любой момент дня и ночи оповещение системы безопасности будет рассмотрено сотрудником ИБ, а не дежурным системным администратором.
- У вас достаточное покрытие средствами мониторинга и уже есть наборы правил — события ИБ фиксируются.
- Вы регулярно проводите пентесты и знаете, что защита внешнего и внутреннего периметра вашей организации оценивается как средняя или высокая.
- Сотрудники вашей компании в большинстве своём понимают, что такое фишинг, и опасаются его, сообщая о подозрительных событиях в ИБ.
Если вы уверены, что этот список применим к вам, то Red Team станет для вас свежим взглядом со стороны и новым полезным опытом.
Когда не знаете, с чего начать
Пентест — это вид анализа защищённости, подходящий для организаций любого размера. Для малых и средних организаций пентест поможет быстро находить и устранять уязвимости. Такие организации могут не иметь ресурсов или центров реагирования для полноценных комплексных оценок безопасности. Для крупных компаний со «зрелой» информационной безопасностью желательно использовать Red Team вместе с пентестам.
- Red Team и пентест позволяют компании оценивать информационную безопасность и выявлять слабые места.
- Red Team и пентест дополняют друг друга и могут быть использованы вместе для получения полного представления об информационной безопасности компании.
- Выбор правильного подхода зависит от конкретных потребностей и целей компании.
- При усилении информационной безопасности компании необходимо увеличивать количество методов её оценки.
P.S. При формулировании тезисов, несмотря на жаркие споры, ни один offensive-специалист не пострадал.
- redteam
- информационная безопасность
- анализ защищенности
- pentest
- offensive security
- purple team
- soc
- blue team