¿Qué es un 'equipo naranja'?

4

Escuché que Google tenía un equipo 'Virtual' no oficial llamado el Equipo de Orange que consistía de personal externo al equipo de seguridad oficial, que participaba en una serie de actividades de sombrero blanco para desarrollar sus propias habilidades y mejorar la seguridad en Google. (Algo así como un equipo de Dick Feynmans recorriendo Los Alamos)

Lamentablemente, he tenido problemas para identificar más información sobre la definición de la función y los parámetros de funcionamiento de un equipo de Orange para que uno pueda establecer uno de manera segura y efectiva.

¿Alguien puede ayudar?

  • ¿Más claramente define el rol de un Equipo de Orange y sus miembros?
  • Defina lo que es una práctica aceptable?

En resumen, ¿garantiza que los miembros del equipo puedan contribuir a la seguridad de manera segura, sin poner en peligro la seguridad de la organización?

    
pregunta Stephen 22.12.2017 - 13:19
fuente

2 respuestas

3

Hay una serie de empresas que hacen esto. Normalmente, la organización define el alcance del equipo, define claramente las actividades, entrena y supervisa.

Lo he visto hecho como parte del programa Security Awareness Champions que permite a las personas que han estado activas en mejorar la seguridad de sus compañeros utilizando las herramientas y los procesos disponibles para todos. Este nuevo nivel de capacitación es un tipo de "recompensa" por ser un líder en seguridad entre sus compañeros.

Al aprovechar el programa de Campeones, le da a los empleados un objetivo y los que realmente muestran interés en la seguridad y no aquellos que se sienten atraídos solo por la parte de "pirateo".

Después de eso, todo depende de lo que su organización quiera abordar. He visto equipos de phishing (¡phish tus compañeros!), Equipos de seguridad física (Mission Impossible en tu camino hacia el edificio!), Y equipos de seguridad de aplicaciones (¡rompe nuestro producto!).

    
respondido por el schroeder 22.12.2017 - 19:22
fuente
1

No hay mucha información acerca de cuál es específicamente el alcance del equipo naranja de google o lo que han hecho (un poco obvio por qué ...), pero en general hay dos tipos de pruebas de penetración que uno desearía Por hacer: el más obvio donde se asegura que los sistemas que están expuestos al mundo exterior son seguros, y el menos obvio donde se asegura que los sistemas estén seguros desde dentro.

Piénselo de esta manera: lo que podría hacer una persona con un conocimiento interno de los sistemas y un nivel de seguridad estándar para el acceso a ellos sería malo. No se trata necesariamente de protegerse contra un empleado malvado (aunque eso es parte del objetivo de las empresas más grandes), se trata de mantener su propia arquitectura honesta. Desea que las cosas malas sean imposibles incluso en principio , no solo porque asume que nadie doblará las reglas (ya sea con propósitos nefarios o simplemente por pereza).

Según mi entendimiento, según lo que he escuchado en Internet, el equipo naranja de Google es algo así, que esencialmente intentan piratear Google desde dentro utilizando cualquier medio que se les ocurra (a su pregunta, supongo que breve. de causar efectos visibles de producción), incluido realizar llamadas a API internas que no están disponibles externamente.

Para una gran empresa donde se supone que muchos equipos y miembros de equipos tienen diferentes niveles de acceso a diferentes recursos internos, este tipo de pruebas de penetración ayuda a mejorar la seguridad de la arquitectura interna de los sistemas. Y sí, estoy seguro de que el factor del "empleado malvado" es grande en este tipo de negocios ... imagina lo que sucedería si la persona equivocada lograra insertar un poco de código en un compilador o en un navegador popular.

Además, ¡tiene que ser un trabajo realmente divertido! : P

    
respondido por el Mike Shmerkin 10.08.2018 - 20:32
fuente

Lea otras preguntas en las etiquetas