اگر شما هم علاقمند به دنیای امنیت رایانه ای باشید ، این روزها اصطلاحاتی مانند تیم قرمز ، آبی و بنفش بخصوص آبی و قرمز رو شنیدید و اغلب در توضیح این موارد قرمز رو حمله کننده ، آبی رو دفاع کننده تعبیر میکنند . در این پست کوتاه اشاره ای به این اصطلاحات داریم و همچنین تفاوتهای بینشون رو میگیم.این پست میشه گفت تا حدودی ترجمه از این مقاله می باشد .در ادامه میبینیم که علاوه بر رنگهای آبی و قرمز و بنفش ، رنگهای زرد و نارنجی و سبز رو هم داریم .
در ابتدا یک تعریف کلی از این اصطلاحات رو داریم :
تیم های درون یا برون سازمانی هستند که از تکنیکها و ابزارهای حمله کننده ها برای رسیدن به یک یا چند هدف در برنامه امنیتی حملاتی را انجام میدهند و معمولا بصورت کمپین عمل میکنند.
تیم های قرمز بدلیل همپوشانی تکنیکها و تست ها اغلب با تست نفوذ اشتباه گرفته می شوند . تیم های قرمز دارای ویژگی هایی هستند که آنها را از سایر تیم های تهاجمی جدا میکنند که در زیر به برخی از آنها اشاره میکنیم :
اگر یک تیم امنیتی از ابزارهای استاندارد تست نفوذ استفاده کند ، آنها را برای یک تا دو هفته و برای جمع آوری هدف های استاندارد مانند pivot در داخل شبکه ، سرقت داده و دسترسی به دامین ادمین انجام میدهد.بنابراین این تست نفوذ است و حملات تیم قرمز نیست . تیم قرمز با مجموعه ای از TTPها و اهداف بلند مدت درگیر است .
تیم هایی درون سازمانی هستند که در برابر حملات مهاجمان دنیای واقعی و همچنین تیم های قرمز دفاع میکنند .تیم آبی باید از تیم های امنیتی استاندارد سازمان متفاوت باشد تا ذهنیتی از حمله نداشته باشند.عواملی که باعث می شود تیم های آبی فعالتر باشند می توان به موارد زیر اشاره کرد :
ذهنیت فعال در مقابل ذهنیت واکنشی - کنجکاوی بی پایان نسبت به مواردی که غیر از حد معمول است. بهبود مستمر در تشخیص و پاسخ به رویدادها.
بنابراین تیم آبی یک فرد که کارشناس SOC که خودش مطالبی را خوانده یا فردی از تیم قرمز نیست بلکه کسی است که بطور مداوم علاقمند به کنجکاوی و بهبود و امن سازی می باشد.
این تیم برای پویایی و افزایش کارایی تیم های قرمز و آبی بوجود آمد .آنها این کار را با ترکیب تکنیکهای تدافعی و کنترلی تیم های آبی با آسیب پذیری ها و تکنیکهای تیم های قرمز انجام میدهند .در حالت ایده آل بنفشها نباید بصورت یک تیم در نظر گرفت بلکه باید بصورت پویا بین این دو تیم وجود داشته باشند. بنفشها را نباید بک تیم دید بلکه یک عملکرد باید دید.
هدف واقعی یک تیم قرمز یافتن راه هایی برای بهبود تیم آبی است ، بنابراین تیم های بنفش در سازمان هایی که تعامل تیم قرمز / تیم آبی ها بخوبی و دارای عملکرد صحیح باشد ، لازم نیست.
بهترین استفاده از اصطلاح بنفش که من دیده ام ، اینست که ، هر گروهی که با تکنیک های تهاجمی آشنا نیست ، می خواهد در مورد چگونگی تفکر مهاجمان بیاموزد.این می تواند یگ گروه incident response یا یک گروه تشخیص یا یک گروه توسعه دهنده باشد. اگر بچه های خوب دوست دارند از هکرهای کلاه سفید یاد بگیرند ، اون میتواند یک تمرین تیم بنفش محسوب شود.بطور کلی می توان تیم بنفش را یم هماهنگ کننده بین تیم های قرمز و آبی دونست .
این تیمها توسط یک ارایه توسط April Wright معرفی شدند و اغلب این موارد را نمیتوان به عنوان یک تیم دید بلکه بصورت یک عملکرد ، ذهنیت و افراد هستند.در حقیقت اگر رنگ زرد را بصورت سازندگان یا توسعه دهنگان ببینیم با ترکیب رنگ زرد با قرمز و آبی به دو رنگ سبز و نارنجی میرسیم که میتوانند در جهت بهبود وضعیت امنیتی یک سازمان مفید باشند .
زرد: توسعه دهندگان
قرمز: مهاجم
آبی : مدافع
سبز: توسعه دهنده ای که از مدافع یاد گرفته.
بنفش: مدافعی ای که از مهاجم یاد گرفته.
نارنجی: توسعه دهنده ای که از مهاجم یاد گرفته .
اگرچه تیمهای قرمز و آبی در جهت مخالف هم هستند یعنی حمله و دفاع اما هدف نهایی آنها مشترک هست و آن بهبود وضعیت امنیت سازمان است .