در قسمت اول این مطلب، به معرفی تیمهای قرمز، آبی و بنفش پرداختیم و و در خصوص نقش هر کدام از تیمها، در بهبود قابلیتها و وضعیت امنیتی سازمان صحبت کردیم. در این قسمت به بررسی مهارتهای مورد نیاز برای اعضای هر کدام از تیمهای قرمز و آبی میپردازیم.
مقایسه مهارتهای تیم قرمز و تیم آبی
تیم قرمز (Red Team) چه مهارتهایی نیاز دارد
یک Red Team موفق باید از روشهای غیرمتعارف استفاده کند و ذهنیت یک مهاجم پیچیده را به خود بگیرد تا به شبکه دسترسی پیدا کرده و بدون اینکه شناسایی شود در محیط پیش برود. اعضای تیم ایدهآل برای گروه قرمز باید هم فنی و هم خلاق باشند و باید بتوانند از نقاط ضعف سیستم و نقاط ضعف انسانی سوءاستفاده نمایند. همچنین مهم است که Red Team با تاکتیکها، تکنیکها و فرایندهای (TTPهای) عوامل تهدید و ابزار و چارچوبهای حملهی امروزی مهاجمین آشنا باشد.
برای مثال یک نوجوان در فلوریدا اخیراً از تاکتیک Spear-Phishing و همچنین تکنیکهای مهندسی اجتماعی استفاده کرد تا اطلاعات اعتباری کارمندان را به دست آورده و به سیستمهای داخلی توییتر دسترسی پیدا کند که این امر منجر به نقض امنیتی بیش از ۱۰۰ حساب از افراد مشهور شد.
عضوی تیم قرمز (Red Team) باید دارای ویژگیهای زیر باشد:
- آگاهی عمیقی از سیستمها و پروتکلهای رایانهای و همچنین تکنیکها، ابزار و حفاظهای امنیتی داشته باشد
- مهارتهای قوی در توسعهی نرمافزار جهت توسعهی ابزاری سفارشیسازیشده برای دور زدن مکانیزمها و اقدامات امنیتی متداول
- تجربه در تست نفوذ که میتواند به اکسپلویت کردن آسیبپذیریهای متداول و اجتناب از فعالیتهایی که معمولاً مانیتور شده یا بهسادگی قابلشناسایی هستند کمک کند
- مهارتهای مهندسی اجتماعی که به اعضای تیم اجازه میدهد دیگران را فریب دهند تا اطلاعات اعتباری خود را به اشتراک بگذارند
تیم آبی (Blue Team) چه مهارتهایی نیاز دارد
بااینکه Blue Team معمولاً روی دفاع متمرکز است، بخش بزرگی از کار آن پیشگیرانه است. در حالت ایدهال پیش از اینکه ریسکها به سازمان آسیب بزنند، این تیم آنها را شناسایی و خنثی میکند. اما افزایش پیچیدگی حملات و مهاجمان باعث میشود که این کار حتی برای ماهرترین متخصصان امنیت سایبری هم نزدیک به غیرممکن باشد.
وظیفهی تیم آبی پیشگیری، شناسایی و اصلاح به یک اندازه است. مهارتهای متداول برای Blue Team شامل موارد زیر است:
- درک کاملی از استراتژی امنیتی سازمان در مورد افراد، ابزار و تکنولوژیها داشته باشد
- داشتن مهارتهای تجزیهوتحلیل جهت شناسایی دقیق خطرناکترین تهدیدات و اولویتبندی پاسخ با توجه به آنها
- تکنیکهای تقویت جهت کاهش آسیبپذیریها بهخصوص در رابطه با Domain Name System یا DNS برای پیشگیری از حملات Phishing و دیگر تکنیکهای نقض امنیتی مبتنی بر وب
- آگاهی کامل از ابزار و سیستمهای شناسایی امنیتی موجود در سازمان و مکانیزمهای هشداردهی آنها
نحوهی همکاری Red Team و Blue Team
سناریوهایی که در آنها تمرینهای Red Team/Blue Team مورد نیاز است
تمرینهای Red Team/Blue Team بخشی حیاتی از هر استراتژی امنیتی کارآمد و قدرتمند هستند. در حالت ایدئال، این تمرینها به سازمان کمک میکنند نقاط ضعف را در افراد، فرایندها و تکنولوژیهای داخل شبکه شناسایی کنند و همچنین شکافهای امنیتی مثل Backdoorها و دیگر آسیبپذیریهای دسترسی که شاید در معماری امنیتی وجود داشته باشد را مشخص مینمایند. این اطلاعات نهایتاً به مشتریان کمک میکند که سیستمهای دفاعی خود را تقویت کنند و تیمهای امنیتی خود را آموزش یا تمرین دهند تا پاسخ بهتری به تهدیدات ارائه نمایند.
ازآنجاییکه بسیاری از نقضهای امنیتی ماهها یا حتی سالها شناسایی نمیشوند، مهم است که تمرینهای Red Team/Blue Team بهصورت منظم اجرا گردد. تحقیقات نشان میدهد که مهاجمان بهصورت میانگین ۱۹۷ روز پیش از اینکه شناسایی و حذف شوند، در محیط یک شبکه باقی میمانند. این امر کار را برای شرکتها سختتر میکند زیرا مهاجمان میتوانند در این زمان Backdoorهایی را ایجاد کنند یا به شکل دیگری شبکه را تغییر دهند تا نقاط دسترسی جدیدی را ایجاد نمایند که در آینده مورد استفاده قرار بگیرد.
مثالهایی از تمرینهای تیم قرمز (Red Team)
Red Teamها از انواعی از تکنیکها و ابزار استفاده میکنند تا شکافهای درون معماری امنیتی را اکسپلویت نمایند. مثلاً با ایفای نقش یک هکر، عضوی از Red Team ممکن است Host را با بدافزارهایی آلوده کند که کنترلهای امنیتی را غیرفعال میکنند یا از تکنیکهای مهندسی اجتماعی برای سرقت اطلاعات اعتباری دسترسی استفاده نماید.
فعالیتهای Red Team معمولاً چارچوب MITRE ATT&CK را دنبال میکند که پایگاه دانشی از تاکتیکها و روشهای مهاجمان براساس تجربه و رخدادها در دنیای واقعی است که بهصورت جهانی قابلدسترسی میباشد. این چارچوب نقش یک زیربنا را برای توسعهی قابلیتهای پیشگیری، شناسایی و پاسخ فراهم مینماید که میتوان آن را براساس نیازهای منحصربهفرد هر سازمان و توسعههای جدید در چشمانداز تهدید سفارشیسازی نمود.
نمونهای از فعالیتهای تیم قرمز شامل موارد زیر است
- تست نفوذ که در آن اعضای Red Team سعی میکنند با استفاده از انواعی از تکنیکهای مورد استفاده در دنیای واقعی به سیستم دسترسی پیدا کنند
- تاکتیکهای مهندسی اجتماعی که هدف از آن فریب کارمندان است یا دیگر اعضای شبکه است تا اطلاعات اعتباری شبکه را به اشتراک بگذارند، افشا کنند یا ایجاد نمایند.
- قطع ارتباطات برای Map کردن شبکه یا بهدست آوردن اطلاعات درمورد محیط جهت دور زدن تکنیکهای امنیتی متداول
- Clone کردن کارتهای دسترسی یک ادمین برای بهدست آوردن امکان ورود به بخشهای بدون محدودیت
مثالهایی از تمرینهای تیم آبی (Blue Team)
Blue Team که نقش خط دفاع سازمان را برعهده دارد از ابزار، پروتکلها، سیستمها و منابع دیگری استفاده میکند تا از سازمان محافظت کرده و شکافهایی را در قابلیتهای شناسایی آن تشخیص دهد. محیط Blue Team باید نشاندهندهی سیستم امنیتی کنونی سازمان باشد که ممکن است دارای ابزاری با پیکربندی اشتباه، نرمافزارهای Patch نشده یا دیگر ریسکهای شناختهشده یا ناشناس باشد.
نمونهای از فعالیتهای تیم آبی شامل موارد زیر است:
- اجرای تحقیقات DNS
- انجام تجزیهوتحلیل دیجیتال برای ایجاد مبنایی از فعالیت شبکه و پیدا کردن آسانتر فعالیتهای غیرعادی یا مشکوک
- مرور، پیکربندی و مانیتورینگ نرمافزارهای امنیتی در محیط
- اطمینان حاصل کردن از اینکه روشهای امنیتی Perimeter مثل فایروالها، نرمافزارهای آنتیویروس و ضد بدافزار بهدرستی پیکربندی شدهاند و بهروز هستند
- اعمال حداقل سطح دسترسی به این معنا که سازمان پایینترین سطح ممکن از دسترسی را به هر کاربر یا دستگاه میدهد تا در صورت وقوع یک نقض امنیتی، به محدود کردن حرکت جانبی در شبکه کمک کند
- بهرهگیری از ریزبخشبندی (Microsegmentation)، یک تکنیک امنیتی که شامل تقسیمبندی Perimeterها