نقش تیم‌های قرمز و آبی در سنجش قابلیت‌های امنیت سایبری سازمان – بخش دوم

در قسمت اول این مطلب، به معرفی تیم‌های قرمز، آبی و بنفش پرداختیم و و در خصوص نقش هر کدام از تیم‌‌ها، در بهبود قابلیت‌ها و وضعیت امنیتی سازمان صحبت کردیم. در این قسمت به بررسی مهارت‌های مورد نیاز برای اعضای هر کدام از تیم‌های قرمز و آبی می‌پردازیم.

مقایسه مهارت‌های تیم قرمز و تیم آبی

تیم قرمز (Red Team) چه مهارت‌هایی نیاز دارد

یک Red Team موفق باید از روش‌های غیرمتعارف استفاده کند و ذهنیت یک مهاجم پیچیده را به خود بگیرد تا به شبکه دسترسی پیدا کرده و بدون اینکه شناسایی شود در محیط پیش برود. اعضای تیم ایده‌آل برای گروه قرمز باید هم فنی و هم خلاق باشند و باید بتوانند از نقاط ضعف سیستم و نقاط ضعف انسانی سوءاستفاده نمایند. همچنین مهم است که Red Team با تاکتیک‌ها، تکنیک‌ها و فرایندهای (TTPهای) عوامل تهدید و ابزار و چارچوب‌های حمله‌ی امروزی مهاجمین آشنا باشد.

برای مثال یک نوجوان در فلوریدا اخیراً از تاکتیک Spear-Phishing و همچنین تکنیک‌های مهندسی اجتماعی استفاده کرد تا اطلاعات اعتباری کارمندان را به دست آورده و به سیستم‌های داخلی توییتر دسترسی پیدا کند که این امر منجر به نقض امنیتی بیش از ۱۰۰ حساب از افراد مشهور شد.

عضوی تیم قرمز (Red Team) باید دارای ویژگی‌های زیر باشد:

• آگاهی عمیقی از سیستم‌ها و پروتکل‌های رایانه‌ای و همچنین تکنیک‌ها، ابزار و حفاظ‌های امنیتی داشته باشد
• مهارت‌های قوی در توسعه‌ی نرم‌افزار جهت توسعه‌ی ابزاری سفارشی‌سازی‌شده برای دور زدن مکانیزم‌ها و اقدامات امنیتی متداول
• تجربه در تست نفوذ که می‌تواند به اکسپلویت کردن آسیب‌پذیری‌های متداول و اجتناب از فعالیت‌هایی که معمولاً مانیتور شده یا به‌سادگی قابل‌شناسایی هستند کمک کند
• مهارت‌های مهندسی اجتماعی که به اعضای تیم اجازه می‌دهد دیگران را فریب دهند تا اطلاعات اعتباری خود را به اشتراک بگذارند

تیم آبی (Blue Team) چه مهارت‌هایی نیاز دارد

بااینکه Blue Team معمولاً روی دفاع متمرکز است، بخش بزرگی از کار آن پیشگیرانه است. در حالت ایده‌ال پیش از اینکه ریسک‌ها به سازمان آسیب بزنند، این تیم آن‌ها را شناسایی و خنثی می‌کند. اما افزایش پیچیدگی حملات و مهاجمان باعث می‌شود که این کار حتی برای ماهرترین متخصصان امنیت سایبری هم نزدیک به غیرممکن باشد.

وظیفه‌ی تیم آبی پیشگیری، شناسایی و اصلاح به یک اندازه است. مهارت‌های متداول برای Blue Team شامل موارد زیر است:

• درک کاملی از استراتژی امنیتی سازمان در مورد افراد، ابزار و تکنولوژی‌ها داشته باشد
• داشتن مهارت‌های تجزیه‌و‌تحلیل جهت شناسایی دقیق خطرناک‌ترین تهدیدات و اولویت‌بندی پاسخ با توجه به آن‌ها
• تکنیک‌های تقویت جهت کاهش آسیب‌پذیری‌ها به‌خصوص در رابطه با Domain Name System یا DNS برای پیشگیری از حملات Phishing و دیگر تکنیک‌های نقض امنیتی مبتنی بر وب
• آگاهی کامل از ابزار و سیستم‌های شناسایی امنیتی موجود در سازمان و مکانیزم‌های هشداردهی آن‌ها

نحوه‌ی همکاری Red Team و Blue Team

سناریوهایی که در آن‌ها تمرین‌های Red Team/Blue Team مورد نیاز است

تمرین‌های Red Team/Blue Team بخشی حیاتی از هر استراتژی امنیتی کارآمد و قدرتمند هستند. در حالت ایدئال، این تمرین‌ها به سازمان کمک می‌کنند نقاط ضعف را در افراد، فرایندها و تکنولوژی‌های داخل شبکه شناسایی کنند و همچنین شکاف‌های امنیتی مثل Backdoorها و دیگر آسیب‌پذیری‌های دسترسی که شاید در معماری امنیتی وجود داشته باشد را مشخص می‌نمایند. این اطلاعات نهایتاً به مشتریان کمک می‌کند که سیستم‌های دفاعی خود را تقویت کنند و تیم‌های امنیتی خود را آموزش یا تمرین دهند تا پاسخ بهتری به تهدیدات ارائه نمایند.

ازآنجایی‌که بسیاری از نقض‌های امنیتی ماه‌ها یا حتی سال‌ها شناسایی نمی‌شوند، مهم است که تمرین‌های Red Team/Blue Team به‌صورت منظم اجرا گردد. تحقیقات نشان می‌دهد که مهاجمان به‌صورت میانگین ۱۹۷ روز پیش از اینکه شناسایی و حذف شوند، در محیط یک شبکه باقی می‌مانند. این امر کار را برای شرکت‌ها سخت‌تر می‌کند زیرا مهاجمان می‌توانند در این زمان Backdoorهایی را ایجاد کنند یا به شکل دیگری شبکه را تغییر دهند تا نقاط دسترسی جدیدی را ایجاد نمایند که در آینده مورد استفاده قرار بگیرد.

مثال‌هایی از تمرین‌های تیم قرمز (Red Team)

Red Teamها از انواعی از تکنیک‌ها و ابزار استفاده می‌کنند تا شکاف‌های درون معماری امنیتی را اکسپلویت نمایند. مثلاً با ایفای نقش یک هکر، عضوی از Red Team ممکن است Host را با بدافزارهایی آلوده کند که کنترل‌های امنیتی را غیرفعال می‌کنند یا از تکنیک‌های مهندسی اجتماعی برای سرقت اطلاعات اعتباری دسترسی استفاده نماید.

فعالیت‌های Red Team معمولاً چارچوب MITRE ATT&CK را دنبال می‌کند که پایگاه دانشی از تاکتیک‌ها و روش‌های مهاجمان براساس تجربه و رخدادها در دنیای واقعی است که به‌صورت جهانی قابل‌دسترسی می‌باشد. این چارچوب نقش یک زیربنا را برای توسعه‌ی قابلیت‌های پیشگیری، شناسایی و پاسخ فراهم می‌نماید که می‌توان آن را براساس نیازهای منحصربه‌فرد هر سازمان و توسعه‌های جدید در چشم‌انداز تهدید سفارشی‌سازی نمود.

نمونه‌ای از  فعالیت‌های تیم قرمز شامل موارد زیر است

• تست نفوذ که در آن اعضای Red Team سعی می‌کنند با استفاده از انواعی از تکنیک‌های مورد استفاده در دنیای واقعی به سیستم دسترسی پیدا کنند
• تاکتیک‌های مهندسی اجتماعی که هدف از آن فریب کارمندان است یا دیگر اعضای شبکه است تا اطلاعات اعتباری شبکه را به اشتراک بگذارند، افشا کنند یا ایجاد نمایند.
• قطع ارتباطات برای Map کردن شبکه یا به‌دست آوردن اطلاعات درمورد محیط جهت دور زدن تکنیک‌های امنیتی متداول
• Clone کردن کارت‌های دسترسی یک ادمین برای به‌دست آوردن امکان ورود به بخش‌های بدون محدودیت

مثال‌هایی از تمرین‌های تیم آبی (Blue Team)

Blue Team که نقش خط دفاع سازمان را برعهده دارد از ابزار، پروتکل‌ها، سیستم‌ها و منابع دیگری استفاده می‌کند تا از سازمان محافظت کرده و شکاف‌هایی را در قابلیت‌های شناسایی آن تشخیص دهد. محیط Blue Team باید نشان‌دهنده‌ی سیستم امنیتی کنونی سازمان باشد که ممکن است دارای ابزاری با پیکربندی اشتباه، نرم‌افزار‌های Patch نشده یا دیگر ریسک‌های شناخته‌شده یا ناشناس باشد.

نمونه‌ای از فعالیت‌های تیم آبی شامل موارد زیر است:

• اجرای تحقیقات DNS
• انجام تجزیه‌و‌تحلیل دیجیتال برای ایجاد مبنایی از فعالیت شبکه و پیدا کردن آسان‌تر فعالیت‌های غیرعادی یا مشکوک
• مرور، پیکربندی و مانیتورینگ نرم‌افزارهای امنیتی در محیط
• اطمینان حاصل کردن از اینکه روش‌های امنیتی Perimeter مثل فایروال‌ها، نرم‌افزار‌های آنتی‌ویروس و ضد بدافزار به‌درستی پیکربندی شده‌اند و به‌روز هستند
• اعمال حداقل سطح دسترسی به این معنا که سازمان پایین‌ترین سطح ممکن از دسترسی را به هر کاربر یا دستگاه می‌دهد تا در صورت وقوع یک نقض امنیتی، به محدود کردن حرکت جانبی در شبکه کمک کند
• بهره‌گیری از ریزبخش‌بندی (Microsegmentation)، یک تکنیک امنیتی که شامل تقسیم‌بندی Perimeterها