تیم‌های قرمز متخصصان امنیتی تهاجمی هستند که در حمله به سیستم‌ها و نفوذ به سیستم دفاعی متخصص هستند. تیم‌های آبی متخصصان امنیتی دفاعی هستند که مسئول حفظ سیستم دفاعی شبکه داخلی در برابر تمام حملات و تهدیدات سایبری هستند. تیم‌های قرمز حملات علیه تیم‌های آبی را شبیه‌سازی می‌کنند تا اثربخشی امنیت شبکه را آزمایش کنند. این تمرین‌های تیمی قرمز و آبی یک راه‌حل امنیتی جامع را ارائه می‌کند که ضمن در نظر گرفتن تهدیدات در حال تحول، دفاع قوی را تضمین می‌کند. در مقایسه با تست نفوذ، تیم قرمز از نظر فنی پیچیده‌تر است، زمان بیشتری را می‌طلبد، و تمرین دقیق‌تری برای آزمایش قابلیت‌های پاسخ سازمان و اقدامات امنیتی است که آنها در اختیار دارند. هدف تیم قرمز بهبود تضمین اطلاعات سازمانی با نشان دادن تأثیرات حملات موفقیت آمیز و با نشان دادن آنچه برای مدافعان (یعنی تیم آبی) در یک محیط عملیاتی کار می‌کند، است.

یک تیم قرمز متشکل از متخصصان امنیتی است که به عنوان دشمن برای غلبه بر کنترل‌های امنیت سایبری عمل می‌کنند. تیم های قرمز اغلب متشکل از هکرهای اخلاقی مستقلی هستند که امنیت سیستم را به شیوه‌ای عینی ارزیابی می‌کنند.

آن‌ها از تمام تکنیک‌های موجود برای یافتن نقاط ضعف در افراد، فرآیندها و فناوری، برای دسترسی غیرمجاز به داده‌ها استفاده می‌کنند. در نتیجۀ این حملات شبیه‌سازی شده، تیم‌های قرمز توصیه‌ها و برنامه‌هایی را در مورد چگونگی تقویت وضعیت امنیتی سازمان ارائه می‌کنند.

تیم قرمز چگونه کار می‌کند؟

ممکن است تعجب کنید که تیم‌های قرمز زمان بیشتری را صرف برنامه‌ریزی حمله می‌کنند تا حملات انجام دهند. در واقع، تیم‌های قرمز تعدادی روش را برای دسترسی به یک شبکه به کار می‌گیرند.

اطلاعات معمول جمع آوری شده در این مرحله شامل موارد زیر است:

  • کشف سیستم عامل‌های در حال استفاده (ویندوز، macOSیا لینوکس).
  • شناسایی ساخت و مدل تجهیزات شبکه (سرور، فایروال، سوئیچ، روتر، اکسس پوینت، کامپیوتر و …).
  • شناسایی کنترل‌های فیزیکی (درها، قفل ها، دوربین‌ها، پرسنل امنیتی).
  • یادگیری اینکه چه پورت‌هایی در فایروال باز/بسته می شوند تا ترافیک خاصی را مجاز یا مسدود کنند.
  • ایجاد نقشه‌ای از شبکه برای تعیین اینکه چه میزبانی چه خدماتی را اجرا می‌کند و ترافیک به کجا ارسال می‌شود.

هنگامی که تیم قرمز ایده کامل تری از سیستم پیدا کرد، یک برنامه طراحی‌شده برای هدف قرار‌دادن آسیب پذیری‌های خاص به اطلاعاتی که در بالا جمع‌آوری کرد، ایجاد می‌کند.

پس از شناسایی آسیب‌پذیری‌ها، یک تیم قرمز سعی می‌کند از این نقاط ضعف برای دسترسی به شبکه شما سوء استفاده‌کند. هنگامی که یک مهاجم در سیستم شما قرار می‌گیرد، روش معمول اقدام، استفاده از تکنیک‌های افزایش امتیاز است، به موجب آن مهاجم سعی می‌کند اعتبار مدیری را که دسترسی بیشتر/کامل به بالاترین سطوح اطلاعات حیاتی دارد، بدزدد.

3 سوال قبل از ارزیابی تیم قرمز چیست؟

قبل از انجام ارزیابی تیم قرمز، با ذینفعان کلیدی سازمان خود صحبت کنید تا در مورد نگرانی‌های آنها اطلاعات کسب کنید. در اینجا چند سؤال وجود دارد که باید هنگام شناسایی اهداف ارزیابی آتی خود در نظر بگیرید:

  1. چه اتفاقی ممکن است در سازمان من بیفتد که باعث آسیب جدی به اعتبار یا درآمد شود (به عنوان مثال فیلتر داده‌های حساس مشتری یا توقف طولانی‌مدت خدمات)؟
  2. زیرساخت مشترک مورد استفاده در سراسر سازمان (هم سخت‌افزار و هم نرم افزار را در نظر بگیرید) چیست؟ به عبارت دیگر آیا جزء مشترکی وجود دارد که همه چیز بر آن تکیه کند؟
  3. با ارزش‌ترین دارایی‌ها در سراسر سازمان (داده ها و سیستم ها) کدام‌ها هستند و در صورت به خطر افتادن آن ها چه عواقبی خواهد داشت؟

تیم ببر

در روزهای اولیه امنیت شبکه، یک تیم ببر بسیاری از عملکردهای یک تیم قرمز را انجام می‌داد. این اصطلاح در طول سال‌ها تکامل یافته است و اکنون به تیم‌های ببر به عنوان یک گروه نخبه و بسیار تخصصی که برای مقابله با یک چالش خاص در برابر موقعیت امنیتی یک سازمان استخدام شده‌اند، اشاره می‌کند.

نمونه‌هایی از تمرینات تیم قرمز

تیم‌های قرمز از روش‌ها و ابزارهای مختلفی برای بهره‌برداری از نقاط ضعف و آسیب‌پذیری در یک شبکه استفاده می‌کنند. مهم است که توجه داشته باشید که تیم‌های قرمز از هر وسیله‌ای که بر اساس شرایط تعامل لازم باشد برای نفوذ به سیستم شما استفاده خواهند کرد. بسته به آسیب‌پذیری، ممکن است بدافزار را برای آلوده کردن میزبان‌ها یا حتی دور زدن کنترل‌های امنیتی فیزیکی با شبیه‌سازی کارت‌های دسترسی به کار گیرند.

برخی اقداماتی که یک تیم قرمز انجام می‌دهند عبارت است از:

  • هک قانونمند
  • هک و امنیت اطلاعات
  • اکسپولیت و آسیب پذیری
  • مهندسی اجتماعی
  • اسکن وب آپلیکیشن ها

تیم قرمز خطراتی را برای سازمان شما آشکار می‌کند که تست‌های نفوذ سنتی از آن غافل می‌شوند زیرا آنها فقط بر یک جنبه از امنیت یا یک دامنه محدود تمرکز می‌کنند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × دو =