تیم قرمز (Red Team) چیست؟

طبق تعریف آژانس امنیت ملی ایالات متحده (NSA)، تیم قرمز (Red Team) در امنیت سایبری به نهادی اطلاق می‌شود که در شکستن و ورود، به دست آوردن اطلاعات طبقه‌بندی شده بدون هیچ اثر قابل ردگیری، تخصص دارد. در حوزه امنیت سایبری، این تیم‌ بر روی تست نفوذ (Penetration Test) به سیستم‌های مختلف و سطح امنیت آن‌ها تمرکز دارند.

در واقع رد تیم (Red Team) با شبیه‌سازی عملیات هکرهای واقعی در دنیای مجازی و با استفاده از تمام تکنیک‌های نفوذ اطلاعات / شبکه موجود، این کار را انجام می‌دهد. این امر به سازمان‌ها کمک می‌کند تا نقاط آسیب‌پذیری‌ سیستم‌های امنیتی خود را، که می‌تواند تهدیدی برای آن‌ها باشد به درستی شناسایی کنند.

اجزای تیم قرمز (Red Team) چیست؟

عملیات تیم قرمز (Red Team) متشکل از سناریوهای از پیش تعیین شده می باشد که با توجه به اهداف مورد نظر سازمان، توسط متخصصین مجموعه امنیت سایبری حادث می‌توان آن را تدوین نمود. این اجزای عبارتند از:

سناریو

یک سناریوی رد تیم (Red Team) متشکل است از  عملیات‌های مشخص برای بهره برداری در فرایند تست و لازم به ذکر است که این سناریو می‌تواند شامل چندین هدف از جمله پایش امنیتی سامانه‌های سازمان، و … باشد.

رویکرد و نحوه اجرا

به صورت کلی اجرا و بهره‌برداری از سناریوهای عملیات تیم قرمز (Red Team) می‌تواند به صورت داخلی و خارجی طبقه‌بندی گردد.  نحوه و انتقال اطلاعات خروجی عملیات تیم قرمز (Red Team) شامل روش‌های گوناگونی از جمله پایش امنیتی فیزیکی می‌باشد.

زمان اجرا در تیم قرمز (Red Team)

به صورت پیش فرض، عملیات تیم قرمز (رد تیم) زمان مشخص و از پیش تعیین شده ای ندارد. با این توضیحات به دلیل ریسک‌ها و توضیحات تحت تاثیر این عملیات می‌توان زمان مشخص شده‌ای را برای شروع سال و همینطور زمان مشخصی برای پایان حمله به سازمان ارائه داد.

گزارش نهایی

پس از اجرای سناریوهای عملیات رد تیم (Red Team) گزارش نحوه اجرا و موارد به دست آمده از آسیب پذیری هایی که در سناریو استفاده گشته مدون می گردد و همراه با روشهای جلوگیری از آسیب پذیری در گزارش به سازمان ارائه می شود

شبیه سازی حمله در تیم قرمز (Red Team)

این کار، استفاده از TTP برای انجام یک تهدید خاص است. شبیه سازی را می‌توان با حملات مختلف انجام داد چون: حملات صفر روزه (zero-attacks)، استفاده از بچه اسکریپتی (script kiddie) برای مبارزه، یا تهدیدی خاص مانند بات نت (botnet)، استفاده از باج افزار، DDOS و … TTP با این قوانین یک تیم قرمز (Red Team) را برای انجام وظایف هدایت میکند.

هنگام ایجاد سناریوی شبیه سازی برای انجام تهدید، مؤلفه اصلی آن تهدید باید تعریف شود. در واقع، هنگام تمرین و آزمایش، شبیه سازی سناریو به یک حمله در دنیای واقعی، می‌تواند دشوار باشد. بنابراین، تمرکز اصلی تیم قرمز (رد تیم) باید بر روی مؤلفه اصلی باشد و از TTP خود برای پر کردن خلا استفاده کند. با این حال، بزرگترین چالش در شبیه سازی تهدید برای تیم قرمز، سطحی است که تحلیلگر آن را به عنوان یک تهدید واقعی در نظر بگیرد نه یک آزمایش.

جنبه‌های عملیاتی

به مجموعه اقداماتی گویند که ضعف‌های فیزیکی، اطلاعاتی و عملیاتی در امنیت را نشان می‌دهند. چون این تأثیرات می‌توانند به اندازه انجام حمله انکار سرویس (denial of service) یا تخصصی‌تر مانند استفاده از تجهیزات «های جک ICS» برای کنترل شبکه برق شهر باشند. این بخش عملیاتی است که افراد تیم قرمز (Red Team) را از دیگران متمایز می‌کند. مفاهیم عملیاتی تأثیرات واقع بینانه علیه یک هدف را به خوبی مشخص می‌کنند. عمق و شدت این مفاهیم باید به اندازه‌ای باشد که سازمان انتظار دارد.

اهداف تیم قرمز (Red Team) در امنیت سایبری

قبل از ارزیابی، قوانین تعامل بین اعضای تیم قرمز و کوچکترین مجموعه ممکن از شرکت‌کنندگان در سازمان برای آزمایش تعیین می‌شود. براساس قوانین، تیم قرمز (رد تیم) در امنیت سایبری می‌تواند در طول تمرین هر یک یا همه‌ی مناطق زیر را هدف قرار دهد:

1_دفاع فناوری
2_دفاع انسانی
3_دفاع فیزیکی

ما در این ادامه مقاله، به مواردی نظیر: اصطلاحات و کلمات، نحوه کار و عملکرد رد تیم، سوالات مهمی که برای ارزیابی عملکرد باید از خود بپرسید، اهداف عملیات تیم قرمز و درنهایت، دلیل اهمیت این مفهوم برای سازمان‌ها می‌پردازیم.

شما برای ادامه این بحث و آشنایی بیشتر با مفهوم تیم قرمز، می‌توانید به مقاله تیم قرمز چیست؟ مراجعه کنید تا به صورت کامل با مفاهیم گفته شده در مقاله، آشنا شوید.

پیش‌تر، از همراهی شما صمیمانه سپاسگزاریم.

حادث، ارائه‌دهنده خدمات و محصولات امنیت سایبری با هدف بهبود مزیت استراتژیک شما