مقایسه کاربردها و تفاوت‌های بین Red Teaming و تست نفوذ

Red Teaming راهی است برای تست کردن امنیت از طریق شبیه‌سازی یک حمله‌ی واقعی. با اینکه Red Teaming معمولاً با تست نفوذ اشتباه گرفته می‌شود، اما اهداف متفاوتی دارد و از روش‌های متفاوتی نیز استفاده می‌کند که معمولاً شامل تست امنیت فیزیکی است. در این مقاله به تفاوت‌های بین Red Teaming و تست نفوذ نگاه می‌کنیم تا بهتر بتوانیم برای انتخاب بهترین رویکرد تصمیم‌گیری کنیم.

تست امنیت خودکار برنامه کاربردی از ابتدا تاکنون مسیر زیادی را پیموده است، اما برای درک حقیقی وضعیت امنیتی یک سازمان، به تخصص انسانی نیاز است. به غیر از تست نفوذ که بخشی حیاتی از برنامه‌ی امنیت سایبری هر سازمانی است، در سال‌های اخیر حرف‌های زیادی در مورد تیم‌های قرمز و آبی شنیده می‌شود. اما ماجرا چیست؟ آیا Red Teaming صرفاً نام دیگری برای تست نفوذ است؟ بیایید ببینیم.

 تست امنیتی چه اهدافی دارد

یک سازمان بسته به برنامه‌ی امنیت اطلاعات خود، ممکن است انواع متفاوتی از تست‌های امنیتی را برای اهداف مختلف استفاده کند. وظیفه‌ی تست‌کننده‌ی نفوذ این است که از تمام ابزار قابل‌دسترسی استفاده کند تا تمام آسیب‌پذیری‌های ممکن را در یک زمان به‌خصوص و در یک زیرمجموعه از دارایی‌ها (معمولاً مجموعه‌ای از IPها) پیدا کند. برای حداکثر پوشش، اکثر تست‌کننده‌ها شروع به اجرای یک اسکن آسیب‌پذیری خودکار روی هدف می‌کنند و سپس با استفاده از ابزار تست نفوذ دستی نقاط ضعف احتمالی را بررسی می‌نمایند.

اگر تست در مرحله پیدا کردن آسیب‌پذیری‌ها متوقف شود، یک ارزیابی آسیب‌پذیری محسوب می‌شود. اگر پس از پیدا کردن آسیب‌پذیری‌ها، تست‌کننده سعی کند از آسیب‌پذیری‌های یافت شده استفاده کرده و آن‌ها را با هم ترکیب کند تا به سیستم‌ها نفوذ کرده و داده‌های نمونه‌ای را استخراج نماید، کار او یک تست نفوذ درست محسوب می‌شود. هدف هر دو مورد، شناسایی و گزارش دادن نقاط ضعف امنیتی برای پیشگیری از حملات سایبری در آینده است.

مشکل حملات حقیقی این است که از قواعد و محدودیت‌های برنامه‌های تست امنیتی پیروی نمی‌کنند. مهاجمین از هر شیوه‌ ممکن برای به‌دست آوردن دسترسی استفاده می‌کنند و برای نقض امنیتی موفق، فقط به یک نقطه‌ی ورودی نیاز دارند. تست نفوذ روی آسیب‌پذیری‌های فنی تمرکز می‌کند، درنتیجه مستقیماً مشخص نمی‌کند که آیا سازمان نسبت به حمله آسیب‌پذیر است یا خیر. در اینجا است که تیم قرمز اهمیت پیدا می‌کند.

Red Teaming چگونه انجام می‌شود

Red Teaming رویکرد بسیار گسترده‌تری از تست نفوذ دارد که از روش‌های مهاجمان واقعی برای ارزیابی امکان حمله توسط مهاجمان، استفاده می‌کند. چنین تست‌هایی معمولاً با ارزیابی کنترل‌های امنیتی یک سازمان، هوش تهدیدات و فرایندهای پاسخ به حوادث ترکیب می‌شوند. این فرایند، شبیه به بازی‌های شبیه‌ساز میدان جنگ، تمرین تیم قرمز درمقابل تیم آبی نام‌گذاری شده است؛ در این تمرین تیم قرمز مهاجم محسوب شده و اعضای تیم آبی از سازمان دفاع می‌کنند.

اعضای تیم قرمز می‌توانند کارکنانی از تیم امنیتی داخلی یا (ترجیحاً) متخصصان امنیتی تهاجمی خارجی باشند که دانش قبلی از سازمان ندارند. کار آن‌ها این است که از سیستم‌های دفاعی عبور کرده و از شناسایی شدن اجتناب کنند، حمله‌ای را انجام دهند و داده‌های حساس را به‌عنوان مدرک ارائه نمایند.

بسته به بلوغ امنیت سایبری و الزامات تست سازمان، عملیات تیم قرمز می‌تواند محدود به حوزه‌ی دیجیتال باشد یا شامل امنیت فیزیکی هم بشود. در یک تمرین تیم قرمز کامل و بدون محدودیت، ممکن است مهاجم به سراغ تکنیک‌های مهندسی اجتماعی مثل فیشینگ و جعل هویت برود، همچنین ممکن است برای نقض امنیتی فیزیکی و امنیت شبکه از تجهیزات الکترونیکی مخصوصی استفاده کند.

انجام Read Teaming چه ریسک‌هایی دارد

به افراد تیم قرمز هدفی برای حمله مانند استخراج مالکیت معنوی یا اطلاعات مالی از سیستم‌های شرکت داده می‌شود. عملیات تیم قرمز، برخلاف تست نفوذ به‌طور مخفیانه انجام می‌شود تا کارکنان سازمان و سیستم‌های امنیتی طوری واکنش نشان دهند که گویی حمله‌ای واقعی رخ داده است. این امر نیازمند برنامه‌ریزی دقیق و حمایت مالی اجرایی است تا واقع‌گرایی و امنیت به تعادل برسند؛ حمله نباید باعث اختلال در کسب‌و‌کار شود و اگر تیم تست دستگیر شد، باید از پیگرد قانونی مصون باشد. از آن‌جایی که ممکن است تیم قرمز قانون را زیر پا بگذارد، باید توافقات و سلب مسئولیت‌های کتبی دقیق فراهم شوند.

بااین‌وجود همیشه ریسک حوادث غیرمنتظره وجود دارد، زیرا نمی‌توان به کارکنان در مورد حمله اطلاع‌رسانی کرد و واکنش‌های افراد می‌تواند غیرقابل پیش‌بینی باشد. ممکن است به امنیت فیزیکی توسط یک سازمان خارجی رسیدگی شود که با پلیس تماس بگیرد یا حتی پیش از خاموش شدن هشدار اقدامی خشونت‌آمیز انجام دهد. تمرین‌های تیم قرمز می‌توانند چندین هفته طول بکشند، درنتیجه ممکن است اسپانسر اجرایی تمرین در لحظه‌ی مورد نظر در دسترس نباشد. همچنین ممکن است حمله موقتاً شبکه یا سیستم تشخیص نفوذ (IDS) شرکت را دچار قطعی کرده و باعث آسیب‌پذیری سازمان نسبت به حملات واقعی شود. هرچند این جنگ شبیه‌سازی شده است، اما احتمال رخ دادن مشکل وجود دارد.

آیا استفاده از Red Teaming لازم است

اگر این مسائل ترسناک به‌نظر می‌رسند، دلیلش این است که واقعاً ترسناک هستند. Red Teaming برخلاف تست نفوذ برای همه نیست. برای انجام ارزیابی تیم قرمز به‌صورت ایمن و دریافت حداکثر مزایای آن، سازمان باید تمهیدات امنیتی کافی داشته باشد و آماده‌ی مقابله با انواعی از عوامل تهدید‌زا باشد.

به‌عبارت‌دیگر، اگر سازمانی فکر می‌کند که رسوخ ناپذیر است، می‌تواند سفارش یک عملیات تیم قرمز را بدهد تا این گمان را بیازماید. اما اگر امنیت سازمان نقص دارد و سازمان می‌خواهد آن را بهبود بخشد، بهتر است با روش‌های تست غیرتهاجمی‌تر شروع کند. پیش از تماس گرفتن با تست‌کننده‌های نفوذ، شکارچی‌های نقص‌های امنیتی و تیم‌های قرمز، می‌توان با استفاده از یک ابزار DAST ساده و با کیفیت مثل Netsparker، امنیت برنامه کاربردی وب خود را چک کرد تا بسیاری از مشکلات حیاتی پیدا شده و رفع گردد.