Seyyid
Seyyid
خواندن ۵ دقیقه·۵ سال پیش

تفاوت بین تیم های قرمز،آبی و بنفش در امنیت اطلاعات

اگر شما هم علاقمند به دنیای امنیت رایانه ای باشید ، این روزها اصطلاحاتی مانند تیم قرمز ، آبی و بنفش بخصوص آبی و قرمز رو شنیدید و اغلب در توضیح این موارد قرمز رو حمله کننده ، آبی رو دفاع کننده تعبیر میکنند . در این پست کوتاه اشاره ای به این اصطلاحات داریم و همچنین تفاوتهای بینشون رو میگیم.این پست میشه گفت تا حدودی ترجمه از این مقاله می باشد .در ادامه میبینیم که علاوه بر رنگهای آبی و قرمز و بنفش ، رنگهای زرد و نارنجی و سبز رو هم داریم .

?شکلکلیاصطلاحات

در ابتدا یک تعریف کلی از این اصطلاحات رو داریم :

تیم قرمز :

تیم های درون یا برون سازمانی هستند که از تکنیکها و ابزارهای حمله کننده ها برای رسیدن به یک یا چند هدف در برنامه امنیتی حملاتی را انجام میدهند و معمولا بصورت کمپین عمل میکنند.

تیم های قرمز بدلیل همپوشانی تکنیکها و تست ها اغلب با تست نفوذ اشتباه گرفته می شوند . تیم های قرمز دارای ویژگی هایی هستند که آنها را از سایر تیم های تهاجمی جدا میکنند که در زیر به برخی از آنها اشاره میکنیم :

  • شبیه سازی TTPهای (TTP مخفف کلمات Tactics, techniques ، procedures است) مورد استفاده توسط مهاجمان مانند استفاده از ابزارها و اکسپلویتها و هدفها و Pivot های بازیگران تهدید
  • تست مبتنی بر کمپین که میتواند برای زمانهای طولانی مثلا چندین هفته یا ماه مانند یک حمله واقعی صورت گیرد .

اگر یک تیم امنیتی از ابزارهای استاندارد تست نفوذ استفاده کند ، آنها را برای یک تا دو هفته و برای جمع آوری هدف های استاندارد مانند pivot در داخل شبکه ، سرقت داده و دسترسی به دامین ادمین انجام میدهد.بنابراین این تست نفوذ است و حملات تیم قرمز نیست . تیم قرمز با مجموعه ای از TTPها و اهداف بلند مدت درگیر است .

تیم آبی :

تیم هایی درون سازمانی هستند که در برابر حملات مهاجمان دنیای واقعی و همچنین تیم های قرمز دفاع میکنند .تیم آبی باید از تیم های امنیتی استاندارد سازمان متفاوت باشد تا ذهنیتی از حمله نداشته باشند.عواملی که باعث می شود تیم های آبی فعالتر باشند می توان به موارد زیر اشاره کرد :

ذهنیت فعال در مقابل ذهنیت واکنشی - کنجکاوی بی پایان نسبت به مواردی که غیر از حد معمول است. بهبود مستمر در تشخیص و پاسخ به رویدادها.

بنابراین تیم آبی یک فرد که کارشناس SOC که خودش مطالبی را خوانده یا فردی از تیم قرمز نیست بلکه کسی است که بطور مداوم علاقمند به کنجکاوی و بهبود و امن سازی می باشد.

تیم بنفش :

این تیم برای پویایی و افزایش کارایی تیم های قرمز و آبی بوجود آمد .آنها این کار را با ترکیب تکنیکهای تدافعی و کنترلی تیم های آبی با آسیب پذیری ها و تکنیکهای تیم های قرمز انجام میدهند .در حالت ایده آل بنفشها نباید بصورت یک تیم در نظر گرفت بلکه باید بصورت پویا بین این دو تیم وجود داشته باشند. بنفشها را نباید بک تیم دید بلکه یک عملکرد باید دید.

هدف واقعی یک تیم قرمز یافتن راه هایی برای بهبود تیم آبی است ، بنابراین تیم های بنفش در سازمان هایی که تعامل تیم قرمز / تیم آبی ها بخوبی و دارای عملکرد صحیح باشد ، لازم نیست.

بهترین استفاده از اصطلاح بنفش که من دیده ام ، اینست که ، هر گروهی که با تکنیک های تهاجمی آشنا نیست ، می خواهد در مورد چگونگی تفکر مهاجمان بیاموزد.این می تواند یگ گروه incident response یا یک گروه تشخیص یا یک گروه توسعه دهنده باشد. اگر بچه های خوب دوست دارند از هکرهای کلاه سفید یاد بگیرند ، اون میتواند یک تمرین تیم بنفش محسوب شود.بطور کلی می توان تیم بنفش را یم هماهنگ کننده بین تیم های قرمز و آبی دونست .

تیمهای نارنجی ، سبز ، زرد چی هستند :

این تیمها توسط یک ارایه توسط April Wright معرفی شدند و اغلب این موارد را نمیتوان به عنوان یک تیم دید بلکه بصورت یک عملکرد ، ذهنیت و افراد هستند.در حقیقت اگر رنگ زرد را بصورت سازندگان یا توسعه دهنگان ببینیم با ترکیب رنگ زرد با قرمز و آبی به دو رنگ سبز و نارنجی میرسیم که میتوانند در جهت بهبود وضعیت امنیتی یک سازمان مفید باشند .

بطور خلاصه می توان چنین گفت که:

زرد: توسعه دهندگان

قرمز: مهاجم

آبی : مدافع

سبز: توسعه دهنده ای که از مدافع یاد گرفته.

بنفش: مدافعی ای که از مهاجم یاد گرفته.

نارنجی: توسعه دهنده ای که از مهاجم یاد گرفته .

اگرچه تیمهای قرمز و آبی در جهت مخالف هم هستند یعنی حمله و دفاع اما هدف نهایی آنها مشترک هست و آن بهبود وضعیت امنیت سازمان است .

redteamblueteampurplecybersecurityhack
علاقمند به باگ بانتی ، توسعه اکسپلویت و ابزارهای امنیتی و دنیای آبی
شاید از این پست‌ها خوشتان بیاید