همه‌چیز درباره‌ی عملیات تیم‌ قرمز (Red teaming)

1402/10/26
ارسال شده توسط
تیم قرمز
864 بازدید
عملیات رید تیم
زمان مطالعه: 8 دقیقه

عملیات تیم‌ قرمز (Red teaming) چیست؟

عملیات تیم‌ قرمز به شبیه‌سازی یک حمله سایبری با هدف ارزیابی جامع عملکرد متخصصان امنیت سایبری سازمان و بررسی فرآیندها و فناوری‌های مورد استفاده برای محافظت از زیرساخت‌های فناوری اطلاعات سازمان اشاره دارد. این عملیات، حمله‌‌ای شبیه‌سازی شده را علیه یک شرکت انجام می‌دهد تا تمام جنبه‌های دفاع، شناسایی و مقابله با حملات در آن شرکت را ارزیابی کند. این تمرین، امنیت شرکت را در شرایطی تقریباً مشابه با دنیای واقعی مورد آزمایش قرار می‌دهد.

چه تیم‌هایی در انجام عملیات تیم‌ قرمز ایفای نقش می‌کنند؟

عملیات تیم‌ قرمز معمولاً شامل سه تیم می‌شود:

  • تیم قرمز: تیمی از حمله‌کنندگان که اغلب به صورت ویژه برای انجام عملیات تیم‌ قرمز استخدام می‌شوند.
  • تیم آبی: تیم مدافع که معمولاً از متخصصان امنیت سایبری شرکت مشتری تشکیل می‌شود.
  • تیم سفید: ‌یک تیم هماهنگ‌کننده است که در سمت مشتری قرار دارد، از مانور آگاه است و به عنوان یک پیوند بین تیم قرمز و‌ آبی عمل می‌کند.

برای اینکه ارزیابی تا حد امکان به یک حمله واقعی نزدیک باشد، تیم قرمز معمولاً به صورت محتاطانه عمل می‌کند و تیم آبی از قبل از مانور مطلع نمی‌شود. در صورتی که تیم آبی، اقدامات تیم قرمز را شناسایی کند، ممکن است حمله‌کنندگان ساختگی درخواست کنند که دسترسی آن‌ها مسدود نشود تا بتوانند بردار حمله را بهبود بخشیده و ارزیابی جامع‌تری انجام دهند. این تعاملات معمولاً توسط یک ناظر مستقل، یعنی تیم سفید، مدیریت می‌شوند.‌

تیم قرمز چه چیزی را ارزیابی می‌کند: تیم قرمز و تجزیه و تحلیل نتایج آن، به مشتریان کمک می‌کند تا کنترل‌های امنیتی، روش‌های نظارت بر حملات و فرآیندهای واکنش به حوادث خود را ارزیابی کنند.

حوزه‌های کلیدی ارزیابی Red Team:

  • دور زدن کنترل‌های امنیتی: تیم قرمز سعی می‌کند تا کنترل‌های امنیتی سازمان مشتری را دور بزند و توسط تیم آبی شناسایی نشود. روش‌ها و تکنیک‌های استفاده شده توسط تیم قرمز در یک گزارش شرح داده خواهد شد.
  • ارزیابی قابلیت‌های شناسایی حملات: تیم قرمز بررسی می‌کند که سازمان مشتری با چه سرعت و دقتی می‌تواند یک حمله فعال یا در حال آماده‌سازی را شناسایی کند. به عنوان بخشی از این ارزیابی، تیم قرمز، رویدادهای امنیتی مختلفی (مانند تلاش برای به دست آوردن دسترسی غیرمجاز به یک حساب کاربری یا ارسال ایمیلی با اطلاعات حساس به یک آدرس خارجی) ایجاد می‌کند. وظیفه تیم آبی شناسایی چنین رویدادهایی و اطلاع رسانی به افراد مربوطه است.
  • ارزیابی قابلیت پاسخ به حوادث: تیم قرمز، اقدامات تیم آبی برای متوقف کردن حمله را ارزیابی می‌کند. عملیات تیم‌ قرمز می‌تواند در قالب ارزیابی‌های مختلف و بسته به هدف و مدل ارزیابی، با روش‌های مختلفی اجرا شود. در سناریوی کامل‌تر، تیم آبی با فرض واقعی بودن نفوذ، راه حمله را مسدود می‌کند. با این حال گاهی اوقات، تیم مدافع به تیم قرمز اجازه می‌دهد که کار خود را ادامه دهد و پس از اطمینان از اینکه حادثه واقعاً توسط تیم قرمز ایجاد شده است، آن را بررسی خواهد کرد.

انواع عملیات تیم‌ قرمز

عملیات تیم‌ قرمز شامل تکنیک‌ها و روش‌های مختلف حمله است که می‌توان آن‌ها را بر اساس نوع تأثیر بر زیرساخت‌ها و متخصصان امنیت سازمان مورد نظر و همچنین بر اساس بردار حمله دسته‌بندی کرد.

ردتیمینگ بر اساس نوع تأثیرگذاری:

  • شبیه‌سازی (Simulation):

تیم قرمز اقدامات عوامل تهدید را شبیه‌سازی کرده و یک سری از تکنیک‌ها و تاکتیک‌ها را بر اساس درک خود از اثربخشی آن‌ها انتخاب می‌کنند. تیم آبی باید باور کند که با یک حمله واقعی علیه سازمان مواجه است.

  • تقلید (Emulation):

این روش شامل بازسازی اقدامات یک گروه هکر خاص است و اغلب زمانی استفاده می‌شود که مشتری دقیقاً می‌داند کدام گروه‌ها شامل بزرگ‌ترین تهدید برای شرکت هستند. تیم قرمز برای موفقیت در تقلید از اقدامات گروه‌های تهدیدکننده‌ی خاص، باید تحقیق گسترده‌ای در زمینه گروه‌های تهدیدکننده (به عنوان مثال، نتیجه‌ی پاسخ به حملات واقعی یا تحقیق درباره جرائم سایبری) داشته باشد.

ردتیمینگ بر اساس بردار حمله:

  • نفوذ فیزیکی و تاثیرات آن (Physical penetration and impact)

حمله فیزیکی یکی از خطرناک‌ترین گزینه‌ها است زیرا شامل آسیب فیزیکی واقعی یا احتمال مجروح شدن اعضای تیم می‌شود، به همین دلیل، با وجود این که عوامل تهدیدکننده‌ی واقعی، از روش‌های فیزیکی نیز استفاده می‌کنند ولی چنین روش‌هایی معمولاً در ارزیابی‌های تیم قرمز گنجانده نمی‌شوند. حملات فیزیکی سطوح مختلفی از تأثیر را دارند. آن‌ها می‌توانند شامل تکنیک‌های ساده مانند سرقت شولدر سرفینگ (shoulder surfing) باشند که شامل تماشای مخفیانه صفحه نمایش و صفحه کلید کارمندان و همچنین اقدامات شدیدتر مانند شکستن قفل‌ها برای دسترسی به اتاق‌های سرور و مختل کردن سیستم‌های دوربین مدار بسته است‌. پیشرفته‌ترین نوع حمله فیزیکی استفاده از ابزارهای فنی پیشرفته مانند دستگاه‌های شنود، کی‌لاگرها و ابزارهای اتصال به هارد درایوها برای استخراج اطلاعات حساب کاربری است.

  • مهندسی اجتماعی (Social engineering)

مهندسی اجتماعی یکی از شناخته‌شده‌ترین و مؤثرترین روش‌های نفوذ به زیرساخت‌های یک شرکت است. مهندسی اجتماعی شامل فریب یا دست‌آویز قرار دادن کارمندان برای به اشتراک گذاشتن داده‌های حساس و سپس استفاده از آن داده‌ها برای به خطر انداختن امنیت سازمان است. این امر، عموما با ارسال ایمیل‌هایی حاوی پیوست‌های آلوده یا لینک‌های فیشینگ، تماس تلفنی، پیام‌رسانی در رسانه‌های اجتماعی و غیره انجام می‌شود.

