Mənbə: Acunetix
Red Teaming sistemlərin kibertəhlükəsizliyini qiymətləndirmək üçün real hücumların kompleks simulyasiyasıdır. "Qırmızı Komanda" bir qrupdur (sistemə nüfuz sınağı aparan mütəxəssislər). Onları ya kənardan, ya da təşkilatınızın işçiləri işə götürə bilərlər, lakin bütün hallarda onların rolu eynidir - müdaxilə edənlərin hərəkətlərini təqlid etmək və sisteminizə nüfuz etməyə çalışmaq.
Kibertəhlükəsizlikdə “qırmızı komandalar”la yanaşı, bir sıra başqaları da var. Beləliklə, məsələn, "mavi komanda" (Mavi komanda) qırmızı ilə birlikdə işləyir, lakin onun fəaliyyəti daxildən sistemin infrastrukturunun təhlükəsizliyini yaxşılaşdırmağa yönəlib. Bənövşəyi Komanda digər iki komandaya hücum strategiyaları və müdafiəni inkişaf etdirməyə kömək edən əlaqədir. Bununla belə, redtiming kibertəhlükəsizliyi idarə etməyin ən az başa düşülən üsullarından biridir və bir çox təşkilatlar bu təcrübəni qəbul etmək istəmirlər.
Bu yazıda biz Red Teaming konsepsiyasının arxasında nələrin dayandığını və real hücumların kompleks simulyasiya təcrübələrinin həyata keçirilməsinin təşkilatınızın təhlükəsizliyini yaxşılaşdırmağa necə kömək edə biləcəyini ətraflı izah edəcəyik. Bu məqalənin məqsədi bu metodun informasiya sistemlərinizin təhlükəsizliyini necə əhəmiyyətli dərəcədə artıra biləcəyini göstərməkdir.
Qırmızı Komandaya Baxış
Bizim dövrümüzdə “qırmızı” və “mavi” komandalar ilk növbədə informasiya texnologiyaları və kibertəhlükəsizlik sahəsi ilə bağlı olsa da, bu anlayışlar hərbçilər tərəfindən icad edilmişdir. Ümumiyyətlə, bu anlayışları ilk dəfə orduda eşitmişəm. 1980-ci illərdə kibertəhlükəsizlik üzrə analitik kimi işləmək indikindən çox fərqli idi: şifrlənmiş kompüter sistemlərinə giriş indikindən qat-qat məhdud idi.
Əks halda, mənim ilk döyüş oyunları təcrübəm – simulyasiya, simulyasiya və qarşılıqlı əlaqə – kibertəhlükəsizliyə yol tapan bugünkü mürəkkəb hücum simulyasiyası prosesinə çox oxşar idi. İndi olduğu kimi, işçiləri "düşmənə" hərbi sistemlərə qeyri-düzgün yol verməyə inandırmaq üçün sosial mühəndislik üsullarından istifadəyə böyük diqqət yetirildi. Buna görə də, 80-ci illərdən etibarən hücum simulyasiyasının texniki üsulları əhəmiyyətli dərəcədə inkişaf etsə də, rəqib yanaşmanın bir çox əsas alətlərinin və xüsusilə sosial mühəndislik texnikalarının əsasən platformadan müstəqil olduğunu qeyd etmək lazımdır.
Həqiqi hücumların kompleks imitasiyasının əsas dəyəri də 80-ci illərdən bəri dəyişməyib. Sistemlərinizə hücumu simulyasiya etməklə, zəiflikləri aşkar etmək və onlardan necə istifadə oluna biləcəyini başa düşmək sizin üçün daha asandır. Redteaming ilk növbədə ağ papaqlı hakerlər və penetrasiya testi vasitəsilə zəiflikləri axtaran kibertəhlükəsizlik mütəxəssisləri tərəfindən istifadə edilsə də, indi kibertəhlükəsizlik və biznesdə daha geniş istifadə olunur.
Yenidən vaxtlamanın açarı, hücuma məruz qalana qədər sistemlərinizin təhlükəsizliyini həqiqətən dərk edə bilməyəcəyinizi başa düşməkdir. Özünüzü real təcavüzkarlar tərəfindən hücuma məruz qalmaq riskinə qoymaq əvəzinə, qırmızı əmrlə belə bir hücumu simulyasiya etmək daha təhlükəsizdir.
Red Teaming: istifadə halları
Redtiming əsaslarını başa düşməyin asan yolu bir neçə nümunəyə baxmaqdır. Onlardan ikisini təqdim edirik:
- Ssenari 1. Təsəvvür edin ki, müştəri xidməti saytı pentestdən keçib və uğurla sınaqdan keçirilib. Deyəsən, bu, hər şeyin qaydasında olduğunu göstərir. Lakin sonradan mürəkkəb saxta hücumda qırmızı komanda aşkar edir ki, müştəri xidməti proqramının özü yaxşı olsa da, üçüncü tərəfin söhbət funksiyası insanları dəqiq müəyyən edə bilmir və bu, müştəri xidmətləri nümayəndələrini e-poçt ünvanlarını dəyişmək üçün aldatmağa imkan verir. hesabda (bunun nəticəsində yeni şəxs, təcavüzkar giriş əldə edə bilər).
- Ssenari 2. Pentesting nəticəsində bütün VPN və uzaqdan giriş idarəetmə vasitələrinin təhlükəsiz olduğu müəyyən edilib. Lakin bu zaman “qırmızı komanda”nın nümayəndəsi sərbəst şəkildə qeydiyyat masasının yanından keçərək işçilərdən birinin noutbukunu çıxarır.
Yuxarıda göstərilən hər iki halda "qırmızı komanda" yalnız hər bir fərdi sistemin etibarlılığını yox, həm də bütövlükdə bütün sistemin zəif tərəflərini yoxlayır.
Mürəkkəb Hücum Simulyasiyası Kimə lazımdır?
Bir sözlə, demək olar ki, hər hansı bir şirkət redtimingdən faydalana bilər. Göstərildiyi kimi , qorxulu dərəcədə çox sayda təşkilat məlumatlarına tam nəzarət etdiklərinə dair yanlış inancın altındadır. Məsələn, biz müəyyən etdik ki, şirkətin qovluqlarının orta hesabla 22%-i hər bir işçi üçün əlçatandır və şirkətlərin 87%-nin sistemlərində 1000-dən çox köhnəlmiş həssas fayl var.
Əgər şirkətiniz texnoloji sənayedə deyilsə, redtiming sizə çox xeyir verəcəyi kimi görünə bilməz. Amma elə deyil. Kibertəhlükəsizlik təkcə məxfi məlumatların qorunmasından ibarət deyil.
Təcavüzkarlar şirkətin fəaliyyət sahəsindən asılı olmayaraq eyni dərəcədə texnologiyaları əldə etməyə çalışırlar. Məsələn, onlar dünyanın başqa yerlərində başqa bir sistem və ya şəbəkəni ələ keçirmək üçün öz hərəkətlərini gizlətmək üçün şəbəkənizə giriş əldə etməyə çalışa bilərlər. Bu hücum növü ilə təcavüzkarların məlumatlarınıza ehtiyacı yoxdur. Onların köməyi ilə sisteminizi botnetlər qrupuna çevirmək üçün kompüterlərinizi zərərli proqramlarla yoluxdurmaq istəyirlər.
Kiçik şirkətlər üçün geri qaytarılacaq resurslar tapmaq çətin ola bilər. Bu halda, bu prosesi xarici podratçıya həvalə etmək məntiqlidir.
Red Teaming: Tövsiyələr
Vaxtın dəyişdirilməsi üçün optimal vaxt və tezlik işlədiyiniz sektordan və kibertəhlükəsizlik alətlərinizin yetkinliyindən asılıdır.
Xüsusilə, aktivlərin kəşfiyyatı və zəifliyin təhlili kimi avtomatlaşdırılmış fəaliyyətlərə sahib olmalısınız. Təşkilatınız mütəmadi olaraq tam nüfuz sınağı keçirməklə avtomatlaşdırılmış texnologiyanı insan nəzarəti ilə birləşdirməlidir.
Nüfuz testinin bir neçə iş dövrünü tamamladıqdan və zəiflikləri tapdıqdan sonra real hücumun kompleks simulyasiyasına davam edə bilərsiniz. Bu mərhələdə redtiming sizə maddi faydalar gətirəcək. Bununla belə, kibertəhlükəsizliyin əsaslarını əldə etməmişdən əvvəl bunu etməyə çalışmaq nəzərəçarpacaq nəticələr verməyəcək.
Ağ papaq komandası, çox güman ki, hazırlıqsız bir sistemə o qədər tez və asanlıqla güzəştə gedə bilər ki, siz əlavə tədbirlər görmək üçün çox az məlumat əldə edirsiniz. Real effekt əldə etmək üçün “qırmızı komanda”nın əldə etdiyi məlumatlar əvvəlki nüfuz testləri və zəifliyin qiymətləndirilməsi ilə müqayisə edilməlidir.
Penetrasiya testi nədir?
Həqiqi bir hücumun kompleks təqlidi (Qırmızı komanda) tez-tez qarışdırılır , lakin iki üsul bir az fərqlidir. Daha dəqiq desək, nüfuz sınağı redtiming üsullarından yalnız biridir.
Pentesterin rolu . Pentesterlərin işi dörd əsas mərhələyə bölünür: planlaşdırma, məlumat kəşfi, hücum və hesabat. Gördüyünüz kimi, pentesters proqram təminatı zəifliklərini axtarmaqdan daha çox şey edir. Onlar özlərini hakerlərin yerinə qoymağa çalışırlar və sisteminizə daxil olduqdan sonra onların əsl işi başlayır.
Onlar zəiflikləri aşkarlayır və sonra qovluq iyerarxiyası üzrə hərəkət edərək alınan məlumat əsasında yeni hücumlar həyata keçirirlər. Nüfuz testçilərini port skan proqramından və ya virus aşkarlanmasından istifadə edərək yalnız zəiflikləri tapmaq üçün işə götürülənlərdən fərqləndirən budur. Təcrübəli pentester müəyyən edə bilər:
- hakerlərin hücumlarını istiqamətləndirə biləcəyi yer;
- hakerlərin hücum yolu;
- Müdafiəniz necə davranacaq?
- pozuntunun mümkün dərəcəsi.
Penetrasiya testi tətbiq və şəbəkə səviyyələrində zəif cəhətləri, eləcə də fiziki təhlükəsizlik maneələrini aradan qaldırmaq imkanlarını müəyyən etməyə yönəlmişdir. Avtomatlaşdırılmış sınaq bəzi kibertəhlükəsizlik problemlərini aşkarlaya bilsə də, əllə nüfuzetmə testi biznesin hücumlara qarşı həssaslığını da nəzərə alır.
Red Teaming vs. nüfuz sınağı
Şübhəsiz ki, nüfuz testi vacibdir, lakin bu, bütün redtiming fəaliyyətlərinin yalnız bir hissəsidir. "Qırmızı komanda"nın fəaliyyəti çox vaxt sadəcə şəbəkəyə daxil olmaq istəyən pentesterlərdən daha geniş məqsədlərə malikdir. Redteaming tez-tez daha çox insan, resurs və vaxtı əhatə edir, çünki qırmızı komanda texnologiyada risk və zəifliyin əsl səviyyəsini, təşkilatın insan və fiziki aktivlərini tam başa düşmək üçün dərinləşir.
Bundan əlavə, digər fərqlər də var. Redtiming adətən daha yetkin və qabaqcıl kibertəhlükəsizlik tədbirləri olan təşkilatlar tərəfindən istifadə olunur (baxmayaraq ki, praktikada həmişə belə olmur).
Bunlar adətən artıq nüfuz testi keçirmiş və aşkar edilmiş zəifliklərin əksəriyyətini düzəldən şirkətlərdir və indi həssas məlumatlara daxil olmağa və ya hər hansı bir şəkildə mühafizəni pozmağa yenidən cəhd edə biləcək birini axtarırlar.
Bu səbəbdən redtime xüsusi bir hədəfə yönəlmiş təhlükəsizlik mütəxəssisləri qrupuna əsaslanır. Onlar daxili zəiflikləri hədəfləyir və təşkilatın işçilərində həm elektron, həm də fiziki sosial mühəndislik üsullarından istifadə edirlər. Pentesterlərdən fərqli olaraq, qırmızı komandalar hücumları zamanı vaxtlarını alır, əsl kibercinayətkar kimi aşkarlanmamaq istəyirlər.
Qırmızı Komandanın Faydaları
Həqiqi hücumların kompleks simulyasiyasının bir çox üstünlükləri var, lakin ən əsası, bu yanaşma sizə təşkilatın kibertəhlükəsizliyi səviyyəsi haqqında hərtərəfli təsəvvür əldə etməyə imkan verir. Tipik uçdan-uca simulyasiya edilmiş hücum prosesinə nüfuz testi (şəbəkə, proqram, mobil telefon və digər cihaz), sosial mühəndislik (saytda canlı, telefon zəngləri, e-poçt və ya mətn mesajları və söhbət) və fiziki müdaxilə daxildir. (kilidlərin qırılması, təhlükəsizlik kameralarının ölü zonalarının aşkarlanması, xəbərdarlıq sistemlərindən yan keçmə). Sisteminizin bu aspektlərindən hər hansı birində zəifliklər varsa, onlar tapılacaq.
Zəifliklər aşkar edildikdən sonra onları aradan qaldırmaq olar. Effektiv hücum simulyasiyası proseduru zəifliklərin aşkarlanması ilə bitmir. Təhlükəsizlik qüsurları aydın şəkildə müəyyən edildikdən sonra, onları aradan qaldırmaq və yenidən sınaqdan keçirmək üzərində işləmək istərdiniz. Əslində, əsl iş adətən qırmızı komandanın müdaxiləsindən sonra, hücumu məhkəmə-tibbi ekspertizası təhlil etdikdən və aşkar edilmiş zəiflikləri azaltmağa çalışdığınız zaman başlayır.
Bu iki əsas faydaya əlavə olaraq, redtiming bir sıra başqalarını da təklif edir. Beləliklə, "qırmızı komanda" edə bilər:
- əsas biznes məlumat aktivlərində hücumlara qarşı riskləri və zəiflikləri müəyyən etmək;
- məhdud və idarə olunan riskli mühitdə real hücum edənlərin üsullarını, taktikalarını və prosedurlarını simulyasiya etmək;
- Təşkilatınızın mürəkkəb, hədəflənmiş təhdidləri aşkar etmək, onlara cavab vermək və qarşısını almaq qabiliyyətini qiymətləndirin;
- Əhəmiyyətli təsirləri azaltmaq və aşkar edilmiş zəifliklərdən sonra hərtərəfli praktiki seminarlar keçirmək üçün təhlükəsizlik şöbələri və mavi komandalarla sıx əməkdaşlığı təşviq edin.
Red Teaming necə işləyir?
Redtimin necə işlədiyini başa düşməyin əla yolu onun adətən necə işlədiyinə baxmaqdır. Mürəkkəb hücum simulyasiyasının adi prosesi bir neçə mərhələdən ibarətdir:
- Təşkilat hücumun məqsədi ilə bağlı “qırmızı komanda” (daxili və ya xarici) ilə razılaşır. Məsələn, belə bir məqsəd xüsusi serverdən həssas məlumatları əldə etmək ola bilər.
- Daha sonra “qırmızı komanda” hədəfin kəşfiyyatını aparır. Nəticə şəbəkə xidmətləri, veb proqramlar və daxili işçi portalları daxil olmaqla hədəf sistemlərin diaqramıdır. .
- Bundan sonra, adətən fişinq və ya XSS hücumlarından istifadə etməklə həyata keçirilən hədəf sistemdə zəifliklər axtarılır. .
- Giriş tokenləri əldə edildikdən sonra qırmızı komanda onlardan əlavə zəiflikləri araşdırmaq üçün istifadə edir. .
- Digər zəifliklər aşkar edildikdə, "qırmızı komanda" məqsədə çatmaq üçün lazım olan səviyyəyə çıxış səviyyəsini artırmağa çalışacaq. .
