Red Teaming یک شبیه سازی پیچیده از حملات است. روش شناسی و ابزار

منبع: Acunetix

Red Teaming یک شبیه سازی پیچیده از حملات واقعی به منظور ارزیابی امنیت سایبری سیستم ها است. "تیم قرمز" یک گروه است نفوذگران (متخصصان تست نفوذ به سیستم را انجام می دهند). آنها می توانند از خارج یا کارمندان سازمان شما استخدام شوند، اما نقش آنها در همه موارد یکسان است - تقلید از اقدامات مزاحمان و تلاش برای نفوذ به سیستم شما.

در کنار "تیم های قرمز" در امنیت سایبری، تعدادی دیگر نیز وجود دارند. بنابراین، به عنوان مثال، "تیم آبی" (تیم آبی) با قرمز کار می کند، اما فعالیت های آن در جهت ارتقای امنیت زیرساخت های سیستم از داخل است. تیم بنفش پیوندی است که به دو تیم دیگر در توسعه استراتژی های حمله و دفاع کمک می کند. با این حال، زمان بندی مجدد یکی از روش های کمتر شناخته شده برای مدیریت امنیت سایبری است و بسیاری از سازمان ها تمایلی به اتخاذ این روش ندارند.
در این مقاله به تفصیل توضیح خواهیم داد که چه چیزی در پس مفهوم Red Teaming نهفته است و چگونه پیاده سازی شیوه های شبیه سازی پیچیده حملات واقعی می تواند به بهبود امنیت سازمان شما کمک کند. هدف از این مقاله نشان دادن این است که چگونه این روش می تواند امنیت سیستم های اطلاعاتی شما را به میزان قابل توجهی افزایش دهد.

بررسی اجمالی تیم قرمز

اگرچه در زمان ما، تیم های "قرمز" و "آبی" عمدتاً با حوزه فناوری اطلاعات و امنیت سایبری مرتبط هستند، اما این مفاهیم توسط ارتش ابداع شد. در کل اولین بار در ارتش بود که این مفاهیم را شنیدم. کار به عنوان یک تحلیلگر امنیت سایبری در دهه 1980 با امروز بسیار متفاوت بود: دسترسی به سیستم های رایانه ای رمزگذاری شده بسیار محدودتر از امروز بود.

در غیر این صورت، اولین تجربه من از بازی های جنگی - شبیه سازی، شبیه سازی و تعامل - بسیار شبیه به فرآیند پیچیده شبیه سازی حمله امروزی بود که به امنیت سایبری راه پیدا کرده است. همانطور که در حال حاضر، توجه زیادی به استفاده از روش های مهندسی اجتماعی برای متقاعد کردن کارکنان برای دسترسی نامناسب "دشمن" به سیستم های نظامی معطوف شد. بنابراین، اگرچه روش‌های فنی شبیه‌سازی حمله از دهه 80 پیشرفت چشمگیری داشته است، اما شایان ذکر است که بسیاری از ابزارهای اصلی رویکرد خصمانه، و به‌ویژه تکنیک‌های مهندسی اجتماعی، عمدتاً مستقل از پلتفرم هستند.

ارزش اصلی تقلید پیچیده از حملات واقعی نیز از دهه 80 تغییر نکرده است. با شبیه‌سازی حمله به سیستم‌های خود، کشف آسیب‌پذیری‌ها و درک نحوه سوء استفاده از آنها برای شما آسان‌تر می‌شود. و در حالی که redteaming عمدتاً توسط هکرهای کلاه سفید و متخصصان امنیت سایبری که از طریق آزمایش نفوذ به دنبال آسیب‌پذیری بودند، استفاده می‌شد، اکنون به طور گسترده‌تری در امنیت سایبری و تجارت استفاده می‌شود.

نکته کلیدی برای زمانبندی مجدد این است که درک کنید تا زمانی که سیستم‌های خود مورد حمله قرار نگیرند، نمی‌توانید واقعاً احساس امنیت کنید. و به جای اینکه خود را در معرض خطر حمله مهاجمان واقعی قرار دهید، شبیه سازی چنین حمله ای با دستور قرمز بسیار ایمن تر است.

تیم قرمز: موارد استفاده

یک راه آسان برای درک اصول اولیه زمان قرمز، نگاه کردن به چند مثال است. در اینجا دو نفر از آنها هستند:

• سناریو 1. تصور کنید که یک سایت خدمات مشتری تست شده و با موفقیت آزمایش شده است. به نظر می رسد که این نشان می دهد که همه چیز مرتب است. با این حال، بعداً، در یک حمله ساختگی پیچیده، تیم قرمز متوجه می‌شود که در حالی که خود برنامه خدمات مشتری خوب است، ویژگی چت شخص ثالث نمی‌تواند افراد را به‌طور دقیق شناسایی کند و این امکان فریب نمایندگان خدمات مشتری را برای تغییر آدرس ایمیل آنها فراهم می‌کند. در حساب (در نتیجه یک فرد جدید، یک مهاجم، می تواند دسترسی پیدا کند).
• سناریو 2. در نتیجه آزمایش پنالتی، تمام VPN و کنترل های دسترسی از راه دور ایمن بودند. با این حال، سپس نماینده "تیم قرمز" آزادانه از کنار میز ثبت نام می گذرد و لپ تاپ یکی از کارمندان را بیرون می آورد.

در هر دو مورد فوق، "تیم قرمز" نه تنها قابلیت اطمینان هر سیستم را بررسی می کند، بلکه کل سیستم را به عنوان یک کل برای نقاط ضعف بررسی می کند.

چه کسی به شبیه سازی حمله پیچیده نیاز دارد؟

به طور خلاصه، تقریباً هر شرکتی می تواند از زمان قرمز سود ببرد. همانطور که نشان داده شده است در گزارش ریسک داده های جهانی 2019 ما.، تعداد بسیار وحشتناکی از سازمان ها تحت این باور غلط هستند که کنترل کاملی بر داده های خود دارند. به عنوان مثال، ما دریافتیم که به طور متوسط ​​22٪ از پوشه های یک شرکت برای هر کارمند در دسترس است و 87٪ از شرکت ها بیش از 1000 فایل حساس قدیمی روی سیستم خود دارند.

اگر شرکت شما در صنعت فناوری نیست، ممکن است به نظر نرسد که زمان قرمز برای شما مفید نیست. اما اینطور نیست. امنیت سایبری فقط حفاظت از اطلاعات محرمانه نیست.

بدخواهان به همان اندازه تلاش می کنند تا بدون توجه به حوزه فعالیت شرکت، فناوری ها را در اختیار بگیرند. به عنوان مثال، آنها ممکن است به دنبال دسترسی به شبکه شما باشند تا اقدامات خود را برای تسلط بر سیستم یا شبکه دیگری در جای دیگری در جهان پنهان کنند. با این نوع حمله، مهاجمان به داده های شما نیازی ندارند. آنها می خواهند رایانه های شما را با بدافزار آلوده کنند تا با کمک آنها سیستم شما را به گروهی از بات نت ها تبدیل کنند.

برای شرکت‌های کوچک‌تر، یافتن منابع برای بازخرید ممکن است دشوار باشد. در این صورت، سپردن این فرآیند به یک پیمانکار خارجی منطقی است.

تیم قرمز: توصیه ها

زمان و فرکانس بهینه برای زمان بندی مجدد به بخشی که در آن کار می کنید و بلوغ ابزارهای امنیت سایبری شما بستگی دارد.

به ویژه، شما باید فعالیت های خودکار مانند اکتشاف دارایی و تجزیه و تحلیل آسیب پذیری داشته باشید. سازمان شما همچنین باید با انجام منظم آزمایش‌های نفوذ کامل، فناوری خودکار را با نظارت انسانی ترکیب کند.
پس از تکمیل چندین چرخه تجاری تست نفوذ و یافتن آسیب پذیری ها، می توانید به شبیه سازی پیچیده یک حمله واقعی اقدام کنید. در این مرحله، زمان قرمز برای شما مزایای ملموسی به همراه خواهد داشت. با این حال، تلاش برای انجام آن قبل از اینکه اصول اولیه امنیت سایبری را در اختیار داشته باشید، نتایج ملموسی به همراه نخواهد داشت.

احتمالاً یک تیم کلاه سفید می‌تواند به سرعت و آسانی یک سیستم ناآماده را به خطر بیاندازد که اطلاعات کمی برای انجام اقدامات بیشتر بدست آورید. برای تأثیر واقعی، اطلاعات به دست آمده توسط «تیم قرمز» باید با آزمایش‌های نفوذ قبلی و ارزیابی‌های آسیب‌پذیری مقایسه شود.

تست نفوذ چیست؟

تقلید پیچیده از یک حمله واقعی (تیمینگ قرمز) اغلب با اشتباه گرفته می شود تست نفوذ (پنتست)، اما این دو روش کمی متفاوت هستند. به طور دقیق تر، تست نفوذ تنها یکی از روش های زمان قرمز است.

نقش یک پنتستر به خوبی تعریف شده است. کار نفوذگران به چهار مرحله اصلی تقسیم می شود: برنامه ریزی، کشف اطلاعات، حمله و گزارش. همانطور که می بینید، پنتسترها بیشتر از جستجوی آسیب پذیری های نرم افزاری هستند. آنها سعی می کنند خود را به جای هکرها بگذارند و به محض ورود به سیستم شما، کار واقعی آنها شروع می شود.

آن‌ها آسیب‌پذیری‌ها را کشف می‌کنند و سپس حملات جدیدی را بر اساس اطلاعات دریافتی انجام می‌دهند و در سلسله مراتب پوشه حرکت می‌کنند. این چیزی است که تسترهای نفوذ را از کسانی که فقط برای یافتن آسیب‌پذیری‌ها، با استفاده از نرم‌افزار اسکن پورت یا شناسایی ویروس استخدام می‌شوند، متمایز می‌کند. یک پنتستر با تجربه می تواند تعیین کند:

• جایی که هکرها می توانند حمله خود را هدایت کنند.
• روش حمله هکرها؛
• دفاع شما چگونه رفتار خواهد کرد؟
• میزان احتمالی نقض

تست نفوذ بر شناسایی نقاط ضعف در سطوح برنامه و شبکه و همچنین فرصت هایی برای غلبه بر موانع امنیتی فیزیکی تمرکز دارد. در حالی که تست خودکار می‌تواند برخی از مسائل امنیت سایبری را آشکار کند، آزمایش نفوذ دستی آسیب‌پذیری یک کسب‌وکار در برابر حملات را نیز در نظر می‌گیرد.

تیم قرمز در مقابل تست نفوذ

بدون شک، تست نفوذ مهم است، اما تنها بخشی از یک سری کامل از فعالیت های زمان قرمز است. فعالیت های "تیم قرمز" اهداف بسیار گسترده تری نسبت به نفوذگران دارد که اغلب به سادگی به دنبال دسترسی به شبکه هستند. Redteaming اغلب شامل افراد، منابع و زمان بیشتری می شود، زیرا تیم قرمز عمیقاً به درک کامل سطح واقعی خطر و آسیب پذیری در فناوری و دارایی های انسانی و فیزیکی سازمان می پردازد.

علاوه بر این، تفاوت های دیگری نیز وجود دارد. Redtiming معمولاً توسط سازمان‌هایی با اقدامات امنیت سایبری بالغ‌تر و پیشرفته‌تر استفاده می‌شود (اگرچه در عمل همیشه اینطور نیست).

اینها معمولاً شرکت‌هایی هستند که قبلاً تست نفوذ انجام داده‌اند و بیشتر آسیب‌پذیری‌های یافت شده را برطرف کرده‌اند و اکنون به دنبال شخصی هستند که بتواند دوباره برای دسترسی به اطلاعات حساس تلاش کند یا به هر طریقی محافظت را بشکند.
به همین دلیل است که redtiming به تیمی از کارشناسان امنیتی متکی است که بر روی یک هدف خاص متمرکز شده اند. آنها آسیب پذیری های داخلی را هدف قرار می دهند و از تکنیک های مهندسی اجتماعی الکترونیکی و فیزیکی بر روی کارکنان سازمان استفاده می کنند. برخلاف نفوذگران، تیم‌های قرمز در طول حملات خود وقت می‌گذارند و می‌خواهند مانند یک مجرم سایبری واقعی از شناسایی اجتناب کنند.

