دسته بندی‌ دوره‌ها
0

بلاگ

آموزشگاه آکادمی دوران | برگزاری دوره های آموزشی تخصصی IT بلاگ مقالات امنیت تیم قرمز (Red Teaming ) چیست؟

تیم قرمز (Red Teaming) چیست؟

همانطور که امروزه همه ما می‌دانیم، چشم‌انداز تهدید امنیت سایبری یک محیط پویا است و دائماً در حال تغییر است. مهاجمان سایبری امروزی از ترکیبی از تکنیک‌های هک سنتی و پیشرفته استفاده می‌کنند و حتی انواع جدیدی از این تهدیدات را ایجاد می‌کنند.

📧 فیشینگ و مهندسی اجتماعی؛ نمونه‌ای از تهدیدات مدرن

یک مثال کامل از این موضوع فیشینگ است. به طور سنتی، این شامل ارسال یک پیوست و/یا پیوند مخرب بود. اما اکنون مفاهیم مهندسی اجتماعی در آن گنجانده شده است، همانطور که در مورد مصالحه ایمیل تجاری (BEC) دیده می‌شود.

گذراندن دوره آموزشی Fortinet در دوران آکادمی

یکی از بهترین آموزشگاه‌ها برای گذراندن دوره‌های آموزشی Fortinet، دوران آکادمی است. دانشجویان در این دوران با فرصت‌های بیشتری برای یادگیری و تمرین روبرو هستند و می‌توانند از این فرصت‌ها برای تقویت مهارت‌های خود در زمینه امنیت سایبری بهره ببرند.

⏳ مهاجمان صبور و هدفمند

مهاجم سایبری امروزی هنگام راه‌اندازی بردارهای تهدید خود بسیار صبور است. به جای استفاده از رویکرد بی‌رحمانه “همه یا هیچ”، روشی آهسته و روشمند را ترجیح می‌دهد. آنها زمان خود را صرف انتخاب و مطالعه اهداف خود می‌کنند و به دنبال ضعیف‌ترین حلقه در زنجیره امنیتی یک سازمان هستند.

🛡️ اهمیت تست نفوذ در کشف حفره‌ها

هنگامی که نقاط ضعف پیدا شد، مهاجم سایبری با احتیاط وارد این شکاف می‌شود و محموله‌های مخرب خود را به آرامی مستقر می‌کند. هدف آن‌ها این نیست که یکباره جواهرات ضرب‌المثل را بدست آورند، بلکه به آرامی فعالیت می‌کنند تا مدت طولانی در زیرساخت IT باقی بمانند و در عین حال شناسایی نشوند.

بنابراین، سازمان‌ها برای شناسایی این شیوه‌های حمله کار بسیار سخت‌تری دارند. یکی از مطمئن‌ترین روش‌ها برای تشخیص و ایمن‌سازی این نقاط ضعف، تست نفوذ است. با این روش، تیم‌های متخصص در هماهنگی با یکدیگر ضعف‌ها را شناسایی و راه‌های ایمن‌سازی آنها را پیشنهاد می‌دهند.

🕵️‍♂️ تیم قرمز؛ شبیه‌سازی هکرهای واقعی

وقتی صحبت از امنیت سایبری می‌شود، تیم قرمز معنای خاصی پیدا می‌کند. یک تیم قرمز متشکل از هکرهای اخلاقی است که نقش نیروی حمله متخاصم را ایفا می‌کنند. این تیم حمله‌ای شبیه‌سازی شده را با استفاده از ابزارها و تاکتیک‌های هکرهای واقعی انجام می‌دهد تا نه تنها قابلیت دفاعی، بلکه اثربخشی تیم داخلی را در مواجهه با حمله زنده ارزیابی کند.

تیم قرمز

تیم قرمز چیست؟

تیم قرمز تمرینی است که با اتخاذ رویکردی خصمانه، برنامه ها، سیاست ها، سیستم ها و مفروضات را به شدت به چالش می کشد. یک تیم قرمز ممکن است یک طرف قرارداد خارجی یا یک گروه داخلی باشد که از استراتژی هایی برای تشویق دیدگاه خارجی استفاده می کند.

هدف تیم قرمز غلبه بر خطاهای شناختی مانند تفکر گروهی و سوگیری تایید است که می تواند توانایی تصمیم گیری یا تفکر انتقادی یک فرد یا سازمان را مختل کند.

تیم قرمز معمولاً گروهی از کارمندان داخلی فناوری اطلاعات است که برای شبیه‌سازی اقدامات افراد مخرب یا متخاصم استفاده می‌شود. از منظر امنیت سایبری، هدف قرمز نقض یا به خطر انداختن یک شرکت امنیت دیجیتال است. از سوی دیگر، یک تیم آبی، گروهی از کارمندان داخلی فناوری اطلاعات است که برای شبیه‌سازی اقدامات افراد در یک شرکت یا سازمان خاص، اغلب یک تیم امنیتی، استفاده می‌شود. اگر تیم قرمز به عنوان گروهی از مجرمان سایبری ظاهر شود، هدف آبی نشان داده شده این است که آنها را از ارتکاب نقض فرضی داده ها متوقف کند. این نوع تعامل همان چیزی است که به عنوان شبیه سازی تیم قرمز-آبی شناخته می شود.

با این حال، تیم قرمز منحصراً به وجود یک تیم آبی نیاز ندارد. در واقع، این اغلب می تواند یک تصمیم هدفمند برای مقایسه سیستم های فعال و غیرفعال یک آژانس باشد.

تیم قرمز در ارتش برای ارزیابی واقع بینانه قدرت و کیفیت استراتژی ها با استفاده از یک دیدگاه خارجی نشات گرفت. از آن زمان، تیم قرمز تبدیل به یک تمرین آموزشی رایج امنیت سایبری شده است که توسط سازمان‌ها در بخش‌های دولتی و خصوصی استفاده می‌شود. سایر روش‌های تست امنیتی شامل هک اخلاقی و تست نفوذ یا تست قلم است. در حالی که تیم قرمز هدف و دیدگاه یکسانی از این استراتژی ها دارد، اجرای آنها اغلب کاملاً متفاوت است.

تست قلم و تیم قرمز اغلب به جای یکدیگر برای توصیف تکنیک‌های تست امنیتی استفاده می‌شوند. هر کدام از یک دیدگاه «بیرونی» استفاده می کنند، اما این کار را به روشی متفاوت انجام می دهند.

🎯 تفاوت تیم قرمز با تست نفوذ سنتی

نکته مهم این است که این یک تست نفوذ معمولی نیست. به جای شناسایی تمام آسیب‌پذیری‌ها، تیم قرمز نشان می‌دهد که چگونه سیستم‌های شما ممکن است به خطر بیفتند و آسیب‌های احتمالی وارد شود.

تست نفوذ

تست قلم یک روش تست امنیتی دستی است که سازمان ها برای ارائه یک نمای کلی جامع از کیفیت و اثربخشی کنترل های امنیتی خود از آن استفاده می کنند. هدف آزمایش آسیب‌پذیری شبکه‌ها، دارایی‌ها، سخت‌افزار، پلتفرم‌ها و برنامه‌های کاربردی در یک محدوده تعریف‌شده است.

برخلاف ارزیابی آسیب‌پذیری – یک فرآیند ارزیابی که برای رتبه‌بندی نقاط ضعف امنیت سایبری به ترتیب اهمیت و/یا خطر استفاده می‌شود، تست قلم از تلاش هکرهای اخلاقی برای به چالش کشیدن فیزیکی و مجازی قدرت دستگاه‌های اینترنت اشیا استفاده می‌کند. این تست‌ها عمدی و دقیق هستند و هیچ تمرکزی روی پنهان کاری یا فرار از کار ندارند. دلیل اصلی این امر این است که تست قلم به طور مشخص فاقد تیم آبی رقیب مربوطه است. در واقع، تیم آبی اغلب از دامنه و عمق تست نفوذ در حال انجام آگاه می شود.

تیم قرمز

تیم قرمز یک روش مخفیانه است که اغلب با هدف آزمایش نه تنها سیستم ها و پروتکل های موجود، بلکه همچنین افرادی که آنها را مدیریت می کنند، است. تیم قرمز یک روش تست امنیتی متمرکز و هدف گرا است که برای دستیابی به اهداف خاص طراحی شده است. اگر هدف یک تیم قرمز دسترسی به یک سرور حساس یا یک برنامه کاربردی حیاتی برای کسب و کار باشد، موفقیت آن با میزان خوبی که می تواند این هدف را انجام دهد سنجیده می شود. اگر تیم قرمز به هدف خود برسد، سازمان آمادگی کافی برای جلوگیری از چنین حمله ای را ندارد.

عدم توجه چیزی است که تیم قرمز را از تست قلم متمایز می کند. تیم های آبی اغلب عمداً در طول این ارزیابی ها در تاریکی رها می شوند. هدف از این کار این است که تیم آبی را مجبور به پاسخگویی به گونه ای کند که گویی یک حمله واقعی است و ارزیابی دقیق تری ارائه می دهد.

تیم قرمز - انجام ارزیابی

برای اجرای کار برای مشتری (که اساساً انواع و اقسام حملات سایبری را به خطوط دفاعی آنها راه اندازی می کند)، تیم قرمز ابتدا باید یک ارزیابی انجام دهد. با انجام این کار، اعضای تیم می توانند با در نظر گرفتن ذهنیت یک مهاجم سایبری واقعی، یک دید کلی از زیرساخت های IT و شبکه سازمان داشته باشند. به طور خاص، همه اقلام مشهود/نامشهود مرتبط به طور کامل مورد بررسی قرار می گیرند، از جمله موارد زیر:

دارایی های دیجیتال

دارایی های فیزیکی

فرآیندهای فنی

فرآیندهای عملیاتی

در ساده‌سازی این ارزیابی خاص، تیم قرمز با تلاش برای پاسخ به سه سؤال هدایت می‌شود:

  • با ارزش ترین دارایی ها و فرآیندهایی که به راحتی می توان به خطر افتاد کدامند؟
  • اگر واحد تجاری تحت تأثیر یک حمله سایبری بزرگ قرار گیرد، عواقب عمده‌ای که می‌تواند تجربه شود چیست؟
  • به عنوان مثال، آیا دوره های طولانی از کار افتادگی وجود خواهد داشت؟ چه نوع تأثیراتی از نظر اعتبار و مالی توسط سازمان احساس خواهد شد؟
  • آیا همه دارایی ها و فرآیندهای ذکر شده در بالا به نوعی زیرساخت مشترک متکی هستند که در آن همه آنها به هم متصل شده اند؟ اگر قرار بود به این ضربه وارد شود، تأثیر آبشاری چقدر جدی خواهد بود؟

روش تیم قرمز

تیم قرمز شامل یک فرآیند بسیار تاکتیکی و عمدی برای استخراج تمام اطلاعات مورد نظر است. با این حال، برای اطمینان از قابلیت اندازه‌گیری و کنترل رویه، یک ارزیابی باید قبل از شبیه‌سازی تکمیل شود. هدف این ارزیابی باید استفاده از طرز فکر و اهداف مجرمان سایبری قانونی برای شناسایی نقاط ورودی و آسیب پذیری هایی باشد که فرد می خواهد از آنها سوء استفاده کند.

اطلاعات جمع‌آوری‌شده از این بررسی برای تدوین اهدافی که تیم قرمز می‌خواهد به آنها برسد، ضروری است. اگر تیم قرمز نقطه ضعفی مرتبط با دارایی های دیجیتال، دارایی های فیزیکی، فرآیندهای فنی یا فرآیندهای عملیاتی پیدا کند، جلسه تیم قرمز اولویت بهره برداری از آن را دارد.

پس از مشخص شدن اهداف، تیم قرمز حمله را آغاز خواهد کرد. به طور معمول، تیم آبی می تواند فعالیت تیم قرمز را به عنوان مخرب تشخیص دهد و شروع به محدود کردن یا محدود کردن موفقیت تلاش های خود کند. پس از اتمام تمرین، هر یک از طرفین فهرستی از یافته‌ها را ارائه می‌کنند که ارزش دیدگاه آنها را نشان می‌دهد – و تمرین را به عنوان یک کل.

تیم آبی هر شاخصی از سازش (IoC) را که توانسته‌اند در طول تعامل شناسایی کنند، شناسایی خواهند کرد. IoC ها پرچم هایی هستند که تیم های امنیتی برای ثبت فعالیت های مشکوک از آنها استفاده می کنند. از طرف دیگر، تیم قرمز برای تیم آبی، تفکیک تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) خود را آماده می‌کند.

دو تیم با هم از نتایج برای ایجاد لیستی از موارد قابل اجرا استفاده می کنند – مانند ارتقاء فایروال یا تنظیمات سرور – که می توانند برای بهبود فعالیت تشخیص و پاسخ سیستم امنیتی فعلی انجام دهند.

همانطور که قبلا ذکر شد، انواع تست های نفوذ انجام شده توسط تیم قرمز بسیار به نیازهای امنیتی مشتری بستگی دارد. برای مثال، ممکن است کل زیرساخت فناوری اطلاعات و شبکه یا فقط بخش‌های خاصی از آن‌ها مورد ارزیابی قرار گیرد. هنگامی که در مورد این تصمیم گیری شد، سپس عملکردهای خاص آنچه آزمایش خواهد شد، به طور انتقادی مورد بررسی قرار می گیرد. برنامه‌های نرم‌افزاری (مانند برنامه‌هایی که مبتنی بر وب هستند) می‌توانند به هدف تبدیل شوند، زیرساخت فیزیکی ممکن است ضربه بخورد یا حتی ترکیبی از هر دو.

اما هر چه در پایان مورد بررسی قرار گیرد، یک روش مشترک وجود دارد که تیم قرمز از آن پیروی می کند:

محدوده: این بخش کل اهداف و مقاصد را در طول تمرین تست نفوذ تعریف می کند، مانند:

رسیدن به اهداف یا «پرچم‌هایی» که قرار است به آن‌ها برسیم یا تسخیر شوند

گردآوری “قوانین تعامل” – این نوع حملات سایبری مجاز به انجام را تعریف می کند.

استثناهایی را که در سطح حمله هدف قرار نخواهند گرفت، تعیین کنید

جدول زمانی واقعی برای اجرای تمرینات تست نفوذ را در ارتباط با مشتری تایید کنید.

یک “مجوزنامه” از مشتری دریافت کنید که به طور صریح اجازه انجام حملات سایبری به خطوط دفاعی آنها و دارایی های موجود در آنها را می دهد.

شناسایی و جمع آوری اطلاعات: این مرحله شامل جمع آوری اطلاعات و داده های مربوط به اهدافی است که قرار است توسط تیم قرمز مورد اصابت قرار گیرند. نمونه هایی از این موارد عبارتند از:

محدوده آدرس IP شبکه که به کسب و کار یا شرکت تخصیص داده شده است، و همچنین تعیین هر پورت شبکه باز و خدمات مرتبط

نقاط پایانی API مربوط به هر دستگاه تلفن همراه یا بی سیم است

جمع آوری اطلاعات/ داده های مربوط به کار و شخصی هر یک از کارکنان در سازمان. این معمولاً شامل آدرس های ایمیل، نمایه های رسانه های اجتماعی، شماره تلفن، شماره شناسه کارمندان و غیره است

هر گونه اعتبار کارمندی که قبلاً هدف حمله سایبری قرار گرفته باشد، در صورت وجود

مکان یابی هر سیستم تعبیه شده ای که در زیرساخت IT و شبکه قرار دارد.

برنامه ریزی و نقشه برداری از حملات سایبری: در این مرحله، انواع حملات سایبری که توسط تیم قرمز راه اندازی خواهد شد و همچنین نحوه اجرای آنها ترسیم می شود. برخی از عواملی که در اینجا مورد توجه قرار می گیرد:

تعیین هر گونه زیر دامنه ای که از دسترسی عمومی پنهان است

هرگونه پیکربندی نادرست در زیرساخت مبتنی بر ابر که توسط مشتری استفاده می شود

تشخیص هرگونه اشکال ضعیف احراز هویت

یادداشت برداری از هر گونه آسیب پذیری و ضعفی که در هر برنامه کاربردی مبتنی بر شبکه یا وب وجود دارد

تعیین چگونگی بهره برداری بیشتر از این ضعف ها و آسیب پذیری های شناخته شده

ایجاد هر گونه اسکریپت تماس تلفنی که قرار است در یک حمله مهندسی اجتماعی استفاده شود (با فرض اینکه آنها مبتنی بر تلفن باشند)

راه اندازی حملات سایبری: در این مرحله، حملات سایبری که نقشه برداری شده اند، اکنون به سمت اهداف مورد نظر خود راه اندازی می شوند. نمونه هایی از این عبارتند از:

  • هدف قرار دادن و بهره برداری بیشتر از آن اهدافی که دارای نقاط ضعف و آسیب پذیری شناخته شده هستند
  • تحت تأثیر قرار دادن هر محیط تست یا sandboxing که برای توسعه برنامه های نرم افزاری استفاده می شود
  • دسترسی به هر و/یا تمام سخت افزاری که در زیرساخت فناوری اطلاعات و شبکه قرار دارد. این شامل ایستگاه های کاری، همه اشکال دستگاه های تلفن همراه و بی سیم، سرورها، هر ابزار امنیتی شبکه (مانند فایروال ها، روترها، دستگاه های نفوذ شبکه و غیره می شود).
  • حمله به برنامه های سمت سرویس گیرنده (عمدتا آنهایی که مبتنی بر وب هستند)

مستندسازی و گزارش‌دهی: این آخرین مرحله از چرخه روش‌شناسی در نظر گرفته می‌شود و اساساً شامل ایجاد یک گزارش نهایی و مستند است که در پایان تمرین(های) تست نفوذ به مشتری داده می‌شود. از اجزای زیر تشکیل شده است:

  • کشف هر گونه ضعف و آسیب پذیری امنیتی ناشناخته
  • انواع و انواع حملات سایبری که راه اندازی شد و تأثیرات آنها
  • عواقبی که می تواند از عدم اقدام یا اجرای راه حل های توصیه شده رخ دهد
  • اقدامات اصلاحی که باید برای اصلاح همه شکاف ها و حفره های امنیتی شناخته شده و ناشناخته (اما بعداً کشف شد) انجام شود.
تیم قرمز

وقتی تست حمله انجام می شود، تیم قرمز معمولاً 5 هدف دارد:

تحقیق و شناسایی

هر حمله سایبری با یک دوره شناسایی آغاز می شود زیرا تیم قرمز اطلاعاتی در مورد شبکه هدف جمع آوری می کند. آنها با استفاده از مجموعه‌ای از ابزارها، دفاع‌های شبکه را بررسی می‌کنند و آنچه می‌توانند درباره سیستم‌ها و نرم‌افزارهای مورد استفاده قربانی خود بیاموزند.

آمادگی برای حمله

با استفاده از بینش جمع آوری شده در مرحله 1، تیم قرمز شروع به تدوین یک طرح حمله می کند. آنها ابزارهای مورد استفاده برای حمله را پیکربندی می‌کنند و راه‌هایی برای مبهم کردن فعالیت‌ها طراحی می‌کنند که تشخیص آن را پس از شروع حمله سخت‌تر می‌کنند. برای یک حمله در مقیاس بزرگ، این ممکن است شامل ساخت یک ساختار فرماندهی و کنترل، همراه با تکنیک های مهندسی اجتماعی برای به دست آوردن اطلاعات اضافی، به ویژه رمزهای عبور و جزئیات ورود باشد.

تحویل حمله

تیم قرمز حمله خود را با هدف اولیه شکستن محیط شبکه و حضور در شبکه آغاز می کند. این ممکن است شامل طیف وسیعی از تکنیک‌ها باشد - بدافزار، فیشینگ، شکستن رمز عبور bruteforce و غیره. آنها همچنین اطمینان حاصل می‌کنند که می‌توانند در صورت لزوم و در صورت لزوم به شبکه دسترسی پیدا کنند.

تکمیل ماموریت

با تضمین ورود، تیم قرمز سپس فعالیت های بیشتری را در جهت هدف کلی آزمون انجام خواهد داد. آنها امتیازات حساب را افزایش می دهند، برنامه ها و سرورها را به خطر می اندازند و کنترل های امنیتی داخلی را برای استخراج داده ها یا موارد مشابه دور می زنند.

تجزیه و تحلیل و گزارش

هنگامی که تیم قرمز به اهداف خود دست یافت - یا با موفقیت توسط تیم آبی دفع شد - آزمون پایان می یابد. تیم قرمز فعالیت های خود را مستند و گزارش خواهد کرد تا نشان دهد که چگونه حمله انجام شده است.

تیم قرمز روشی عالی برای ارزیابی مفاد امنیت شبکه با استفاده از یک حمله سایبری واقعی – بدون خطر قرار گرفتن سیستم‌ها در معرض مجرمان سایبری “واقعی”. استراتژی امنیت شبکه شما تحت یک تست استرس مناسب قرار می گیرد، نقاط قوت و ضعف را برجسته می کند و نقشه راه را برای بهبودهای آینده ایجاد می کند.

بیشتر بخوانید :