در این مقاله آموزشی قصد دایم تا در رابطه با تیم قرمز صحبت کنیم و نقش این تیم امنیتی در نفوذ رو بیشتر بشناسیم :) تیم قرمز گروهی است که تظاهر به دشمن بودن میکنه، سعی میکنه یک نفوذ فیزیکی یا دیجیتالی علیه یک سازمان به دستور آن سازمان رو انجام بده، سپس گزارش مییده تا سازمان بتونه دفاع خودش رو در مقابل تهدیدات و حملات بهبود ببخشه. تیم های قرمز برای سازمان کار می کنند یا توسط سازمان استخدام می شن. کار آنها قانونی هست، اما می تواند برخی از کارمندان را شگفت زده کند که ممکن است ندانند که تیم قرمز در حال پیاده سازی یک سناریو حمله هست، یا ممکنه توسط تیم قرمز فریب بخورند.
یک تیم قرمز یک قدم فراتر می رود و نفوذ فیزیکی، مهندسی اجتماعی و عناصر دیگری را اضافه می کند. به تیم آبی هیچ هشداری در مورد تیم قرمز داده نمی شود و با آن به عنوان یک نفوذ واقعی برخورد خواهد کرد.یکی از نقش های تیم قرمز دائمی و داخلی، بهبود فرهنگ امنیتی سازمان است.یک تیم بنفش ترکیب موقتی از هر دو تیم است و میتواند پاسخ های اطلاعاتی سریعی را در طول آزمایش ارائه دهد یکی از مزیت های تیمسازی بنفش این است که تیم قرمز میتواند حملات خاصی را به طور مکرر انجام دهد، و تیم آبی میتواند از آن برای راه اندازی نرم افزار تشخیص، کالیبره کردن آن و افزایش پیوسته نرخ تشخیص استفاده کند.تیم های بنفش ممکن است در جلسات شکار تهدید شرکت کنند، جایی که تیم قرمز و آبی به دنبال مزاحمان واقعی میگردند.
مشارکت دادن سایر کارمندان در تیم بنفش نیز سودمند است، برای مثال مهندسان نرمافزار که میتوانند در ثبت گزارش و هشدار های نرم افزار کمک کنند، و مدیرانی که میتوانند به شناسایی مضرترین سناریو های مالی کمک کنند.یکی از خطرات تیم ارغوانی، رضایت و توسعه تفکر گروهی است که میتوان با استخدام افراد با مهارت های مختلف یا استخدام یک فروشنده خارجی با آن مبارزه کرد.
استفاده از قوانین تعامل میتواند به تعیین سیستم های غیرمجاز، جلوگیری از حوادث امنیتی و اطمینان از رعایت حریم خصوصی کارکنان کمک کند.استفاده از یک روش عملیاتی استاندارد (SOP) میتواند اطمینان حاصل کند که افراد مناسب در برنامهریزی مطلع شده و درگیر هستند، و فرآیند تیم قرمز را بهبود میبخشد و آن را بالغ و قابل تکرار میکند.فعالیت های تیم قرمز معمولاً دارای ریتم منظمی هستند.
تیم قرمز در تست نفوذ فیزیکی که شامل آزمایش امنیت فیزیکی یک مرکز، از جمله اقدامات امنیتی کارکنان و تجهیزات امنیتی آن است. نمونه هایی از تجهیزات امنیتی عبارتند از دوربین های امنیتی، قفل ها و نرده ها. در تست نفوذ فیزیکی، شبکه های کامپیوتری معمولاً هدف نیستند. برخلاف امنیت سایبری که معمولاً دارای لایههای امنیتی زیادی است، ممکن است تنها یک یا دو لایه امنیت فیزیکی وجود داشته باشد.
یک مرحله ای است که در آن اطلاعات جمع آوری میشود و نقاط ضعف امنیتی شناسایی میشوند و سپس از آن اطلاعات برای انجام عملیات (معمولاً در شب) برای ورود فیزیکی به محل استفاده میشود. دستگاه های امنیتی با استفاده از ابزارها و تکنیک ها شناسایی و شکست خواهند خورد.
تیم قرمز کارش اینه که بیاد همه ی راه های نفوذ رو بررسی بکنه ینی هر راه نفوذی که به اون شبکه یا سیستم و… اون سازمان وجود داره رو این تیم باید بررسی کنه.
توی Penetration Test اون pentester یا کسی که قراره کاره penetration test رو انجام بده میاد و با اون سازمان یک قرداد میبنده که میخوام سازمان شماره از لحاظ امنیتی بررسی کنم حالا اون سازمان هم بر اساس یکسری معیار ها و فیلتر هایی که روش اعمال میکنه و بهش میگه ینی اون pentester ممکنه محدود باشه و یکسری کارارو نتونه بکنه و خلاصه اون قراداد مورد نظر بر اساس شرایط و قوانینی که مدیر یا مسئول اون سازمان تعیین میکنه میبندن و در آخر وقتی pentester کارش رو انجام داد یک گزارش کامل و با جزئیات از تستی که زده باید به اون کارفرما یا مسئول اون سازمان بده و در اخر هم ی مبلغی در قبالش دریافت میکنه که یجورایی تست نفوذ میشه هک بصورت قانونی یا هک یکچیزی با اجازه ی خود شخص.
تیم های قرمز و آبی چیزی بیش از تکنیک های هک و نفوذ هستند. در واقع، این تیم ها نقش مهمی در دفاع در برابر حملات سایبری پیشرفته ای دارند که ارتباطات تجاری، داده های حساس مشتری یا اسرار تجاری را تهدید می کند.تیم های قرمز متخصصان امنیتی تهاجمی هستند که در حمله به سیستم ها و نفوذ به سیستم دفاعی متخصص هستند. تیم های آبی متخصصان امنیتی دفاعی هستند که مسئول حفظ سیستم دفاعی شبکه داخلی در برابر تمام حملات و تهدیدات سایبری هستند. تیم های قرمز حملات علیه تیم های آبی را شبیه سازی میکنند تا اثر بخشی امنیت شبکه را آزمایش کنند. این تمرین های تیمی قرمز و آبی یک راهحل امنیتی جامع را ارائه میکند که ضمن در نظر گرفتن تهدیدات در حال تحول، دفاع قوی را تضمین میکند.
ممکن است تعجب کنید که تیم های قرمز زمان بیشتری را صرف برنامه ریزی حمله میکنند تا حملات انجام دهند. در واقع، تیم های قرمز تعدادی روش را برای دسترسی به یک شبکه به کار میگیرند.به عنوان مثال، حملات مهندسی اجتماعی برای ارائه کمپین های فیشینگ هدفمند به شناسایی و تحقیق متکی هستند. به همین ترتیب، قبل از انجام تست نفوذ، از sniffer های بسته و تحلیلگرهای پروتکل برای اسکن شبکه و جمع آوری اطلاعات تا حد امکان در مورد سیستم استفاده می شود.
اطلاعات معمول جمع آوری شده در این مرحله شامل موارد زیر است:
هنگامی که تیم قرمز ایده کامل تری از سیستم پیدا کرد، یک برنامه اقدام طراحی شده برای هدف قرار دادن آسیب پذیری های خاص به اطلاعاتی که در بالا جمع آوری کرد، ایجاد می کند.برای مثال، یکی از اعضای تیم قرمز ممکن است بداند که سروری مایکروسافت ویندوز سرور 2016 R2 (سیستم عامل سرور) را اجرا میکند و ممکن است خطمشیهای پیشفرض دامنه همچنان در حال استفاده باشند.
مایکروسافت نرم افزار خود را در حالت پیشفرض ارسال میکند و آن را به مدیران شبکه میسپارد تا خط مشی ها را به روز رسانی کنند،مایکروسافت توصیه میکند در اسرع وقت بروزرسانی ها انجام شود تا امنیت شبکه سخت تر شود. اگر همچنان روی حالت پیشفرض تنظیم شود، مهاجم میتواند اقدامات امنیتی را به خطر بیاندازد.پس از شناسایی آسیب پذیری ها، یک تیم قرمز سعی میکند از این نقاط ضعف برای دسترسی به شبکه شما سوء استفاده کند. هنگامی که یک مهاجم در سیستم شما قرار می گیرد، روش معمول اقدام استفاده از تکنیک های افزایش امتیاز است، به موجب آن مهاجم سعی می کند اعتبار مدیری را که دسترسی بیشتر و کامل به بالاترین سطوح اطلاعات حیاتی دارد، بدزدد.
تیم های قرمز از روش ها و ابزار های مختلفی برای بهره برداری از نقاط ضعف و آسیب پذیری در یک شبکه استفاده میکنند. مهم است که توجه داشته باشید که تیم های قرمز از هر وسیلهای که بر اساس شرایط تعامل لازم باشد برای نفوذ به سیستم شما استفاده خواهند کرد. بسته به آسیب پذیری، ممکن است بدافزار را برای آلوده کردن میزبان ها یا حتی دور زدن کنترل های امنیتی فیزیکی با شبیهسازی کارت های دسترسی به کار گیرند.
تیم آبی ابتدا داده ها را جمع آوری می کند، دقیقاً آنچه را که باید محافظت شود مستند می کند و ارزیابی ریسک را انجام می دهد. سپس آنها دسترسی به سیستم را از بسیاری جهات سخت تر می کنند، از جمله معرفی سیاست های رمز عبور قوی تر و آموزش کارکنان برای اطمینان از درک و مطابقت با رویه های امنیتی.ابزار های نظارتی اغلب در محل قرار میگیرند که به اطلاعات مربوط به دسترسی به سیستم ها اجازه ثبت و بررسی برای فعالیت غیرمعمول را میدهند. تیم های آبی بررسی های منظمی را روی سیستم انجام میدهند، به عنوان مثال، بررسی دقیق DNS، اسکن آسیب پذیری شبکه داخلی یا خارجی و گرفتن نمونه ترافیک شبکه برای تجزیه و تحلیل.
تیم های آبی باید تدابیر امنیتی را در اطراف دارایی های کلیدی یک سازمان ایجاد کنند. آنها طرح دفاعی خود را با شناسایی دارایی های حیاتی شروع می کنند، اهمیت این دارایی ها را برای کسب و کار مستند می کنند و فقدان این دارایی ها چه تاثیری خواهد داشت.سپس تیم های آبی با شناسایی تهدیدات علیه هر دارایی و نقاط ضعفی که این تهدیدها میتوانند از آنها استفاده کنند، ارزیابی ریسک را انجام میدهند. با ارزیابی ریسک ها و اولویت بندی آن، تیم آبی برای اجرای کنترل هایی که میتواند تأثیر یا احتمال تحقق تهدیدات علیه دارایی ها را کاهش دهد، یک برنامه عملی ایجاد میکند.
برای مثال، یک تیم آبی ممکن است تشخیص دهد که شبکه شرکت در برابر حمله DDoS (منع سرویس توزیع شده) آسیب پذیر است. این حمله با ارسال درخواست های ناقص ترافیک به سرور، دسترسی شبکه به کاربران قانونی را کاهش میدهد. هر یک از این درخواست ها برای انجام یک عمل به منابع نیاز دارند، به همین دلیل است که حمله به شدت یک شبکه را فلج می کند.سپس تیم ضرر را در صورت وقوع تهدید محاسبه می کند. بر اساس تجزیه و تحلیل هزینه و فایده و همسویی با اهداف تجاری، یک تیم آبی نصب یک سیستم تشخیص نفوذ و پیشگیری را برای به حداقل رساندن خطر حملات DDoS در نظر می گیرد.
تیم های آبی از روش ها و ابزار های مختلفی به عنوان اقدامات متقابل برای محافظت از شبکه در برابر حملات سایبری استفاده می کنند. بسته به موقعیت، یک تیم آبی ممکن است تشخیص دهد که فایروال های اضافی برای مسدود کردن دسترسی به یک شبکه داخلی باید نصب شود. یا خطر حملات مهندسی اجتماعی آنقدر حیاتی است که هزینه اجرای آموزش آگاهی امنیتی در سطح شرکت را تضمین می کند.
امیدوارم از این مقاله آموزشی لذت برده باشید :)