تیم قرمز (Red Teaming ) چیست؟

1400/10/11
ارسال شده توسط
مقالات امنیت
4.59k بازدید
Red Teaming

همانطور که امروزه همه ما می دانیم، چشم انداز تهدید امنیت سایبری یک چشم انداز پویا است و دائما در حال تغییر است. مهاجمان سایبری امروزی از ترکیبی از تکنیک های هک سنتی و پیشرفته استفاده می کنند. علاوه بر این، آنها حتی انواع جدیدی از آنها را ایجاد می کنند.

 

یک مثال کامل از این موضوع فیشینگ است. به طور سنتی، این شامل ارسال یک پیوست و/یا پیوند مخرب بود. اما در حال حاضر مفاهیم مهندسی اجتماعی در آن گنجانده شده است، همانطور که در مورد مصالحه ایمیل تجاری (BEC) وجود دارد.

 

مهاجم سایبری امروزی نیز هنگام راه‌اندازی بردارهای تهدید خود بسیار صبورتر است. به عنوان مثال، به جای استفاده از یک رویکرد بی رحمانه، همه یا هیچ، روشی آهسته و روشمند را ترجیح می دهند. آنها اکنون زمان خود را صرف انتخاب و مطالعه اهداف خود می کنند. آنها همچنین در تلاش برای یافتن ضعیف ترین حلقه در زنجیره امنیتی یک شرکت یا تجارت هستند.

 

هنگامی که آنها این را پیدا کردند، مهاجم سایبری با احتیاط وارد این شکاف می شود و به آرامی شروع به استقرار محموله های مخرب خود می کند. اکنون هدف این نیست که جواهرات ضرب المثل را به یکباره بدست آوریم، بلکه آنها را به آرامی ببرید تا بتوانند برای مدت طولانی در زیرساخت فناوری اطلاعات باقی بمانند و در عین حال مورد توجه قرار نگیرند.

 

بنابراین، سازمان‌ها برای شناسایی این شیوه جدید حمله سایبری کار بسیار سخت‌تری دارند. تنها راه جلوگیری از این امر، کشف هرگونه حفره یا ضعف ناشناخته در خطوط دفاعی آنهاست. یکی از راه های مطمئن برای تشخیص این موارد از طریق تست نفوذ است. با این کار، شما افراد یا حتی تیم‌هایی دارید که در هماهنگی با یکدیگر کار می‌کنند تا آنها را بیابند و راه‌هایی را برای ایمن‌سازی آنها توصیه کنند.

 

وقتی صحبت از امنیت سایبری می شود، تیم قرمز معنای کمی خاص تری پیدا می کند. در این تنظیمات، یک تیم قرمز یک تیم تخصصی از هکرهای اخلاقی است که نقش یک نیروی حمله متخاصم را بر عهده می گیرند.

 

تیم قرمز یک حمله شبیه سازی شده را با استفاده از ابزارها، تکنیک ها و تاکتیک های مشابه هکرهای “واقعی” انجام خواهد داد. ایده تیم قرمز این است که نه تنها قابلیت‌های دفاعی، بلکه اثربخشی تیم داخلی خود را هنگام برخورد با یک رویداد حمله سایبری “زنده” ارزیابی کنید.

 

نکته مهم این است که این یک تست نفوذ معمولی نیست. به جای تلاش برای شناسایی تمام آسیب‌پذیری‌های موجود در سیستم‌های شما، تیم قرمز نشان می‌دهد که چگونه سیستم‌های شما ممکن است به خطر بیفتد و آسیب‌های احتمالی ممکن است وارد شود.

 

تیم قرمز چیست؟

 

تیم قرمز تمرینی است که با اتخاذ رویکردی خصمانه، برنامه ها، سیاست ها، سیستم ها و مفروضات را به شدت به چالش می کشد. یک تیم قرمز ممکن است یک طرف قرارداد خارجی یا یک گروه داخلی باشد که از استراتژی هایی برای تشویق دیدگاه خارجی استفاده می کند.

 

هدف تیم قرمز غلبه بر خطاهای شناختی مانند تفکر گروهی و سوگیری تایید است که می تواند توانایی تصمیم گیری یا تفکر انتقادی یک فرد یا سازمان را مختل کند.

 

تیم قرمز معمولاً گروهی از کارمندان داخلی فناوری اطلاعات است که برای شبیه‌سازی اقدامات افراد مخرب یا متخاصم استفاده می‌شود. از منظر امنیت سایبری، هدف قرمز نقض یا به خطر انداختن یک شرکت امنیت دیجیتال است. از سوی دیگر، یک تیم آبی، گروهی از کارمندان داخلی فناوری اطلاعات است که برای شبیه‌سازی اقدامات افراد در یک شرکت یا سازمان خاص، اغلب یک تیم امنیتی، استفاده می‌شود. اگر تیم قرمز به عنوان گروهی از مجرمان سایبری ظاهر شود، هدف آبی نشان داده شده این است که آنها را از ارتکاب نقض فرضی داده ها متوقف کند. این نوع تعامل همان چیزی است که به عنوان شبیه سازی تیم قرمز-آبی شناخته می شود.

 

با این حال، تیم قرمز منحصراً به وجود یک تیم آبی نیاز ندارد. در واقع، این اغلب می تواند یک تصمیم هدفمند برای مقایسه سیستم های فعال و غیرفعال یک آژانس باشد.

 

تیم قرمز در ارتش برای ارزیابی واقع بینانه قدرت و کیفیت استراتژی ها با استفاده از یک دیدگاه خارجی نشات گرفت. از آن زمان، تیم قرمز تبدیل به یک تمرین آموزشی رایج امنیت سایبری شده است که توسط سازمان‌ها در بخش‌های دولتی و خصوصی استفاده می‌شود. سایر روش‌های تست امنیتی شامل هک اخلاقی و تست نفوذ یا تست قلم است. در حالی که تیم قرمز هدف و دیدگاه یکسانی از این استراتژی ها دارد، اجرای آنها اغلب کاملاً متفاوت است.

 

تست نفوذ در مقابل تیم قرمز

تست قلم و تیم قرمز اغلب به جای یکدیگر برای توصیف تکنیک‌های تست امنیتی استفاده می‌شوند. هر کدام از یک دیدگاه «بیرونی» استفاده می کنند، اما این کار را به روشی متفاوت انجام می دهند.

 

تست نفوذ

تست قلم یک روش تست امنیتی دستی است که سازمان ها برای ارائه یک نمای کلی جامع از کیفیت و اثربخشی کنترل های امنیتی خود از آن استفاده می کنند. هدف آزمایش آسیب‌پذیری شبکه‌ها، دارایی‌ها، سخت‌افزار، پلتفرم‌ها و برنامه‌های کاربردی در یک محدوده تعریف‌شده است.

 

برخلاف ارزیابی آسیب‌پذیری – یک فرآیند ارزیابی که برای رتبه‌بندی نقاط ضعف امنیت سایبری به ترتیب اهمیت و/یا خطر استفاده می‌شود، تست قلم از تلاش هکرهای اخلاقی برای به چالش کشیدن فیزیکی و مجازی قدرت دستگاه‌های اینترنت اشیا استفاده می‌کند. این تست‌ها عمدی و دقیق هستند و هیچ تمرکزی روی پنهان کاری یا فرار از کار ندارند. دلیل اصلی این امر این است که تست قلم به طور مشخص فاقد تیم آبی رقیب مربوطه است. در واقع، تیم آبی اغلب از دامنه و عمق تست نفوذ در حال انجام آگاه می شود.

 

تیم قرمز

تیم قرمز یک روش مخفیانه است که اغلب با هدف آزمایش نه تنها سیستم ها و پروتکل های موجود، بلکه همچنین افرادی که آنها را مدیریت می کنند، است. تیم قرمز یک روش تست امنیتی متمرکز و هدف گرا است که برای دستیابی به اهداف خاص طراحی شده است. اگر هدف یک تیم قرمز دسترسی به یک سرور حساس یا یک برنامه کاربردی حیاتی برای کسب و کار باشد، موفقیت آن با میزان خوبی که می تواند این هدف را انجام دهد سنجیده می شود. اگر تیم قرمز به هدف خود برسد، سازمان آمادگی کافی برای جلوگیری از چنین حمله ای را ندارد.

 

عدم توجه چیزی است که تیم قرمز را از تست قلم متمایز می کند. تیم های آبی اغلب عمداً در طول این ارزیابی ها در تاریکی رها می شوند. هدف از این کار این است که تیم آبی را مجبور به پاسخگویی به گونه ای کند که گویی یک حمله واقعی است و ارزیابی دقیق تری ارائه می دهد.

 

تیم قرمز – انجام ارزیابی

 

برای اجرای کار برای مشتری (که اساساً انواع و اقسام حملات سایبری را به خطوط دفاعی آنها راه اندازی می کند)، تیم قرمز ابتدا باید یک ارزیابی انجام دهد. با انجام این کار، اعضای تیم می توانند با در نظر گرفتن ذهنیت یک مهاجم سایبری واقعی، یک دید کلی از زیرساخت های IT و شبکه سازمان داشته باشند. به طور خاص، همه اقلام مشهود/نامشهود مرتبط به طور کامل مورد بررسی قرار می گیرند، از جمله موارد زیر:

 

  • دارایی های دیجیتال
  • دارایی های فیزیکی
  • فرآیندهای فنی
  • فرآیندهای عملیاتی

 

در ساده‌سازی این ارزیابی خاص، تیم قرمز با تلاش برای پاسخ به سه سؤال هدایت می‌شود:

 

  • اگر واحد تجاری تحت تأثیر یک حمله سایبری بزرگ قرار گیرد، عواقب عمده‌ای که می‌تواند تجربه شود چیست؟
  • به عنوان مثال، آیا دوره های طولانی از کار افتادگی وجود خواهد داشت؟ چه نوع تأثیراتی از نظر اعتبار و مالی توسط سازمان احساس خواهد شد؟
  • آیا همه دارایی ها و فرآیندهای ذکر شده در بالا به نوعی زیرساخت مشترک متکی هستند که در آن همه آنها به هم متصل شده اند؟ اگر قرار بود به این ضربه وارد شود، تأثیر آبشاری چقدر جدی خواهد بود؟
  • با ارزش ترین دارایی ها و فرآیندهایی که به راحتی می توان به خطر افتاد کدامند؟

 

 

روش تیم قرمز

 

روش تیم قرمز

تیم قرمز شامل یک فرآیند بسیار تاکتیکی و عمدی برای استخراج تمام اطلاعات مورد نظر است. با این حال، برای اطمینان از قابلیت اندازه‌گیری و کنترل رویه، یک ارزیابی باید قبل از شبیه‌سازی تکمیل شود. هدف این ارزیابی باید استفاده از طرز فکر و اهداف مجرمان سایبری قانونی برای شناسایی نقاط ورودی و آسیب پذیری هایی باشد که فرد می خواهد از آنها سوء استفاده کند.

 

اطلاعات جمع‌آوری‌شده از این بررسی برای تدوین اهدافی که تیم قرمز می‌خواهد به آنها برسد، ضروری است. اگر تیم قرمز نقطه ضعفی مرتبط با دارایی های دیجیتال، دارایی های فیزیکی، فرآیندهای فنی یا فرآیندهای عملیاتی پیدا کند، جلسه تیم قرمز اولویت بهره برداری از آن را دارد.

 

پس از مشخص شدن اهداف، تیم قرمز حمله را آغاز خواهد کرد. به طور معمول، تیم آبی می تواند فعالیت تیم قرمز را به عنوان مخرب تشخیص دهد و شروع به محدود کردن یا محدود کردن موفقیت تلاش های خود کند. پس از اتمام تمرین، هر یک از طرفین فهرستی از یافته‌ها را ارائه می‌کنند که ارزش دیدگاه آنها را نشان می‌دهد – و تمرین را به عنوان یک کل.

 

تیم آبی هر شاخصی از سازش (IoC) را که توانسته‌اند در طول تعامل شناسایی کنند، شناسایی خواهند کرد. IoC ها پرچم هایی هستند که تیم های امنیتی برای ثبت فعالیت های مشکوک از آنها استفاده می کنند. از طرف دیگر، تیم قرمز برای تیم آبی، تفکیک تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) خود را آماده می‌کند.

 

دو تیم با هم از نتایج برای ایجاد لیستی از موارد قابل اجرا استفاده می کنند – مانند ارتقاء فایروال یا تنظیمات سرور – که می توانند برای بهبود فعالیت تشخیص و پاسخ سیستم امنیتی فعلی انجام دهند.

 

همانطور که قبلا ذکر شد، انواع تست های نفوذ انجام شده توسط تیم قرمز بسیار به نیازهای امنیتی مشتری بستگی دارد. برای مثال، ممکن است کل زیرساخت فناوری اطلاعات و شبکه یا فقط بخش‌های خاصی از آن‌ها مورد ارزیابی قرار گیرد. هنگامی که در مورد این تصمیم گیری شد، سپس عملکردهای خاص آنچه آزمایش خواهد شد، به طور انتقادی مورد بررسی قرار می گیرد. برنامه‌های نرم‌افزاری (مانند برنامه‌هایی که مبتنی بر وب هستند) می‌توانند به هدف تبدیل شوند، زیرساخت فیزیکی ممکن است ضربه بخورد یا حتی ترکیبی از هر دو.

 

اما هر چه در پایان مورد بررسی قرار گیرد، یک روش مشترک وجود دارد که تیم قرمز از آن پیروی می کند:

 

محدوده: این بخش کل اهداف و مقاصد را در طول تمرین تست نفوذ تعریف می کند، مانند:

رسیدن به اهداف یا «پرچم‌هایی» که قرار است به آن‌ها برسیم یا تسخیر شوند

گردآوری “قوانین تعامل” – این نوع حملات سایبری مجاز به انجام را تعریف می کند.

استثناهایی را که در سطح حمله هدف قرار نخواهند گرفت، تعیین کنید

جدول زمانی واقعی برای اجرای تمرینات تست نفوذ را در ارتباط با مشتری تایید کنید.

یک “مجوزنامه” از مشتری دریافت کنید که به طور صریح اجازه انجام حملات سایبری به خطوط دفاعی آنها و دارایی های موجود در آنها را می دهد.

شناسایی و جمع آوری اطلاعات: این مرحله شامل جمع آوری اطلاعات و داده های مربوط به اهدافی است که قرار است توسط تیم قرمز مورد اصابت قرار گیرند. نمونه هایی از این موارد عبارتند از:

محدوده آدرس IP شبکه که به کسب و کار یا شرکت تخصیص داده شده است، و همچنین تعیین هر پورت شبکه باز و خدمات مرتبط

نقاط پایانی API مربوط به هر دستگاه تلفن همراه یا بی سیم است

جمع آوری اطلاعات/ داده های مربوط به کار و شخصی هر یک از کارکنان در سازمان. این معمولاً شامل آدرس های ایمیل، نمایه های رسانه های اجتماعی، شماره تلفن، شماره شناسه کارمندان و غیره است

هر گونه اعتبار کارمندی که قبلاً هدف حمله سایبری قرار گرفته باشد، در صورت وجود

مکان یابی هر سیستم تعبیه شده ای که در زیرساخت IT و شبکه قرار دارد.

برنامه ریزی و نقشه برداری از حملات سایبری: در این مرحله، انواع حملات سایبری که توسط تیم قرمز راه اندازی خواهد شد و همچنین نحوه اجرای آنها ترسیم می شود. برخی از عواملی که در اینجا مورد توجه قرار می گیرد:

تعیین هر گونه زیر دامنه ای که از دسترسی عمومی پنهان است

هرگونه پیکربندی نادرست در زیرساخت مبتنی بر ابر که توسط مشتری استفاده می شود

تشخیص هرگونه اشکال ضعیف احراز هویت

یادداشت برداری از هر گونه آسیب پذیری و ضعفی که در هر برنامه کاربردی مبتنی بر شبکه یا وب وجود دارد

تعیین چگونگی بهره برداری بیشتر از این ضعف ها و آسیب پذیری های شناخته شده

ایجاد هر گونه اسکریپت تماس تلفنی که قرار است در یک حمله مهندسی اجتماعی استفاده شود (با فرض اینکه آنها مبتنی بر تلفن باشند)

راه اندازی حملات سایبری: در این مرحله، حملات سایبری که نقشه برداری شده اند، اکنون به سمت اهداف مورد نظر خود راه اندازی می شوند. نمونه هایی از این عبارتند از:

هدف قرار دادن و بهره برداری بیشتر از آن اهدافی که دارای نقاط ضعف و آسیب پذیری شناخته شده هستند

تحت تأثیر قرار دادن هر محیط تست یا sandboxing که برای توسعه برنامه های نرم افزاری استفاده می شود

دسترسی به هر و/یا تمام سخت افزاری که در زیرساخت فناوری اطلاعات و شبکه قرار دارد. این شامل ایستگاه های کاری، همه اشکال دستگاه های تلفن همراه و بی سیم، سرورها، هر ابزار امنیتی شبکه (مانند فایروال ها، روترها، دستگاه های نفوذ شبکه و غیره می شود).

حمله به برنامه های سمت سرویس گیرنده (عمدتا آنهایی که مبتنی بر وب هستند)

مستندسازی و گزارش‌دهی: این آخرین مرحله از چرخه روش‌شناسی در نظر گرفته می‌شود و اساساً شامل ایجاد یک گزارش نهایی و مستند است که در پایان تمرین(های) تست نفوذ به مشتری داده می‌شود. از اجزای زیر تشکیل شده است:

انواع و انواع حملات سایبری که راه اندازی شد و تأثیرات آنها

کشف هر گونه ضعف و آسیب پذیری امنیتی ناشناخته

درجه بهره برداری از موارد فوق توسط یک مهاجم سایبری در دنیای واقعی

اقدامات اصلاحی که باید برای اصلاح همه شکاف ها و حفره های امنیتی شناخته شده و ناشناخته (اما بعداً کشف شد) انجام شود.

عواقبی که می تواند از عدم اقدام یا اجرای راه حل های توصیه شده رخ دهد

 

وقتی تست حمله انجام می شود، تیم قرمز معمولاً 5 هدف دارد:

 

  1. تحقیق و شناسایی

هر حمله سایبری با یک دوره شناسایی آغاز می شود زیرا تیم قرمز اطلاعاتی در مورد شبکه هدف جمع آوری می کند. آنها با استفاده از مجموعه‌ای از ابزارها، دفاع‌های شبکه را بررسی می‌کنند و آنچه می‌توانند درباره سیستم‌ها و نرم‌افزارهای مورد استفاده قربانی خود بیاموزند.

 

  1. آمادگی برای حمله

با استفاده از بینش جمع آوری شده در مرحله 1، تیم قرمز شروع به تدوین یک طرح حمله می کند. آنها ابزارهای مورد استفاده برای حمله را پیکربندی می‌کنند و راه‌هایی برای مبهم کردن فعالیت‌ها طراحی می‌کنند که تشخیص آن را پس از شروع حمله سخت‌تر می‌کنند. برای یک حمله در مقیاس بزرگ، این ممکن است شامل ساخت یک ساختار فرماندهی و کنترل، همراه با تکنیک های مهندسی اجتماعی برای به دست آوردن اطلاعات اضافی، به ویژه رمزهای عبور و جزئیات ورود باشد.

 

  1. تحویل حمله

تیم قرمز حمله خود را با هدف اولیه شکستن محیط شبکه و حضور در شبکه آغاز می کند. این ممکن است شامل طیف وسیعی از تکنیک‌ها باشد – بدافزار، فیشینگ، شکستن رمز عبور bruteforce و غیره. آنها همچنین اطمینان حاصل می‌کنند که می‌توانند در صورت لزوم و در صورت لزوم به شبکه دسترسی پیدا کنند.

 

  1. تکمیل ماموریت

با تضمین ورود، تیم قرمز سپس فعالیت های بیشتری را در جهت هدف کلی آزمون انجام خواهد داد. آنها امتیازات حساب را افزایش می دهند، برنامه ها و سرورها را به خطر می اندازند و کنترل های امنیتی داخلی را برای استخراج داده ها یا موارد مشابه دور می زنند.

 

 

  1. تجزیه و تحلیل و گزارش

هنگامی که تیم قرمز به اهداف خود دست یافت – یا با موفقیت توسط تیم آبی دفع شد – آزمون پایان می یابد. تیم قرمز فعالیت های خود را مستند و گزارش خواهد کرد تا نشان دهد که چگونه حمله انجام شده است.

 

تیم قرمز روشی عالی برای ارزیابی مفاد امنیت شبکه با استفاده از یک حمله سایبری واقعی – بدون خطر قرار گرفتن سیستم‌ها در معرض مجرمان سایبری “واقعی”. استراتژی امنیت شبکه شما تحت یک تست استرس مناسب قرار می گیرد، نقاط قوت و ضعف را برجسته می کند و نقشه راه را برای بهبودهای آینده ایجاد می کند.

 

تیم قرمز – فعالیت های عمده

هنگامی که همه اینها به دقت بررسی شد و پاسخ داده شد، تیم قرمز سپس در مورد انواع مختلف حملات سایبری که احساس می‌کنند برای کشف هر گونه ضعف یا آسیب‌پذیری ناشناخته لازم است، تصمیم می‌گیرد. البته، «فهرستی» که در ابتدا با انجام این ارزیابی ایجاد می‌شود، به هیچ وجه یک فهرست فراگیر نیست. به عنوان مثال، هنگامی که تمرین(های) تست نفوذ واقعاً شروع شد، تیم قرمز متعاقباً می‌تواند بردارهای تهدید بیشتری را که مناسب می‌داند اضافه کند.

 

در زیر نمونه هایی از تاکتیک های اولیه ای که تیم سرخ در آن انجام می دهد آورده شده است:

 

    مهندسی اجتماعی مبتنی بر ایمیل و تلفن:

این معمولاً اولین “قلاب” است که برای به دست آوردن نوعی ورود به کسب و کار یا شرکت استفاده می شود و از آنجا، هر درب پشتی دیگری را که ممکن است ناآگاهانه به روی دنیای خارج باز شود، کشف کند. در این موارد، ایمیل های فیشینگ و سبک مهندسی اجتماعی حملات راه اندازی می شوند. یکی از اهداف اصلی در اینجا ربودن هر و/یا تمام ترکیبات نام کاربری و رمز عبوری است که امکان به دست آوردن آنها برای ایجاد اولین شکاف شدید در محیط دفاعی وجود دارد.

 

    تاکتیک‌های بهره‌برداری:

هنگامی که تیم قرمز اولین نقطه ورود به سازمان را ایجاد کرد، گام بعدی این است که دریابید از چه حوزه‌هایی در زیرساخت فناوری اطلاعات/شبکه ​​می‌توان برای سود مالی بیشتر بهره‌برداری کرد. این شامل سه جنبه اصلی است:

  • خدمات شبکه: نقاط ضعف در اینجا شامل سرورها و ترافیک شبکه است که بین همه آنها جریان دارد. آسیب پذیرترین آنها در اینجا (و تیم قرمز از آنها نهایت استفاده را خواهد برد) دارایی هایی هستند که اصلاح نشده اند یا به طور کامل به اشتباه پیکربندی شده اند.
  • لایه فیزیکی: در این سطح، تیم قرمز در تلاش است تا هر نقطه ضعفی را که می تواند در محل فیزیکی کسب و کار یا شرکت مورد سوء استفاده قرار گیرد، پیدا کند. به عنوان مثال، آیا کارمندان اغلب به دیگران اجازه ورود می دهند بدون اینکه ابتدا اعتبار آنها بررسی شود؟ آیا مناطقی در داخل سازمان وجود دارد که فقط از یک لایه امنیتی استفاده می کنند که بتوان به راحتی به آن نفوذ کرد؟ اگر مرکز داده داخل سازمان از چندین نقطه ورودی استفاده می کند، زمان تاخیر بین باز و بسته شدن این درها چقدر است؟ (به عبارت دیگر، آیا به طور فرضی زمان کافی برای فریبکار وجود دارد که بدون نیاز به استفاده از هر نوع اعتبار جعلی یا سرقت شده از آن عبور کند؟)
  • لایه برنامه: این معمولا شامل تیم Red می‌شود که برنامه‌های مبتنی بر وب (که معمولاً آیتم‌های بک‌اند، عمدتاً پایگاه‌های داده هستند) را دنبال می‌کنند و به سرعت آسیب‌پذیری‌ها و ضعف‌های موجود در آن‌ها را تعیین می‌کنند. پس از کشف، بردارهای تهدید معمولی که باید راه اندازی شوند عبارتند از حملات تزریق SQL، حملات اسکریپت نویسی بین سایتی، حملات جعل درخواست بین سایتی و موارد مشابه.

 

 

بیشتر بخوانید: تیم آبی (Blue Teaming ) چیست؟

تیم قرمز – شبیه سازی مهاجمان سایبری

 

اگرچه یکی از اهداف نهایی تیم قرمز، وارد شدن به ذهنیت کلی مهاجم سایبری و راه‌اندازی بردارهای تهدید مانند مهاجمان واقعی است، آنها انواع دیگری از نقش‌های عامل تهدید را نیز بر عهده می‌گیرند. هدف اصلی از این کار این است که کسب و کار یا شرکت را در معرض هر چیزی که در یک سناریوی واقعی ممکن است قرار دهد. در زیر نمونه هایی از این نقش های دیگر آمده است:

 

    جرایم سازمان یافته:

در این نوع نقش، تیم قرمز از بردارهای تهدید سنتی (مانند اسب تروا) برای دستیابی به دارایی های ملموس سازمان استفاده می کند. به طور معمول، اینها حساب های مالی هستند. اگرچه به دست آوردن نام کاربری و رمز عبور یکی از روش های کلیدی برای دستیابی به پول است، مهاجم سایبری ممکن است به روش های اخاذی خالص نیز متوسل شود. در این موارد، پس از کسب سود، مهاجم سایبری معمولاً سعی می‌کند تا درهای پشتی را بپوشاند، بنابراین هر نوع «ردپای پزشکی قانونی» را تا حد ممکن از بین می‌برد.

 

    جاسوسی سایبری:

در این نوع موقعیت‌ها، هدف تیم قرمز دسترسی به دارایی‌های مالی واحد تجاری نیست. در عوض، هدف در اینجا جمع آوری هر چه بیشتر اطلاعات در مورد قربانیان آینده و یادگیری بیشتر در مورد فرآیندهای آنها است. بنابراین، هر حمله ای که در این دسته انجام شود، معمولاً بسیار کندتر است، که مشخصه آن مقدار زیادی صبر و پشتکار بخشی از مهاجم سایبری است.

 

    تروریست سایبری:

این یکی از شدیدترین اشکال حمله سایبری است و هدف نهایی در اینجا ایجاد تخریب فیزیکی تا حد امکان در زیرساخت های حیاتی است. این شامل مواردی مانند خطوط لوله نفت/گاز، شبکه برق، نیروگاه های هسته ای، نیروگاه های صنعتی در مقیاس بزرگ، خطوط تامین آب، هاب های تولید برق و غیره است.

 

    سایبراکتیویست:

در این دسته، هدف تیم قرمز چندان سود مالی یا ایجاد تخریب فیزیکی نیست. در عوض، هدف در اینجا یافتن راه هایی است که از طریق آن می توان شهرت نام تجاری یک کسب و کار یا شرکت را به طور کامل خدشه دار کرد. تاکتیک های مورد استفاده در اینجا شامل افشای اطلاعات و داده های محرمانه به مردم، هک کردن حساب های رسانه های اجتماعی آنها، انتشار شایعات نادرست و موارد دیگر است.

 

تیم قرمز – مزایایی که مشتری به دست آورده است

 

در پایان هر تمرین تست نفوذ، چندین مزیت کلیدی وجود دارد که مشتری پس از استفاده کامل از تیم قرمز به دست خواهد آورد. این موارد به شرح زیر است:

 

    پاسخ به حملات سایبری را می توان تأیید کرد:

با قرار گرفتن در معرض یک سری حملات سایبری، یک سازمان واقعاً می داند که خط دفاعی آنها چقدر خوب است و آیا واکنش کاهش برای خنثی کردن هرگونه تهدید آینده کافی است یا خیر. اگر آنها به اندازه کافی کافی نیستند، کارکنان امنیت فناوری اطلاعات باید اقدامات متقابل مناسب را ارائه دهند که با راهنمایی تیم قرمز تدوین شده است.

 

    ایجاد یک طرح طبقه‌بندی ریسک امنیتی:

زمانی که واحد تجاری از تمام آسیب‌پذیری‌ها و ضعف‌هایی که در زیرساخت‌های فناوری اطلاعات و شبکه‌شان وجود دارد آگاه شد، آن‌گاه همه دارایی‌های مرتبط را می‌توان به درستی بر اساس سطح ریسک طبقه‌بندی کرد.

 

    همه نقاط ضعف امنیتی آشکار و آشکار خواهند شد:

همانطور که قبلاً در این مقاله توضیح داده شد، تنها از طریق آزمایش نفوذ جامع توسط تیم قرمز است که تمام شکاف‌ها و حفره‌های امنیتی آشکار می‌شوند، از جمله مواردی که قبلاً هرگز وجود نداشتند.

 

    بازده سرمایه گذاری (ROI) را در فناوری های امنیتی به حداکثر برسانید:

یکی از بزرگترین مسائلی که امروزه شرکت ها و مشاغل با آن مواجه هستند، کشف این است که آیا پولی که برای فناوری های امنیتی هزینه می شود نیز عاقلانه استفاده می شود. به عنوان مثال، اشتباه در تفکر این است که با پیاده‌سازی ساده‌ترین و پیشرفته‌ترین فناوری‌های امنیتی، خطوط دفاعی کاملاً مستحکم خواهند بود. اما این فقط سطح حمله را برای مهاجم سایبری افزایش می دهد. پس از انجام تمرین(های) توسط تیم قرمز، کارکنان امنیت فناوری اطلاعات و همچنین “C-Suite” در صورت دریافت بازگشت سرمایه مثبت در سرمایه گذاری های فعلی فناوری امنیتی خود، ایده بسیار بهتری خواهند داشت. در غیر این صورت، باید تنظیمات مناسب برای اطمینان از استفاده عاقلانه از منابع مالی مهم انجام شود

 

اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید