نقش تیم‌های قرمز و آبی در سنجش قابلیت‌های امنیت سایبری سازمان – بخش اول

تمرین Red Team/Blue Team یک تکنیک ارزیابی امنیت سایبری است که از حملات شبیه‌سازی‌شده استفاده می‌کند تا میزان قدرت قابلیت‌های امنیتی سازمان را بسنجد و حوزه‌هایی که نیاز به بهبود دارند را در محیطی با ریسک پایین شناسایی نماید.

این تمرین‌ها که براساس تمرین‌های آموزش نظامی طراحی شده‌اند، مقابله‌ای بین دو تیم متشکل از افراد حرفه‌ای آموزش دیده در امنیت سایبری هستند. این تیم‌ها عبارت‌اند از: تیم قرمز یا Red Team که از روش‌های مهاجمان در دنیای واقعی استفاده می‌کند تا محیط را دچار نقض امنیتی کند و تیم آبی یا Blue Team، متشکل از پاسخ‌دهندگان به حادثه، که در یک واحد امنیتی کار می‌کنند تا نفوذها را شناسایی و ارزیابی کرده و به آن‌ها پاسخ دهند.

شبیه‌سازی‌های Red Team/Blue Team نقش مهمی را در دفاع از سازمان درمقابل گستره‌ی وسیعی از حملات سایبری از مهاجمان پیچیده‌ی امروز ایفا می‌کنند. این تمرین‌ها به سازمان‌ها کمک می‌کنند که به موارد زیر دست پیدا کنند:

• شناسایی نقاط آسیب‌پذیری مرتبط به افراد، تکنولوژی‌ها و سیستم‌ها
• شناسایی حوزه‌های بهبود در فرایندهای پاسخ به حادثه‌ی تدافعی در هر مرحله از زنجیره‌ی کشتار (Kill Chain)
• ساخت تجربه‌ی دست اول سازمان درمورد نحوه‌ی شناسایی و کنترل یک حمله‌ی هدفمند
• توسعه‌ی فعالیت‌های پاسخ و اصلاح برای بازگردانی محیط به وضعیت عملیات عادی

تیم قرمز (Red Team) چیست؟

در یک شبیه‌سازی امنیت سایبری Red Team/Blue Team، تیم قرمز به‌عنوان یک مهاجم عمل می‌کند و سعی دارد که با استفاده از تکنیک‌های پیچیده‌ی حمله، نقاط ضعف احتمالی در دفاع سایبری سازمان را شناسایی و از آن‌ها سوءاستفاده کند. این تیم‌های مهاجم معمولاً شامل متخصصان امنیتی مجرب یا هکرهای اخلاقی مستقل هستند که با تقلید از تکنیک‌ها و روش‌های حملات در دنیای واقعی روی تست نفوذ تمرکز می‌کنند.

تیم قرمز (Red Team) معمولاً از طریق سرقت اطلاعات اعتباری کاربران یا تکنیک‌های مهندسی اجتماعی، دسترسی اولیه را به دست می‌آورد. وقتی که تیم قرمز وارد شبکه شد، سطح دسترسی خود را ارتقا داده و به‌صورت جانبی (Laterally) در سیستم‌ها حرکت می‌کند تا بتواند تا جای ممکن وارد عمق شبکه شده و درحالی‌که از شناسایی شدن اجتناب می‌کند داده‌هایی را استخراج نماید.

Red Teaming چیست و چه کاربردی برای تیم‌های امنیتی دارد؟

Red Teaming به اقدامی برای شناسایی سیستمیک و دقیق (اما اخلاقی) مسیر حمله گفته می‌شود که از طریق تکنیک‌های حمله در دنیای واقعی، از دفاع امنیتی سازمان عبور می‌کند. با اتخاذ این رویکرد تهاجمی، دفاع‌های سازمان برمبنای قابلیت‌های نظری ابزار و سیستم‌های امنیتی نیست، بلکه براساس عملکرد واقعی آن‌ها در حضور تهدیدات دنیای واقعی است. Red Teaming یکی از اجزای حیاتی در ارزیابی دقیق قابلیت‌ها و بلوغ شرکت در پیشگیری، شناسایی و اصلاح است.

Blue Team چیست؟

اگر Red Team نقش تهاجمی را ایفا کند، Blue Team نقش دفاعی دارد. معمولاً این گروه شامل مشاوران پاسخ به حادثه است که تیم امنیت IT را راهنمایی می‌کند که برای متوقف کردن انواع پیچیده‌ی حملات سایبری و تهدیدات چه بهبودهایی را انجام دهد. سپس تیم امنیت IT مسئول این است که از شبکه‌ی داخلی در مقابل انواع مختلفی از ریسک محافظت کند.

درحالی‌که بسیاری از سازمان‌ها پیشگیری را استاندارد اصلی امنیت می‌دانند، در بین قابلیت‌های دفاعی کلی، شناسایی و اصلاح نیز به همان اندازه اهمیت دارند. یکی از معیارهای کلیدی در سازمان، «Breakout Time» است، یعنی زمان حیاتی‌ بین وقتی که یک مهاجم اولین ماشین را دچار نقض امنیتی می‌کند و زمانی که می‌تواند به‌صورت جانبی وارد سیستم‌های دیگر در شبکه شود.

قانون ۶۰-۱۰-۱  یعنی سازمان‌ها باید بتوانند زیر یک دقیقه نفوذ را شناسایی کنند، ریسک‌های آن را تا ۱۰ دقیقه ارزیابی نمایند و تا کمتر از یک ساعت مهاجم را بیرون کنند.

مزایای تمرین‌های Red Team/Blue Team

اعمال یک استراتژی Red Team/Blue Team به سازمان‌ها این توانایی را می‌دهد که دفاع‌ها و توانایی‌های سایبری خود را در محیطی با ریسک پایین تست کنند.  با تعامل با این دو گروه، می‌توان براساس نقاط ضعف و آسیب‌پذیری‌های منحصربه‌فرد شرکت و همچنین آخرین تکنیک‌های حملات در دنیای واقعی، به‌طور مداوم استراتژی امنیتی سازمان را تکمیل کرد.

از طریق تمرین‌های Red Team/Blue Team سازمان می‌تواند:

• پیکربندی‌های اشتباه و شکاف‌ها در محصولات امنیتی موجود را شناسایی کند
• امنیت شبکه را تقویت نماید تا حملات هدفمند را شناسایی کرده و Breakout Time را بهبود ببخشد
• رقابتی سالم را بین پرسنل امنیتی ایجاد کند و همکاری را بین تیم‌های IT و امنیتی تقویت نماید
• آگاهی در مورد ریسک آسیب‌پذیری‌های انسانی را که ممکن است امنیت سازمان را از بین ببرد بین کارمندان افزایش دهد
• مهارت‌ها و بلوغی را در قابلیت‌های امنیتی سازمان، در چارچوب یک محیط ایمن با ریسک پایین بسازد.

تیم بنفش (Purple Team) چیست؟

گاهی اوقات، سازمان‌ها یک تمرین Red Team/Blue Team را با منابع خارجی سازمان‌دهی می‌کنند که کاملاً با تیم‌های امنیتی داخلی همکاری نمی‌نمایند. مثلاً مهاجمین دیجیتال که استخدام می‌شوند تا بخشی از تیم قرمز (Red Team) باشند، ممکن است تکنیک‌های حمله‌ی خود را با تیم آبی (Blue Team) به اشتراک نگذارند یا کاملاً نقاط ضعف زیرساخت امنیتی موجود را برای آن‌ها شرح ندهند و این امر ممکن است باعث شود که در انتهای تمرین، شکاف‌هایی باقی بماند.

تیمی که اصطلاحاً تیم بنفش یا Purple Team نام دارد، درواقع Red Team و Blue Teamی است که با یکدیگر همکاری می‌کنند. این تیم‌ها اطلاعات و بینش‌ها را با یکدیگر به اشتراک می‌گذارند تا امنیت کلی سازمان را بهبود ببخشند.

اگر هر دو تیم پس از هر تعامل توضیحات کاملی به تمام ذینفع‌ها ندهند و گزارش‌ دقیقی از تمام جوانب فعالیت از جمله تکنیک‌های تست، نقاط دسترسی، آسیب‌پذیری‌ها و دیگر اطلاعات به‌خصوص ارائه ندهند که به سازمان کمک کند به‌طور کارآمدی شکاف‌ها را پر کرده و دفاع‌های خود را تقویت کند، تمرین‌های Red Team/Blue Team ارزش قابل‌توجهی نخواهند داشت. درنتیجه Purple Teaming با Red Team/Blue Team مترادف است.

در بخش دوم این مطلب، به بررسی مهارت‌های مورد نیاز برای اعضای تیم قرمز و آبی خواهیم پرداخت.