در دنیای امنیت سایبری، استراتژیهای متنوعی وجود دارد که سازمانهای بزرگ و کوچک میتوانند از آنها برای محفاظت از شبکهها و دادههای خود در برابر حملات سایبری استفاده کنند. یکی از این استراتژیها شامل تست آسیبپذیریهای امنیتی در محیط سازمان است. اما از آنجایی که نقاط ضعف امنیتی شکلهای مختلفی دارند، وجود یک تیم امنیتی متمرکز جهت جستجوی آسیبپذیریها بهطور جامع و فراتر از ارزیابیهای ریسک ساده ضروریست. بخشی از این تیم امنیتی اختصاصی میتواند شامل تیم قرمز یا Red team باشد.
تیم قرمز یا Red Team چیست
تیمهای قرمز، چه داخلی و چه خارجی، مسئول اجرای حملات سایبری شبیهسازیشده روی سازمان خود (تیمهای قرمز داخلی) و یا روی سازمانهای دیگر (تیمهای قرمزی که بخشی از خدمات امنیتی خارجی و قراردادی هستند) بوده تا کارآمدی برنامههای امنیتی سازمان تثبیت شود. با اینکه تیم قرمز از ابزارها و تکنیکهای یکسانی با تستهای نفوذ یا «هک اخلاقی» استفاده میکند اما هدف آن متفاوت است. حملاتی که توسط تیمهای قرمز انجام میشود شبیهسازیهایی چندلایه هستند که طراحی شدهاند تا بسنجند که افراد، شبکهها، برنامههای کاربردی و امنیت فیزیکی یک شرکت چطور میتوانند یک حملهی حقیقی را شناسایی و درباره آن هشدار داده و به حمله پاسخ دهند.
تست تیم قرمز یا Testing Red Team چیست
تست تیم قرمز، شبیهسازی مهاجم[۱] یا Red Teaming هم نامیده میشود. در طول Red Teaming، متخصصان بسیار باتجربه، ظاهر یک مهاجم واقعی را به خود گرفته و تلاش میکنند که به دفاع سایبری یک سازمان نفوذ کنند. سناریوهای حملهای که اجرا میشوند، برای سنجش آسیبپذیریهای مختلف سازمان و شناسایی شکافهای کنترلهای امنیتی مربوط به پیشگیری، شناسایی و پاسخ، طراحی شدهاند. این حملات از گسترهی کاملی از ابزارها بهره میگیرند که در دسترس مصرترین مهاجمان قرار دارد، از جمله مهندسی اجتماعی و مسیرهای حملهی فیزیکی از ایمیلهای Phishing که با دقت ایجاد میشوند گرفته تا تلاشهای واقعی برای نقض امنیتی On-Site و بهدست آوردن دسترسی به اتاقهای سرور.
پیش از انجام ارزیابی، قوانین تعامل بین اعضای تیم قرمز یا Red Team و کوچکترین مجموعه شرکتکنندگان درون سازمان برای تست، تعیین میگردد. تعداد این افراد میتواند متفاوت باشد، اما معمولاً بیش از ۵ نفر در موقعیتهای کلیدی، برای مشاهدهی فعالیتهای شناسایی و پاسخ سازمان نیست. براساس قوانین تعامل، تیم قرمز یا Red Team میتواند در طول تمرین هر یک از بخشهای زیر یا همهی آنها را هدف قرار دهد:
- تکنولوژیهای دفاعی – برای مشخص کردن آسیبپذیریها و ریسکهای احتمالی در سیستمهای سختافزاری و نرمافزاری مثل شبکهها، برنامههای کاربردی، روترها، سوئیچها و تجهیزها.
- دفاع انسانی – معمولاً ضعیفترین بخش در سد دفاع سایبری سازمان است؛ تیم قرمز یا Red Team کارکنان، پیمانکاران مستقل، دپارتمانها و شرکای کسبوکار را هدف قرار میدهد تا اطمینان حاصل کند که همهی آنها تا جای ممکن ایمن هستند.
- دفاع فیزیکی – امنیت فیزیکی در دفاتر، انبارها، پستهای الکتریکی، دیتاسنترها و ساختمانها درست بهاندازه تکنولوژیهای دفاعی مهم هستند و درنتیجه باید دربرابر حملات حقیقی تست شوند. کاری مثل باز نگه داشتن یک درِ امنیتی برای یک فرد، بدون شناسایی او، میتواند شکافی را ایجاد کند که مهاجم برای دسترسی به سیستمهای غیرمجاز به آن نیاز دارد.
تست تیم قرمز یا Red Teaming از طریق این فرآیند به تیمهای امنیتی کمک میکند هر روزنه یا نقطه ضعفی که به مهاجم (چه داخلی و چه خارجی) فرصت دسترسی به سیستمهای شرکت و بروز نقض امنیتی داده میدهد را شناسایی نماید. مهمتر از همه، این کار شکافهایی را در قابلیتهای شناسایی و پاسخدهی سازمان پیدا میکند که قرار است چنین فعالیتهای مخربی را بهصورت روزانه شناسایی کرده و به آن پاسخ دهند.
Red Teaming برای چه سازمانهایی مناسب است
واقعیت تلخ چشمانداز امنیتی امروز این است که کسبوکارها با هر اندازهای میتوانند هدف حملات سایبری باشند و بسیاری از چارچوبهای تطبیقپذیری شامل پیشنهاداتی برای تست نفوذ هستند که وضعیت امنیتی سازمان را تست میکنند. بااینحال سازمانهایی که دارای یک برنامهی امنیت اطلاعات بالغ و فرایندهای مرتبط با مرکز عملیات امنیت یا SOC بوده و قصد ارزیابی آنها را دارند، بیشترین بهره را از یک Red Teaming خواهند برد. هرچند به دلیل عمق تستهایی که باید انجام پذیرد، Red Teaming میتواند فرایند پرهزینهای باشد. همچنین ارزش و اهمیت Red Teaming برای یک سازمان میتواند به ماهیت کسبوکار، ارزش دادهها یا مالکیت معنوی آن بستگی داشته باشد. طبعاً این امر برای سازمانهای بزرگتر توجیه بیشتری دارد.
مقایسه Red Teaming با تست نفوذ
تست نفوذ یا Pen Testing شبیه به Red Teaming است، اما با اهداف متفاوت. اگرچه دامنه مخصوص این دو تست با هم متفاوت است اما تست نفوذ یک حملهی سایبری شبیهسازیشده است، در مقابل مجموعهای از منابع شبکه، سیستم، برنامه کاربردی و افرادی که از منابع استفاده کرده و آنها را مدیریت میکنند، تا آسیبپذیریهایی که امکان سوءاستفاده دارند شناسایی شود. در مقابل، Red Teaming معمولاً شامل افراد، منابع و زمان بیشتری است و نسبت به تست نفوذ، جستجوی عمیقتری در لایههای دفاعی سازمان انجام میدهد. این امر به تیم اجازه میدهد که سطح حقیقی ریسک شرکت را بهطور کاملتری درک کرده و بهخصوص میزان کارآمدی و پوشش کنترلهای پیشگیری، شناسایی، پاسخدهی و فرایندهای عملیاتی برای مدیریت آنها را بسنجد. درنتیجه Red Teaming معمولاً توسط سازمانهایی با وضعیتهای امنیتی بالغتر انجام میشود.
از مزیتهای Red Teaming نسبت به تست نفوذ میتوان به موارد زیر اشاره کرد:
- تلاش برای فرار از شناسایی با استفاده از تکنیکهای مختلف
- توجه به اقداماتی که توسط مدیران امنیتی در پاسخ به تیم قرمز یا Red Team انجام میشود، مثلاً Sink-Holing یک آدرس IP.
- فراهم کردن پیشنهادات بهخصوص برای تنظیم کنترلهای شناسایی که در طول تمرین از آنها عبور شد.
مزایای تست تیم قرمز یا Red Teaming
همهی CISOها مشکلات مربوط به آگاهی از آخرین تهدیدات امنیتی، بروزرسانی لایه دفاعی سازمان و توجیه تخصیص به منابع امنیتی را درک میکنند. Red Teaming میتواند ابزار قدرتمندی در این فرایند باشد که به تیمهای امنیتی برای سنجش توانایی سازمان در شناسایی، پاسخدهی و پیشگیری از تهدیدات پیچیده و هدفدار کمک کرده، میزان شکافها در لایه دفاعی امنیتی موجود را سنجیده و در آینده فرایندهای امنیتی را بهبود بخشد.
این تست همچنین میتواند به تعریف یک مبنای امنیتی برای سنجش و ارزیابی منظم کمک کند. با توجه به رشد چشمانداز تهدیدات امنیت سایبری، تست تیم قرمز یا Red Teaming به سازمانها کمک میکند ریسکهای خود و احتمال رخ دادن حمله در مقابل داراییهای اطلاعاتی کسبوکار را شناسایی کنند.
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزهی ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات تیم قرمز است. جهت کسب اطلاعات بیشتر در زمینه خدمات تیم قرمز و یا استفاده از خدمات تیم قرمز شرکت امنپردازان کویر میتوانید با شماره ۰۲۱۴۲۲۷۳ تماس حاصل نمایید.
[۱] Adversary Simulation