تقابل تیم قرمز با آبی امنیت :‌ راه‌اندازی شبیه ساز امنیتی موثر

شبیه سازی تیم مهاجم، آمادگی کسب و کار و تیم امنیت را در دفاع افزیش می‌دهد. هدف نهایی این امتحان‌ بررسی بلوغ و سرعت عمل سازمان‌ها و شرکت‌ها در شناسایی و پاسخ دهی به حملات سایبری است. بهره برداری از تیم قرمز برای شرکت‌هایی است که حداقل کنترلهای امنیت سایبری را رعایت کرده‌اند و نیازمند امتحان کردن المان‌های امنیتی خود در حد بالا هستند.

۱.مقدمه :

سازمان‌های نظامی و بخش‌های پاسخگویی دولت‌ها از تقابل تیم قرمز با تیم آبی امنیت برای آموزش نیرو‌های خود استفاده می‌کنند. همچنین تیم‌های امنیت‌سایبری از این روش برای آموزش و تمرین نیرو‌های تازه نفس استفاده می‌کنند. مفهوم بازی-جنگ یا تیم قرمز با تیم آبی امنیت به دنیای کسب و کار نیز وارد شده است.

اسامی تمرین‌های تیم قرمز و آبی از تمرین‌های بخش‌های نظامی گرفته شده است. گروه اول که شامل حرفه‌‌ای‌ها است که همان تیم قرمز است و حمله می‌کند و از سوی دیگر تیم مقابل که همان تیم آبی است، به عنوان تیم مدافع شناخته می‌شود. این تمرین برای بررسی آمادگی نیرو‌های نظامی مورد استفاده قرار می‌گرفت. همچنین از این روش برای محافظت فیزیکی سایت‌های حساس مانند مراکز تجهیزات هسته‌ای، دپارتمان‌های انرژی و مراکز تکنولوژی استفاده می‌شود. در دهه ۹۰، افراد باتجربه با استفاده از تمرین تیم قرمز و آبی سیستم‌های امنیتی را آغاز ‌کردند. شرکت‌ها در هر صنعتی از مزیت‌های تمرین تیم قرمز و آبی می‌تواند برای ارتقا سطح امنیت سازمان خود با توجه به دستور عمل زیر بهره ببرند.

۲. اصول‌ اولیه:

تیم قرمز، تیم امنیتی خارج از سازمان است و برنامه های امنیت را با روش‌‌‌‌های موثر بررسی می‌کند. این تیم رفتارها و تکنیک‌هایی که در دنیایی واقعی توسط مهاجمین استفاده می‌شوند را شبیه‌سازی می‌کند. برای مثال، تیم قرمز سعی می‌کند به عنوان پیک وارد یک ساختمان شود و سیستمی در داخل نصب کند که بتواند از بیرون به شبکه داخلی دسترسی پیدا کند (پورت‌های ۸۰، ۴۴۳، ۵۳، برای HTTP یا HTTPS و به ترتیب برای DNS). همچنین با استفاده از روش‌های مهندسی اجتماعی، فیشینگ (phishing)، ویشینگ (vishing) و یا به عنوان کارمند به سازمان نفوذ کنند.

از سوی دیگر تیم آبی، تیم امنیتی داخلی سازمان است و مسئولیت جلوگیری ازحملات شبیه‌سازی شده تیم قرمز و نفوذ آن‌ها را دارد. افزایش تعداد شرکت‌هایی که از تیم آبی استفاده نمی‌کنند رو به افزایش است. ایده پشت استفاده نکردن از تیم آبی بررسی شرایط واقعی است که سامانه‌های دفاعی امنیت سایبری را مورد امتحان قرار دهند. شرکت‌ها با استفاده از این روش عکس‌العمل تیم‌های امنیتی داخلی شرکت را مورد ارزیابی قرار می‌دهند.

مدت زمان تمرین سه تا چهار هفته به طول می‌انجامد که بستگی به نوع روش شبیه سازی، افرادی که در این شبیه‌سازی شرکت می‌کنند و نوع حملاتی که بررسی می‌شوند دارد.

۳.تیم قرمز :

این تمرین‌ها توسط شرکت‌هایی مانند Fortune 500، دولتی‌ها و حتی NATO انجام می‌شوند و مزیت‌های بارزی دارند. در حال حاضر ایجاد شبیه سازی های تیم قرمز با تست نفوذ اشتباه گرفته می‌شود.

این موضوع که بلوغ تیم‌های قرمز در شرکت‌ها متغیر است تعجب برانگیز است. مشکل اصلی دانش شرکت‌ها از تیم قرمز است. به این معنی که نمی‌داند از تیم قرمز چه خروجی باید بگیرند و چه چیزی را باید شبیه‌سازی کنند.

در این مقاله شش هدف تیم قرمز گفته شده است، در زیر آمده است.

تیم قرمز امنیت
تیم قرمز امنیت

۳.۱.شناسایی هدف :

اولین نکته مورد اهمیت این است که تیم قرمز چه کاری باید انجام دهد و هدف این کار چیست. اگر تیم قرمز باید حمله را شبیه‌سازی کند، به این معنی است که نوع حملات باتوجه به نیاز و مشخصات قربانی باید شخصی سازی شوند. از سوی دیگر، تیم مدافع باید تجهیزات و اطلاعات را مشابه زمان واقعی دراختیار داشته باشد.

شرکت‌ها بهتر است در مورد دستاوردهایی که از تیم قرمز می‌خواهند بدست آورند فکر کنند. در شان شرکت‌ها نیست که استراتژی بالغ و مناسب امنیت سایبری نداشته باشند. ولی اگر کنترل‌های دفاعی در سازمان وجود دارد، در مرحله بعد تیم قرمز برای بررسی مستمر و افزایش المان‌های ایمنی الزامی است. همچنین گزارش‌هایی که از تیم قرمز دریافت می‌شوند ارزشمند است و باید توصیه‌های گزارش‌های تیم قرمز عملیاتی شوند.

تمرین‌‌های تیم قرمز نیاز یک سازمانی است بتواند مشابه تهدیدات واقعی خارجی را دریافت و تحلیل کند. سپس با کنترل عوامل مختلف و اجرای آن‌ها امنیت شرکت را افزایش دهد.

۳.۲.انتخاب درست همکار :

اگر تیم قرمز در مورد اینکه چگونه می‌تواند به شرکت کمک کنند و روش‌های حمله را اجرا می‌کنند، صحبتی نمی‌کنند، احتمالا این تیم قرمز اهداف شرکت را پوشش نمی‌دهد. تیم قرمز می‌تواند شامل هشت نفر، طراح حمله، شناسای کننده و نفوذ کننده فیزیکی و افرادی با مهارت‌های ارتباطی و IT باشد. تیم قرمز می‌تواند یک فرد حرفه‌ای در vishing داشته باشد.

پیشینه شرکتی که می‌خواهید انتخاب کنید بررسی شود. آیا این شرکت روی افراد تیم نام می‌گذارد؟ اگر تیم حرفه‌ای کوچکتری استفاده می‌شود، تشخیص وظایف تیم، کلید اصلی است. تک تک افراد مورد مطالعه قرار گیرند. آیا در این صنعت دارای تجربه هستند؟

۳.۳.ممکن است نیازی به تیم آبی نباشد :

همیشه نیازی به تیم آبی نیست. اصلاح و بهبود در فرایندهای شرکت می‌تواند توسط کارمندان تمام وقت که در بخش IT و بخش‌های امنیت حضور دارند، انجام شوند. داشتن تجربه تست نفوذ می‌تواند شناخت حملات را از دیدگاه تیم آبی در سازمان ایجاد کند و در عملیات‌های بعدی جلوی حملات مخرب گرفته می‌شود. این روش در زمان و پول صرفه‌جویی می‌کند و مانند بازی شطرنج با خودمان است.

۳.۴.ارتباط واضح با افراد درگیر در شبیه‌سازی :

موفقیت تیم قرمز نهایتا بستگی به شناخت شفاف وضعیت، ارتباط دایم و فهم کاملی از ملزومات تیم دارد. همچنین مسئولیت‌های تیم قرمز به وضوح مشخص باشد که چه کاری را انجام می‌دهد و چه کاری را انجام نمی‌دهد.

ساختار تیم قرمز به شکلی است که بصورت واقعی هرکاری در حوزه مهارت ها و تجارب خود برای دسترسی و اکسپلویت آسیب‌پذیری در زیرساخت شرکت نیازمند دیدند اجرا می‌نمایند. رهبر تیم قرمز باید دید و تجربه کلی از تمام مسئولیت‌های بخش‌‌های مختلف و پیامد ارزیابی بر قسمت‌های مختلف شرکت آگاهی داشته باشد. همچنین بهترین روش ارایه نتایج به سازمان را به نحوی که مفید برای سازمان باشد اجرا می‌نماید.

۳.۵.آمادگی، آمادگی و آمادگی :

تا جایی که امکان دارد از هدف خود شناخت پیدا کنید و تا زمانی که به این امر دست پیدا نکردید به بررسی مجدد هدف بپردازید. همیشه دید واقعی از سازمان هدف پیدا کنید و روزهای زیادی را برای شناخت شرکت صرف کنید. ۹۰ درصد اجرای عملیات آماده سازی آن است.

تعریف هدف را کامل متوجه شوید و از این موضوع که تمام اعضای تیم مسئولیت‌های خود و پارامترهای مورد امتحان را به خوبی می‌شناسند، اطمینان پیدا کنید. برای حالت‌های که نقشه به درستی پیش نمی‌رود، نقطه تماس انتخاب شود و نقطه تماس همراه با یک نوع اعتبارسنجی همراه باشد. متوجه باشید که چه چیزی بدست می‌آوردید و چگونه این مورد امنیت شما را افزایش می‌دهد.

۳.۶.اتمام و تکرار :

یادگیری از طریق این تمرین‌‌‌ها بسیار اهمیت دارد و زمان نیاز، این تمرین تکرار شود. از دیدگاه تیم قرمز آموزش مداوم و به روز بودن با حملات یک امر الزامی است. دلیل این امر این است که تهدیدات باید براساس دنیای واقعی تعریف شوند و حملات باید با ابزار‌هایی که بازیگران تهدید استفاده می‌کنند عملیاتی شوند. از دید شرکت‌ها، از طریق تمرین‌هایی که تیم قرمز اجرا می‌کند یادگیری صورت می‌گیرد. سپس سیستم دفاعی با توجه به آخرین حملات تیم قرمز به‌روز رسانی شوند. سپس بعد از اعمال تغییرات تیم قرمز عملیات بعدی را شروع می‌کند و این چرخه مرتبا ادامه دارد.

اگر شرکت در ابعاد کوچک و متوسط باشد (SME) احتمالاً بودجه‌ای برای این بخش ندارد. بنابراین این تمرین هر دوسال یک بار انجام می‌شود و با عملیات ارزانتر و آموزش این روند اجرا می‌شود. اگر شرکت بین‌المللی باشد این عملیات باید مرتبا انجام شود. امتحان‌ها تکرار می‌شوند و در هر تکرار حملات، سناریو حملات، مهارت‌ها و حتی امتحان کننده‌ها تغییر می‌کنند.

۴.تیم آبی :

در بسیاری از جهات اجرای امنیت همانند نقش والدین است. کتابی که تمام جواب‌ها را داشته باشد، وجود ندارد. راه حل طلایی موجود نیست و در هر نقش شرایط شدیداً استرس آور است.

والدین تیم آبی هستند و می‌خواهند بدانند فرزندانشان چه مقدار در برابر وسوسه‌ها و دام‌های گوناگون مستعد هستند. تیم قرمز تمام احتمالات خطرناکی است که به بچه آسیب می‌زند. بزرگترین چالش تیم آبی محافظت از دامین‌های آسیب‌پذیر است بدون آنکه محدودیت‌های زیادی برای کاربران تعریف کند. آماده سازی‌های زیادی برای تیم آبی وجود دارد که نیازی به اجرای شبیه سازی حملات وجود ندارد. بهتر است تمرین‌ها به شکل مراحلی که در این مقاله گفته می‌شود اجرا شوند.

تیم آبی امنیت
تیم آبی امنیت

۴.۱.درک کنترل‌ها :

مهم‌ترین بخش تیم آبی مخصوصاً در حوادث phishing و vishing، توانایی شناختن انواع کنترل‌ها در این محیط‌ها است. دربسیاری از امتحان‌ها افراد تیم آبی این کنترل‌ها را در تمرین‌های شبیه‌سازی پیدا می‌کنند.

۴.۲.جمع‌آوری و آنالیز داده‌ها :

توانایی اصلی تیم آبی جمع‌آوری اطلاعات و استفاده از اطلاعات جمع آوری شده و تجهیزات مدیریت لاگ‌ها مانند Splunk است. بخش دیگر معمای تیم آبی نحوه جمع‌آوری تمام اطلاعات است و در اطلاعات تمرینات انجام شده بعد از اتمام تمرین، اینکه چه کاری را درست و چه کاری را غلط انجام دادند تا راه‌کار بهتر انجام دادن آن ارائه شود.

۴.۳.استفاده از ابزارهای مناسب باتوجه به شرایط :

ابزارهای مورد نیاز تیم آبی با توجه به شرایط تعیین می‌شوند و تیم آبی باید بپرسد که در این برنامه چه کاری را باید انجام دهد؟ چرا هارد درایو باید فرمت شود؟ و سپس تکنولوژی مورد نیاز برای جلوگیری از رفتارهای مخرب اضافه شوند. میزان تأثیر این تجهیزات را تیم قرمز در ارزیابی خود تعیین می‌کند.

۴.۴.حضور افراد باتجربه در تیم :

حضور افراد باتجربه بیشتر از ابزارها در تیم آبی بسیار بااهمیت است. زمانی که به کار آشنایی پیدا کردید، احتمالاً با خود فکر می‌کنید که من این مورد را شناسایی کردم. در این حالت شما برای چیز‌هایی که می‌دانید آماده‌اید و برای ناشناخته‌ها آمادگی لازم را ندارید.

۴.۵.درنظر گرفتن شرایط شکست :

شجاعت سؤال پرسیدن در رابطه با بخش‌های ناشناخته داشته باشید. با آماده سازی ابزار و کنترل‌هایی که در حال حاضر وجود دارند متوقف نشوید و فرض شکست زیرساخت را نیز بگذارید. فرض احتمال شکست وجود دارد. پس امنیت کامل وجود ندارد; ولی امنیت را می‌توان به سمت بهتر شدن پیش برد.

برای خواندن مقالات دیگر و آموزش باگ بانتی به وبلاگ باگدشت مراجعه کنید.

منابع:

در صورت تمایل به اشتراگ بگذارید