تمرین Red Team/Blue Team یک تکنیک ارزیابی امنیت سایبری است که از حملات شبیهسازیشده استفاده میکند تا میزان قدرت قابلیتهای امنیتی سازمان را بسنجد و حوزههایی که نیاز به بهبود دارند را در محیطی با ریسک پایین شناسایی نماید.
این تمرینها که براساس تمرینهای آموزش نظامی طراحی شدهاند، مقابلهای بین دو تیم متشکل از افراد حرفهای آموزش دیده در امنیت سایبری هستند. این تیمها عبارتاند از: تیم قرمز یا Red Team که از روشهای مهاجمان در دنیای واقعی استفاده میکند تا محیط را دچار نقض امنیتی کند و تیم آبی یا Blue Team، متشکل از پاسخدهندگان به حادثه، که در یک واحد امنیتی کار میکنند تا نفوذها را شناسایی و ارزیابی کرده و به آنها پاسخ دهند.
شبیهسازیهای Red Team/Blue Team نقش مهمی را در دفاع از سازمان درمقابل گسترهی وسیعی از حملات سایبری از مهاجمان پیچیدهی امروز ایفا میکنند. این تمرینها به سازمانها کمک میکنند که به موارد زیر دست پیدا کنند:
- شناسایی نقاط آسیبپذیری مرتبط به افراد، تکنولوژیها و سیستمها
- شناسایی حوزههای بهبود در فرایندهای پاسخ به حادثهی تدافعی در هر مرحله از زنجیرهی کشتار (Kill Chain)
- ساخت تجربهی دست اول سازمان درمورد نحوهی شناسایی و کنترل یک حملهی هدفمند
- توسعهی فعالیتهای پاسخ و اصلاح برای بازگردانی محیط به وضعیت عملیات عادی
تیم قرمز (Red Team) چیست؟
در یک شبیهسازی امنیت سایبری Red Team/Blue Team، تیم قرمز بهعنوان یک مهاجم عمل میکند و سعی دارد که با استفاده از تکنیکهای پیچیدهی حمله، نقاط ضعف احتمالی در دفاع سایبری سازمان را شناسایی و از آنها سوءاستفاده کند. این تیمهای مهاجم معمولاً شامل متخصصان امنیتی مجرب یا هکرهای اخلاقی مستقل هستند که با تقلید از تکنیکها و روشهای حملات در دنیای واقعی روی تست نفوذ تمرکز میکنند.
تیم قرمز (Red Team) معمولاً از طریق سرقت اطلاعات اعتباری کاربران یا تکنیکهای مهندسی اجتماعی، دسترسی اولیه را به دست میآورد. وقتی که تیم قرمز وارد شبکه شد، سطح دسترسی خود را ارتقا داده و بهصورت جانبی (Laterally) در سیستمها حرکت میکند تا بتواند تا جای ممکن وارد عمق شبکه شده و درحالیکه از شناسایی شدن اجتناب میکند دادههایی را استخراج نماید.
Red Teaming چیست و چه کاربردی برای تیمهای امنیتی دارد؟
Red Teaming به اقدامی برای شناسایی سیستمیک و دقیق (اما اخلاقی) مسیر حمله گفته میشود که از طریق تکنیکهای حمله در دنیای واقعی، از دفاع امنیتی سازمان عبور میکند. با اتخاذ این رویکرد تهاجمی، دفاعهای سازمان برمبنای قابلیتهای نظری ابزار و سیستمهای امنیتی نیست، بلکه براساس عملکرد واقعی آنها در حضور تهدیدات دنیای واقعی است. Red Teaming یکی از اجزای حیاتی در ارزیابی دقیق قابلیتها و بلوغ شرکت در پیشگیری، شناسایی و اصلاح است.
Blue Team چیست؟
اگر Red Team نقش تهاجمی را ایفا کند، Blue Team نقش دفاعی دارد. معمولاً این گروه شامل مشاوران پاسخ به حادثه است که تیم امنیت IT را راهنمایی میکند که برای متوقف کردن انواع پیچیدهی حملات سایبری و تهدیدات چه بهبودهایی را انجام دهد. سپس تیم امنیت IT مسئول این است که از شبکهی داخلی در مقابل انواع مختلفی از ریسک محافظت کند.
درحالیکه بسیاری از سازمانها پیشگیری را استاندارد اصلی امنیت میدانند، در بین قابلیتهای دفاعی کلی، شناسایی و اصلاح نیز به همان اندازه اهمیت دارند. یکی از معیارهای کلیدی در سازمان، «Breakout Time» است، یعنی زمان حیاتی بین وقتی که یک مهاجم اولین ماشین را دچار نقض امنیتی میکند و زمانی که میتواند بهصورت جانبی وارد سیستمهای دیگر در شبکه شود.
قانون ۶۰-۱۰-۱ یعنی سازمانها باید بتوانند زیر یک دقیقه نفوذ را شناسایی کنند، ریسکهای آن را تا ۱۰ دقیقه ارزیابی نمایند و تا کمتر از یک ساعت مهاجم را بیرون کنند.
مزایای تمرینهای Red Team/Blue Team
اعمال یک استراتژی Red Team/Blue Team به سازمانها این توانایی را میدهد که دفاعها و تواناییهای سایبری خود را در محیطی با ریسک پایین تست کنند. با تعامل با این دو گروه، میتوان براساس نقاط ضعف و آسیبپذیریهای منحصربهفرد شرکت و همچنین آخرین تکنیکهای حملات در دنیای واقعی، بهطور مداوم استراتژی امنیتی سازمان را تکمیل کرد.
از طریق تمرینهای Red Team/Blue Team سازمان میتواند:
- پیکربندیهای اشتباه و شکافها در محصولات امنیتی موجود را شناسایی کند
- امنیت شبکه را تقویت نماید تا حملات هدفمند را شناسایی کرده و Breakout Time را بهبود ببخشد
- رقابتی سالم را بین پرسنل امنیتی ایجاد کند و همکاری را بین تیمهای IT و امنیتی تقویت نماید
- آگاهی در مورد ریسک آسیبپذیریهای انسانی را که ممکن است امنیت سازمان را از بین ببرد بین کارمندان افزایش دهد
- مهارتها و بلوغی را در قابلیتهای امنیتی سازمان، در چارچوب یک محیط ایمن با ریسک پایین بسازد.
تیم بنفش (Purple Team) چیست؟
گاهی اوقات، سازمانها یک تمرین Red Team/Blue Team را با منابع خارجی سازماندهی میکنند که کاملاً با تیمهای امنیتی داخلی همکاری نمینمایند. مثلاً مهاجمین دیجیتال که استخدام میشوند تا بخشی از تیم قرمز (Red Team) باشند، ممکن است تکنیکهای حملهی خود را با تیم آبی (Blue Team) به اشتراک نگذارند یا کاملاً نقاط ضعف زیرساخت امنیتی موجود را برای آنها شرح ندهند و این امر ممکن است باعث شود که در انتهای تمرین، شکافهایی باقی بماند.
تیمی که اصطلاحاً تیم بنفش یا Purple Team نام دارد، درواقع Red Team و Blue Teamی است که با یکدیگر همکاری میکنند. این تیمها اطلاعات و بینشها را با یکدیگر به اشتراک میگذارند تا امنیت کلی سازمان را بهبود ببخشند.
اگر هر دو تیم پس از هر تعامل توضیحات کاملی به تمام ذینفعها ندهند و گزارش دقیقی از تمام جوانب فعالیت از جمله تکنیکهای تست، نقاط دسترسی، آسیبپذیریها و دیگر اطلاعات بهخصوص ارائه ندهند که به سازمان کمک کند بهطور کارآمدی شکافها را پر کرده و دفاعهای خود را تقویت کند، تمرینهای Red Team/Blue Team ارزش قابلتوجهی نخواهند داشت. درنتیجه Purple Teaming با Red Team/Blue Team مترادف است.
در بخش دوم این مطلب، به بررسی مهارتهای مورد نیاز برای اعضای تیم قرمز و آبی خواهیم پرداخت.