خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

Red Teaming چیست و چگونه امنیت سایبری را بهبود می بخشد؟

ارشیا یوسفی ادیب ۳ خرداد, ۱۴۰۲ 5 min read

همه هکرها خبر بدی نیستند! هکرهای تیم قرمز سعی می کنند به داده های شما وارد شوند، اما برای اهداف نوع دوستانه …

تیم قرمز عمل آزمایش، حمله و نفوذ به شبکه های کامپیوتری، برنامه ها و سیستم ها است. تیم‌های قرمز هکرهای اخلاقی هستند که توسط سازمان‌ها استخدام می‌شوند تا معماری امنیتی خود را آزمایش کنند. هدف نهایی تیم قرمز این است که مشکلات و آسیب‌پذیری‌ها را در رایانه پیدا کرده و گاهی اوقات آنها را القا کند و از آنها سوء استفاده کند.

چرا تیم قرمز مهم است؟

برای سازمانی که نیاز به محافظت از داده ها و سیستم های حساس دارد، تیم قرمز شامل استخدام اپراتورهای امنیت سایبری برای آزمایش، حمله و نفوذ به معماری امنیتی آن قبل از هکرهای مخرب است. هزینه نسبی انجام بازی های دوستانه برای شبیه سازی یک حمله به طور تصاعدی کمتر از زمانی است که مهاجمان انجام دهند.

بنابراین، تیم های قرمز اساسا نقش هکرهای خارجی را بازی می کنند. فقط اهداف آنها مخرب نیست. در عوض، اپراتورها از ترفندها، ابزارها و تکنیک های هک برای یافتن و بهره برداری از آسیب پذیری ها استفاده می کنند. آنها همچنین روند را مستند می کنند، بنابراین شرکت می تواند از درس های آموخته شده برای بهبود معماری کلی امنیتی خود استفاده کند.

تیم قرمز مهم است زیرا شرکت ها (و حتی افراد) با اسرار نمی توانند به دشمنان اجازه دهند کلیدهای پادشاهی را بدست آورند. حداقل، نقض می تواند منجر به از دست دادن درآمد، جریمه از سوی آژانس های پیروی، از دست دادن اعتماد مشتریان و شرمساری عمومی شود. در بدترین حالت، یک نقض خصمانه می تواند منجر به ورشکستگی، سقوط غیرقابل جبران یک شرکت و سرقت هویت شود که میلیون ها مشتری را تحت تاثیر قرار دهد.

مطلب مرتبط:   حملات ریزمعماری چیست؟

نمونه ای از تیم قرمز چیست؟

تیم قرمز به شدت سناریو محور است. به عنوان مثال، یک شرکت تولید موسیقی ممکن است اپراتورهای تیم قرمز را برای آزمایش ایمنی برای جلوگیری از نشت استخدام کند. اپراتورها سناریوهایی را شامل افرادی می سازند که به درایوهای داده حاوی مالکیت معنوی هنرمندان دسترسی دارند.

هدف در این سناریو ممکن است آزمایش حملاتی باشد که بیشترین تأثیر را در به خطر انداختن امتیازات دسترسی به آن فایل ها دارند. هدف دیگر ممکن است آزمایش این باشد که چگونه یک مهاجم به راحتی می‌تواند از یک نقطه ورودی به صورت جانبی حرکت کند و از ضبط‌های اصلی سرقت شده خارج شود.

اهداف تیم قرمز چیست؟

تیم قرمز به دنبال یافتن و بهره‌برداری از آسیب‌پذیری‌ها در مدت زمان کوتاهی است، بدون اینکه گرفتار شود. در حالی که اهداف واقعی در یک تمرین امنیت سایبری بین سازمان‌ها متفاوت است، تیم‌های قرمز معمولاً اهداف زیر را دارند:

  • مدل تهدیدهای دنیای واقعی
  • شناسایی نقاط ضعف شبکه و نرم افزار.
  • مناطقی که باید بهبود یابد را شناسایی کنید.
  • کارایی پروتکل های امنیتی را ارزیابی کنید.

تیم قرمز چگونه کار می کند؟

تیم قرمز زمانی شروع می شود که یک شرکت (یا فرد) اپراتورهای امنیت سایبری را برای آزمایش و ارزیابی دفاعیات خود استخدام کند. پس از استخدام، کار از چهار مرحله درگیر شدن می‌گذرد: برنامه‌ریزی، اجرا، سالم‌سازی و گزارش‌دهی.

مرحله برنامه ریزی

در مرحله برنامه ریزی، مشتری و تیم قرمز اهداف و محدوده تعامل را تعریف می کنند. در اینجاست که آنها اهداف مجاز (و همچنین دارایی های مستثنی شده از تمرین)، محیط (فیزیکی و دیجیتال)، مدت زمان تعامل، هزینه ها و سایر تدارکات را تعریف می کنند. هر دو طرف همچنین قوانین تعامل را ایجاد می کنند که تمرین را هدایت می کند.

مطلب مرتبط:   "در طبیعت" در امنیت سایبری به چه معناست؟

مرحله اجرا

جلسه تیم در طول یک مسابقه بازی ورزشی

مرحله اجرا جایی است که اپراتورهای تیم قرمز از تمام توان خود برای یافتن و بهره برداری از آسیب پذیری ها استفاده می کنند. آنها باید این کار را مخفیانه انجام دهند و از تضعیف اقدامات متقابل یا پروتکل های امنیتی موجود اهداف خود جلوگیری کنند. تیم‌های قرمز از تاکتیک‌های مختلفی در ماتریس تاکتیک‌ها، تکنیک‌ها و دانش مشترک (ATT&CK) استفاده می‌کنند.

ماتریس ATT&CK شامل چارچوب‌هایی است که مهاجمان برای دسترسی، تداوم و حرکت در معماری‌های امنیتی و همچنین نحوه جمع‌آوری داده‌ها و حفظ ارتباط با معماری آسیب‌دیده پس از حمله استفاده می‌کنند.

برخی از تکنیک‌هایی که ممکن است از آنها استفاده کنند عبارتند از حملات wardriving، مهندسی اجتماعی، فیشینگ، استشمام شبکه، تخلیه اعتبار و اسکن پورت.

مرحله پاکسازی

این دوره پاکسازی است. در اینجا، اپراتورهای تیم قرمز انتهای شل را گره می زنند و آثار حمله خود را پاک می کنند. به عنوان مثال، دسترسی به دایرکتوری های خاص ممکن است گزارش ها و ابرداده ها را به جا بگذارد. هدف تیم قرمز در مرحله پاکسازی، پاک کردن این سیاهه‌ها و پاکسازی ابرداده‌ها است.

علاوه بر این، آنها همچنین تغییراتی را که در معماری امنیتی در مرحله اجرا ایجاد کردند، معکوس می کنند. این شامل بازنشانی کنترل‌های امنیتی، لغو امتیازات دسترسی، بستن بای‌پس‌ها یا درهای پشتی، حذف بدافزارها و بازگرداندن تغییرات در فایل‌ها یا اسکریپت‌ها است.

هنر اغلب از زندگی تقلید می کند. پاکسازی مهم است زیرا اپراتورهای تیم قرمز می خواهند از هموار کردن مسیر برای هکرهای مخرب قبل از اینکه تیم دفاعی بتواند همه چیز را اصلاح کند، اجتناب کنند.

مطلب مرتبط:   مزایا و معایب احراز هویت بدون رمز عبور چیست؟

مرحله گزارش

در این مرحله، تیم قرمز سندی را تهیه می کند که اقدامات و نتایج خود را شرح می دهد. این گزارش همچنین شامل مشاهدات، یافته‌های تجربی و توصیه‌هایی برای اصلاح آسیب‌پذیری‌ها است. همچنین ممکن است دستورالعمل هایی برای ایمن سازی معماری و پروتکل های مورد سوء استفاده را داشته باشد.

قالب گزارش های تیم قرمز معمولاً از یک الگو پیروی می کند. بیشتر گزارش ها اهداف، دامنه و قوانین مشارکت را مشخص می کنند. سیاهههای مربوط به اقدامات و نتایج؛ عواقب؛ شرایطی که آن نتایج را ممکن کرد؛ و نمودار حمله معمولاً بخشی برای رتبه بندی خطرات امنیتی اهداف مجاز و دارایی های امنیتی نیز وجود دارد.

بعد از تیم قرمز چه اتفاقی می افتد؟

شرکت‌ها اغلب تیم‌های قرمز را برای آزمایش سیستم‌های امنیتی در محدوده یا سناریوی مشخصی استخدام می‌کنند. پس از درگیری تیم قرمز، تیم دفاعی (یعنی تیم آبی) از درس های آموخته شده برای بهبود قابلیت های امنیتی خود در برابر تهدیدات شناخته شده و روز صفر استفاده می کند. اما مهاجمان منتظر نمی مانند. با توجه به تغییر وضعیت امنیت سایبری و تهدیدات به سرعت در حال تحول، کار آزمایش و بهبود معماری امنیتی هرگز به پایان نمی رسد.

Tags: