تیم آبی (Blue Teaming ) چیست؟
تیم آبی (Blue Teaming ) چیست؟
مانند یک تیم قرمز، تیمهای آبی شامل گروهی از افراد هستند که یک شبکه را ارزیابی میکنند تا هر گونه آسیبپذیری بالقوهای را که بر دستگاهها یا سیستمهای حیاتی مالکیت یک کسبوکار تأثیر میگذارد، شناسایی کنند. برخلاف تیم قرمزی که از آسیبپذیریهای شناساییشده سوء استفاده میکند، تیم آبی به دنبال ابزارهای مناسب برای بهبود توانایی اجتناب، بازدارندگی، مقاومت و پاسخ به تهدیدات احتمالی است که احتمالاً به رویدادهای زیانده تبدیل میشوند. نقش تیم آبی این است که به عنوان مدافع برای تمام دارایی های الکترونیکی متعلق به یک سازمان، اعم از میزبانی داخلی یا خارجی، خدمت کند.
بسیاری از تولیدکنندگان و تولیدکنندگان از ابزارهای امنیتی خودکار برای کمک به شناسایی و اصلاح آسیبپذیریها برای محافظت در برابر حملات سایبری استفاده میکنند. با این حال، اگر یک کسبوکار از سیاستها، کنترلها، نظارت، ثبتنام، وصلهسازی، مدیریت حوادث استفاده نکند، مجبور خواهید شد کورکورانه به حوادث واکنش نشان دهید.
تیم های آبی مسئول نظارت، شناسایی و واکنش به تهدیدات امنیتی هستند. ما متوجه شدیم که بسیاری از تولیدکنندگان برخی از این الزامات را تکمیل میکنند، به همین دلیل است که مجرمان سایبری همچنان بر تولیدکنندگان تمرکز میکنند. هیچ کس مسئول ایفای این نقش های اساسی نیست. در هنگام رخنه، تیم های آبی نقش مهمی دارند. آنها از سیاستها و پروتکلها برای جداسازی سیستمهای در معرض خطر پیروی میکنند تا از گسترش حملاتی مانند باجافزار در سراسر شبکه تجاری جلوگیری کنند
در طول فعالیتهای تست امنیت سایبری، تیمهای آبی محیطهای امنیتی سازمانی را ارزیابی میکنند و از این محیطها در برابر تیمهای قرمز دفاع میکنند. این تیمهای قرمز با شناسایی آسیبپذیریهای امنیتی و انجام حملات در یک محیط کنترلشده، نقش مهاجمان را بازی میکنند. هر دو تیم برای کمک به روشن کردن وضعیت واقعی امنیت یک سازمان ترکیب می شوند.
این ایده که شما می توانید دفاع خود را با حمله به آنها در یک محیط کنترل شده بهتر درک کنید، یک اصل نظامی قدیمی است. این ایده معمولاً در تمرین “تیم قرمز” بیان می شود، جایی که یک گروه خارجی از بازیگران مستقل سیستم ها یا دفاعیات یک سازمان هدف را برای شناسایی هر گونه آسیب پذیری موجود آزمایش می کنند.
در دنیای امنیت اطلاعات، تمرین تیم قرمز اکنون به خوبی جا افتاده است. تیمهای قرمز که بهعنوان «هکرهای اخلاقی» عمل میکنند، بهطور روشمند ساختار و دفاعی سازمان را مطالعه میکنند و سپس حملاتی را برای سوءاستفاده از هرگونه ضعف انجام میدهند.
با این حال تیم های قرمز تنها بخشی از معادله هستند. در طرف دیگر «تیمهای آبی» قرار دارند – متخصصان امنیتی که وظیفه دارند از سیستمها و داراییهای سازمان در برابر حملات واقعی و شبیهسازی شده دفاع کنند
تمرینات تیم آبی چیست؟
تمرینهای تیم آبی به شبیهسازیهای حمله کنترلشده تبدیل میشوند که اثربخشی یک تیم آبی و قابلیتهای آن را برای شناسایی، مسدود کردن و کاهش حملات و نقضها آزمایش میکنند. تیم آبی مدل تهدیدهایی را اعمال می کند که احتمالاً امروز باعث یک رویداد ضرر برای یک سازمان می شود. در طول تمرین تیم آبی، یک تیم قرمز شروع به حمله به دارایی های سازمان برای سوء استفاده از آسیب پذیری های سیستم ها، دستگاه ها و برنامه های کاربردی در سراسر شبکه خواهد کرد. همانطور که حملات و اقدامات بیشتری در محیط کسب و کار رخ می دهد، هدف تیم آبی پاسخ دادن به حملات و انجام اقدامات لازم برای جداسازی دارایی های آلوده است.
در پایان تمرین تیم آبی، تیم قرمز در مورد روش های حمله و اقدامات خود پس از آن بحث خواهد کرد. تیم آبی بعداً از این اطلاعات برای ارزیابی و اولویت بندی تغییرات مورد نیاز برای جلوگیری از موفقیت مجدد حمله مشابه استفاده می کند. در برخی موارد، تیمهای قرمز و تیمهای آبی بهطور مستقیم در طول حملات شبیهسازیشده با یکدیگر تعامل میکنند، اثربخشی پاسخ حمله را اندازهگیری میکنند و در صورت بروز هر گونه مشکلی در مورد نحوه مقابله با تهدید کمک میکنند. این نوع ارزیابی ها عموماً به عنوان تمرینات تیمی بنفش شناخته می شوند
تفاوت بین تیم های آبی و تیم های قرمز چیست؟
در حالی که تیمهای قرمز و آبی با تولیدکنندگان و تولیدکنندگان برای کمک به بهبود امنیت سایبری خود کار میکنند، تفاوتهای اساسی بین آنها وجود دارد. اولین تفاوت تیم های قرمز و آبی در تخصص و سابقه آنها در امنیت سایبری است. اعضای تیم قرمز اغلب در شیوههای امنیتی توهینآمیز تخصص دارند، جایی که تمرکز آنها یافتن آسیبپذیریهایی است که میتواند بر کسبوکار تأثیر بگذارد و توسعه سوءاستفادهها و ابزارهای سفارشی برای استفاده در طول تعاملات.
از سوی دیگر، تیمهای آبی بر استفاده از پیشینه خود در امنیت سایبری برای کمک به محافظت از شرکتها با شناسایی آسیبپذیریها، اعمال وصلههای امنیتی مورد نیاز، و توسعه ابزارها و فیلترهای سفارشی برای شناسایی حملات تمرکز میکنند. تیمهای آبی همچنین در توسعه شیوهها و سیاستهای امنیتی که بر اساس نیازهای تجارت و وضعیت فعلی تهدیدات سایبری تکامل مییابند، تخصص دارند.
یکی دیگر از تفاوت های تیم های قرمز و آبی، نقش و مشارکت آنها در یک تجارت است. تیم های قرمز مستقیماً با این شرکت در ارتباط نیستند. آنها اغلب به عنوان “شخص ثالث” در نظر گرفته می شوند که برای مدتی برای ارزیابی امنیت یک تجارت قرارداد دارند. نقش آنها این است که به عنوان یک بازیگر مخرب عمل کنند و یک سری حملات سایبری واقع بینانه و کنترل شده علیه سازمان را شبیه سازی کنند. تیم های آبی یک منبع داخلی برای یک تجارت در نظر گرفته می شوند، جایی که اعضای تیم آبی برای شرکت کار می کنند و برای هیچ تجارت دیگری کار نمی کنند. تیمهای آبی شامل چندین عضو تیم میشوند که به صورت شیفتی کار میکنند تا از داراییهای خود محافظت 24 ساعته و 7 روز هفته انجام دهند
پیشنهاد می کنیم این دوره آموزش را از دست ندهید: دوره آموزشی Red Team Plus
چگونه یک تیم آبی حملات را شناسایی و از آن جلوگیری می کند؟
اعضای تیم آبی همچنین از ابزارهای تخصصی برای نظارت بر ترافیک شبکه و ایجاد فیلترهای خاص برای شناسایی حملاتی که در حال وقوع هستند استفاده می کنند. برخی از ابزارهای مورد استفاده توسط گروههای تیم آبی شامل تشخیص نفوذ و پیشگیری، تجزیه و تحلیل بستهها، گزارش و تجمیع بستهها، شناسایی و پاسخ نقطه پایانی فعال، و هانیپاتها هستند.
ابزارهای تشخیص نفوذ و پیشگیری به عنوان اولین خط دفاعی برای شناسایی و جلوگیری از حملات خارج از شبکه عمل می کنند. تیمهای آبی میتوانند از این ابزارها برای تعیین داراییهایی که هدف قرار میگیرند استفاده کنند و به شناسایی ماشینهای بالقوه که به طور فعال هدف قرار گرفتهاند کمک کنند. اعضای تیم آبی میتوانند بعداً از این اطلاعات برای بررسی اینکه آیا دستگاههای مورد نظر دارای آسیبپذیریهایی هستند که میتواند منجر به نقض موفقیتآمیز شود، استفاده کنند.
ابزارهای تجزیه و تحلیل بسته، مانند Wireshark به اعضای تیم آبی اجازه می دهد تا بسته های جداگانه ارسال شده در سراسر شبکه را تجزیه و تحلیل و رشته بندی کنند. فرض کنید دستگاهی در شبکه مورد حمله قرار گرفته است. در این صورت، اعضای تیم آبی می توانند ترافیک دستگاه قربانی را تجزیه و تحلیل کنند، که می تواند به شناسایی آدرس IP مهاجم و درک ترافیک ارسال شده به مهاجم و دستگاه قربانی کمک کند. در موارد سوء استفاده، گاهی اوقات می توان دستورات استفاده شده در برابر سیستم های در معرض خطر را مشاهده کرد.
ابزارهای گزارش و جمعآوری بسته، گزارشهای ترافیک وب را برای تجزیه و تحلیل حمله سازماندهی میکنند. مانند تجزیه و تحلیل بستهها، تجمیع گزارشها به بازسازی زنجیرههای حمله از رویدادهایی که منجر به حمله و نقض میشوند کمک میکند و به تیم آبی اجازه میدهد تا رفتار یک حمله سایبری را تجزیه و تحلیل کند. تجمیع گزارشها همچنین میتواند به ایجاد قوانین فایروال و فیلترهای هشدار سفارشی برای ترافیک شبکه کمک کند که میتواند به جلوگیری از حملات آینده کمک کند و در عین حال به تیم آبی حمله سریعتر هشدار دهد.
تشخیص و پاسخ نقطه پایانی فعال (ActiveEDR) برای تیم های آبی ضروری است. مشکلات EDR را همانطور که می شناسیم با ردیابی و زمینه سازی همه چیز در یک دستگاه حل می کند. ActiveEDR میتواند اعمال مخرب را در زمان واقعی شناسایی کند، پاسخهای مورد نیاز را خودکار کند و با جستجو در یک کنسول، امکان جستجوی آسانتر تهدیدات را فراهم کند. ActiveEDR شباهت هایی با سایر راه حل های EDR دارد، اما برای شناسایی به اتصال ابری متکی نیست. این عملکرد آفلاین به طور موثر زمان ماندن برای زمان اجرا را کاهش می دهد. این عامل از هوش مصنوعی برای تصمیم گیری بدون وابستگی به اتصال ابری استفاده می کند. ActiveEDR به طور مداوم داستان هایی از آنچه در نقطه پایانی اتفاق می افتد ترسیم می کند. پس از شناسایی آسیب، می تواند فایل ها و عملیات مخرب و کل داستان را کاهش دهد.
Honeypot ابزار جذاب دیگری است که اعضای تیم آبی گاهی اوقات از آن برای یادگیری در مورد تهدیدها و تکنیک های جدید استفاده می کنند و در عین حال امنیت شبکه تجاری را تضمین می کنند. Honeypot ها دارایی های فریبنده هستند که شبیه اهداف اصلی به نظر می رسند و به گونه ای طراحی شده اند که به راحتی قابل نفوذ باشند. Honeypot به تیم آبی اجازه می دهد تا حملات و اکسپلویت های جدید را تجزیه و تحلیل کند تا درک بهتری از نحوه دسترسی مهاجمان به ماشین های هانی پات و روش های حمله مورد استفاده پس از به خطر افتادن سیستم داشته باشد.
شما به ارزیابی تیم بنفش اشاره کردید. آنها چه هستند و چگونه کار می کنند؟
اعضای تیم قرمز از ابزارها و تکنیک های مختلفی برای تقلید از حملات سایبری هدفمند استفاده خواهند کرد. ارزیابی تیم آبی بر اساس توانایی آنها در پاسخگویی و دفاع در برابر این حملات. با توجه به تعامل محدود بین این دو تیم در طول درگیریها، این پتانسیل وجود دارد که درسها یا اطلاعات مهمی از هر تیم گم شود. ارزیابی های تیم بنفش به تیم های قرمز و آبی اجازه می دهد تا اطلاعات مهم را به اشتراک بگذارند و درک مشترک را افزایش دهند.
ارزیابیهای تیم بنفش در جایی کار میکند که هر دو تیم قرمز و آبی پس از بحث در مورد تاکتیکها، تکنیکها، رویهها، TTP و نتایج مورد نظر ارزیابی، آماده شدن برای ارزیابی را آغاز میکنند. این جلسه اولیه شامل تبادل اطلاعات است، در حالی که تیم آبی اطلاعات حساسی را در مورد محیط به اشتراک میگذارد که تیم قرمز از آن برای اطلاعرسانی بیشتر استراتژیها و تاکتیکها استفاده میکند. پس از جلسه اولیه بین تیمهای قرمز و آبی، تیم قرمز شروع به آمادهسازی حملات و تکنیکهای بهرهبرداری بر اساس TTP و اهداف مورد بحث و طراحی محیطهای مورد نیاز برای انجام وظیفه میکند. تیم آبی شروع به آمادهسازی محیط آزمایشی برای تیم قرمز میکند، احتمالاً سیستمهایی را که شرکت هدف استفاده میکند تکرار میکند، ابزارها و نرمافزارهای امنیتی فعلی مورد استفاده را نصب و پیکربندی میکند، و حسابهای کاربری و مدیر را با اعتبار مورد نیاز برای آن سیستمها ایجاد میکند.
پس از آماده شدن تیم ها، زمانی را برای شروع ارزیابی هماهنگ می کنند. با شروع ارزیابی، تیم قرمز تیم آبی را از آدرسهای IP مهاجم، روشهای تحویل، تعاملات کاربر، امتیازات بهدستآمده و ابزارها یا سوءاستفادههای مورد استفاده مطلع میکند. همانطور که تیم قرمز این حملات را آغاز می کند، زمان شروع حملات و موفقیت یا عدم موفقیت حمله را نیز پیگیری می کند. تیم آبی از این اطلاعات برای کمک به شناسایی و پاسخ به حملات و ردیابی هر گونه اقدامی در صورت به خطر افتادن دارایی ها به دلیل تلاش های ناموفق برای توقف حمله استفاده خواهد کرد.
در پایان ارزیابی، هر دو تیم مشاهدات خود را در طول ارزیابی تیم بنفش مورد بحث قرار خواهند داد، که به هر دو گروه اجازه میدهد تا در مورد روشهای تشخیص حملات برای مراجعات بعدی بیاموزند. تیم قرمز از داده های گرفته شده برای تهیه گزارش اقداماتی که نتایج ارزیابی را پوشش می دهد استفاده می کند.
ارزش تست تیم آبی
یک تیم آبی ماهر در امنیت سایبری میتواند نقش مهمی در کمک به توسعه یک برنامه جامع برای دفاع سازمانی با استفاده از جدیدترین ابزارها و تکنیکها ایفا کند – به عبارت دیگر «پشته امنیتی تیم آبی». اغلب، بهتر است آنها را به عنوان فعال ترین گروه یک تیم امنیتی در نظر بگیرید.
همه پرسنل تیم امنیتی در کارهایی که سطح بالایی دارند یا به اندازه کافی برای آزمایش مرتبط هستند، تخصص ندارند. تیمهای آبی روی تهدیدات سطح بالا متمرکز هستند و به بهبود مستمر در تکنیکهای شناسایی و پاسخ اختصاص داده شدهاند.
برای موفقیت، تیم های آبی باید کاملاً دقیق باشند. به هر حال، تیم های قرمز می توانند 99 حمله ناموفق را انجام دهند و همچنان در تلاش 100 برنده شوند. تیم های آبی باید همیشه حق داشته باشند. علاوه بر توجه به جزئیات، تیم های آبی باید خلاقانه فکر کنند و توانایی تطبیق در پرواز را داشته باشند. این به این دلیل است که بسیاری از مؤثرترین تیمهای قرمز (و هکرهای کلاه سیاه) در فرمولبندی تکنیکهای حمله جدید و غیرقابل پیشبینی ماهر هستند.
با ارزیابی کار تیمهای قرمز و آبی، سازمانها میتوانند تصویری جامع از وضعیت امنیت خود ایجاد کنند – و هر تغییری را که ممکن است برای اطمینان از یک دفاع کلی قوی لازم باشد، ایجاد کنند.
تیم آبی برای رسیدن به چه چیزی برنامه ریزی می کند؟
در طول فعالیتهای تست امنیت سایبری، تیمهای آبی محیطهای امنیتی سازمانی را ارزیابی میکنند و از این محیطها در برابر تیمهای قرمز دفاع میکنند. تیمهای قرمز با شناسایی آسیبپذیریهای امنیتی و انجام حمله در یک محیط کنترلشده، نقش مهاجم را بازی میکنند.
تیم آبی متشکل از گروهی از افراد است که سیستمهای اطلاعاتی سازمان را تجزیه و تحلیل میکنند، نقصهای امنیتی را شناسایی میکنند، کارایی هر اقدام امنیتی را تأیید میکنند و مطمئن میشوند که تمام اقدامات امنیتی پس از اجرا همچنان مؤثر خواهند بود. هر دو تیم برای کمک به تعیین وضعیت واقعی امنیت یک سازمان با هم کار می کنند.
فعالیت تیم آبی منحصر به حملات نیست. آنها به طور مداوم در تقویت زیرساخت امنیت دیجیتال با استفاده از نرم افزاری مانند سیستم تشخیص نفوذ (IDS) که تجزیه و تحلیل مداوم فعالیت های غیرعادی و مشکوک را در اختیار آنها قرار می دهد، درگیر هستند.
تیم آبی همچنین ارزیابیهای امنیتی شبکه عملیاتی را انجام میدهد و ابزارها و تکنیکهای کاهش را برای کمک به سازمان در ایجاد دفاع خود یا آماده شدن برای حملات تیم قرمز ارائه میکند.
اعضای تیم آبی چه کسانی هستند؟
تیم های آبی اغلب کارشناسان امنیت سایبری یا کارکنان امنیت فناوری اطلاعات سازمان هستند. گاهی اوقات، برخی از کارمندان برای عضویت در تیم آبی در بخش انتخاب می شوند.
تیمهای آبی ممکن است پیمانکاران مستقلی باشند که برای فعالیتهای خاص استخدام شدهاند تا از دانش خود برای کمک به بررسی وضعیت دفاعی سازمان استفاده کنند. با این حال، این بیشتر در مورد تیم های قرمز رایج است.
روش های تیم آبی عبارتند از:
- بررسی و تجزیه و تحلیل داده های گزارش
- استفاده از پلت فرم اطلاعات امنیتی و مدیریت رویداد (SIEM) برای دید و تشخیص نفوذهای زنده
- آلارم های تریاژ در زمان واقعی
- جمع آوری اطلاعات اطلاعاتی تهدیدات جدید و اولویت بندی اقدامات مناسب در زمینه خطرات
- انجام تجزیه و تحلیل ترافیک و جریان داده ها
برخی از تمرینات خاص تیم آبی عبارتند از:
- انجام تحقیقات DNS
- بررسی، پیکربندی و نظارت بر نرم افزارهای امنیتی در سراسر محیط
- اطمینان از پیکربندی صحیح و به روز بودن روش های امنیتی محیطی، مانند فایروال ها، آنتی ویروس ها و نرم افزارهای ضد بدافزار.
- استفاده از دسترسی با حداقل امتیاز، به این معنی که سازمان کمترین سطح دسترسی ممکن را به هر کاربر یا دستگاه اعطا میکند تا در صورت بروز نقض، به محدود کردن حرکت جانبی در سراسر شبکه کمک کند.
- استفاده از ریز بخشبندی، یک تکنیک امنیتی که شامل تقسیم محیط به مناطق کوچک برای حفظ دسترسی جداگانه به هر بخش از شبکه است.
مطالب زیر را حتما بخوانید
-
راهکار جدید f5 آسیب پذیری رابط کاربری مدیریت ترافیک
6.33k بازدید
-
در رویداد Blackhat چه میگذرد
5.57k بازدید
-
چگونه گواهینامه CEH را بگیریم؟
22 بازدید
-
دوره آموزشی F5 – LTM Administration
1.11k بازدید
-
اهمیت گذراندن دورههای آموزشی SANS
7.08k بازدید
-
آموزش امینت سیستم های کنترل صنعتی (SCADA)
1.82k بازدید
دیدگاهتان را بنویسید