تیمهای قرمز متخصصان امنیتی تهاجمی هستند که در حمله به سیستمها و نفوذ به سیستم دفاعی متخصص هستند. تیمهای آبی متخصصان امنیتی دفاعی هستند که مسئول حفظ سیستم دفاعی شبکه داخلی در برابر تمام حملات و تهدیدات سایبری هستند. تیمهای قرمز حملات علیه تیمهای آبی را شبیهسازی میکنند تا اثربخشی امنیت شبکه را آزمایش کنند. این تمرینهای تیمی قرمز و آبی یک راهحل امنیتی جامع را ارائه میکند که ضمن در نظر گرفتن تهدیدات در حال تحول، دفاع قوی را تضمین میکند. در مقایسه با تست نفوذ، تیم قرمز از نظر فنی پیچیدهتر است، زمان بیشتری را میطلبد، و تمرین دقیقتری برای آزمایش قابلیتهای پاسخ سازمان و اقدامات امنیتی است که آنها در اختیار دارند. هدف تیم قرمز بهبود تضمین اطلاعات سازمانی با نشان دادن تأثیرات حملات موفقیت آمیز و با نشان دادن آنچه برای مدافعان (یعنی تیم آبی) در یک محیط عملیاتی کار میکند، است.
یک تیم قرمز متشکل از متخصصان امنیتی است که به عنوان دشمن برای غلبه بر کنترلهای امنیت سایبری عمل میکنند. تیم های قرمز اغلب متشکل از هکرهای اخلاقی مستقلی هستند که امنیت سیستم را به شیوهای عینی ارزیابی میکنند.
آنها از تمام تکنیکهای موجود برای یافتن نقاط ضعف در افراد، فرآیندها و فناوری، برای دسترسی غیرمجاز به دادهها استفاده میکنند. در نتیجۀ این حملات شبیهسازی شده، تیمهای قرمز توصیهها و برنامههایی را در مورد چگونگی تقویت وضعیت امنیتی سازمان ارائه میکنند.
تیم قرمز چگونه کار میکند؟
ممکن است تعجب کنید که تیمهای قرمز زمان بیشتری را صرف برنامهریزی حمله میکنند تا حملات انجام دهند. در واقع، تیمهای قرمز تعدادی روش را برای دسترسی به یک شبکه به کار میگیرند.
اطلاعات معمول جمع آوری شده در این مرحله شامل موارد زیر است:
- کشف سیستم عاملهای در حال استفاده (ویندوز، macOSیا لینوکس).
- شناسایی ساخت و مدل تجهیزات شبکه (سرور، فایروال، سوئیچ، روتر، اکسس پوینت، کامپیوتر و …).
- شناسایی کنترلهای فیزیکی (درها، قفل ها، دوربینها، پرسنل امنیتی).
- یادگیری اینکه چه پورتهایی در فایروال باز/بسته می شوند تا ترافیک خاصی را مجاز یا مسدود کنند.
- ایجاد نقشهای از شبکه برای تعیین اینکه چه میزبانی چه خدماتی را اجرا میکند و ترافیک به کجا ارسال میشود.
هنگامی که تیم قرمز ایده کامل تری از سیستم پیدا کرد، یک برنامه طراحیشده برای هدف قراردادن آسیب پذیریهای خاص به اطلاعاتی که در بالا جمعآوری کرد، ایجاد میکند.
پس از شناسایی آسیبپذیریها، یک تیم قرمز سعی میکند از این نقاط ضعف برای دسترسی به شبکه شما سوء استفادهکند. هنگامی که یک مهاجم در سیستم شما قرار میگیرد، روش معمول اقدام، استفاده از تکنیکهای افزایش امتیاز است، به موجب آن مهاجم سعی میکند اعتبار مدیری را که دسترسی بیشتر/کامل به بالاترین سطوح اطلاعات حیاتی دارد، بدزدد.
3 سوال قبل از ارزیابی تیم قرمز چیست؟
قبل از انجام ارزیابی تیم قرمز، با ذینفعان کلیدی سازمان خود صحبت کنید تا در مورد نگرانیهای آنها اطلاعات کسب کنید. در اینجا چند سؤال وجود دارد که باید هنگام شناسایی اهداف ارزیابی آتی خود در نظر بگیرید:
- چه اتفاقی ممکن است در سازمان من بیفتد که باعث آسیب جدی به اعتبار یا درآمد شود (به عنوان مثال فیلتر دادههای حساس مشتری یا توقف طولانیمدت خدمات)؟
- زیرساخت مشترک مورد استفاده در سراسر سازمان (هم سختافزار و هم نرم افزار را در نظر بگیرید) چیست؟ به عبارت دیگر آیا جزء مشترکی وجود دارد که همه چیز بر آن تکیه کند؟
- با ارزشترین داراییها در سراسر سازمان (داده ها و سیستم ها) کدامها هستند و در صورت به خطر افتادن آن ها چه عواقبی خواهد داشت؟
تیم ببر
در روزهای اولیه امنیت شبکه، یک تیم ببر بسیاری از عملکردهای یک تیم قرمز را انجام میداد. این اصطلاح در طول سالها تکامل یافته است و اکنون به تیمهای ببر به عنوان یک گروه نخبه و بسیار تخصصی که برای مقابله با یک چالش خاص در برابر موقعیت امنیتی یک سازمان استخدام شدهاند، اشاره میکند.
نمونههایی از تمرینات تیم قرمز
تیمهای قرمز از روشها و ابزارهای مختلفی برای بهرهبرداری از نقاط ضعف و آسیبپذیری در یک شبکه استفاده میکنند. مهم است که توجه داشته باشید که تیمهای قرمز از هر وسیلهای که بر اساس شرایط تعامل لازم باشد برای نفوذ به سیستم شما استفاده خواهند کرد. بسته به آسیبپذیری، ممکن است بدافزار را برای آلوده کردن میزبانها یا حتی دور زدن کنترلهای امنیتی فیزیکی با شبیهسازی کارتهای دسترسی به کار گیرند.
برخی اقداماتی که یک تیم قرمز انجام میدهند عبارت است از:
- هک قانونمند
- هک و امنیت اطلاعات
- اکسپولیت و آسیب پذیری
- مهندسی اجتماعی
- اسکن وب آپلیکیشن ها
تیم قرمز خطراتی را برای سازمان شما آشکار میکند که تستهای نفوذ سنتی از آن غافل میشوند زیرا آنها فقط بر یک جنبه از امنیت یا یک دامنه محدود تمرکز میکنند.
بدون دیدگاه