  • شبکه خارجی (External network)

حملات علیه شبکه‌های خارجی، از شایع‌ترین سناریوهای عملیات تیم‌ قرمز هستند. این حملات توسط آن دسته از منابع شرکت که از بیرون قابل دسترسی هستند محدود می‌شوند. اما این امر از پیشرفت حمله تیم قرمز به زیرساخت شرکت پس از به دست آوردن دسترسی اولیه جلوگیری نمی‌کند. در یک سناریو کلاسیک، تیم قرمز بررسی و تعیین هدف خود را به صورت مستقل انجام می‌دهد. در موارد دیگر، مشتری تعیین می‌کند که کدام یک از منابع شرکت قابل حمله است؛ این امر به آزمایش توانایی‌های شرکت برای دفع حملات علیه منابعی که امنیت آن‌ها برای مشتری اولویت دارد، کمک می‌کند. چنین سناریویی همچنین مدت‌زمان انجام ارزیابی تیم قرمز را کاهش می‌دهد.

  • شبکه داخلی (Internal network)

به عنوان بخشی از این سناریو، تیم قرمز به منابع داخلی مشتری دسترسی اولیه دارد که باعث می‌شود ارزیابی تیم قرمز سریع‌تر و کارآمدتر باشد. چنین سناریوهایی کمتر واقع‌گرایانه هستند، زیرا عوامل تهدیدکننده باید ابتدا به زیرساخت قربانی نفوذ کنند که این امر به خودی خود، یک مرحله از حمله است. هنگامی که ارزیابی تیم قرمز بر اساس سناریوی دسترسی داخلی انجام می‌شود، مشتری باید دسترسی به منابع خاصی از شرکت را برای تیم قرمز فراهم کند تا بتواند بر اساس حقوق دسترسی اعطا شده، انواع مسیرهای حمله را ایجاد کند.

  • شبکه بی‌سیم (Wireless network)

حملات به شبکه وای‌فای داخلی مشتری، نوع متمایزی از بردار حمله را تشکیل می‌دهند، زیرا عوامل تهدید بالقوه باید در محدوده تحت پوشش وای‌فای مشتری (دفتر مالک شبکه یا حوالی آن) باشند.

مراحل تیم قرمز (Stages of red teaming)

مراحل تیم قرمز

به عنوان بخشی از عملیات، تیم قرمز سعی می‌کند با استفاده از مجموعه‌های مختلفی از ابزار، به طور پنهانی در دامنه محافظت شده نفوذ کند و سپس برای بقای بیشتر در زیرساخت فعالیت کند. ارزیابی تیم قرمز را می‌توان به پنج مرحله با اهداف و نتایج مختص به خود تقسیم کرد.

شناسایی (Reconnaissance)

هدف: جمع‌آوری تمام اطلاعات ممکن درباره تارگت.

شناسایی یکی از مراحل کلیدی است که به دریافت اطلاعات زیادی درباره افراد، فناوری‌ها و محیط‌ها کمک می‌کند. این مرحله شامل جمع‌آوری اطلاعات برای برنامه‌ریزی حمله و انتخاب و توسعه ابزارهای لازم برای اجرای آن است.

برنامه‌ریزی حمله (Planning an attack)

هدف: تجزیه و تحلیل دقیق تمام اطلاعات جمع‌آوری شده درباره زیرساخت‌ها، اهداف خاص و کارکنان.

در این مرحله، تیم قرمز با مدل کردن kill chain (مراحل حمله)، اقدامات کلیدی مورد نیاز برای یک حمله موفق را تعیین می‌کند.

دسترسی به سیستم (Gaining access)

هدف: شروع فاز حمله فعال.

تیم قرمز سعی می‌کند به داخل حصار محافظت شده نفوذ کند و برای پیشبرد حمله، در آنجا حضور دائمی داشته باشد. دسترسی به سیستم‌ها می‌تواند از طریق مهندسی اجتماعی، حمله به شبکه‌های بی‌سیم، بهره‌برداری اولیه از آسیب‌پذیری‌های خارجی و غیره صورت بگیرد.

حرکت در سیستم (Movement across the system)

هدف: گسترش حمله و نفوذ عمیق‌تر به زیرساخت.

پس از رسیدن به پایداری در مرحله قبلی، تیم قرمز به دنبال راه‌هایی برای نفوذ بیشتر و دستیابی به اهداف تعیین‌شده برای پروژه است. مهاجمان به دنبال آسیب‌پذیری‌ها می‌گردند، آن‌ها را مورد بهره‌برداری قرار می‌دهند، یک زنجیره حمله ایجاد می‌کنند و به تدریج پیش می‌روند.

عملیات علیه تارگت‌ها (Actions against targets)

هدف: دستیابی به اهداف تعیین شده برای پروژه.

تیم قرمز سعی می‌کند به اهدافی که با مشتری بر سر رسیدن به آن توافق کرده است، دست یابد. چه مدت زمان لازم است تا عملیات تیم قرمز انجام شود؟ تیم قرمز برای انجام فعالیت‌های خود، چارچوب زمانی خاصی ندارد و همواره به موارد و نیازهای مشتری وابسته است.

اما تیم قرمز، چگونه به مشتری کمک می‌کند؟ بعد از انجام ارزیابی توسط تیم قرمز، این تیم گزارش جامعی در مورد اقدامات انجام شده و اهداف دست‌یافته شده ارائه می‌دهد. با مطالعه پیشنهادات داده شده در گزارش، تیم آبی می‌تواند ضعف‌های موجود را از بین برده و اقدامات امنیتی را برای تشخیص و پیشگیری از حملات بهبود دهد و همچنین وضعیت امنیتی شرکت را به طور کلی بهبود بخشد. تیم قرمز در دسترس است تا در مورد مسائل مرتبط با ارزیابی عملیات، به تیم آبی مشاوره دهد.

تفاوت‌های بین عملیات تیم قرمز و تست نفوذ در چیست؟

تفاوت‌های بین عملیات تیم قرمز و تست نفوذ

با وجود اینکه عملیات تیم قرمز و تست نفوذ شامل سناریو‌ها و روش‌های مشابهی هستند، اهداف و نتایج این دو آزمون، تفاوت‌های قابل توجهی دارند. تیم قرمز روی ارزیابی عملکرد تیم آبی و آزمودن فرضیه‌ای درباره سیستم امنیت اطلاعات شرکت مشتری تمرکز می‌کند. هدف اصلی تیم قرمز‌، سنجیدن و تقویت توانایی سازمان مشتری در شناسایی و مقابله با حملات سایبری پیچیده، از جمله حملات عوامل تهدید‌ پیشرفته و مداوم (APT) است. از سوی دیگر، هدف تست نفوذ، ارزیابی امکان انجام یک حمله علیه سازمان مشتری و شناسایی آسیب‌پذیری‌ها و نقاط ضعف شرکت است. تست نفوذ اصولاً اقدامات امنیتی فنی را ارزیابی می‌کند و مهارت‌های متخصصان امنیت اطلاعاتی در پاسخ به حملات را شامل نمی‌شود.

تیم قرمز در مقابل تست نفوذ

  تیم قرمز تست نفوذ
روش‌های حمله تمام روش‌های تأیید شده، از جمله روش‌هایی که هر نوع آسیبی را به دنبال دارند، در صورتی که توسط مشتری تأیید شده باشند، استفاده می‌شوند.

عملیات بر روی دست‌یابی به اهداف توافق شده، برجسته کردن تأثیر حیاتی بر سازمان و آزمایش افراد، فرآیندها و فناوری‌های شرکت تمرکز دارد.

 از روش‌های فنی برای حمله به فهرستی توافقی از اهداف استفاده می‌شود و شیوه‌هایی که باعث هر نوع آسیبی می‌شوند را شامل نمی‌شود. مهندسی اجتماعی در صورت تأیید مشتری استفاده می‌شود. دامنه محدود بوده و بر آزمایش دارایی‌های خاص سازمان مشتری، از دیدگاه فنی متمرکز است.
دور زدن سیستم‌های تشخیص دور زدن سیستم‌های تشخیص نفوذ مهم است زیرا در صورت فعال شدن آن‌ها، قوانین بازی تغییر می‌کند.

 

 تشخیص و رفع آسیب‌پذیری‌های فنی در سیستم، دارای اهمیت بیشتری نسبت به دور زدن سیستم‌های تشخیص نفوذ است.
پس از نفوذ از آسیب‌پذیری‌ها برای دستیابی به داده‌های لازم و پیشبرد حمله استفاده می‌شود.

یک گزارش جامع و دقیق ارائه شده است که شامل شرح تمام اقدامات انجام شده و روش‌های استفاده شده برای دستیابی به اهداف تعیین شده است.

 تست در صورت دسترسی به داده‌ها پایان می‌یابد.

گزارشی دقیق ارائه می‌شود که حاوی شرحی کامل از تمامی آسیب‌پذیری‌های شناسایی شده و سطوح ریسک آن‌ها است.

 
نتایج اطلاعات جزئی و دقیق در مورد تمام دارایی‌های تحت حمله ارائه شده است. قابلیت مشتری برای شناسایی حملات به موقع و پاسخگویی مناسب به آن‌ها، ارزیابی شده است. اطلاعات جزئی و دقیق در مورد بررسی‌های انجام شده و نتایج آن‌ها ارائه شده است.

 

بهترین روش انتخاب پیمانکار برای عملیات تیم قرمز

ما توصیه می‌کنیم بررسی چندین معیار را در نظر بگیرید که به شما در اطمینان از ارائه خدمات تیم قرمز با کیفیت بالا و ارزش افزوده بیشتر کمک می‌کند.

1- محل پیمانکار: مشتری و پیمانکار نیازی به حضور در یک شهر ندارند، اما باید منطقه زمانی را در نظر بگیرند تا زمان‌بندی پروژه را به درستی تنظیم کنند.

2- گواهینامه: کارشناسان شرکت پیمانکار باید دارای گواهینامه‌های بین المللی باشند و فرآیندهای شرکت باید با استانداردهای بین المللی سازگار باشند.

3- تجربه: هر چه پیمانکار تجربه بیشتری داشته باشد، بهتر می‌تواند وظایف خود را درک کند و حملات را برنامه‌ریزی کند. علاوه بر این، پیمانکاری که تجربه حملات موفق یا ناموفقی داشته باشد، دانش خود را در پروژه‌های آینده به کار خواهد برد که باعث افزایش کارایی وی خواهد شد.

4- پاسخ به حوادث و فارنزیک: یک مزیت غیر قابل انکار این است که پیمانکار دارای تجربه در زمینه‌ی پاسخ به حوادث امنیتی و شرکت در تحقیقات جرائم سایبری باشد. این باعث می‌شود ارزیابی تیم قرمز نزدیک‌تر به یک حمله واقعی باشد، زیرا پیمانکار با روش‌ها و تکنیک‌های استفاده شده توسط عاملان تهدید آشنا است.

5- تخصص جامع امنیت سایبری: اگر پیمانکار علاوه بر تیم قرمز، تجربه‌ای در حفاظت از سیستم‌های اطلاعاتی داشته باشد نیز بر مزیت‌های وی افزوده خواهد شد. تجربه‌ای در زمینه‌ی حفاظت از سیستم‌های اطلاعاتی، به شرکت کمک می‌کند تا پروفایل امنیتی مشتری را از دیدگاه چندین متخصص با تخصص‌های مختلف بررسی کرده و در نتیجه پیشنهاداتی جامع‌تر برای تقویت امنیت مشتریان ارائه دهد.

آیا ساینت خدمات تیم قرمز ارائه می‌دهد؟ بله. متخصصان ساینت تجربه گسترده‌ای در پاسخگویی به حوادث امنیتی سایبری و تحلیل جرایم رایانه‌ای دارند. در نتیجه به حملات سایبری (تاکتیک‌ها و تکنیک‌هایی که توسط گروه‌های تهدید خاص استفاده می شود) بسیار آگاه هستند و می دانند که چگونه آن‌ها را شبیه سازی کنند. کارشناسان ما برای عملیات تیم قرمز از چارچوب‌های بین المللی معتبر مانند TIBER ،CBEST،AASE ،iCAST و FEER استفاده می‌کنند و همچنین روش خود را برای هر مشتری شخصی‌سازی می کنند تا هرگونه الزامات خاص را در نظر بگیرند و فرآیندهای کلیدی کسب و کار را به صورتی دست‌نخورده حفظ کنند.

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید