ProHoster > بلوق > إدارة > Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات
المصدر: Acunetix

Red Teaming هو محاكاة معقدة للهجمات الحقيقية من أجل تقييم الأمن السيبراني للأنظمة. "الفريق الأحمر" هي مجموعة pentesters (متخصصون يجرون اختبار اختراق في النظام). يمكن توظيفهم إما من الخارج أو من موظفين في مؤسستك ، ولكن في جميع الحالات يكون دورهم واحدًا - لتقليد تصرفات المتسللين ومحاولة اختراق نظامك.

إلى جانب "الفرق الحمراء" في مجال الأمن السيبراني ، هناك عدد من الفرق الأخرى. على سبيل المثال ، يعمل الفريق الأزرق مع الفريق الأحمر ، لكن أنشطته تهدف إلى تحسين أمان البنية التحتية للنظام من الداخل. الفريق الأرجواني هو الرابط الذي يساعد الفريقين الآخرين في تطوير استراتيجيات الهجوم والدفاعات. ومع ذلك ، فإن redtiming هو أحد الأساليب الأقل فهمًا لإدارة الأمن السيبراني ، ولا تزال العديد من المنظمات مترددة في تبني هذه الممارسة.
في هذه المقالة ، سنشرح بالتفصيل ما يكمن وراء مفهوم Red Teaming ، وكيف أن تنفيذ ممارسات المحاكاة المعقدة للهجمات الحقيقية يمكن أن يساعد في تحسين أمان مؤسستك. الغرض من هذه المقالة هو توضيح كيف يمكن لهذه الطريقة أن تزيد بشكل كبير من أمان أنظمة المعلومات الخاصة بك.

نظرة عامة على فريق Red Teaming

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

على الرغم من أن الفريقين "الأحمر" و "الأزرق" في عصرنا مرتبطان بشكل أساسي بمجال تكنولوجيا المعلومات والأمن السيبراني ، إلا أن الجيش صاغ هذه المفاهيم. بشكل عام ، سمعت عن هذه المفاهيم لأول مرة في الجيش. كان العمل كمحلل للأمن السيبراني في الثمانينيات مختلفًا تمامًا عن اليوم: كان الوصول إلى أنظمة الكمبيوتر المشفرة أكثر تقييدًا مما هو عليه اليوم.

بخلاف ذلك ، كانت تجربتي الأولى في الألعاب الحربية - المحاكاة والمحاكاة والتفاعل - مشابهة جدًا لعملية محاكاة الهجوم المعقدة اليوم ، والتي وجدت طريقها إلى الأمن السيبراني. كما هو الحال الآن ، تم إيلاء اهتمام كبير لاستخدام أساليب الهندسة الاجتماعية لإقناع الموظفين لمنح "العدو" وصولاً غير لائق إلى الأنظمة العسكرية. لذلك ، على الرغم من أن الأساليب الفنية لمحاكاة الهجوم قد تقدمت بشكل كبير منذ الثمانينيات ، فمن الجدير بالذكر أن العديد من الأدوات الرئيسية للنهج العدائي ، وخاصة تقنيات الهندسة الاجتماعية ، مستقلة إلى حد كبير عن النظام الأساسي.

القيمة الأساسية للتقليد المعقد للهجمات الحقيقية لم تتغير منذ الثمانينيات. من خلال محاكاة هجوم على أنظمتك ، يسهل عليك اكتشاف الثغرات وفهم كيفية استغلالها. وبينما اعتاد قراصنة القبعات البيضاء ومحترفو الأمن الإلكتروني الذين يبحثون عن نقاط الضعف من خلال اختبار الاختراق على إعادة تشكيل الفرق ، فقد أصبح الآن يستخدم على نطاق واسع في الأمن السيبراني والأعمال.

مفتاح redtiming هو أن تفهم أنه لا يمكنك حقًا الشعور بأمان أنظمتك حتى تتعرض للهجوم. وبدلاً من تعريض نفسك لخطر التعرض لهجوم من قبل مهاجمين حقيقيين ، من الأكثر أمانًا محاكاة مثل هذا الهجوم بأمر أحمر.

الفرق الحمراء: حالات الاستخدام

طريقة سهلة لفهم أساسيات redtiming هي إلقاء نظرة على بعض الأمثلة. هنا اثنين منهم:

  • السيناريو 1. تخيل أن موقع خدمة العملاء قد تم اختباره واختباره بنجاح. يبدو أن هذا يشير إلى أن كل شيء على ما يرام. ومع ذلك ، في وقت لاحق ، في محاكاة هجوم معقدة ، اكتشف الفريق الأحمر أنه على الرغم من أن تطبيق خدمة العملاء نفسه جيد ، إلا أن ميزة الدردشة الخارجية لا يمكنها تحديد الأشخاص بدقة ، وهذا يجعل من الممكن خداع ممثلي خدمة العملاء لتغيير عنوان بريدهم الإلكتروني . في الحساب (نتيجةً لذلك ، يمكن لشخص جديد ، أي مهاجم ، الوصول إليه).
  • السيناريو 2. نتيجة اختبار pentesting ، تم العثور على جميع أدوات التحكم في الوصول عن بُعد والشبكات الظاهرية الخاصة (VPN) آمنة. ومع ذلك ، يمر ممثل "الفريق الأحمر" بحرية بمكتب التسجيل ويخرج الكمبيوتر المحمول لأحد الموظفين.

في كلتا الحالتين المذكورتين أعلاه ، لا يتحقق "الفريق الأحمر" من موثوقية كل نظام على حدة فحسب ، بل يتحقق أيضًا من نقاط الضعف في النظام بأكمله.

من الذي يحتاج إلى محاكاة هجوم معقدة؟

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

باختصار ، يمكن لأي شركة تقريبًا الاستفادة من Redtiming. كما هو مبين في تقرير مخاطر البيانات العالمية لعام 2019.، هناك عدد كبير بشكل مخيف من المنظمات تحت الاعتقاد الخاطئ بأن لديهم سيطرة كاملة على بياناتهم. وجدنا ، على سبيل المثال ، أن 22٪ في المتوسط ​​من مجلدات الشركة متاحة لكل موظف ، وأن 87٪ من الشركات لديها أكثر من 1000 ملف حساس قديم على أنظمتها.

إذا لم تكن شركتك تعمل في مجال التكنولوجيا ، فقد لا يبدو أن Redtiming سيفيدك كثيرًا. لكنها ليست كذلك. لا يقتصر الأمن السيبراني على حماية المعلومات السرية فقط.

يحاول المخربون بنفس القدر الحصول على التقنيات بغض النظر عن مجال نشاط الشركة. على سبيل المثال ، قد يسعون للوصول إلى شبكتك لإخفاء أفعالهم للاستيلاء على نظام أو شبكة أخرى في مكان آخر من العالم. مع هذا النوع من الهجوم ، لا يحتاج المهاجمون إلى بياناتك. إنهم يريدون إصابة أجهزة الكمبيوتر الخاصة بك ببرامج ضارة من أجل تحويل نظامك إلى مجموعة من شبكات الروبوت بمساعدتهم.

بالنسبة للشركات الأصغر ، قد يكون من الصعب العثور على موارد لاستردادها. في هذه الحالة ، من المنطقي تكليف مقاول خارجي بهذه العملية.

الفرق الحمراء: التوصيات

يعتمد الوقت والتكرار الأمثل ل Redtiming على القطاع الذي تعمل فيه ومدى نضج أدوات الأمن السيبراني الخاصة بك.

على وجه الخصوص ، يجب أن يكون لديك أنشطة آلية مثل استكشاف الأصول وتحليل نقاط الضعف. يجب أن تجمع مؤسستك أيضًا بين التكنولوجيا الآلية والإشراف البشري من خلال إجراء اختبار اختراق كامل بانتظام.
بعد الانتهاء من عدة دورات عمل لاختبار الاختراق واكتشاف الثغرات الأمنية ، يمكنك المتابعة إلى محاكاة معقدة لهجوم حقيقي. في هذه المرحلة ، سوف يجلب لك Redtiming فوائد ملموسة. ومع ذلك ، فإن محاولة القيام بذلك قبل أن يكون لديك أساسيات الأمن السيبراني في المكان المناسب لن تحقق نتائج ملموسة.

من المحتمل أن يكون فريق القبعة البيضاء قادرًا على تسوية نظام غير جاهز بسرعة وسهولة بحيث تحصل على القليل جدًا من المعلومات لاتخاذ مزيد من الإجراءات. للحصول على تأثير حقيقي ، يجب مقارنة المعلومات التي حصل عليها "الفريق الأحمر" مع اختبارات الاختراق السابقة وتقييمات الضعف.

ما هو اختبار الاختراق؟

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

غالبًا ما يتم الخلط بين التقليد المعقد للهجوم الحقيقي (الفريق الأحمر) اختبار الاختراق (pentest)، لكن الطريقتين مختلفتين قليلاً. بتعبير أدق ، اختبار الاختراق هو مجرد إحدى طرق redtiming.

دور بنتستر محددة جيدا. ينقسم عمل pentesters إلى أربع مراحل رئيسية: التخطيط واكتشاف المعلومات والهجوم وإعداد التقارير. كما ترون ، يقوم pentesters بأكثر من مجرد البحث عن نقاط ضعف البرامج. يحاولون وضع أنفسهم في مكان المتسللين ، وبمجرد دخولهم إلى نظامك ، يبدأ عملهم الحقيقي.

يكتشفون الثغرات الأمنية ثم ينفذون هجمات جديدة بناءً على المعلومات الواردة ، ويتنقلون عبر التسلسل الهرمي للمجلدات. هذا ما يميز مختبري الاختراق عن أولئك الذين يتم تعيينهم فقط للعثور على نقاط الضعف ، باستخدام برنامج فحص المنافذ أو اكتشاف الفيروسات. يمكن للمهندس المتمرس تحديد ما يلي:

  • حيث يمكن للقراصنة توجيه هجومهم ؛
  • الطريقة التي سيهاجم بها المتسللون ؛
  • كيف سيتصرف دفاعك؟
  • المدى المحتمل للخرق.

يركز اختبار الاختراق على تحديد نقاط الضعف على مستوى التطبيق والشبكة ، فضلاً عن فرص التغلب على حواجز الأمان المادية. في حين أن الاختبار الآلي يمكن أن يكشف عن بعض مشكلات الأمن السيبراني ، فإن اختبار الاختراق اليدوي يأخذ في الاعتبار أيضًا مدى تعرض الأعمال للهجمات.

فريق Red Teaming vs. اختبار الاختراق

لا شك أن اختبار الاختراق مهم ، لكنه جزء واحد فقط من سلسلة كاملة من أنشطة redtiming. أنشطة "الفريق الأحمر" لها أهداف أوسع بكثير من تلك الخاصة بالمخترعين ، الذين غالبًا ما يسعون ببساطة للوصول إلى الشبكة. غالبًا ما تتضمن عملية إعادة التنظيم مزيدًا من الأشخاص والموارد والوقت حيث يتعمق الفريق الأحمر في فهم المستوى الحقيقي للمخاطر والضعف في التكنولوجيا والأصول البشرية والمادية للمؤسسة.

بالإضافة إلى ذلك ، هناك اختلافات أخرى. عادة ما تستخدم Redtiming من قبل المنظمات التي لديها تدابير أكثر نضجًا وتقدماً للأمن السيبراني (على الرغم من أن هذا ليس هو الحال دائمًا في الممارسة العملية).

عادة ما تكون هذه الشركات التي قامت بالفعل باختبار الاختراق وأصلحت معظم نقاط الضعف التي تم العثور عليها وتبحث الآن عن شخص يمكنه المحاولة مرة أخرى للوصول إلى المعلومات الحساسة أو كسر الحماية بأي شكل من الأشكال.
هذا هو السبب في أن redtiming يعتمد على فريق من خبراء الأمن الذين يركزون على هدف معين. يستهدفون نقاط الضعف الداخلية ويستخدمون تقنيات الهندسة الاجتماعية الإلكترونية والمادية على موظفي المنظمة. على عكس pentesters ، تأخذ الفرق الحمراء وقتها خلال هجماتها ، حيث ترغب في تجنب الاكتشاف مثل مجرمي الإنترنت الحقيقيين.

فوائد Red Teaming

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

هناك العديد من المزايا للمحاكاة المعقدة للهجمات الحقيقية ، ولكن الأهم من ذلك ، أن هذا الأسلوب يسمح لك بالحصول على صورة شاملة لمستوى الأمن السيبراني للمؤسسة. ستشمل عملية محاكاة الهجوم الشاملة النموذجية اختبار الاختراق (الشبكة والتطبيق والهاتف المحمول وجهاز آخر) ، والهندسة الاجتماعية (مباشرة في الموقع ، والمكالمات الهاتفية ، والبريد الإلكتروني ، أو الرسائل النصية والدردشة) ، والتطفل المادي (كسر الأقفال ، كشف المناطق الميتة لكاميرات الأمن ، تجاوز أنظمة الإنذار). إذا كانت هناك ثغرات أمنية في أي من هذه الجوانب من نظامك ، فسيتم العثور عليها.

بمجرد العثور على الثغرات الأمنية ، يمكن إصلاحها. لا ينتهي إجراء محاكاة الهجوم الفعال باكتشاف الثغرات الأمنية. بمجرد تحديد العيوب الأمنية بوضوح ، سترغب في العمل على إصلاحها وإعادة اختبارها. في الواقع ، يبدأ العمل الحقيقي عادةً بعد تدخل فريق أحمر ، عندما تقوم بتحليل الهجوم الجنائي وتحاول التخفيف من نقاط الضعف التي تم العثور عليها.

بالإضافة إلى هاتين الميزتين الرئيسيتين ، يقدم redtiming أيضًا عددًا من المزايا الأخرى. لذلك ، يستطيع "الفريق الأحمر":

  • تحديد المخاطر ونقاط الضعف للهجمات في أصول معلومات الأعمال الرئيسية ؛
  • محاكاة أساليب وتكتيكات وإجراءات المهاجمين الحقيقيين في بيئة ذات مخاطر محدودة ومضبوطة ؛
  • تقييم قدرة مؤسستك على اكتشاف التهديدات المعقدة والمستهدفة والاستجابة لها ومنعها ؛
  • شجع التعاون الوثيق مع الإدارات الأمنية والفرق الزرقاء لتوفير التخفيف الكبير وإجراء ورش عمل عملية شاملة بعد اكتشاف نقاط الضعف.

كيف يعمل Red Teaming؟

هناك طريقة رائعة لفهم كيفية عمل redtiming وهي النظر في كيفية عملها عادةً. تتكون العملية المعتادة لمحاكاة الهجوم المعقدة من عدة مراحل:

  • تتفق المنظمة مع "الفريق الأحمر" (داخلي أو خارجي) على غرض الهجوم. على سبيل المثال ، يمكن أن يكون هذا الهدف هو استرداد معلومات حساسة من خادم معين.
  • ثم يقوم "الفريق الأحمر" باستطلاع الهدف. والنتيجة هي رسم تخطيطي للأنظمة المستهدفة ، بما في ذلك خدمات الشبكة وتطبيقات الويب وبوابات الموظفين الداخلية. .
  • بعد ذلك ، يتم البحث عن الثغرات الأمنية في النظام المستهدف ، والتي يتم تنفيذها عادةً باستخدام هجمات التصيد الاحتيالي أو هجمات XSS. .
  • بمجرد الحصول على رموز الوصول ، يستخدمها الفريق الأحمر للتحقيق في المزيد من الثغرات الأمنية. .
  • عند اكتشاف نقاط ضعف أخرى ، سيسعى "الفريق الأحمر" إلى زيادة مستوى وصولهم إلى المستوى الضروري لتحقيق الهدف. .
  • عند الوصول إلى البيانات أو الأصل المستهدف ، تعتبر مهمة الهجوم مكتملة.

في الواقع ، سيستخدم أخصائي الفريق الأحمر المتمرس عددًا كبيرًا من الطرق المختلفة لتجاوز كل خطوة من هذه الخطوات. ومع ذلك ، فإن المغزى الرئيسي من المثال أعلاه هو أن نقاط الضعف الصغيرة في الأنظمة الفردية يمكن أن تتحول إلى إخفاقات كارثية إذا تم ربطها ببعضها البعض.

ما الذي يجب مراعاته عند الإشارة إلى "الفريق الأحمر"؟

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

لتحقيق أقصى استفادة من redtiming ، تحتاج إلى الاستعداد بعناية. تختلف الأنظمة والعمليات المستخدمة من قبل كل مؤسسة ، ويتم تحقيق مستوى جودة إعادة تحديد الوقت عندما يكون الهدف منه اكتشاف نقاط الضعف في أنظمتك. لهذا السبب ، من المهم مراعاة عدد من العوامل:

تعرف ما الذي تبحث عنه

بادئ ذي بدء ، من المهم فهم الأنظمة والعمليات التي تريد التحقق منها. ربما تعلم أنك تريد اختبار تطبيق ويب ، لكنك لا تفهم جيدًا ما تعنيه حقًا وما هي الأنظمة الأخرى المدمجة مع تطبيقات الويب الخاصة بك. لذلك ، من المهم أن يكون لديك فهم جيد للأنظمة الخاصة بك وإصلاح أي نقاط ضعف واضحة قبل بدء محاكاة معقدة لهجوم حقيقي.

تعرف على شبكتك

يرتبط هذا بالتوصية السابقة ، ولكنه يتعلق أكثر بالخصائص التقنية لشبكتك. كلما تمكنت من تحديد بيئة الاختبار بشكل أفضل ، كلما كان فريقك الأحمر أكثر دقة وتحديدًا.

تعرف على ميزانيتك

يمكن إجراء Redtiming على مستويات مختلفة ، لكن محاكاة النطاق الكامل للهجمات على شبكتك ، بما في ذلك الهندسة الاجتماعية والتطفل المادي ، يمكن أن تكون مكلفة. لهذا السبب ، من المهم أن تفهم المبلغ الذي يمكنك إنفاقه على هذا الشيك ، وبالتالي تحديد نطاقه.

اعرف مستوى المخاطرة الخاص بك

قد تتسامح بعض المنظمات مع مستوى عالٍ من المخاطر كجزء من إجراءات العمل القياسية الخاصة بهم. سيحتاج الآخرون إلى الحد من مستوى المخاطر لديهم إلى حد أكبر ، خاصة إذا كانت الشركة تعمل في صناعة شديدة التنظيم. لذلك ، عند إجراء redtiming ، من المهم التركيز على المخاطر التي تشكل بالفعل خطرًا على عملك.

الفرق الحمراء: الأدوات والتكتيكات

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

إذا تم التنفيذ بشكل صحيح ، فسيقوم "الفريق الأحمر" بتنفيذ هجوم واسع النطاق على شبكاتك باستخدام جميع الأدوات والأساليب التي يستخدمها المتسللون. وهذا يشمل ، من بين أمور أخرى:

  • اختبار اختراق التطبيق - يهدف إلى تحديد نقاط الضعف على مستوى التطبيق ، مثل تزوير الطلب عبر المواقع ، وعيوب إدخال البيانات ، وإدارة الجلسة الضعيفة ، وغيرها الكثير.
  • اختبار اختراق الشبكة - يهدف إلى تحديد نقاط الضعف على مستوى الشبكة والنظام ، بما في ذلك التهيئة الخاطئة ، ونقاط ضعف الشبكة اللاسلكية ، والخدمات غير المصرح بها ، والمزيد.
  • اختبار الاختراق البدني - التحقق من فعالية ونقاط القوة والضعف في ضوابط الأمن المادي في الحياة الواقعية.
  • هندسة اجتماعية - يهدف إلى استغلال نقاط ضعف الناس والطبيعة البشرية ، واختبار قابلية الناس للخداع والإقناع والتلاعب من خلال رسائل البريد الإلكتروني المخادعة والمكالمات الهاتفية والرسائل النصية ، فضلاً عن الاتصال الجسدي الفوري.

كل ما سبق هو مكونات redtiming. إنها محاكاة هجوم كاملة الطبقات مصممة لتحديد مدى قدرة الأشخاص والشبكات والتطبيقات وعناصر التحكم في الأمان المادي على مقاومة هجوم من مهاجم حقيقي.

التطوير المستمر لأساليب الفرق الحمراء

إن طبيعة المحاكاة المعقدة للهجمات الحقيقية ، حيث تحاول الفرق الحمراء العثور على ثغرات أمنية جديدة وتحاول الفرق الزرقاء إصلاحها ، تؤدي إلى التطوير المستمر لأساليب مثل هذه الفحوصات. لهذا السبب ، من الصعب تجميع قائمة محدثة بتقنيات redtiming الحديثة ، لأنها سرعان ما تصبح قديمة.

لذلك ، سيقضي معظم عمال التفجير الأحمر جزءًا من وقتهم على الأقل في التعرف على نقاط الضعف الجديدة واستغلالها ، باستخدام الموارد العديدة التي يوفرها مجتمع الفريق الأحمر. فيما يلي أشهر هذه المجتمعات:

  • أكاديمية بنتستر هي خدمة اشتراك تقدم دورات فيديو عبر الإنترنت تركز بشكل أساسي على اختبار الاختراق ، بالإضافة إلى دورات حول الطب الشرعي لنظام التشغيل ، ومهام الهندسة الاجتماعية ، ولغة تجميع أمن المعلومات.
  • فنسنت يو هو "مشغل أمن إلكتروني هجومي" يقوم بانتظام بالتدوين في مدونات حول أساليب محاكاة معقدة لهجمات حقيقية وهو مصدر جيد للطرق الجديدة.
  • يعد Twitter أيضًا مصدرًا جيدًا إذا كنت تبحث عن معلومات محدثة عن redtiming. يمكنك أن تجدها مع الهاشتاج #الفريق الأحمر и # رتويت.
  • دانيال ميسلر هو متخصص آخر من ذوي الخبرة في redtiming ينتج رسالة إخبارية و تدوين صوتي، يؤدي веб-сайт ويكتب الكثير عن اتجاهات الفريق الأحمر الحالية. من بين مقالاته الأخيرة: "Pentest Team Purple يعني فشل فريقك الأحمر والأزرق" и "مكافآت نقاط الضعف ومتى يتم استخدام تقييم الضعف واختبار الاختراق ومحاكاة الهجوم الشاملة".
  • ديلي سويج هي نشرة إخبارية لأمن الويب برعاية PortSwigger Web Security. يعد هذا مصدرًا جيدًا للتعرف على آخر التطورات والأخبار في مجال Redtiming - الاختراقات وتسريبات البيانات واستغلال الثغرات ونقاط الضعف في تطبيقات الويب وتقنيات الأمان الجديدة.
  • فلوريان هانزمان هو مخترق ذو قبعة بيضاء ومختبر اختراق ويغطي بانتظام تكتيكات الفريق الأحمر الجديدة في بلده блоге.
  • تعد مختبرات MWR مصدرًا جيدًا ، وإن كان تقنيًا للغاية ، لأخبار redtiming. ينشرون مفيدًا للفرق الحمراء أدواتولهم تويتر تغذية يحتوي على تلميحات لحل المشكلات التي يواجهها مختبرو الأمان.
  • عماد شنب - محامي و "هاكر أبيض". يحتوي موجز Twitter الخاص به على تقنيات مفيدة لـ "الفرق الحمراء" ، مثل كتابة حقن SQL وتزوير رموز OAuth المميزة.
  • تكتيكات وتقنيات ميتر العدائية والمعرفة المشتركة (ATT & CK) هي قاعدة معرفية منظمة لسلوك المهاجم. يتتبع مراحل دورة حياة المهاجمين والمنصات التي يستهدفونها.
  • دليل القراصنة هو دليل للمتسللين ، على الرغم من كونه قديمًا ، إلا أنه يغطي العديد من التقنيات الأساسية التي لا تزال في صميم التقليد المعقد للهجمات الحقيقية. الكاتب بيتر كيم لديه أيضا تويتر تغذية، حيث يقدم نصائح حول القرصنة ومعلومات أخرى.
  • معهد SANS هو مزود رئيسي آخر لمواد التدريب على الأمن السيبراني. هُم تويتر تغذيةيركز على الطب الشرعي الرقمي والاستجابة للحوادث ، ويحتوي على آخر الأخبار حول دورات SANS ونصائح من ممارسين خبراء.
  • تم نشر بعض الأخبار الأكثر إثارة للاهتمام حول redtiming في مجلة الفريق الأحمر. هناك مقالات تركز على التكنولوجيا مثل مقارنة Red Teaming باختبار الاختراق ، بالإضافة إلى مقالات تحليلية مثل بيان الفريق الأحمر المتخصص.
  • أخيرًا ، Awesome Red Teaming هو مجتمع GitHub الذي يقدم قائمة مفصلة للغاية الموارد المخصصة لـ Red Teaming. ويغطي تقريبًا كل جانب تقني لأنشطة الفريق الأحمر ، بدءًا من الوصول الأولي ، وتنفيذ الأنشطة الضارة ، وحتى جمع البيانات واستخراجها.

"الفريق الأزرق" - ما هو؟

Red Teaming هو محاكاة معقدة للهجمات. المنهجية والأدوات

مع وجود العديد من الفرق متعددة الألوان ، قد يكون من الصعب معرفة النوع الذي تحتاجه مؤسستك.

أحد البدائل للفريق الأحمر ، وبشكل أكثر تحديدًا نوع آخر من الفريق يمكن استخدامه مع الفريق الأحمر ، هو الفريق الأزرق. يقوم الفريق الأزرق أيضًا بتقييم أمان الشبكة وتحديد أي نقاط ضعف محتملة في البنية التحتية. ومع ذلك ، لديها هدف مختلف. هناك حاجة إلى فرق من هذا النوع لإيجاد طرق لحماية آليات الدفاع وتغييرها وإعادة تجميعها لجعل الاستجابة للحوادث أكثر فعالية.

مثل الفريق الأحمر ، يجب أن يكون لدى الفريق الأزرق نفس المعرفة بتكتيكات المهاجمين وتقنياتهم وإجراءاتهم من أجل إنشاء استراتيجيات رد بناءً عليها. ومع ذلك ، فإن واجبات الفريق الأزرق لا تقتصر فقط على الدفاع ضد الهجمات. وتشارك أيضًا في تعزيز البنية التحتية الأمنية بالكامل ، باستخدام ، على سبيل المثال ، نظام كشف التسلل (IDS) الذي يوفر تحليلًا مستمرًا للنشاط غير المعتاد والمريب.

فيما يلي بعض الخطوات التي يتخذها "الفريق الأزرق":

  • تدقيق الأمن ، ولا سيما تدقيق DNS ؛
  • تحليل السجل والذاكرة ؛
  • تحليل حزم بيانات الشبكة ؛
  • تحليل بيانات المخاطر ؛
  • تحليل البصمة الرقمية
  • الهندسة العكسية؛
  • اختبار DDoS
  • تطوير سيناريوهات تنفيذ المخاطر.

الفروق بين الفرق الحمراء والزرقاء

السؤال الشائع بالنسبة للعديد من المؤسسات هو أي فريق يجب أن يستخدموه ، باللون الأحمر أو الأزرق. غالبًا ما يصاحب هذه القضية عداوة ودية بين الأشخاص الذين يعملون "على جانبي المتاريس". في الواقع ، كلا الأمرين لا معنى له دون الآخر. لذا فإن الإجابة الصحيحة على هذا السؤال هي أن كلا الفريقين مهمان.

الفريق الأحمر يهاجم ويستخدم لاختبار استعداد الفريق الأزرق للدفاع. في بعض الأحيان ، قد يجد الفريق الأحمر نقاط ضعف أغفلها الفريق الأزرق تمامًا ، وفي هذه الحالة يجب على الفريق الأحمر إظهار كيفية إصلاح هذه الثغرات.

من الضروري لكلا الفريقين العمل معًا ضد مجرمي الإنترنت لتعزيز أمن المعلومات.

لهذا السبب ، ليس من المنطقي اختيار جانب واحد فقط أو الاستثمار في نوع واحد فقط من الفريق. من المهم أن نتذكر أن هدف كلا الطرفين هو منع الجرائم الإلكترونية.
بمعنى آخر ، تحتاج الشركات إلى إقامة تعاون متبادل بين كلا الفريقين من أجل توفير تدقيق شامل - مع سجلات لجميع الهجمات وعمليات التحقق التي تم إجراؤها ، وسجلات الميزات المكتشفة.

يوفر "الفريق الأحمر" معلومات حول العمليات التي قاموا بها أثناء الهجوم المحاكي ، بينما يقدم الفريق الأزرق معلومات حول الإجراءات التي اتخذوها لملء الفجوات وإصلاح نقاط الضعف التي تم العثور عليها.

لا يمكن التقليل من أهمية كلا الفريقين. بدون عمليات تدقيق الأمان المستمرة واختبار الاختراق وتحسينات البنية التحتية ، لن تكون الشركات على دراية بحالة الأمان الخاصة بها. على الأقل حتى يتم تسريب البيانات ويصبح من الواضح بشكل مؤلم أن الإجراءات الأمنية لم تكن كافية.

ما هو الفريق البنفسجي؟

ولد "الفريق الأرجواني" من محاولات توحيد الفريقين الأحمر والأزرق. الفريق الأرجواني هو مفهوم أكثر من كونه نوعًا منفصلاً من الفريق. من الأفضل النظر إليها على أنها مزيج من الفرق الحمراء والزرقاء. إنها تشرك كلا الفريقين ، وتساعدهما على العمل معًا.

يمكن أن يساعد الفريق الأرجواني فرق الأمن على تحسين اكتشاف الثغرات الأمنية واكتشاف التهديدات ومراقبة الشبكة من خلال وضع نماذج دقيقة لسيناريوهات التهديدات الشائعة والمساعدة في إنشاء طرق جديدة للكشف عن التهديدات ومنعها.

تستخدم بعض المنظمات فريقًا أرجوانيًا للأنشطة المركزة لمرة واحدة والتي تحدد بوضوح أهداف السلامة والجداول الزمنية والنتائج الرئيسية. يتضمن ذلك التعرف على نقاط الضعف في الهجوم والدفاع ، وكذلك تحديد متطلبات التدريب والتكنولوجيا المستقبلية.

هناك نهج بديل يكتسب زخماً الآن وهو النظر إلى الفريق الأرجواني على أنه نموذج رؤية يعمل في جميع أنحاء المنظمة للمساعدة في إنشاء ثقافة الأمن السيبراني وتحسينها باستمرار.

اختتام

تعد Red Teaming ، أو محاكاة الهجوم المعقدة ، أسلوبًا قويًا لاختبار الثغرات الأمنية للمؤسسة ، ولكن يجب استخدامها بحذر. على وجه الخصوص ، لاستخدامه ، يجب أن يكون لديك ما يكفي وسائل متقدمة لحماية أمن المعلوماتوإلا فلا يجوز له تبرير الآمال المعلقة عليه.
يمكن أن يكشف Redtiming عن نقاط ضعف في نظامك لم تكن تعلم بوجودها ويساعد في إصلاحها. من خلال اتباع نهج عدائي بين الفرق الزرقاء والحمراء ، يمكنك محاكاة ما سيفعله المتسلل الحقيقي إذا أراد سرقة بياناتك أو إتلاف أصولك.

المصدر: www.habr.com

إضافة تعليق