- Hədəf datasına və ya aktivə çıxış əldə etdikdən sonra hücum tapşırığı tamamlanmış hesab olunur.
Əslində, təcrübəli qırmızı komanda mütəxəssisi bu addımların hər birini keçmək üçün çoxlu sayda müxtəlif üsullardan istifadə edəcək. Bununla belə, yuxarıdakı misaldan əsas nəticə odur ki, fərdi sistemlərdəki kiçik zəifliklər birlikdə zəncirləndikdə fəlakətli uğursuzluqlara çevrilə bilər.
“Qırmızı komanda” dedikdə nələrə diqqət edilməlidir?
Redtimingdən maksimum yararlanmaq üçün diqqətlə hazırlaşmalısınız. Hər bir təşkilat tərəfindən istifadə olunan sistemlər və proseslər fərqlidir və redtiming keyfiyyət səviyyəsi sistemlərinizdə zəiflikləri tapmağa yönəldildikdə əldə edilir. Bu səbəbdən bir sıra amilləri nəzərə almaq vacibdir:
Nə axtardığınızı bilin
Hər şeydən əvvəl hansı sistemləri və prosesləri yoxlamaq istədiyinizi başa düşmək vacibdir. Ola bilsin ki, siz veb tətbiqini sınaqdan keçirmək istədiyinizi bilirsiniz, lakin bunun əslində nə demək olduğunu və veb proqramlarınızla hansı digər sistemlərin inteqrasiya olunduğunu çox yaxşı başa düşmürsünüz. Buna görə də, real hücumun kompleks simulyasiyasına başlamazdan əvvəl öz sistemlərinizi yaxşı başa düşməyiniz və hər hansı aşkar zəiflikləri aradan qaldırmağınız vacibdir.
Şəbəkənizi tanıyın
Bu, əvvəlki tövsiyə ilə bağlıdır, lakin daha çox şəbəkənizin texniki xüsusiyyətlərinə aiddir. Test mühitinizi nə qədər yaxşı qiymətləndirə bilsəniz, qırmızı komandanız bir o qədər dəqiq və konkret olacaq.
Büdcənizi bilin
Redtiming müxtəlif səviyyələrdə həyata keçirilə bilər, lakin sosial mühəndislik və fiziki müdaxilə daxil olmaqla, şəbəkənizdəki bütün hücumların simulyasiyası baha başa gələ bilər. Bu səbəbdən belə bir çekə nə qədər xərcləyə biləcəyinizi başa düşmək və müvafiq olaraq onun əhatə dairəsini göstərmək vacibdir.
Risk səviyyənizi bilin
Bəzi təşkilatlar standart biznes prosedurlarının bir hissəsi kimi kifayət qədər yüksək risk səviyyəsinə dözə bilər. Digərləri, xüsusilə şirkət yüksək səviyyədə tənzimlənən sənayedə fəaliyyət göstərirsə, risk səviyyəsini daha çox məhdudlaşdırmalı olacaqlar. Buna görə də, redtiming apararkən, həqiqətən biznesiniz üçün təhlükə yaradan risklərə diqqət yetirmək vacibdir.
Red Teaming: Alətlər və Taktikalar
Düzgün həyata keçirilərsə, “qırmızı komanda” hakerlərin istifadə etdiyi bütün alət və üsullardan istifadə edərək şəbəkələrinizə tam miqyaslı hücum həyata keçirəcək. Digər şeylər arasında bura daxildir:
- Tətbiqin Penetrasiya Testi - saytlararası sorğu saxtakarlığı, məlumatların daxil edilməsi qüsurları, zəif sessiyanın idarə edilməsi və bir çox başqaları kimi tətbiq səviyyəsində zəif cəhətləri müəyyən etməyi hədəfləyir.
- Şəbəkə Sızma Testi - səhv konfiqurasiyalar, simsiz şəbəkə zəiflikləri, icazəsiz xidmətlər və s. daxil olmaqla, şəbəkə və sistem səviyyəsində zəif cəhətləri müəyyən etmək məqsədi daşıyır.
- Fiziki nüfuz sınağı — real həyatda fiziki təhlükəsizlik nəzarətinin effektivliyinin, eləcə də güclü və zəif tərəflərinin yoxlanılması.
- sosial mühəndislik - insanların və insan təbiətinin zəif tərəflərindən istifadə etmək, insanların aldatma, inandırmaq və manipulyasiya etmək qabiliyyətini fişinq e-poçtları, telefon zəngləri və mətn mesajları, habelə yerindəcə fiziki təmas vasitəsilə yoxlamaq məqsədi daşıyır.
Yuxarıda göstərilənlərin hamısı redtiming komponentləridir. Bu, insanların, şəbəkələrin, tətbiqlərin və fiziki təhlükəsizlik nəzarətlərinin real təcavüzkarın hücumuna nə dərəcədə tab gətirə biləcəyini müəyyən etmək üçün nəzərdə tutulmuş tam inkişaf etmiş, laylı hücum simulyasiyasıdır.
Red Teaming metodlarının davamlı inkişafı
Qırmızı komandaların yeni təhlükəsizlik zəifliklərini tapmağa, mavi komandaların isə onları düzəltməyə çalışdığı real hücumların kompleks simulyasiyasının xarakteri bu cür yoxlamalar üçün metodların daim inkişafına səbəb olur. Bu səbəbdən müasir redtiming üsullarının müasir siyahısını tərtib etmək çətindir, çünki onlar tez köhnəlir.
Buna görə də, qırmızı komandaların əksəriyyəti vaxtlarının ən azı bir hissəsini qırmızı komanda icması tərəfindən təmin edilən çoxsaylı resurslardan istifadə edərək, yeni zəiflikləri öyrənməyə və onlardan istifadə etməyə sərf edəcəklər. Bu icmaların ən məşhurları bunlardır:
- əsasən nüfuz testinə yönəlmiş onlayn video kursları, həmçinin əməliyyat sisteminin məhkəmə ekspertizası, sosial mühəndislik tapşırıqları və informasiya təhlükəsizliyinin montaj dili üzrə kurslar təklif edən abunə xidmətidir.
- real hücumların kompleks simulyasiyası üsulları haqqında müntəzəm olaraq bloq yazan və yeni yanaşmaların yaxşı mənbəyi olan "hücumedici kibertəhlükəsizlik operatorudur".
- Ən son redtime məlumatı axtarırsınızsa, Twitter də yaxşı mənbədir. Bunu hashtaglarla tapa bilərsiniz и .
- xəbər bülleteni hazırlayan başqa bir təcrübəli redtiminq mütəxəssisidir və , aparır və cari qırmızı komanda meylləri haqqında çox şey yazır. Onun son məqalələri arasında: и .
- PortSwigger Web Security tərəfindən maliyyələşdirilən veb təhlükəsizlik xəbər bülletenidir. Bu, redtiming sahəsində ən son inkişaflar və xəbərlər - sındırmalar, məlumat sızması, istismarlar, veb tətbiqi zəiflikləri və yeni təhlükəsizlik texnologiyaları haqqında öyrənmək üçün yaxşı resursdur.
- ağ papaqlı hakerdir və müntəzəm olaraq yeni qırmızı komanda taktikalarını əhatə edən nüfuz testçisidir .
- MWR laboratoriyaları xəbərlərin vaxtının dəyişdirilməsi üçün yaxşı, son dərəcə texniki olsa da, mənbədir. Qırmızı komandalar üçün faydalı paylaşımlar edir və onların təhlükəsizlik testçilərinin qarşılaşdığı problemlərin həlli üçün məsləhətlər ehtiva edir.
- - Hüquqşünas və "ağ haker". Onun Twitter lentində SQL inyeksiyalarının yazılması və OAuth tokenlərinin saxtalaşdırılması kimi "qırmızı komandalar" üçün faydalı üsullar var.
- (ATT & CK) təcavüzkar davranışına dair seçilmiş məlumat bazasıdır. Təcavüzkarların həyat dövrünün mərhələlərini və hədəf aldıqları platformaları izləyir.
- kifayət qədər köhnə olmasına baxmayaraq, hələ də real hücumların kompleks imitasiyasının mərkəzində olan bir çox fundamental texnikaları əhatə edən hakerlər üçün bələdçidir. Müəllif Peter Kim də var , hansı ki, o, hacking məsləhətləri və digər məlumatları təqdim edir.
- SANS İnstitutu kibertəhlükəsizlik üzrə təlim materiallarının digər əsas təchizatçısıdır. Onların Rəqəmsal kriminalistikaya və insidentlərə reaksiyaya diqqət yetirərək, SANS kursları haqqında ən son xəbərləri və ekspert praktikantların məsləhətlərini ehtiva edir.
- Redtiming haqqında ən maraqlı xəbərlərdən bəziləri nəşr olunur . Red Teaming-i nüfuz testi ilə müqayisə etmək kimi texnologiyaya yönəlmiş məqalələr, həmçinin The Red Team Specialist Manifestosu kimi analitik məqalələr var.
- Nəhayət, Awesome Red Teaming təklif edən GitHub icmasıdır Red Teaming-ə həsr olunmuş resurslar. O, ilkin giriş əldə etməkdən, zərərli fəaliyyətlər həyata keçirməkdən tutmuş məlumatların toplanması və çıxarılmasına qədər qırmızı komandanın fəaliyyətinin faktiki olaraq bütün texniki aspektlərini əhatə edir.
"Mavi komanda" - bu nədir?
Çox rəngli komandalarla təşkilatınızın hansı növə ehtiyac duyduğunu anlamaq çətin ola bilər.
Qırmızı komandaya alternativlərdən biri və daha dəqiq desək, qırmızı komanda ilə birlikdə istifadə edilə bilən başqa bir komanda növü mavi komandadır. Mavi Komanda həmçinin şəbəkə təhlükəsizliyini qiymətləndirir və potensial infrastruktur zəifliklərini müəyyən edir. Ancaq onun başqa məqsədi var. Bu tip komandalar hadisəyə cavab reaksiyasını daha effektiv etmək üçün müdafiə mexanizmlərini qorumaq, dəyişdirmək və yenidən qruplaşdırmaq yollarını tapmaq üçün lazımdır.
Qırmızı komanda kimi, mavi komanda da onlara əsaslanan cavab strategiyaları yaratmaq üçün hücumçu taktikaları, texnikaları və prosedurları haqqında eyni biliklərə malik olmalıdır. Ancaq mavi komandanın vəzifələri yalnız hücumlara qarşı müdafiə ilə məhdudlaşmır. O, həmçinin qeyri-adi və şübhəli fəaliyyətin davamlı təhlilini təmin edən, məsələn, müdaxilənin aşkarlanması sistemindən (IDS) istifadə edərək, bütün təhlükəsizlik infrastrukturunun gücləndirilməsində iştirak edir.
“Mavi komanda”nın atdığı addımlardan bəziləri bunlardır:
- təhlükəsizlik auditi, xüsusən də DNS auditi;
- log və yaddaş təhlili;
- şəbəkə məlumat paketlərinin təhlili;
- risk məlumatlarının təhlili;
- rəqəmsal iz analizi;
- tərs mühəndislik;
- DDoS testi;
- risklərin həyata keçirilməsi ssenarilərinin hazırlanması.
Qırmızı və mavi komandalar arasındakı fərqlər
Bir çox təşkilat üçün ümumi sual qırmızı və ya mavi hansı komandadan istifadə etmələridir. Bu məsələ həm də çox vaxt “barrikadaların əks tərəfində” işləyən insanlar arasında dostluq düşmənçiliyi ilə müşayiət olunur. Əslində, heç bir əmr digəri olmadan məna kəsb etmir. Deməli, bu sualın düzgün cavabı hər iki komandanın önəmli olmasıdır.
Qırmızı Komanda hücum edir və Mavi Komandanın müdafiəyə hazırlığını yoxlamaq üçün istifadə olunur. Bəzən qırmızı komanda mavi komandanın tamamilə nəzərdən qaçırdığı zəiflikləri tapa bilər, bu halda qırmızı komanda bu zəifliklərin necə düzəldiləcəyini göstərməlidir.
İnformasiya təhlükəsizliyini gücləndirmək üçün hər iki komandanın kibercinayətkarlara qarşı birgə işləməsi çox vacibdir.
Bu səbəbdən, yalnız bir tərəf seçmək və ya yalnız bir komanda növünə investisiya qoymaq mənasızdır. Nəzərə almaq lazımdır ki, hər iki tərəfin məqsədi kibercinayətkarlığın qarşısını almaqdır.
Başqa sözlə, şirkətlər hərtərəfli auditi təmin etmək üçün hər iki komandanın qarşılıqlı əməkdaşlığını qurmalıdırlar - həyata keçirilən bütün hücumların və yoxlamaların qeydləri, aşkar edilmiş xüsusiyyətlərin qeydləri ilə.
“Qırmızı komanda” simulyasiya edilmiş hücum zamanı həyata keçirdikləri əməliyyatlar, mavi komanda isə boşluqları doldurmaq və aşkar edilmiş zəiflikləri aradan qaldırmaq üçün gördüyü hərəkətlər haqqında məlumat verir.
Hər iki komandanın əhəmiyyətini qiymətləndirmək olmaz. Davamlı təhlükəsizlik auditləri, nüfuzetmə testləri və infrastruktur təkmilləşdirmələri olmasaydı, şirkətlər öz təhlükəsizliklərinin vəziyyətindən xəbərdar olmazdılar. Ən azı məlumatlar sızana qədər və təhlükəsizlik tədbirlərinin kifayət etmədiyi ağrılı şəkildə aydınlaşana qədər.
Bənövşəyi komanda nədir?
"Bənövşəyi Komanda" Qırmızı və Mavi Komandaları birləşdirmək cəhdlərindən yaranıb. Bənövşəyi Komanda ayrı bir komanda növündən daha çox bir konsepsiyadır. Ən yaxşı şəkildə qırmızı və mavi komandaların birləşməsi kimi baxılır. O, hər iki komandanı cəlb edir, onların birlikdə işləməsinə kömək edir.
Bənövşəyi Komanda ümumi təhlükə ssenarilərini dəqiq modelləşdirməklə və yeni təhlükənin aşkarlanması və qarşısının alınması üsullarının yaradılmasına kömək etməklə, təhlükəsizlik qruplarına zəifliyin aşkar edilməsini, təhlükənin aşkar edilməsini və şəbəkə monitorinqini təkmilləşdirməyə kömək edə bilər.
Bəzi təşkilatlar təhlükəsizlik məqsədlərini, vaxt cədvəllərini və əsas nəticələri aydın şəkildə müəyyən edən birdəfəlik yönəlmiş fəaliyyətlər üçün Bənövşəyi Komandadan istifadə edirlər. Bura hücum və müdafiədə zəif cəhətlərin tanınması, həmçinin gələcək təlim və texnologiya tələblərinin müəyyən edilməsi daxildir.
Hazırda güclənən alternativ yanaşma, Purple Team-a kibertəhlükəsizlik mədəniyyətinin yaradılmasına və daim təkmilləşməsinə kömək etmək üçün təşkilat boyu işləyən uzaqgörən bir model kimi baxmaqdır.
Nəticə
Red Teaming və ya mürəkkəb hücum simulyasiyası təşkilatın təhlükəsizlik zəifliklərini sınaqdan keçirmək üçün güclü texnikadır, lakin ehtiyatla istifadə edilməlidir. Xüsusilə istifadə etmək üçün kifayət qədər sahib olmaq lazımdır Əks halda, ona olan ümidləri doğrultmaya bilər.
Redtiming sisteminizdə mövcud olduğunu bilmədiyiniz boşluqları aşkar edə və onları düzəltməyə kömək edə bilər. Mavi və qırmızı komandalar arasında rəqib yanaşmanı tətbiq etməklə, məlumatlarınızı oğurlamaq və ya aktivlərinizə zərər vermək istəsə, əsl hakerin nə edəcəyini simulyasiya edə bilərsiniz.
Mənbə: www.habr.com