Red Teaming راهی است برای تست کردن امنیت از طریق شبیهسازی یک حملهی واقعی. با اینکه Red Teaming معمولاً با تست نفوذ اشتباه گرفته میشود، اما اهداف متفاوتی دارد و از روشهای متفاوتی نیز استفاده میکند که معمولاً شامل تست امنیت فیزیکی است. در این مقاله به تفاوتهای بین Red Teaming و تست نفوذ نگاه میکنیم تا بهتر بتوانیم برای انتخاب بهترین رویکرد تصمیمگیری کنیم.
تست امنیت خودکار برنامه کاربردی از ابتدا تاکنون مسیر زیادی را پیموده است، اما برای درک حقیقی وضعیت امنیتی یک سازمان، به تخصص انسانی نیاز است. به غیر از تست نفوذ که بخشی حیاتی از برنامهی امنیت سایبری هر سازمانی است، در سالهای اخیر حرفهای زیادی در مورد تیمهای قرمز و آبی شنیده میشود. اما ماجرا چیست؟ آیا Red Teaming صرفاً نام دیگری برای تست نفوذ است؟ بیایید ببینیم.
تست امنیتی چه اهدافی دارد
یک سازمان بسته به برنامهی امنیت اطلاعات خود، ممکن است انواع متفاوتی از تستهای امنیتی را برای اهداف مختلف استفاده کند. وظیفهی تستکنندهی نفوذ این است که از تمام ابزار قابلدسترسی استفاده کند تا تمام آسیبپذیریهای ممکن را در یک زمان بهخصوص و در یک زیرمجموعه از داراییها (معمولاً مجموعهای از IPها) پیدا کند. برای حداکثر پوشش، اکثر تستکنندهها شروع به اجرای یک اسکن آسیبپذیری خودکار روی هدف میکنند و سپس با استفاده از ابزار تست نفوذ دستی نقاط ضعف احتمالی را بررسی مینمایند.
اگر تست در مرحله پیدا کردن آسیبپذیریها متوقف شود، یک ارزیابی آسیبپذیری محسوب میشود. اگر پس از پیدا کردن آسیبپذیریها، تستکننده سعی کند از آسیبپذیریهای یافت شده استفاده کرده و آنها را با هم ترکیب کند تا به سیستمها نفوذ کرده و دادههای نمونهای را استخراج نماید، کار او یک تست نفوذ درست محسوب میشود. هدف هر دو مورد، شناسایی و گزارش دادن نقاط ضعف امنیتی برای پیشگیری از حملات سایبری در آینده است.
مشکل حملات حقیقی این است که از قواعد و محدودیتهای برنامههای تست امنیتی پیروی نمیکنند. مهاجمین از هر شیوه ممکن برای بهدست آوردن دسترسی استفاده میکنند و برای نقض امنیتی موفق، فقط به یک نقطهی ورودی نیاز دارند. تست نفوذ روی آسیبپذیریهای فنی تمرکز میکند، درنتیجه مستقیماً مشخص نمیکند که آیا سازمان نسبت به حمله آسیبپذیر است یا خیر. در اینجا است که تیم قرمز اهمیت پیدا میکند.
Red Teaming چگونه انجام میشود
Red Teaming رویکرد بسیار گستردهتری از تست نفوذ دارد که از روشهای مهاجمان واقعی برای ارزیابی امکان حمله توسط مهاجمان، استفاده میکند. چنین تستهایی معمولاً با ارزیابی کنترلهای امنیتی یک سازمان، هوش تهدیدات و فرایندهای پاسخ به حوادث ترکیب میشوند. این فرایند، شبیه به بازیهای شبیهساز میدان جنگ، تمرین تیم قرمز درمقابل تیم آبی نامگذاری شده است؛ در این تمرین تیم قرمز مهاجم محسوب شده و اعضای تیم آبی از سازمان دفاع میکنند.
اعضای تیم قرمز میتوانند کارکنانی از تیم امنیتی داخلی یا (ترجیحاً) متخصصان امنیتی تهاجمی خارجی باشند که دانش قبلی از سازمان ندارند. کار آنها این است که از سیستمهای دفاعی عبور کرده و از شناسایی شدن اجتناب کنند، حملهای را انجام دهند و دادههای حساس را بهعنوان مدرک ارائه نمایند.
بسته به بلوغ امنیت سایبری و الزامات تست سازمان، عملیات تیم قرمز میتواند محدود به حوزهی دیجیتال باشد یا شامل امنیت فیزیکی هم بشود. در یک تمرین تیم قرمز کامل و بدون محدودیت، ممکن است مهاجم به سراغ تکنیکهای مهندسی اجتماعی مثل فیشینگ و جعل هویت برود، همچنین ممکن است برای نقض امنیتی فیزیکی و امنیت شبکه از تجهیزات الکترونیکی مخصوصی استفاده کند.
انجام Read Teaming چه ریسکهایی دارد
به افراد تیم قرمز هدفی برای حمله مانند استخراج مالکیت معنوی یا اطلاعات مالی از سیستمهای شرکت داده میشود. عملیات تیم قرمز، برخلاف تست نفوذ بهطور مخفیانه انجام میشود تا کارکنان سازمان و سیستمهای امنیتی طوری واکنش نشان دهند که گویی حملهای واقعی رخ داده است. این امر نیازمند برنامهریزی دقیق و حمایت مالی اجرایی است تا واقعگرایی و امنیت به تعادل برسند؛ حمله نباید باعث اختلال در کسبوکار شود و اگر تیم تست دستگیر شد، باید از پیگرد قانونی مصون باشد. از آنجایی که ممکن است تیم قرمز قانون را زیر پا بگذارد، باید توافقات و سلب مسئولیتهای کتبی دقیق فراهم شوند.
بااینوجود همیشه ریسک حوادث غیرمنتظره وجود دارد، زیرا نمیتوان به کارکنان در مورد حمله اطلاعرسانی کرد و واکنشهای افراد میتواند غیرقابل پیشبینی باشد. ممکن است به امنیت فیزیکی توسط یک سازمان خارجی رسیدگی شود که با پلیس تماس بگیرد یا حتی پیش از خاموش شدن هشدار اقدامی خشونتآمیز انجام دهد. تمرینهای تیم قرمز میتوانند چندین هفته طول بکشند، درنتیجه ممکن است اسپانسر اجرایی تمرین در لحظهی مورد نظر در دسترس نباشد. همچنین ممکن است حمله موقتاً شبکه یا سیستم تشخیص نفوذ (IDS) شرکت را دچار قطعی کرده و باعث آسیبپذیری سازمان نسبت به حملات واقعی شود. هرچند این جنگ شبیهسازی شده است، اما احتمال رخ دادن مشکل وجود دارد.
آیا استفاده از Red Teaming لازم است
اگر این مسائل ترسناک بهنظر میرسند، دلیلش این است که واقعاً ترسناک هستند. Red Teaming برخلاف تست نفوذ برای همه نیست. برای انجام ارزیابی تیم قرمز بهصورت ایمن و دریافت حداکثر مزایای آن، سازمان باید تمهیدات امنیتی کافی داشته باشد و آمادهی مقابله با انواعی از عوامل تهدیدزا باشد.
بهعبارتدیگر، اگر سازمانی فکر میکند که رسوخ ناپذیر است، میتواند سفارش یک عملیات تیم قرمز را بدهد تا این گمان را بیازماید. اما اگر امنیت سازمان نقص دارد و سازمان میخواهد آن را بهبود بخشد، بهتر است با روشهای تست غیرتهاجمیتر شروع کند. پیش از تماس گرفتن با تستکنندههای نفوذ، شکارچیهای نقصهای امنیتی و تیمهای قرمز، میتوان با استفاده از یک ابزار DAST ساده و با کیفیت مثل Netsparker، امنیت برنامه کاربردی وب خود را چک کرد تا بسیاری از مشکلات حیاتی پیدا شده و رفع گردد.