تیم آبی (Blue Teaming ) چیست؟

1400/10/06
ارسال شده توسط
مقالات امنیت
4.51k بازدید
تیم آبی (Blue Teaming )

تیم آبی (Blue Teaming ) چیست؟

مانند یک تیم قرمز، تیم‌های آبی شامل گروهی از افراد هستند که یک شبکه را ارزیابی می‌کنند تا هر گونه آسیب‌پذیری بالقوه‌ای را که بر دستگاه‌ها یا سیستم‌های حیاتی مالکیت یک کسب‌وکار تأثیر می‌گذارد، شناسایی کنند. برخلاف تیم قرمزی که از آسیب‌پذیری‌های شناسایی‌شده سوء استفاده می‌کند، تیم آبی به دنبال ابزارهای مناسب برای بهبود توانایی اجتناب، بازدارندگی، مقاومت و پاسخ به تهدیدات احتمالی است که احتمالاً به رویدادهای زیان‌ده تبدیل می‌شوند. نقش تیم آبی این است که به عنوان مدافع برای تمام دارایی های الکترونیکی متعلق به یک سازمان، اعم از میزبانی داخلی یا خارجی، خدمت کند.

 

بسیاری از تولیدکنندگان و تولیدکنندگان از ابزارهای امنیتی خودکار برای کمک به شناسایی و اصلاح آسیب‌پذیری‌ها برای محافظت در برابر حملات سایبری استفاده می‌کنند. با این حال، اگر یک کسب‌وکار از سیاست‌ها، کنترل‌ها، نظارت، ثبت‌نام، وصله‌سازی، مدیریت حوادث استفاده نکند، مجبور خواهید شد کورکورانه به حوادث واکنش نشان دهید.

 

تیم های آبی مسئول نظارت، شناسایی و واکنش به تهدیدات امنیتی هستند. ما متوجه شدیم که بسیاری از تولیدکنندگان برخی از این الزامات را تکمیل می‌کنند، به همین دلیل است که مجرمان سایبری همچنان بر تولیدکنندگان تمرکز می‌کنند. هیچ کس مسئول ایفای این نقش های اساسی نیست. در هنگام رخنه، تیم های آبی نقش مهمی دارند. آنها از سیاست‌ها و پروتکل‌ها برای جداسازی سیستم‌های در معرض خطر پیروی می‌کنند تا از گسترش حملاتی مانند باج‌افزار در سراسر شبکه تجاری جلوگیری کنند

 

در طول فعالیت‌های تست امنیت سایبری، تیم‌های آبی محیط‌های امنیتی سازمانی را ارزیابی می‌کنند و از این محیط‌ها در برابر تیم‌های قرمز دفاع می‌کنند. این تیم‌های قرمز با شناسایی آسیب‌پذیری‌های امنیتی و انجام حملات در یک محیط کنترل‌شده، نقش مهاجمان را بازی می‌کنند. هر دو تیم برای کمک به روشن کردن وضعیت واقعی امنیت یک سازمان ترکیب می شوند.

 

این ایده که شما می توانید دفاع خود را با حمله به آنها در یک محیط کنترل شده بهتر درک کنید، یک اصل نظامی قدیمی است. این ایده معمولاً در تمرین “تیم قرمز” بیان می شود، جایی که یک گروه خارجی از بازیگران مستقل سیستم ها یا دفاعیات یک سازمان هدف را برای شناسایی هر گونه آسیب پذیری موجود آزمایش می کنند.

 

در دنیای امنیت اطلاعات، تمرین تیم قرمز اکنون به خوبی جا افتاده است. تیم‌های قرمز که به‌عنوان «هکرهای اخلاقی» عمل می‌کنند، به‌طور روشمند ساختار و دفاعی سازمان را مطالعه می‌کنند و سپس حملاتی را برای سوءاستفاده از هرگونه ضعف انجام می‌دهند.

 

با این حال تیم های قرمز تنها بخشی از معادله هستند. در طرف دیگر «تیم‌های آبی» قرار دارند – متخصصان امنیتی که وظیفه دارند از سیستم‌ها و دارایی‌های سازمان در برابر حملات واقعی و شبیه‌سازی شده دفاع کنند

 

تمرینات تیم آبی چیست؟

تیم آبی (Blue Teaming )

تمرین‌های تیم آبی به شبیه‌سازی‌های حمله کنترل‌شده تبدیل می‌شوند که اثربخشی یک تیم آبی و قابلیت‌های آن را برای شناسایی، مسدود کردن و کاهش حملات و نقض‌ها آزمایش می‌کنند. تیم آبی مدل تهدیدهایی را اعمال می کند که احتمالاً امروز باعث یک رویداد ضرر برای یک سازمان می شود. در طول تمرین تیم آبی، یک تیم قرمز شروع به حمله به دارایی های سازمان برای سوء استفاده از آسیب پذیری های سیستم ها، دستگاه ها و برنامه های کاربردی در سراسر شبکه خواهد کرد. همانطور که حملات و اقدامات بیشتری در محیط کسب و کار رخ می دهد، هدف تیم آبی پاسخ دادن به حملات و انجام اقدامات لازم برای جداسازی دارایی های آلوده است.

 

در پایان تمرین تیم آبی، تیم قرمز در مورد روش های حمله و اقدامات خود پس از آن بحث خواهد کرد. تیم آبی بعداً از این اطلاعات برای ارزیابی و اولویت بندی تغییرات مورد نیاز برای جلوگیری از موفقیت مجدد حمله مشابه استفاده می کند. در برخی موارد، تیم‌های قرمز و تیم‌های آبی به‌طور مستقیم در طول حملات شبیه‌سازی‌شده با یکدیگر تعامل می‌کنند، اثربخشی پاسخ حمله را اندازه‌گیری می‌کنند و در صورت بروز هر گونه مشکلی در مورد نحوه مقابله با تهدید کمک می‌کنند. این نوع ارزیابی ها عموماً به عنوان تمرینات تیمی بنفش شناخته می شوند

 

 

تفاوت بین تیم های آبی و تیم های قرمز چیست؟

تیم آبی (Blue Teaming )

 

در حالی که تیم‌های قرمز و آبی با تولیدکنندگان و تولیدکنندگان برای کمک به بهبود امنیت سایبری خود کار می‌کنند، تفاوت‌های اساسی بین آنها وجود دارد. اولین تفاوت تیم های قرمز و آبی در تخصص و سابقه آنها در امنیت سایبری است. اعضای تیم قرمز اغلب در شیوه‌های امنیتی توهین‌آمیز تخصص دارند، جایی که تمرکز آنها یافتن آسیب‌پذیری‌هایی است که می‌تواند بر کسب‌وکار تأثیر بگذارد و توسعه سوءاستفاده‌ها و ابزارهای سفارشی برای استفاده در طول تعاملات.

 

از سوی دیگر، تیم‌های آبی بر استفاده از پیشینه خود در امنیت سایبری برای کمک به محافظت از شرکت‌ها با شناسایی آسیب‌پذیری‌ها، اعمال وصله‌های امنیتی مورد نیاز، و توسعه ابزارها و فیلترهای سفارشی برای شناسایی حملات تمرکز می‌کنند. تیم‌های آبی همچنین در توسعه شیوه‌ها و سیاست‌های امنیتی که بر اساس نیازهای تجارت و وضعیت فعلی تهدیدات سایبری تکامل می‌یابند، تخصص دارند.

 

یکی دیگر از تفاوت های تیم های قرمز و آبی، نقش و مشارکت آنها در یک تجارت است. تیم های قرمز مستقیماً با این شرکت در ارتباط نیستند. آنها اغلب به عنوان “شخص ثالث” در نظر گرفته می شوند که برای مدتی برای ارزیابی امنیت یک تجارت قرارداد دارند. نقش آنها این است که به عنوان یک بازیگر مخرب عمل کنند و یک سری حملات سایبری واقع بینانه و کنترل شده علیه سازمان را شبیه سازی کنند. تیم های آبی یک منبع داخلی برای یک تجارت در نظر گرفته می شوند، جایی که اعضای تیم آبی برای شرکت کار می کنند و برای هیچ تجارت دیگری کار نمی کنند. تیم‌های آبی شامل چندین عضو تیم می‌شوند که به صورت شیفتی کار می‌کنند تا از دارایی‌های خود محافظت 24 ساعته و 7 روز هفته انجام دهند

 

پیشنهاد می کنیم این دوره آموزش را از دست ندهید: دوره آموزشی Red Team Plus

چگونه یک تیم آبی حملات را شناسایی و از آن جلوگیری می کند؟

 

اعضای تیم آبی همچنین از ابزارهای تخصصی برای نظارت بر ترافیک شبکه و ایجاد فیلترهای خاص برای شناسایی حملاتی که در حال وقوع هستند استفاده می کنند. برخی از ابزارهای مورد استفاده توسط گروه‌های تیم آبی شامل تشخیص نفوذ و پیشگیری، تجزیه و تحلیل بسته‌ها، گزارش و تجمیع بسته‌ها، شناسایی و پاسخ نقطه پایانی فعال، و هانی‌پات‌ها هستند.

 

ابزارهای تشخیص نفوذ و پیشگیری به عنوان اولین خط دفاعی برای شناسایی و جلوگیری از حملات خارج از شبکه عمل می کنند. تیم‌های آبی می‌توانند از این ابزارها برای تعیین دارایی‌هایی که هدف قرار می‌گیرند استفاده کنند و به شناسایی ماشین‌های بالقوه که به طور فعال هدف قرار گرفته‌اند کمک کنند. اعضای تیم آبی می‌توانند بعداً از این اطلاعات برای بررسی اینکه آیا دستگاه‌های مورد نظر دارای آسیب‌پذیری‌هایی هستند که می‌تواند منجر به نقض موفقیت‌آمیز شود، استفاده کنند.

 

ابزارهای تجزیه و تحلیل بسته، مانند Wireshark به اعضای تیم آبی اجازه می دهد تا بسته های جداگانه ارسال شده در سراسر شبکه را تجزیه و تحلیل و رشته بندی کنند. فرض کنید دستگاهی در شبکه مورد حمله قرار گرفته است. در این صورت، اعضای تیم آبی می توانند ترافیک دستگاه قربانی را تجزیه و تحلیل کنند، که می تواند به شناسایی آدرس IP مهاجم و درک ترافیک ارسال شده به مهاجم و دستگاه قربانی کمک کند. در موارد سوء استفاده، گاهی اوقات می توان دستورات استفاده شده در برابر سیستم های در معرض خطر را مشاهده کرد.

 

ابزارهای گزارش و جمع‌آوری بسته، گزارش‌های ترافیک وب را برای تجزیه و تحلیل حمله سازماندهی می‌کنند. مانند تجزیه و تحلیل بسته‌ها، تجمیع گزارش‌ها به بازسازی زنجیره‌های حمله از رویدادهایی که منجر به حمله و نقض می‌شوند کمک می‌کند و به تیم آبی اجازه می‌دهد تا رفتار یک حمله سایبری را تجزیه و تحلیل کند. تجمیع گزارش‌ها همچنین می‌تواند به ایجاد قوانین فایروال و فیلترهای هشدار سفارشی برای ترافیک شبکه کمک کند که می‌تواند به جلوگیری از حملات آینده کمک کند و در عین حال به تیم آبی حمله سریع‌تر هشدار دهد.

 

تشخیص و پاسخ نقطه پایانی فعال (ActiveEDR) برای تیم های آبی ضروری است. مشکلات EDR را همانطور که می شناسیم با ردیابی و زمینه سازی همه چیز در یک دستگاه حل می کند. ActiveEDR می‌تواند اعمال مخرب را در زمان واقعی شناسایی کند، پاسخ‌های مورد نیاز را خودکار کند و با جستجو در یک کنسول، امکان جستجوی آسان‌تر تهدیدات را فراهم کند. ActiveEDR شباهت هایی با سایر راه حل های EDR دارد، اما برای شناسایی به اتصال ابری متکی نیست. این عملکرد آفلاین به طور موثر زمان ماندن برای زمان اجرا را کاهش می دهد. این عامل از هوش مصنوعی برای تصمیم گیری بدون وابستگی به اتصال ابری استفاده می کند. ActiveEDR به طور مداوم داستان هایی از آنچه در نقطه پایانی اتفاق می افتد ترسیم می کند. پس از شناسایی آسیب، می تواند فایل ها و عملیات مخرب و کل داستان را کاهش دهد.

 

Honeypot ابزار جذاب دیگری است که اعضای تیم آبی گاهی اوقات از آن برای یادگیری در مورد تهدیدها و تکنیک های جدید استفاده می کنند و در عین حال امنیت شبکه تجاری را تضمین می کنند. Honeypot ها دارایی های فریبنده هستند که شبیه اهداف اصلی به نظر می رسند و به گونه ای طراحی شده اند که به راحتی قابل نفوذ باشند. Honeypot به تیم آبی اجازه می دهد تا حملات و اکسپلویت های جدید را تجزیه و تحلیل کند تا درک بهتری از نحوه دسترسی مهاجمان به ماشین های هانی پات و روش های حمله مورد استفاده پس از به خطر افتادن سیستم داشته باشد.

 

شما به ارزیابی تیم بنفش اشاره کردید. آنها چه هستند و چگونه کار می کنند؟

 

اعضای تیم قرمز از ابزارها و تکنیک های مختلفی برای تقلید از حملات سایبری هدفمند استفاده خواهند کرد. ارزیابی تیم آبی بر اساس توانایی آنها در پاسخگویی و دفاع در برابر این حملات. با توجه به تعامل محدود بین این دو تیم در طول درگیری‌ها، این پتانسیل وجود دارد که درس‌ها یا اطلاعات مهمی از هر تیم گم شود. ارزیابی های تیم بنفش به تیم های قرمز و آبی اجازه می دهد تا اطلاعات مهم را به اشتراک بگذارند و درک مشترک را افزایش دهند.

 

ارزیابی‌های تیم بنفش در جایی کار می‌کند که هر دو تیم قرمز و آبی پس از بحث در مورد تاکتیک‌ها، تکنیک‌ها، رویه‌ها، TTP و نتایج مورد نظر ارزیابی، آماده شدن برای ارزیابی را آغاز می‌کنند. این جلسه اولیه شامل تبادل اطلاعات است، در حالی که تیم آبی اطلاعات حساسی را در مورد محیط به اشتراک می‌گذارد که تیم قرمز از آن برای اطلاع‌رسانی بیشتر استراتژی‌ها و تاکتیک‌ها استفاده می‌کند. پس از جلسه اولیه بین تیم‌های قرمز و آبی، تیم قرمز شروع به آماده‌سازی حملات و تکنیک‌های بهره‌برداری بر اساس TTP و اهداف مورد بحث و طراحی محیط‌های مورد نیاز برای انجام وظیفه می‌کند. تیم آبی شروع به آماده‌سازی محیط آزمایشی برای تیم قرمز می‌کند، احتمالاً سیستم‌هایی را که شرکت هدف استفاده می‌کند تکرار می‌کند، ابزارها و نرم‌افزارهای امنیتی فعلی مورد استفاده را نصب و پیکربندی می‌کند، و حساب‌های کاربری و مدیر را با اعتبار مورد نیاز برای آن سیستم‌ها ایجاد می‌کند.

 

پس از آماده شدن تیم ها، زمانی را برای شروع ارزیابی هماهنگ می کنند. با شروع ارزیابی، تیم قرمز تیم آبی را از آدرس‌های IP مهاجم، روش‌های تحویل، تعاملات کاربر، امتیازات به‌دست‌آمده و ابزارها یا سوءاستفاده‌های مورد استفاده مطلع می‌کند. همانطور که تیم قرمز این حملات را آغاز می کند، زمان شروع حملات و موفقیت یا عدم موفقیت حمله را نیز پیگیری می کند. تیم آبی از این اطلاعات برای کمک به شناسایی و پاسخ به حملات و ردیابی هر گونه اقدامی در صورت به خطر افتادن دارایی ها به دلیل تلاش های ناموفق برای توقف حمله استفاده خواهد کرد.

 

در پایان ارزیابی، هر دو تیم مشاهدات خود را در طول ارزیابی تیم بنفش مورد بحث قرار خواهند داد، که به هر دو گروه اجازه می‌دهد تا در مورد روش‌های تشخیص حملات برای مراجعات بعدی بیاموزند. تیم قرمز از داده های گرفته شده برای تهیه گزارش اقداماتی که نتایج ارزیابی را پوشش می دهد استفاده می کند.

 

ارزش تست تیم آبی

 

یک تیم آبی ماهر در امنیت سایبری می‌تواند نقش مهمی در کمک به توسعه یک برنامه جامع برای دفاع سازمانی با استفاده از جدیدترین ابزارها و تکنیک‌ها ایفا کند – به عبارت دیگر «پشته امنیتی تیم آبی». اغلب، بهتر است آنها را به عنوان فعال ترین گروه یک تیم امنیتی در نظر بگیرید.

 

همه پرسنل تیم امنیتی در کارهایی که سطح بالایی دارند یا به اندازه کافی برای آزمایش مرتبط هستند، تخصص ندارند. تیم‌های آبی روی تهدیدات سطح بالا متمرکز هستند و به بهبود مستمر در تکنیک‌های شناسایی و پاسخ اختصاص داده شده‌اند.

 

برای موفقیت، تیم های آبی باید کاملاً دقیق باشند. به هر حال، تیم های قرمز می توانند 99 حمله ناموفق را انجام دهند و همچنان در تلاش 100 برنده شوند. تیم های آبی باید همیشه حق داشته باشند. علاوه بر توجه به جزئیات، تیم های آبی باید خلاقانه فکر کنند و توانایی تطبیق در پرواز را داشته باشند. این به این دلیل است که بسیاری از مؤثرترین تیم‌های قرمز (و هکرهای کلاه سیاه) در فرمول‌بندی تکنیک‌های حمله جدید و غیرقابل پیش‌بینی ماهر هستند.

 

با ارزیابی کار تیم‌های قرمز و آبی، سازمان‌ها می‌توانند تصویری جامع از وضعیت امنیت خود ایجاد کنند – و هر تغییری را که ممکن است برای اطمینان از یک دفاع کلی قوی لازم باشد، ایجاد کنند.

 

تیم آبی برای رسیدن به چه چیزی برنامه ریزی می کند؟

 

در طول فعالیت‌های تست امنیت سایبری، تیم‌های آبی محیط‌های امنیتی سازمانی را ارزیابی می‌کنند و از این محیط‌ها در برابر تیم‌های قرمز دفاع می‌کنند. تیم‌های قرمز با شناسایی آسیب‌پذیری‌های امنیتی و انجام حمله در یک محیط کنترل‌شده، نقش مهاجم را بازی می‌کنند.

 

تیم آبی متشکل از گروهی از افراد است که سیستم‌های اطلاعاتی سازمان را تجزیه و تحلیل می‌کنند، نقص‌های امنیتی را شناسایی می‌کنند، کارایی هر اقدام امنیتی را تأیید می‌کنند و مطمئن می‌شوند که تمام اقدامات امنیتی پس از اجرا همچنان مؤثر خواهند بود. هر دو تیم برای کمک به تعیین وضعیت واقعی امنیت یک سازمان با هم کار می کنند.

 

فعالیت تیم آبی منحصر به حملات نیست. آنها به طور مداوم در تقویت زیرساخت امنیت دیجیتال با استفاده از نرم افزاری مانند سیستم تشخیص نفوذ (IDS) که تجزیه و تحلیل مداوم فعالیت های غیرعادی و مشکوک را در اختیار آنها قرار می دهد، درگیر هستند.

 

تیم آبی همچنین ارزیابی‌های امنیتی شبکه عملیاتی را انجام می‌دهد و ابزارها و تکنیک‌های کاهش را برای کمک به سازمان در ایجاد دفاع خود یا آماده شدن برای حملات تیم قرمز ارائه می‌کند.

 

 

اعضای تیم آبی چه کسانی هستند؟

 

تیم های آبی اغلب کارشناسان امنیت سایبری یا کارکنان امنیت فناوری اطلاعات سازمان هستند. گاهی اوقات، برخی از کارمندان برای عضویت در تیم آبی در بخش انتخاب می شوند.

تیم‌های آبی ممکن است پیمانکاران مستقلی باشند که برای فعالیت‌های خاص استخدام شده‌اند تا از دانش خود برای کمک به بررسی وضعیت دفاعی سازمان استفاده کنند. با این حال، این بیشتر در مورد تیم های قرمز رایج است.

 

روش های تیم آبی عبارتند از:

 

  • بررسی و تجزیه و تحلیل داده های گزارش
  • استفاده از پلت فرم اطلاعات امنیتی و مدیریت رویداد (SIEM) برای دید و تشخیص نفوذهای زنده
  • آلارم های تریاژ در زمان واقعی
  • جمع آوری اطلاعات اطلاعاتی تهدیدات جدید و اولویت بندی اقدامات مناسب در زمینه خطرات
  • انجام تجزیه و تحلیل ترافیک و جریان داده ها

 

برخی از تمرینات خاص تیم آبی عبارتند از:

 

  • انجام تحقیقات DNS
  • بررسی، پیکربندی و نظارت بر نرم افزارهای امنیتی در سراسر محیط
  • اطمینان از پیکربندی صحیح و به روز بودن روش های امنیتی محیطی، مانند فایروال ها، آنتی ویروس ها و نرم افزارهای ضد بدافزار.
  • استفاده از دسترسی با حداقل امتیاز، به این معنی که سازمان کمترین سطح دسترسی ممکن را به هر کاربر یا دستگاه اعطا می‌کند تا در صورت بروز نقض، به محدود کردن حرکت جانبی در سراسر شبکه کمک کند.
  • استفاده از ریز بخش‌بندی، یک تکنیک امنیتی که شامل تقسیم محیط به مناطق کوچک برای حفظ دسترسی جداگانه به هر بخش از شبکه است.
اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید