تیم قرمز یا Red Teamها روی تست نفوذ سیستمهای مختلف و سطح برنامههای امنیتی آنها تمرکز دارند. هدف آنها شناسایی، پیشگیری و حذف آسیبپذیریها است. Red Team از حملات در دنیای واقعی که ممکن است روی یک شرکت یا سازمان انجام شوند، تقلید میکند و تمام قدمهای ضروری مهاجمین را اجرایی مینماید. این تیمها با ایفای نقش مهاجم به سازمانها نشان میدهند که چه Backdoorها یا آسیبپذیریهایی با قابلیت Exploit شدن دارند که تهدیدی برای امنیت سایبری محسوب میشوند.
یکی از اقدامات متداول استخدام کردن فردی خارج از سازمان برای Red Teaming است؛ فردی که دانش لازم برای Exploit کردن آسیبپذیریهای امنیتی را داشته باشد، اما از سیستمهای دفاعی موجود در زیرساخت سازمان آگاهی نداشته باشد. تکنیکهای مورداستفادهی یک Red Team با تلاشهای Phishing استاندارد که کارمندان را هدف قرار میدهند و حملات مهندسی اجتماعی که هویت کارمندان را جعل میکنند تا دسترسی ادمین بدست آورند، متفاوت هستند. برای اینکه Red Teamها واقعاً کارآمد باشند، باید تمام تاکتیکها، تکنیکها و فرایندهای مورداستفاده یک مهاجم را بشناسند.
Red Teamها مزایایی حیاتی دارند، ازجمله درک بهتری از امکان Exploit داده و پیشگیری از نقضهای امنیتی داده در آینده. با شبیهسازی حملات سایبری و تهدیدات امنیت شبکه، شرکتها با سیستمهای دفاعی مناسب، اطمینان حاصل میکنند که امنیتشان کارآمدی لازم را دارد.
تیم آبی یا Blue Team
Blue Team از این نظر شبیه به Red Team است که این تیم نیز امنیت شبکه را ارزیابی کرده و هر آسیبپذیری احتمالی را شناسایی مینماید. اما چیزی که باعث تفاوت Blue Team میشود این است که وقتی Red Team با تاکتیکها و تکنیکهای بهخصوص از مهاجمی تقلید میکند، Blue Team راهی برای دفاع، تغییر و کنار هم قرار دادن مکانیزمهای دفاعی پیدا میکند تا پاسخ به حادثه قدرتمندتری انجام شود.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
Blue Team نیز مثل Red Team باید از تاکتیکها، تکنیکها و فرایندها آگاهی داشته باشد تا بتواند استراتژیهای پاسخ به حادثهی قویتری را ایجاد کند. اما فعالیت Blue Team محدود به حملات نیست. آنها بهطور مداوم تلاش میکنند تا با استفاده از نرمافزاری مثل IDS، سیستمهای شناسایی نفوذ که تجزیهوتحلیل مداومی از فعالیت غیرعادی و مشکوک را ارائه میدهد، کل زیرساخت امنیت دیجیتال را تقویت کنند
برخی از اقدامات Blue Team عبارتاند از:
- ممیزی امنیتی، مثل ممیزی DNS
- تجزیهوتحلیل Log و حافظه
- pcap
- تجزیهوتحلیل دادهی هوش ریسک
- تجزیهوتحلیل ردپای دیجیتال
- مهندسی معکوس
- تست DDoS
- توسعهی سناریوهای ریسک
بیشتر بخوانید: جلوگیری از حملات DDoS در سیستمهای سازمانی
چه سازمان هایی به Red Team یا Blue Team نیاز دارند؟
در یک رأیگیری که در توییتر انجام شد، از پاسخدهندگان پرسیده شد که به نظرشان Red Team مهمتر است یا Blue Team و شرکتها به کدام یک بیشتر نیاز دارند. جوابها بهسرعت جمع شد. در ابتدا افراد مردد بودند و با اینکه رقابت تنگاتنگی بود، نهایتاً Red Team برنده شد.
با توجه به آمار شرکتکنندگان و طبیعت کاری آنها، قابلدرک است که چرا Red Team را انتخاب کردند. همیشه نوعی رقابت سبک بین Red Team و Blue Team وجود دارد، پس پرسش از گروههای مختلف احتمالاً جوابهای متفاوتی در پی خواهد داشت. اما حقیقت این است که بدون Blue Team هیچ Red Teamی وجود نخواهد داشت و برعکس.
Red Team از تاکتیکهای حملهای و تهاجمی خود استفاده میکند تا انتظارات و آمادگی Blue Team را تست کند. گاهی اوقات ممکن است Red Team شکافهایی را پیدا کند که از دید Blue Team پنهان ماندهاند و مسئولیت Red Team این است که نشان دهد چطور میتوان این موارد را بهبود بخشید. بسیار مهم است که Red Team و Blue Team با هم در مقابل مجرمین سایبری کار کنند، تا بتوان امنیت سایبری را بهبود بخشید.
بیشتر بخوانید: تفاوتهای اصلی بین دو تیم امنیت سایبری قرمز و آبی
جملهی Red Team بهتر از Blue Team است جملهی درستی نیست، انتخاب کردن یکی از آنها یا سرمایهگذاری کردن فقط روی یک مورد سودی ندارد. نکتهی مهم این است که به یاد داشته باشیم هدف هر دوی آنهای پیشگیری از جرایم سایبری است.
ایدهای که برای آشتی دادن Red Team و Blue Team به وجود آمده است، ایجاد Purple Team میباشد. Purple Teamingمفهومی است که در حقیقت تیم جدیدی را توصیف نمیکند، بلکه ترکیبی از Red Team و Blue Team است و هر دو تیم را تشویق میکند که با هم کار کنند.
شرکتها به همکاری بین هر دو تیم نیاز دارند تا یک ممیزی کامل از هر دو طرف انجام گردد و روی هر تست انجام شده Logها و اسنادی از جزئیات مربوط وجود داشته باشد. Red Team در مورد عملیات انجام شده در حین حمله اطلاعاتی را ارائه میکند و Blue Team اسنادی را در مورد اقدامات خود برای پر کردن شکافها و رسیدگی به آسیبپذیری و مشکلات پیدا شده ارائه میدهد.
هر Red Team و هم Blue Team برای سازمان ها ضروری هستند، بدون ممیزیهای امنیتی مداوم، پیادهسازی تست نفوذ و توسعهی زیرساخت امنیتی، شرکتها و سازمانها از امنیت خودآگاهی نخواهند داشت. البته تا وقتیکه یک نقض امنیتی داده رخ بدهد و بهوضوح متوجه شوند که اقدامات امنیتی آنها کافی نیست.
پنج مهارت برتر Red Team و Blue Team
ویژگیهای Red Team و Blue Team بهاندازهی تکنیکهای مورداستفادهی آنها متفاوت است. در ادامه توضیحاتی در مورد هدف و نقشهای این دو تیم ارائه خواهد شد. همچنین خوانندگان میتوانند درک کنند که مهارتهایشان برای کدام شغل امنیت سایبری مناسب است و اینگونه مسیر بهتری را انتخاب خواهند کرد.
مهارتها و ابزار Red Team
ورود به ذهن یک مهاجم و خلاق بودن بهاندازهی آنها.
1. فکر کردن خارج از چارچوب
ویژگی اصلی Red Team فکر کردن خارج از چارچوب است؛ آنها باید دائماً ابزار و تکنیکهای جدیدی پیدا کنند تا بهتر امنیت یک شرکت را تأمین کنند. Red Team دارای سطحی از یاغیگری است و به همین دلیل تابو محسوب میشود؛ افراد Red Team در عین دنبال کردن تکنیکهای White Hat برخلاف قوانین عمل میکنند تا ایرادهای سیستمهای افراد را به آنها نشان دهند. همه از این موضوع لذت نمیبرند.
2. دانش عمیق از سیستمها
داشتن دانش عمیق از سیستمهای رایانهای، پروتکلها و کتابخانهها و روشهای شناختهشده میتواند مسیر موفقیت را هموارتر کند. حیاتی است که یک Red Team درکی از تمام سیستمها داشته باشد و رویکردهای جدید در تکنولوژی را دنبال کند. داشتن دانش از سرورها و دیتابیسها به کاربر این امکان را میدهد که راههای بیشتری برای درک آسیبپذیریهای خود داشته باشند.
3. توسعهی نرمافزار
مزیت آگاهی از نحوهی توسعهی ابزار خود، امری حیاتی است. نوشتن نرمافزار به تمرین و یادگیری مداوم نیاز دارد، پس مجموعه مهارت بدست آمده با آن به هر Red Team کمک میکند که بهترین تاکتیکهای هجومی را اجرایی کند.
4. تست نفوذ
تست نفوذ شبیهسازی یک حمله روی سیستمهای شبکه و رایانه است که به ارزیابی امنیت کمک میکنند. این تست آسیبپذیریها و تهدیدات احتمالی را شناسایی میکند تا ارزیابی ریسک کاملی ارائه شود. تست نفوذ بخشی حیاتی از Red Teamها است و بخشی از فرایندهای استاندارد آنها محسوب میشود. همچنین White Hatها بهطور منظم از آنها استفاده میکنند؛ در حقیقت Red Team از ابزار مشابه زیادی با هکرهای اخلاقی استفاده میکند.
5. مهندسی اجتماعی
در زمان انجام ممیزیهای امنیتی برای هر سازمانی، فریب افراد برای انجام برخی از اقدامات که میتواند منجر شود به افشای دادههای حساس، مسئلهی مهمی است، زیرا خطای انسانی یکی از دلایل نقضهای امنیتی و افشای داده است.
Red Teamها باید بهطور مداوم خارج از چارچوب فکر کنند و ابزار و تکنیکهای جدیدی را کشف کنند تا از مهاجمین عقب نیفتند. Red Teamها در طول عملیات خود از ابزار زیادی استفاده میکنند، مثلاً ابزاری که برای شناسایی، بالا بردن سطح دسترسی، حرکت جانبی، استخراج و غیره مورداستفاده قرار میگیرند. در ادامه میخواهیم 5 ابزار Red Team که بیش از همه استفاده میشوند را معرفی کنیم:
- Nmap : اسکنر شبکه متنباز
- Haktrails: ابزار مبتنی بر زبان Golang برای Query کردن دادههای SecurityTrails API
- Shodan: موتور جستجو برای دستگاههای IoT
- Mimikatz: ابزار متنباز برای فعالیتهای پس از اکسپلویت
- SecurityTrails API: تازهترین DNS و Domain Intel
مهارتها و ابزار Blue Team
باید Backdoorها و آسیبپذیریهایی که اکثر افراد با آنها آشنایی ندارند پوشش داده شوند.
1. بررسی منظم و دقیق جزئیات
فردی که بیشتر بر اساس مقررات بازی میکند و از روشهای تست شده و مورد اطمینان استفاده میکند، برای Blue Team مناسبتر است. برای پیشگیری از ایجاد شکاف در زیرساخت امنیتی سازمان به یک دیدگاه خارقالعاده و دقیق روی جزئیات نیاز است.
2. تجزیهوتحلیل امنیت سایبری و پروفایل تهدید
در هنگام ارزیابی امنیت یک شرکت یا سازمان، باید یک پروفایل ریسک یا تهدید ایجاد گردد. یک پروفایل تهدید خوب حاوی تمام دادههایی است که میتواند شامل مهاجمین بالقوه و سناریوهای تهدید در دنیای واقعی باشد و همچنین آمادهسازی کامل برای هر حمله در آینده با کار کردن روی حوزههایی که شاید ضعیف باشد. میتوان از OSINT و تمام دادههایی که بهصورت عمومی در دسترس هستند استفاده کرد و ابزار OSINT را بررسی نمود که میتوانند به جمعآوری داده در مورد هدف کمک کنند.
3. تکنیکهای تقویت
برای اینکه کاملاً برای هر حمله یا نقض امنیتی آماده باشیم، تکنیکهای تقویت تمام سیستمها باید مورداستفاده قرار بگیرند تا میزان ریسک حملاتی که هکرها ممکن است آن را Exploit کنند کاهش پیدا کند. تقویت DNS امری بسیار ضروری است، زیرا DNS در پالیسیهای تقویت خیلی زیاد نادیده گرفته میشود.
4. دانش نسبت به سیستمهای شناسایی
باید با برنامههای کاربردی نرمافزاری آشنا شویم که امکان ردیابی شبکه را برای هر فعالیت غیرعادی و احتمالاً مخرب فراهم میکند. دنبال کردن تمام ترافیک شبکه، فیلترینگ Packet، فایروالهای موجود و غیره درک بهتری از تمام فعالیتها در سیستمهای شرکت فراهم میکنند.
5. SIEM
SIEM یا مدیریت رخداد و اطلاعات امنیت نرمافزاری است که تجزیهوتحلیل Real-Time از رخدادهای امنیتی ارائه میدهد. این راهکار با قابلیت تجزیهوتحلیل دادهها بر اساس یک معیار بهخصوص، دادهها را از منابع خارجی جمعآوری میکند.
Blue Teamها درست مثل Red Teamها از ابزار مختلفی مثل Honeypotها، Sandboxها، شناسایی و پاسخ Endpoint یا EDR، شناسایی تهدید و SIEM استفاده میکنند. در ادامه به 5 مورد از محبوبترین ابزار Blue Team نگاه میکنیم:
- Splunk
- Ettercap
- MozDef
- SurfaceBrowser
- Cuckoo Sandbox
شاید افراد فکر کنند که باید بین Red Team و Blue Team، یکی را بر دیگری ترجیح دهند، اما حقیقت این است که زیرساخت امنیتی کامل و کارآمدی که برای هر حملهی سایبری آماده باشد فقط با همکاری این دو تیم ممکن میشود.
کل صنعت امنیت سایبری باید دانش بیشتری در مورد همکاری این دو تیم و یادگیری آنها از یکدیگر بدست آورد. شاید برخی از افراد نام این همکاری را Purple Team بگذارند، اما درواقع وحدت Red Team و Blue Team تنها راه رسیدن به امنیت سایبری حقیقی و کامل است.