ویژگی‌های تیم قرمز و تیم آبی در حوزه امنیت سایبری

ویژگی‌های تیم قرمز و تیم آبی در حوزه امنیت سایبری

در حیطه‌ی امنیت سایبری، ممکن است با اصطلاحاتی از قبیل “تیم قرمز” و “تیم آبی” مواجه شوید. این اصطلاحات که مدت‌هاست در نیروهای نظامی استفاده می‌شوند و با امنیت سایبری نیز در ارتباط هستند، برای توصیف تیم‌هایی به کار می‌رود که از مهارت‌های خود برای تقلید از تکنیک‌های حمله‌ای که “دشمنان” از آن استفاده می‌کنند. و یا برای توصیف تیم‌های دیگری که از مهارت‌های خودشان برای دفاع درمقابل حملات استفاده می‌کنند به کار می‌رود. این اصطلاحات تفاوت زیادی در دنیای امنیت سایبری و دنیای نظامی نیست.

“تیم قرمز” چیست؟

  • تیم‌ قرمز اصولا به روی آزمایش نفوذ سیستم‌های مختلف و سطوح برنامه‌های امنیتی‌شان تمرکز می‌کنند. وظیفه‌ی این گروه شناسایی به موقع حملات، ‌‌جلوگیری و از بین بردن آسیب‌پذیری‌ها است.
  • تیم قرمز از حملاتی در دنیای واقعی تقلید می‌کند که می‌توانند به یک شرکت یا سازمان لطمه بزند، به نوعی که تمام مراحل لازمی که مهاجمان استفاده می‌کنند را انجام می‌دهند.
  • آن‌ها با فرض نقش یک مهاجم، به سازمآن‌ها نشان می‌دهند که چه چیزی می‌تواند به عنوان درهای پشتی (backdoors) یا آسیب پذیری‌های قابل اکسپلویت ، تهدیدی برای امنیت سایبری آن‌ها محسوب می‌شود.
  • یکی از اقدامات رایج، استخدام فردی خارج از سازمان برای انجام کارهای تیم قرمز است، فردی که دانش استفاده از نقاط آسیب‌پذیر را داشته باشد اما از عملکرد دفاعی زیرساخت سازمان ناآگاه باشد.
  • تکنیکی که تیم قرمز از آن استفاده می‌کند، بسیار متفاوت است با تلاش‌هایی که برای فیشینگ‌های استاندارد، بر روی کارمندان و مهندسین اجتماعی و حتی جعل هویت کارمندان با هدف به دست گرفتن دسترسی ادمین، انجام می‌گیرد. تیم‌های قرمز برای موثر واقع شدن باید تمامی تاکتیک‌ها، تکنیک‌ها و دستورالعمل‌های احتمالی که مهاجمان به کار می‌گیرند را بدانند.
  • تیم‌های قرمز مزایای مهمی ارائه می‌دهند که شامل فهم بهتر نسبت به اکسپلویت‌های ممکن از داده‌ها و جلوگیری از نقض‌های امنیتی در آینده می‌شود. با شبیه‌سازی حمله‌های سایبری و تهدیدات امنیت شبکه، شرکت‌ها اطمینان حاصل می‌کنند که امنیت آن‌ها مطابق با استاندارد‌های مناسب دفاعی در شرایط حمله است.

به تیم قرمز امنیت سایبری علاقه دارید؟ با وظایف اعضای این تیم آشنا شوید:

“تیم آبی” چیست؟

  • تیم آبی در نوع عملکرد مشابه با تیم قرمزعمل می‌کند. آن‌ها امنیت شبکه را نیز ارزیابی و سپس هرگونه آسیب پذیری احتمالی را مشخص می‌کنند.
  • اما آنچه تیم آبی را از تیم قرمز متمایز می‌کند این است که وقتی تیم قرمز خودش را به جای یک مهاجم جا می‌زند و از تاکتیک‌ها و روش‌های مهاجمان برای حمله به سیستم تقلید می‌کند، در نقطه مقابل تیم آبی وجود دارد تا روش‌هایی برای دفاع، تغییر و بازچینی مکانیزم‌های دفاعی پیدا کند تا بتواند پاسخ بسیار قوی‌تری به حوادث موجود بدهد.
  • تیم آبی همانند تیم قرمز، باید از همان تاکتیک‌ها، و روش‌های مخرب مورد استفاده در یک حمله آگاه باشد، تا بتواند استراتژی‌های لازم را در سیستم خود ایجاد کند. فعالیت تیم آبی منحصر به حملات نیست. آن‌ها بطور مداوم برای تقویت کل زیرساخت‌های امنیت دیجیتال، از نرم افزاری مانند IDS (سیستم تشخیص نفوذ) که به تجزیه و تحلیل مداوم فعالیت‌های غیر معمول و مشکوک می‌پردازد، استفاده می‌کنند.

برخی اقداماتی که یک تیم آبی انجام می‌دهند عبارت است از:

  •  ممیزی‌های امنیتی مانند ممیزی DNS
  • تحلیل حافظه و Log
  • استفاده از Pcap
  • تحلیل ریسک‌پذیری داده‌ها توسط هوش مصنوعی
  • تحلیل ظرفیت اشغال‌شده‌ی دیجیتالی
  • مهندسی معکوس
  • تست DDoS
  • توسعه سناریوهای خطرات

آیا سازمان ما به یک تیم قرمز و یک تیم آبی احتیاج دارد؟

حقیقت این است که، هیچ تیم قرمزی بدون تیم آبی وجود ندارد، یا برعکس.

قصد ما این نیست که با این سوال کسی را فریب دهیم اما جواب واقعی به این سوال این است که: ما به هردو نیاز خواهیم داشت!

تیم قرمز از تاکتیک‌های حمله خود استفاده می‌کند تا انتظارات و آمادگی دفاعی تیم آبی را بیازماید. گاهی ممکن است تیم قرمز نقاطی را پیدا کند که تیم آبی آن‌ها را نادیده گرفته باشد و این وظیفه‌ی تیم قرمز است که نشان دهد چطور این موارد امکان بهبود دارند. اینکه تیم قرمز و آبی با هم در مقابل مجرمین سایبری همکاری کنند، مهم است و بدین ترتیب امنیت سایبری امکان پیشرفت دارد.

چنین حرفی که تیم قرمز از تیم آبی بهتر است وجود ندارد و هیچ مزیتی برای انتخاب و سرمایه‌گذاری روی تنها یکی از آن‌ها نیست. نکته‌ی مهم یادآوری این است که هدف هردو جلوگیری از حملات سایبری است.

 ایده‌ی دیگر که حاصل تجمیع تیم آبی و قرمز است، ایجاد گروه بنفش می‌باشد.

ایجاد تیم بنفش مفهومی است که حقیقتا به معنی وجود تیمی جدید نیست، بلکه تنها ترکیبی از تیم قرمز و آبی است و هردو تیم را درگیر می‌کند تا باهم کار کنند.

شرکت‌ها نیاز به همکاری دوجانبه‌ی هردو گروه دارند تا با Logهای ایجاد شده در هر تست و رکوردهای مشخصات مربوطه، بازرسی کاملی از هر دو جهت انجام دهند.

 تیم قرمز اطلاعاتی را ارسال می‌کند که مربوط به حملات اجراشده‌ی آن‌هاست و تیم آبی مستندات اقدامات انجام‌شده جهت رفع نقص‌ها و رسیدگی به مشکلات و نقاط آسیب‌پذیر کشف‌شده را ارسال می‌کند.

هردو تیم آبی و قرمز ضروری هستند. بدون حسابرسی امنیتی مداوم آن‌ها و پیاده‌سازی تست نفوذ و توسعه‌ی زیرساخت امنیتی، شرکت‌ها و سازمان‌ها از امنیت خود آگاهی نخواهند داشت.

البته از آسیب‌پذیری‌ها و نفوذ‌های اتفاق افتاده گذشته نیز آگاه نخواهند شد و به صورت یک فاجعه آشکار می‌شود که معیارها و اقدامات امنیتی آن سازمان کافی نبوده است.

مزایای تیم های قرمز و آبی چیست؟

اجرای استراتژی تیم قرمز و آبی به یک سازمان این امکان را می‌دهد که از دو رویکرد و مهارت کاملاً متفاوت بهره‌مند شود. در این چالش همچنین تا حدودی رقابتی است و باعث بالا رفتن دانش و سطح مهارت هر دو تیم می‌شود.

 تیم قرمز بسیار کاربردی است، به این دلیل که آسیب پذیری‌ها را مشخص می‌کند ، اما تنها می‌تواند وضعیت فعلی سیستم را برجسته کند. از سوی دیگر، تیم آبی از این لحاظ که با تضمین استحکام دفاعی، و با نظارت مداوم بر سیستم ، محافظت طولانی مدت می‌کند، ارزشمند است.

با این وجود ، مهم‌ترین مزیت‌، بهبود مستمر در وضعیت امنیتی سازمان با کشف شکاف‌ها و سپس پُر کردن آن شکاف‌ها با کنترل‌های مناسب است.

به حوزه امنیت سایبری علاقمند هستید؟ در همین رابطه بخوانید:

5 مهارت برتر تیم قرمز و آبی

ویژگی‌های تیم‌های قرمز و تیم‌های آبی به اندازه تکنیک‌های مورد استفاده آن‌ها متفاوت است. این موضوع بینش بیشتری به شما در خصوص هدف و نقش‌هایی که این دو تیم بازی می‌کنند می‌دهد و شما را در انتخاب مسیر درست راهنمایی می‌کند.

مهارت‌های تیم قرمز

به ذهن مهاجم نفوذ کنید و تا حد ممکن خلاق باشید.

1- فکر کردن خارج از چهارچوب

ویژگی اصلی تیم قرمز فکر کردن خارج از چهار‌چوب و به طور مداوم یافتن ابزارها و تکنیک‌های جدید برای محافظت بهتر از امنیت شرکت است. با اجرای حمله، در حالی‌که تکنیک‌های Whitehat را رعایت می‌کنید نقص موجود در سیستم‌های امنیتی را نشان می‌دهید و مخالف قوانین و قانونی بودن هستید. این‌ها چیزهایی نیستند که همه دوست داشته باشند.

2- دانش عمیق در مورد سیستم‌ها

 داشتن دانش عمیق در مورد سیستم‌های رایانه‌ای ، پروتکل‌ها و روش‌های شناخته شده، راه را برای رسیدن به موفقیت روشن‌تر خواهد کرد. تیم قرمز باید از درک و شناخت همه سیستم‌ها و پیروی از روند فناوری برخوردار باشد. آگاهی از سرورها و بانک‌های اطلاعاتی به شما امکان می دهد گزینه‌های بیشتری در یافتن راه‌هایی برای کشف آسیب پذیری داشته باشید.

3- توسعه نرم افزار 

مزایای دانستن چگونگی توسعه ابزارهای شخصی بسیار قابل توجه است. نوشتن نرم‌افزار با تمرین و یادگیری مداوم همراه است، بنابراین مجموعه مهارت‌های به دست آمده با آن به هر تیم قرمز کمک می‌کند تا بهترین تاکتیک‌های حملات را انجام دهد.

4- تست نفوذ

تست نفوذ شبیه سازی حمله به سیستم‌های کامپیوتری و شبکه‌ای است که به ارزیابی امنیت کمک می‌کند. این تیم آسیب پذیری‌ها و هر گونه تهدید بالقوه را برای ارائه یک ارزیابی کامل شناسایی می‌کند. تست نفوذ بخش مهمی از وظایف تیم‌ قرمز است و بخشی از روش‌های “استاندارد” آن‌ها است. همچنین این تست به طور منظم توسط هکرهای کلاه سفید نیز استفاده می‌شود. در واقع، یک تیم قرمز بسیاری از ابزارهایی را که هکرهای اخلاقی استفاده می‌کنند، به کار می‌گیرد.

5- مهندسی اجتماعی

در حین انجام ممیزی‌های امنیتی هر سازمان، دستکاری افراد در انجام اقداماتی که ممکن است داده‌ها را در معرض خطر قرار دهد مهم است، چراکه خطای انسانی یکی از شایع‌ترین دلایل نقض و نشت اطلاعات است.

مهارت‌های تیم آبی

باید راه مخفی دسترسی backdoor و بسیاری از آسیب‌ پذیری‌های سیستم را پوشش دهید.

1- سازمان یافته و جزئیات‌گرا

کسی که طبق قوانین از روش‌های امتحان‌شده و قابل اعتماد استفاده می‌کند، یکی از اعضای تیم آبی است. برای جلوگیری از ایجاد شکاف در زیرساخت‌های امنیتی یک شرکت، هوش خلاق فوق و بررسی جزئیات لازم است.

2- تجزیه و تحلیل امنیت سایبری و مشخصات تهدید

هنگام ارزیابی امنیت یک شرکت یا یک سازمان، می‌بایست مشخصات خطر و یا تهدید بررسی شود. مشخصات کامل یک تهدید شامل تمام داده‌ها از جمله مهاجمان احتمالی و سناریوهای تهدید برانگیز در زندگی واقعی و همچنین آماده سازی کامل برای هرگونه حمله آینده با کار در مواضعی است که ممکن است ضعیف باشد. از OSINT و تمام داده‌های در دسترس عموم استفاده کنید و از ابزارهای OSINT که می‌تواند به شما در جمع آوری داده‌ها در خصوص هدف کمک کند، بازدید کنید.

3- تکنیک‌های استحکام بخشی

برای اینکه واقعاً برای هرگونه حمله یا نقض آمادگی داشته باشید، تکنیک‌های استحکام بخشی فنی در تمامی سیستم‌ها باید انجام شود چرا که این موضوع می‌تواند سطح حمله هکرها را کاهش دهند. استحکام بخشی DNS کاملاً ضروری است، زیرا یکی از مهمترین مواردی که در سیاست‌های استحکام بخشی نادیده گرفته می‌شود DNS است. شما می‌توانید نکات توصیه شده را رعایت کنید تا از حملات DNS جلوگیری کنید و سطح حملات را کاهش دهید.

4- دانش سیستم تشخیص

با برنامه‌های نرم افزاری که امکان ردیابی شبکه را برای هرگونه فعالیت غیرمعمول و احتمالاً مخرب فراهم می‌کند، آشنا شوید. به دنبال همه ترافیک شبکه‌، فیلتر کردن بسته‌ها، فایروال‌های موجود و مواردی از این قبیل، فعالیت بهتری را در سیستم‌های شرکت فراهم می‌کند.

5- SIEM

SIEM، یا امنیت اطلاعات و مدیریت وقایع، نرم افزاری است که تجزیه و تحلیل زمان واقعی رویدادهای امنیتی را ارائه می‌دهد. این جمع آوری داده‌ها از منابع خارجی با توانایی انجام تجزیه و تحلیل داده‌ها بر اساس معیارهای خاص صورت می‌گیرد.

کلام آخر

زمانی که بحث تیم امنیت سایبری و مفاهیم «تیم قرمز» و «تیم آبی» نیز مطرح می‌شوند ممکن است شما یکی را به دیگری ترجیح دهید. اما حقیقت این است که یک زیرساخت امنیتی کامل و موثر که برای هرگونه حمله سایبری آماده شده است، فقط با کمک همکاری این ۲ تیم با هم امکان‌پذیر است.

به طور کلی، صنعت امنیت سایبری نیاز به همکاری مشترک دو تیم برای آموختن از اطلاعات یکدیگر دارد. این همکاری و هماهنگی ممکن است به نظر شما از جانب تیم بنفش ایجاد شود اما در هر صورت همکاری تیم‌های قرمز و آبی تنها راه امنیت واقعی و کامل در فضای مجازی است.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *