تیم قرمز | امنیت حرفه ای

تصویر درو بیسانی است، امنیت سایبری یوروفین‘s (Commissum) رئیس تیم قرمز، که از تیم قرمز به عنوان یک تاکتیک دفاعی در برابر هکرها می نویسد.

شانس هک شدن به طور پیوسته در حال افزایش است، مهم نیست چقدر هزینه های امنیت سایبری است. نوع تهدیدات امنیتی با گزارش‌های روزانه از حملات جدید باج‌افزار و اخاذی، و همچنین تهدیدات کشورهای مخالف مبنی بر سرقت اطلاعات شخصی و مالکیت معنوی برای اهداف شوم، دائماً در حال تغییر است.

دلایل متعدد و پیچیده ای برای این امر وجود دارد. پیچیدگی روزافزون زیرساخت‌های فناوری اطلاعات، با برنامه‌های توسعه نرم‌افزار فعلی که آسیب‌پذیری‌های جدید را دعوت می‌کنند. علاوه بر این، تهدیدات جدید پیشرفته و پایدار (APT) هر روز به لطف جرایم سایبری پیچیده‌تر و سازمان‌دهی‌تر از همیشه کشف می‌شوند. علاوه بر این، جاسوسی سایبری تحت حمایت دولت، به دنبال هر چیزی که بتوان از آن برای منافع اقتصادی یا سیاسی استفاده کرد، مشکل را تشدید می کند.

در حالی که اکثر کسب‌وکارها در تلاش برای حل مشکل، نرم‌افزار امنیتی اضافی را برای اهداف هدفمند خریداری می‌کنند، این محصولات متفاوت لزوماً محافظت کاملی را ارائه نمی‌کنند و گاهی اوقات می‌توانند مشکلات بیشتری را با افزایش املاک فناوری اطلاعات سازمان و ایجاد وظایف تعمیر و نگهداری اضافی برای تیم‌های فناوری اطلاعات ایجاد کنند. همچنین با ایجاد شکاف های بالقوه بین راه حل ها. آسیب پذیری ها، شکاف ها و فرآیندهای تجاری ضعیف جایی هستند که مجرمان سایبری مخرب می توانند از سیستم های فناوری اطلاعات سوء استفاده کنند. در اینجا، برنامه های کاربردی دفاع سایبری استاندارد به تنهایی نمی توانند از عهده این کار برآیند.

شرکت شما از نگاه یک هکر

یافتن نقاط ضعف خود و سپس حل آنها، قبل از اینکه توسط هکرها در معرض خطر قرار گیرند، یک راه حل است. بهترین راه برای انجام این کار؟ یک تیم قرمز مستقر کنید.

«تیم قرمز»، اصطلاحی که از بازی‌های جنگی نظامی گرفته شده است، از دفاع مهاجم و کاوشگر تقلید می‌کند. در چنین بازی های جنگی، دفاع را تیم آبی می نامند. همسویی دو گروه، تیم بنفش است که از روش های کشف شده توسط تیم قرمز استفاده می کند تا به تیم آبی اجازه دهد تا دفاع را بهبود بخشد. تیم قرمز تلاش می کند تا دفاع امنیتی یک سازمان را زیر پا بگذارد تا راه هایی را که مجرمان سایبری ممکن است به شرکت حمله کنند و به خطر بیاندازند، کشف و نشان دهد. اپراتورهای تیم قرمز بسیار ماهر هستند و باید به روشی متمرکز مستقر شوند. مانند هکرها فکر می کنند و عمل می کنند. سازمان‌های بسیار بزرگ گاهی تیم‌های قرمز را به‌طور دائم روی نگهدارنده دارند، اما اکثر کسب‌وکارها که توانایی پرداخت هزینه‌های این تجملات را ندارند، اغلب منابع اختصاصی ندارند.

در امنیت سایبری، تیم‌سازی بنفش، همکاری هر دو تیم قرمز و آبی را برای بهبود نتیجه تعامل کلی توصیف می‌کند. با همکاری یکدیگر برای شناسایی نقاط ضعف، کمک به ایجاد یک برنامه قوی برای سازمان، از جمله تلاش‌های شناسایی و اصلاح، می‌توانند وضعیت کلی امنیت سایبری شرکت را بهبود بخشند.

درک این نکته مهم است که تیم قرمز بسیار فراتر از مرزهای سنتی تست نفوذ است (پندار). در حالی که با بررسی آسیب‌پذیری‌های شناخته شده از منابع، تیم قرمز تلاش می‌کند از طریق سناریوهای از پیش تعیین‌شده‌ای که شامل آزمایش افراد، فرآیندها و فن‌آوری می‌شود و اینکه هر سه مؤلفه چقدر می‌توانند با هم کار کنند، بهره‌برداری واقعی کند. به این ترتیب، نقاط ضعف در رویه های عملیاتی و همچنین مکان یابی آسیب پذیری های قابل بهره برداری در زیرساخت فناوری اطلاعات، اغلب کشف می شود.

فرآیند تیم‌سازی بنفش یکی از مؤثرترین روش‌ها برای تأمین امنیت دفاع قدرتمند سایبری است، زیرا یک نمای کلی از سازمان ارائه می‌کند و در بسیاری از موارد ثابت کرده‌اند که سرمایه‌گذاری ارزشمندی هستند.

موارد موفقیت تیم قرمز

نمونه‌هایی از موفقیت‌های تیم قرمز در حوزه عمومی بسیار اندک است، زیرا نتایج عمدتاً مربوط به شرکت مورد آزمایش و اغلب اختصاصی است. با این حال، گوگل تصویری از یکی از حملات تیم قرمز خود علیه خودش ارائه کرده است. هکرها یک هدیه جعلی برای کارمندان فرستادند – یک کره پلاسما با مارک گوگل که می‌توان آن را به رایانه وصل کرد. با انجام این کار، درب پشتی سیستم باز شد و کارمندان کافی برای دسترسی مهاجمان به خطر افتاد. این دسترسی اولیه به تیم قرمز اجازه داد تا به سمت هدف اصلی خود حرکت کنند: نقشه های عینک گوگل. تیم قرمز با دسترسی و دانلود نقشه ها موفقیت خود را ثابت کرد.

یک مثال دیگر از تیم خودمان می آید. ما وظیفه هک کردن اطلاعات مدیر عامل یک شرکت FTSE 100 را بر عهده داشتیم. تلاش اولیه برای فیشینگ علیه کارمندان با شکست مواجه شد. به دنبال آن یک تماس تلفنی انجام شد که در آن تیم قرمز با جعل هویت کارکنان امنیتی داخلی سعی در بررسی لپ‌تاپ‌ها داشتند. این حمله موفقیت آمیز بود و “حمله کنندگان” به لپ تاپ ها از راه دور دسترسی پیدا کردند. هنگامی که وارد شدند، یک پیکربندی نادرست به آنها اجازه داد تا یک حساب مدیر را تصاحب کنند – که متعاقباً به آنها امکان دسترسی مستقیم به ایمیل های مدیر عامل را داد.

یک سناریوی استاندارد تیم قرمز

ما از یک روش تیم قرمز استفاده می‌کنیم که بر اساس اصطلاح دیگری که از کاربرد نظامی اقتباس شده است – مدل زنجیره کشتن نفوذ سایبری هفت لینک لاکهید مارتین است. این مدل دارای هشت مرحله است: برنامه ریزی، شناسایی، حمله اولیه، ایجاد جایگاه، بهره برداری از نقطه پایانی، حرکت جانبی، دستیابی به اهداف و گزارش. هشتمین مورد اغلب برای یک زنجیره کشتن واقعی خارج از محدوده است، اما شاید مهمترین مورد برای موفقیت یک تمرین تیم قرمز باشد. این شامل گزارشی از عملیات تیم قرمز است که به مشتری و تیم امنیتی اش اجازه می دهد تا هر گونه ضعف در وضعیت امنیتی را قبل از اینکه توسط مجرمان سایبری متخاصم واقعی مورد سوء استفاده قرار گیرند، درک کرده و برطرف کنند.

برای اکثر سازمان ها، بهترین رویکرد برای تیم قرمز استفاده از یک تیم آماده از یک ارائه دهنده متخصص است. این نه تنها مقرون به صرفه ترین رویکرد است، متخصصان تیم قرمز از یک ارائه دهنده نیز تجربه عظیم و معتبری را به همراه دارند. آخرین اما نه کم‌اهمیت، توجه به این مشکل، رویکردی کاملاً جدید و منحصربه‌فرد به موضع امنیت سایبری و ضعف‌های امنیت سایبری یک شرکت ارائه می‌کند.

درباره نویسنده

Dhruv Bisani رهبر عملیات تمرین تیم قرمز در Eurofins Cyber ​​Security با بیش از شش سال تجربه در صنعت است. Dhruv در تست تیم قرمز تخصص دارد و مشارکت های تیم قرمز را در چندین صنعت مانند خدمات مالی، مشتریان خرده فروشی و بخش خصوصی رهبری و ارائه کرده است، از جمله پروژه های پشتیبانی تحت طرح CBEST انگلستان که توسط بانک انگلستان برای بانک های سطح بالای بریتانیا اجباری شده است. او چندین نوع تعامل تست نفوذ از جمله تست برنامه‌ها، تست بی‌سیم، تست API و تمرین‌های فیشینگ را مدیریت و ارائه می‌کند. بازدید کنید https://www.eurofins-cybersecurity.com/.