مزایای تیم قرمز

شبیه سازی پیچیده حملات واقعی مزایای زیادی دارد، اما مهمتر از همه، این رویکرد به شما امکان می دهد تصویری جامع از سطح امنیت سایبری یک سازمان به دست آورید. یک فرآیند حمله شبیه‌سازی شده سرتاسر معمولی شامل تست نفوذ (شبکه، برنامه، تلفن همراه و سایر دستگاه‌ها)، مهندسی اجتماعی (زندگی در محل، تماس‌های تلفنی، ایمیل، یا پیام‌های متنی و چت) و نفوذ فیزیکی است. (شکستن قفل ها، تشخیص مناطق مرده دوربین های امنیتی، دور زدن سیستم های هشدار). اگر آسیب‌پذیری‌هایی در هر یک از این جنبه‌های سیستم شما وجود داشته باشد، آن‌ها پیدا می‌شوند.

پس از یافتن آسیب پذیری ها، می توان آنها را برطرف کرد. یک روش موثر شبیه سازی حمله با کشف آسیب پذیری ها ختم نمی شود. هنگامی که نقص های امنیتی به وضوح شناسایی شدند، باید روی رفع آنها و آزمایش مجدد آنها کار کنید. در واقع، کار واقعی معمولاً پس از نفوذ تیم قرمز شروع می شود، زمانی که شما حمله را تجزیه و تحلیل می کنید و سعی می کنید آسیب پذیری های یافت شده را کاهش دهید.

علاوه بر این دو مزیت اصلی، زمان قرمز چندین مزیت دیگر را نیز ارائه می دهد. بنابراین، "تیم قرمز" می تواند:

• شناسایی خطرات و آسیب‌پذیری‌ها در برابر حملات در دارایی‌های کلیدی اطلاعات تجاری؛
• شبیه سازی روش ها، تاکتیک ها و رویه های مهاجمان واقعی در محیطی با ریسک محدود و کنترل شده؛
• توانایی سازمان خود را برای شناسایی، پاسخ، و جلوگیری از تهدیدات پیچیده و هدفمند ارزیابی کنید.
• تشویق به همکاری نزدیک با بخش‌های امنیتی و تیم‌های آبی برای کاهش قابل توجه و برگزاری کارگاه‌های عملی جامع در پی آسیب‌پذیری‌های کشف‌شده.

تیم قرمز چگونه کار می کند؟

یک راه عالی برای درک چگونگی کارکرد زمان قرمز این است که به نحوه عملکرد آن نگاه کنید. فرآیند معمول شبیه سازی حمله پیچیده شامل چند مرحله است:

• سازمان با "تیم قرمز" (داخلی یا خارجی) در مورد هدف حمله به توافق می رسد. به عنوان مثال، چنین هدفی می تواند بازیابی اطلاعات حساس از یک سرور خاص باشد.
• سپس "تیم قرمز" شناسایی هدف را انجام می دهد. نتیجه نموداری از سیستم های هدف شامل خدمات شبکه، برنامه های کاربردی وب و پورتال های داخلی کارکنان است. .
• پس از آن، آسیب‌پذیری‌ها در سیستم هدف جستجو می‌شوند که معمولاً با استفاده از حملات فیشینگ یا XSS پیاده‌سازی می‌شوند. .
• هنگامی که توکن های دسترسی به دست آمد، تیم قرمز از آنها برای بررسی آسیب پذیری های بیشتر استفاده می کند. .
• هنگامی که آسیب پذیری های دیگر کشف می شود، "تیم قرمز" به دنبال افزایش سطح دسترسی خود به سطح لازم برای رسیدن به هدف خواهد بود. .
• پس از دستیابی به داده یا دارایی هدف، وظیفه حمله تکمیل شده در نظر گرفته می شود.

در واقع، یک متخصص با تجربه تیم قرمز از تعداد زیادی روش مختلف برای عبور از هر یک از این مراحل استفاده می کند. با این حال، نکته کلیدی از مثال بالا این است که آسیب‌پذیری‌های کوچک در سیستم‌های منفرد می‌توانند به شکست‌های فاجعه‌بار تبدیل شوند.

در صحبت از «تیم قرمز» چه نکاتی را باید در نظر گرفت؟

برای استفاده حداکثری از زمان قرمز، باید با دقت آماده شوید. سیستم ها و فرآیندهای استفاده شده توسط هر سازمان متفاوت است، و سطح کیفی زمان قرمز زمانی به دست می آید که هدف آن یافتن آسیب پذیری در سیستم های شما باشد. به همین دلیل، توجه به چند عامل مهم است:

میدونی دنبال چی میگردی

اول از همه، مهم است که بدانید کدام سیستم ها و فرآیندهایی را می خواهید بررسی کنید. شاید می دانید که می خواهید یک برنامه وب را آزمایش کنید، اما به خوبی نمی دانید که واقعاً چه معنایی دارد و سایر سیستم ها با برنامه های وب شما یکپارچه شده اند. بنابراین، مهم است که درک خوبی از سیستم های خود داشته باشید و قبل از شروع یک شبیه سازی پیچیده از یک حمله واقعی، هر گونه آسیب پذیری آشکار را برطرف کنید.

شبکه خود را بشناسید

این مربوط به توصیه قبلی است، اما بیشتر در مورد مشخصات فنی شبکه شما است. هرچه بهتر بتوانید محیط تست خود را کمی سازی کنید، تیم قرمز شما دقیق تر و خاص تر خواهد بود.

بودجه خود را بشناسید

Redtiming را می توان در سطوح مختلف انجام داد، اما شبیه سازی طیف گسترده ای از حملات در شبکه شما، از جمله مهندسی اجتماعی و نفوذ فیزیکی، می تواند پرهزینه باشد. به همین دلیل، مهم است که بفهمید چقدر می توانید برای چنین چکی هزینه کنید و بر این اساس، محدوده آن را مشخص کنید.

سطح ریسک خود را بشناسید

برخی از سازمان ها ممکن است سطح نسبتاً بالایی از ریسک را به عنوان بخشی از رویه های تجاری استاندارد خود تحمل کنند. سایرین باید سطح ریسک خود را تا حد بسیار بیشتری محدود کنند، به خصوص اگر شرکت در یک صنعت بسیار تنظیم شده فعالیت کند. بنابراین، هنگام انجام زمان قرمز، مهم است که بر روی خطراتی که واقعاً برای کسب و کار شما خطر ایجاد می کنند، تمرکز کنید.

تیم قرمز: ابزارها و تاکتیک ها

اگر به درستی اجرا شود، "تیم قرمز" با استفاده از تمام ابزارها و روش های مورد استفاده هکرها، حمله ای تمام عیار به شبکه های شما انجام می دهد. از جمله موارد زیر است:

• تست نفوذ برنامه - هدف شناسایی نقاط ضعف در سطح برنامه، مانند جعل درخواست های متقابل سایت، نقص های ورود داده ها، مدیریت ضعیف جلسه و بسیاری موارد دیگر است.
• تست نفوذ شبکه - هدف شناسایی نقاط ضعف در سطح شبکه و سیستم، از جمله تنظیمات نادرست، آسیب پذیری های شبکه بی سیم، خدمات غیرمجاز و موارد دیگر است.
• تست نفوذ فیزیکی - بررسی اثربخشی و همچنین نقاط قوت و ضعف کنترل‌های امنیتی فیزیکی در زندگی واقعی.
• مهندسی اجتماعی - با هدف بهره برداری از نقاط ضعف مردم و طبیعت انسانی، آزمایش استعداد افراد در برابر فریب، متقاعدسازی و دستکاری از طریق ایمیل های فیشینگ، تماس های تلفنی و پیام های متنی و همچنین تماس فیزیکی در محل.

همه موارد فوق جزء ردتایم هستند. این یک شبیه‌سازی حمله لایه‌ای و تمام عیار است که برای تعیین میزان مقاومت افراد، شبکه‌ها، برنامه‌ها و کنترل‌های امنیتی فیزیکی شما در برابر حمله یک مهاجم واقعی طراحی شده است.

توسعه مستمر روش های Red Teaming

ماهیت شبیه‌سازی پیچیده حملات واقعی، که در آن تیم‌های قرمز سعی در یافتن آسیب‌پذیری‌های امنیتی جدید و تیم‌های آبی برای رفع آن‌ها دارند، منجر به توسعه مداوم روش‌هایی برای چنین بررسی‌هایی می‌شود. به همین دلیل، تهیه یک لیست به روز از تکنیک های مدرن زمان قرمز دشوار است، زیرا آنها به سرعت منسوخ می شوند.

بنابراین، اکثر تیم‌های قرمز حداقل بخشی از زمان خود را صرف یادگیری آسیب‌پذیری‌های جدید و بهره‌برداری از آن‌ها، با استفاده از منابع فراوان ارائه‌شده توسط جامعه تیم قرمز می‌کنند. در اینجا محبوب ترین این جوامع آمده است:

• آکادمی پنتستر یک سرویس اشتراکی است که دوره‌های ویدیویی آنلاین را ارائه می‌دهد که عمدتاً بر روی تست نفوذ متمرکز شده‌اند، همچنین دوره‌هایی در زمینه پزشکی قانونی سیستم عامل، وظایف مهندسی اجتماعی و زبان اسمبلی امنیت اطلاعات.
• وینسنت ییو یک "اپراتور امنیت سایبری تهاجمی" است که به طور منظم در مورد روش های شبیه سازی پیچیده حملات واقعی وبلاگ می نویسد و منبع خوبی برای رویکردهای جدید است.
• همچنین اگر به دنبال اطلاعات به روز مربوط به زمان قرمز هستید، توییتر منبع خوبی است. می توانید آن را با هشتگ ها پیدا کنید #تیم قرمز и #تیم مجدد.
• دانیل میسلر یکی دیگر از متخصصان باتجربه رد تایمینگ است که خبرنامه تولید می کند و پادکست، منجر می شود وب سایت و در مورد روند فعلی تیم قرمز بسیار می نویسد. از جمله مقالات اخیر او: "Purple Team Pentest یعنی تیم های قرمز و آبی شما شکست خورده اند" и "جوایز آسیب پذیری و زمان استفاده از ارزیابی آسیب پذیری، تست نفوذ و شبیه سازی جامع حمله".
• روزانه سوئیگ یک خبرنامه امنیت وب است که توسط PortSwigger Web Security حمایت می شود. این منبع خوبی برای اطلاع از آخرین پیشرفت ها و اخبار در زمینه redtiming - هک ها، نشت داده ها، سوء استفاده ها، آسیب پذیری های برنامه های وب و فناوری های جدید امنیتی است.
• فلوریان هانسمان یک هکر کلاه سفید و آزمایش کننده نفوذ است که به طور مرتب تاکتیک های جدید تیم قرمز را در خود پوشش می دهد پست وبلاگ.
• آزمایشگاه‌های MWR یک منبع خوب، البته بسیار فنی، برای اخبار جدید است. آنها برای تیم های قرمز پست مفیدی ارسال می کنند ابزارهایو آنها فید توییتر حاوی نکاتی برای حل مشکلاتی است که تسترهای امنیتی با آن مواجه هستند.
• عماد شنب - وکیل و "هکر سفید". فید توییتر او دارای تکنیک‌های مفید برای «تیم‌های قرمز» است، مانند نوشتن تزریق SQL و جعل توکن‌های OAuth.
• تاکتیک‌ها، تکنیک‌ها و دانش رایج میتره (ATT & CK) یک پایگاه دانش مدیریت شده از رفتار مهاجم است. مراحل چرخه زندگی مهاجمان و پلتفرم هایی که آنها را هدف قرار می دهند را ردیابی می کند.
• کتاب بازی هکر راهنمای هکرها است که اگرچه بسیار قدیمی است، اما بسیاری از تکنیک های اساسی را که هنوز در قلب تقلید پیچیده حملات واقعی هستند، پوشش می دهد. نویسنده پیتر کیم نیز دارد فید توییتر، که در آن او نکات هک و سایر اطلاعات را ارائه می دهد.
• موسسه SANS یکی دیگر از ارائه دهندگان اصلی مواد آموزشی امنیت سایبری است. آنها فید توییتربا تمرکز بر پزشکی قانونی دیجیتال و پاسخ به حوادث، حاوی آخرین اخبار در مورد دوره های SANS و توصیه های پزشکان متخصص است.
• برخی از جالب ترین اخبار در مورد زمان قرمز منتشر شده است مجله تیم قرمز. مقالاتی با تمرکز بر فناوری مانند مقایسه Red Teaming با تست نفوذ و همچنین مقالات تحلیلی مانند The Red Team Specialist Manifesto وجود دارد.
• در نهایت، Awesome Red Teaming یک انجمن GitHub است که ارائه می دهد لیست بسیار دقیق منابع اختصاص داده شده به تیم قرمز تقریباً تمام جنبه‌های فنی فعالیت‌های یک تیم قرمز، از دسترسی اولیه، انجام فعالیت‌های مخرب گرفته تا جمع‌آوری و استخراج داده‌ها را پوشش می‌دهد.

"تیم آبی" - چیست؟

با تعداد زیادی تیم چند رنگ، تشخیص اینکه سازمان شما به کدام نوع نیاز دارد دشوار است.

یکی از گزینه های جایگزین برای تیم قرمز و به طور خاص نوع دیگری از تیم که می تواند در ترکیب با تیم قرمز استفاده شود، تیم آبی است. تیم آبی همچنین امنیت شبکه را ارزیابی کرده و هرگونه آسیب پذیری زیرساختی بالقوه را شناسایی می کند. با این حال، او هدف دیگری دارد. تیم هایی از این نوع برای یافتن راه هایی برای محافظت، تغییر و سازماندهی مجدد مکانیسم های دفاعی برای موثرتر کردن واکنش به حادثه مورد نیاز هستند.

مانند تیم قرمز، تیم آبی باید دانش یکسانی از تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجم داشته باشد تا بر اساس آن‌ها استراتژی‌های پاسخ را ایجاد کند. با این حال وظایف آبی پوشان تنها به دفاع در برابر حملات محدود نمی شود. همچنین با استفاده از سیستم تشخیص نفوذ (IDS) که تجزیه و تحلیل مداوم فعالیت های غیرعادی و مشکوک را ارائه می دهد، در تقویت کل زیرساخت امنیتی نقش دارد.

برخی از مراحلی که "تیم آبی" انجام می دهد به شرح زیر است:

• ممیزی امنیتی، به ویژه ممیزی DNS؛
• تجزیه و تحلیل لاگ و حافظه؛
• تجزیه و تحلیل بسته های داده شبکه؛
• تجزیه و تحلیل داده های ریسک؛
• تجزیه و تحلیل ردپای دیجیتال؛
• مهندسی معکوس؛
• تست DDoS؛
• توسعه سناریوهایی برای اجرای ریسک ها

تفاوت تیم های قرمز و آبی

یک سوال رایج برای بسیاری از سازمان ها این است که از کدام تیم استفاده کنند، قرمز یا آبی. این موضوع همچنین اغلب با خصومت دوستانه بین افرادی که "در طرف مقابل سنگرها" کار می کنند، همراه است. در واقع، هیچ یک از دستورات بدون دیگری معنا ندارد. بنابراین پاسخ صحیح به این سوال این است که هر دو تیم مهم هستند.

تیم قرمز هجومی است و برای آزمایش آمادگی تیم آبی برای دفاع استفاده می شود. گاهی اوقات تیم قرمز ممکن است نقاط آسیب پذیری پیدا کند که تیم آبی کاملاً نادیده گرفته شده است، در این صورت تیم قرمز باید نشان دهد که چگونه می توان این آسیب پذیری ها را برطرف کرد.

برای تقویت امنیت اطلاعات برای هر دو تیم حیاتی است که علیه مجرمان سایبری همکاری کنند.

به همین دلیل، انتخاب تنها یک طرف یا سرمایه گذاری در یک نوع تیم، منطقی نیست. لازم به یادآوری است که هدف هر دو طرف جلوگیری از جرایم سایبری است.
به عبارت دیگر، شرکت‌ها باید همکاری متقابل هر دو تیم را به منظور ارائه یک ممیزی جامع - با گزارش‌های تمام حملات و بررسی‌های انجام‌شده، سوابق ویژگی‌های شناسایی‌شده، ایجاد کنند.

"تیم قرمز" اطلاعاتی در مورد عملیاتی که در طول حمله شبیه سازی شده انجام داده اند ارائه می دهد، در حالی که تیم آبی اطلاعاتی را در مورد اقداماتی که برای پر کردن شکاف ها و رفع آسیب پذیری های یافت شده انجام داده اند ارائه می دهد.

اهمیت دو تیم را نمی توان نادیده گرفت. بدون ممیزی‌های امنیتی مداوم، آزمایش‌های نفوذ و بهبود زیرساخت‌ها، شرکت‌ها از وضعیت امنیت خود آگاه نخواهند شد. حداقل تا زمانی که داده ها لو نرود و به طرز دردناکی مشخص شود که اقدامات امنیتی کافی نبوده است.

تیم بنفش چیست؟

"تیم ارغوانی" از تلاش برای متحد کردن تیم های قرمز و آبی متولد شد. تیم بنفش بیشتر یک مفهوم است تا یک تیم جداگانه. بهتر است به عنوان ترکیبی از تیم های قرمز و آبی در نظر گرفته شود. او هر دو تیم را درگیر می کند و به آنها کمک می کند تا با هم کار کنند.

تیم بنفش می‌تواند با مدل‌سازی دقیق سناریوهای تهدید رایج و کمک به ایجاد روش‌های جدید تشخیص و پیشگیری از تهدید، به تیم‌های امنیتی در بهبود تشخیص آسیب‌پذیری، شکار تهدید و نظارت بر شبکه کمک کند.

برخی از سازمان‌ها از تیم بنفش برای فعالیت‌های متمرکز یکباره استفاده می‌کنند که اهداف ایمنی، جدول زمانی و نتایج کلیدی را به وضوح تعریف می‌کنند. این شامل شناخت نقاط ضعف در حمله و دفاع و همچنین شناسایی نیازهای آموزشی و فناوری آینده است.

یک رویکرد جایگزین که اکنون شتاب بیشتری پیدا کرده است، نگاه کردن به تیم بنفش به عنوان یک مدل رویایی است که در سراسر سازمان برای کمک به ایجاد و بهبود مستمر فرهنگ امنیت سایبری کار می کند.

نتیجه

Red Teaming یا شبیه‌سازی حمله پیچیده، یک تکنیک قدرتمند برای آزمایش آسیب‌پذیری‌های امنیتی یک سازمان است، اما باید با دقت مورد استفاده قرار گیرد. به ویژه، برای استفاده از آن، باید به اندازه کافی داشته باشید ابزارهای پیشرفته حفاظت از امنیت اطلاعاتدر غیر این صورت ممکن است امیدهایی را که به او می شود توجیه نکند.
Redtiming می‌تواند آسیب‌پذیری‌هایی را در سیستم شما که حتی از وجود آن‌ها نمی‌دانستید آشکار کند و به رفع آن‌ها کمک کند. با اتخاذ یک رویکرد خصمانه بین تیم های آبی و قرمز، می توانید شبیه سازی کنید که یک هکر واقعی اگر بخواهد داده های شما را بدزدد یا به دارایی های شما آسیب برساند، چه کاری انجام می دهد.

منبع: www.habr.com