Conti ransomware-besättningens EDR Tier List är en väckarklocka för alla som tror att det är slutet på historien att köpa ett glänsande nytt säkerhetsverktyg. Det är det inte. Det är knappt början.
Låt oss gå igenom vad detta innebär för organisationer och varför jag, som har ägnat år åt att forska och prata om ransomware och dess effekter, är övertygad om att purple team är den felande länken mellan teori och verklighet.
Conti EDR:s "LOL"-lista: Vad är det egentligen som händer?
Conti rankade EDR-lösningar (Endpoint Detection and Response) från "S Tier" (svårast att kringgå) till "LOL Tier" (så lätta att kringgå att det är skrattretande). Den stora skrällen? Microsoft Defender för Endpoint hamnade i kategorin" LOL". Nu, missförstå mig inte, Defender är inte en dålig produkt. Men som angriparna påpekade är det bara så starkt som dess konfiguration. Alltför många organisationer kör det bara ur lådan, aktiverar aldrig avancerade skydd eller ställer in det för sin unika miljö. Det är som att köpa ett toppmodernt larmsystem och aldrig ställa in PIN-koden.
Den verkliga kickern? Conti hävdar att de kan kringgå alla EDR på listan. Vissa kräver bara lite mer ansträngning än andra. Budskapet är tydligt: verktyg i sig kommer inte att rädda dig. Hur du använder dem betyder lika mycket - kanske mer.
Varför Purple Teaming förändrar spelreglerna
Det är här som purple team testing kommer in i bilden. Det är inte bara ännu ett modeord. Det är ett samarbetsinriktat tillvägagångssätt där offensiva (red team) och defensiva (blue team) experter arbetar tillsammans, sida vid sida, för att simulera verkliga attacker och se hur väl dina medarbetare, processer och teknik faktiskt håller måttet.
Jag har sett alltför många organisationer falla i "set it and forget it"-fällan med säkerhetsverktyg. De köper den senaste EDR, kryssar i rutan för efterlevnad och antar att de är säkra. Men som Contis rankning visar letar angripare ständigt efter svagheter - särskilt i standardiserade eller dåligt konfigurerade system. Purple teaming avslöjar dessa luckor på ett sätt som traditionella penntester eller revisioner helt enkelt inte kan.
Vad Purple Teaming levererar
-
Kunskapsöverföring i realtid: Dina försvarare ser exakt hur angriparna arbetar och lär sig inte bara vad som ska åtgärdas, utan också varför och hur det ska åtgärdas.
-
Konfiguration går före komfort: Du får reda på om ditt "S Tier"-verktyg faktiskt körs i "LOL Tier"-läge på grund av dålig konfiguration eller saknade loggar.
-
Färdigheter, inte bara verktyg: Teamen slutar förlita sig blint på teknik och börjar bygga upp det kritiska tänkande och de svarsfärdigheter som inte kan outsourcas eller automatiseras.
-
Samarbete, inte skuldbeläggning: Röda och blå team arbetar tillsammans för att bygga en kultur av ständiga förbättringar, inte av att peka finger.
Låt inte självbelåtenhet bli din svagaste länk
Under mina år som ledare för säkerhetsteam kan jag säga att självbelåtenhet och övertro på verktyg är grundorsakerna till de flesta intrång som skulle kunna undvikas. Den forskning som jag har deltagit i belyser samma problem om och om igen: dålig loggning, brist på offensiv säkerhetskunskap, medberoende SOC-relationer och ohälsosamt beroende av verktyg. Om du bara kastar pengar på teknik utan att investera i människor och processer, bäddar du för ett fall.
Purple team är inte bara en teknisk övning. Det är en förändring av tankesättet. Det handlar om att stärka dina försvarare, avslöja blinda fläckar och se till att din investering i säkerhet faktiskt lönar sig när det är som viktigast.
Slutresultatet för Damovos kunder
Om du vill veta hur din EDR (eller något annat säkerhetsverktyg) kommer att stå sig när nästa Conti eller deras efterföljare knackar på dörren, lita inte bara på marknadsföringen.
Testa den.
Bryt den.
Fixa det.
Och gör det tillsammans.
Purple teaming är det bästa sättet jag vet för att förvandla säkerhet från en kryssruta till en konkurrensfördel. Så nästa gång du ser ett ransomware-gäng rangordna ditt försvar, få inte panik. Ta det som en utmaning och låt oss se till att ditt namn aldrig hamnar i deras "LOL" -nivå.
Vill du prata om hur purple team testing kan hjälpa din organisation? Hör av dig till mig. Jag lovar, inga säljargument - bara riktiga samtal om vad som fungerar och vad som inte fungerar i kampen mot ransomware.
Andrew Hay är en resultatdriven och exekveringsfokuserad chef med dokumenterad erfarenhet av att leda och skala upp internationella verksamheter för cybersäkerhetsföretag. Han har djup expertis i att driva operational excellence, optimera processer och leverera enastående kundnöjdhet. Andrew har framgångsrikt lett och utökat globala team inom teknik, forskning, försäljning, marknadsföring och säkerhet, och bidragit till företagens tillväxt från tidiga skeden till förvärv.