با بهکارگیری تمرینات تیم قرمز میتوان از حملات شبیهسازی شدهی کنترلشده و واقعبینانه برای آمادهسازی تیم امنیت داخلی یا مرکز عملیات امنیت (SOC) استفاده کرد. این تمرینات از ابزارها و تکنیکهای متنوعی مانند تستهای نفوذ سنتی و غیرسنتی، فیشینگ، Payloadهای باجافزاری شبیهسازی شده، جستجو در زبالهها[۲]، مهندسی اجتماعی و … در یک محدودهی زمانی واقعبینانه استفاده کرده و به سازمانها در حصول اطمینان از توانایی تشخیص جدیدترین حملات سایبری و پاسخدهی به این حملات کمک میکنند. در ادامه این مطلب، پس از معرفی خدمات تیم قرمز به عنوان مفهومی فراتر ازتست نفوذ، انواع خدمات تیم قرمز را بررسی میکنیم. سپس، برخی سناریوهای قابل بهکارگیری در خدمات تیم قرمز را معرفی کرده و به بررسی قسمتهای پوششیافته در استفاده از خدمات تیم قرمز میپردازیم. در خاتمه، روال طراحی و بهکارگیری یک خدمت تیم قرمز را بیان میکنیم.
تست نفوذ مدرن
تمرینات تیم قرمز، با ترکیب مولفههایی از مهندسی اجتماعی و تست نفوذ، بینشی از وقایع رخ داده در یک حملهی واقعی بر روی محیط ارائه میدهند. با استفاده از خدمات تیم قرمز میتوان آمادگی و اثربخشی کنترلهای امنیتی، آگاهی، تشخیص حادثه و قابلیت پاسخگویی را ارزیابی کرد.
تفاوت تمرینهای تیم قرمز با تستهای نفوذ کلاسیک از این جهت است که در آن از ابزارها و تکنیکهایی استفاده میشود که اغلب خارج از گسترهی اغلب تستهای نفوذ است. این ابزارها و تکنیکها شامل فیشینگ، Payloadهای باجافزار شبیهسازی شده، جستجو در زبالهها[۳]، مهندسی اجتماعی و … میباشد. این سطح گسترده از درگیر کردن کاربر، در یک دورهی زمانی با محدودیت کمتر صورت گرفته و امکان بررسی کامل کارکنان و شبکهی یک سازمان را فراهم میکند.
در تمرینات تیم قرمز میتوان با ایجاد سناریوهای متفاوتی از حمله به تقلید انواع تهدیدگران پرداخته و با بهکارگیری تکنیکهای سنتی و غیرسنتی، مقاومت سازمانها در برابر نفوذ، استخراج غیرقانونی داده[۴]، جعل، حملات داخلی، جاسوسی سازمانی و بهمخاطرهافتادگی فیزیکی را بررسی کرد.
بهکارگیری خدمات تیم قرمز مزایای زیر را برای سازمانها به ارمغان میآورد:
- تجربه، ارزیابی و برطرف نمودن نشت[۵] امنیتی در یک محیط کنترل شده
- شناسایی حیاتیترین داراییها و آسیب پذیریها و محافظت از آنها
- کاهش زمان پاسخگویی به وقایع و رخدادها
انواع خدمات ارائه شده توسط تیم قرمز
به طور کلی میتوان تمرینهای تیم قرمز را به دو دسته تقسیم کرد:
- شبیهسازی با کمک کارشناسان سازمان: در این سرویس، سناریوهای آزمایش و تمرین، در یک اتاق و با حضور ذینفعان به کار گرفته میشود. از آنجایی که این تمرینها به صورت تئوری هستند، میتوان با استفاده از آنها به آزمایش انواع زیادی از سناریوهای حمله بدون هیچ تاثیر عملیاتی پرداخت.
- حملات مستقیم: شامل سناریوهایی میشود که در آن تنها افراد کمی از افراد از مورد حمله قرار گرفتن سازمان مطلع هستند. در این سناریوها، میتوان عکسالعملها و پاسخها را به صورت واقعیتر مشاهده و بررسی نمود. این نوع سناریوها را میتوان برای پوشش برد وسیعی از اهداف مشخص یا کلی سفارشیسازی کرد.
نمونههایی از سناریوهای مورد استفاده در خدمات تیم قرمز
طیف وسیعی از حملات مشاهده شده در رخدادهای دنیای واقعی را میتوان در خدمات تیم قرمز شبیهسازی نمود. در ادامه برخی از این موارد ذکر میشود:
- حملهی منع سرویس توزیعشده: شبیهسازی حملهی DDoS شامل پاسخگویی امنیتی و هماهنگسازی مابین تیمهای مختلف عملیاتی
- تهدیدات پیشرفته[۶] (APT): نفوذهای APT شبیهسازی شده شامل تشخیص حادثه، پاسخگویی، تجزیه و تحلیل بدافزار، تواناییهای بازرسی امنیتی[۷] و نظارت بر جعل[۸]
- مهندسی اجتماعی: بهکارگیری مجموعهای از حملات با هدف سرقت اطلاعات محرمانه کارکنان یا دستیابی فیزیکی به محلها و داراییهای دیجیتال
- استخراج غیرقانونی داده: بهکارگیری مجموعه متنوعی از روشها و سناریوهای پایهای و پیچیده برای انتقال داده به بیرون از شبکهی سازمان
- حملات ترکیبی: ترکیب تمام موارد فوق برای مشاهده میزان مقاومت محیط و فرهنگ امنیت در سازمان
- محدودهی زمانی و مدت: تستهای نفوذ معمولا در یک بازهی زمانی محدود و بسیار مشخص صورت میگیرند اما در عمل حملهکنندگان با چنین محدودیتهایی مواجه نیستند. در سناریوهای ایجادشده، با تصادفیسازی فرایند تست روی مدت زمانی از پیش تعیینشده، نتایج جامعتری نسبت به زمان بهکارگیری روشهای تست نفوذ به دست میآید.
پوشش کامل سازمان
تمرینهای تیم قرمز برای تمرین و تقویت آگاهی امنیتی و ارتباطات بین تیمها و شناسایی نواقص احتمالی انجام شده و با در نظر گرفتن سه جنبهی امنیتی زیر، سازمان را به طور کامل پوشش میدهند:
- هوشیاری فرهنگی/افراد: بررسی میزان آگاهی کارکنان از روشهای مهندسی اجتماعی و کنترلهای امنیتی فیزیکی از قبیل گیتها، قفلها، سنسورها و غیره
- تکنولوژی/داراییها و کنترلها: بررسی داراییهای تکنولوژی موجود و یا برنامهریزی شده، سیستمها، پیکرهبندیها و آسیبپذیریها
- فرایندها/پاسخ امنیتی: بررسی اتفاقات رخ داده در یک حمله، نحوهی پاسخگویی تیمهای سازمان به یک حمله و هماهنگسازی و همکاری آنها با دیگر تیمها برای محدود کردن یک حادثه
مراحل تعامل و دستآوردها
به طور معمول، بهکارگیری خدمات تیم قرمز شامل مراحل زیر است:
- مصاحبه با ذینفعان: تعریف و تعیین اهداف خلاصه وضعیت و اهداف تمرینی با همکاری ذینفعان
- سفارشیسازی تمرین تیم قرمز: طراحی، توسعه و مستندسازی یک سناریو یا تهدید شخصیسازی شده با توجه به خروجی مرحلهی قبل
- اجرای تمرین(های) تیم قرمز: اجرای تمرین(های) ایجاد شده در مرحله قبل و ایجاد گزارش نهایی شامل تمامی یافتهها و توصیهها
- ارائه نتایج نهایی: بررسی خلاصهی نتایج با مدیریت و ذینفعان به همراه ارائه توضیحات تفصیلی خروجیها و یافتهها
سخن آخر
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزهی ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات تیم قرمز است. جهت کسب اطلاعات بیشتر در زمینه خدمات تیم قرمز و یا استفاده از خدمات تیم قرمز شرکت امنپردازان کویر میتوانید با شماره ۰۲۱۴۲۲۳۸۰۰۰ تماس حاصل نمایید.
[۱] Red team
[۲] Dumpster diving
[۳] Dumpster diving
[۴] data exfiltration
[۵] Breach
[۶] Advanced Persistent Threat
[۷] Forensics
[۸] Fraud monitoring