تیم قرمز؛ خودکارسازی بهتر است یا شبیه‌سازی؟

یک تصور رایج که درباره تیم های قرمز و آزمون نفوذپذیری وجود دارد این است که مانورهای تیم قرمز در واقع نوعی تست نفوذ هستند. با وجود این که هر دو طرح تیم قرمز و آزمون نفوذپذیری توسط هکرهای اخلاقی یا همان هکرهای کلاه سفید انجام می‌شوند ولی فعالیت های اجرایی آنها با هم متفاوت است.

در حالت  کلی، آزمون نفوذپذیری برای شناسایی آسیب ‌پذیری‌ هایی به کار می رود که امکان سوءاستفاده از آنها توسط مجرمان سایبری وجود دارد. این آزمایش ها به منظور ارزیابی میزان اثربخشی کنترل‌ های امنیتی و همچنین طرح‌های آگاهی بخشی امنیت سایبری کارمندان اجرا می‌شوند. هدف از اجرای مانورهای تیم قرمز، علاوه بر تشخیص آسیب‌پذیری‌ هایی که امکان سوءاستفاده از آنها وجود دارد، بررسی کارایی عملیاتی تیم امنیت نیز است. وظیفه مانور تیم آبی هم کشف راهکارهای دفاعی در برابر حملات ساختگی است. در واقع هدف از اجرای مانور تیم های آبی و قرمز، بهبود روش های مدیریت حادثه و راهکارهای واکنش به آن است.

از آنجا که اجرای تست نفوذ و تشکیل تیم قرمز نیازمند بودجه نسبتاً سنگینی هستند و همچنین با توجه به این که اجرای آزمون نفوذپذیری معمولاً بین یک تا سه هفته و اجرای مانور تیم قرمز هم بین چهار الی هشت هفته زمان می‌برد بنابراین این طرح ها اغلب فقط یک بار در سال اجرا می شوند.

امروزه فضای حملات سایبری به دلیل رشد و تکامل فنون و تهدیدها و همچنین تغییرات و پیشرفت روزافزون در حوزه فناوری اطلاعات، با سرعت بسیار زیادی در حال رشد و توسعه است. از این رو، امنیت سازمان ها باید به صورت پیوسته و خودکار ارزیابی شده و حملات سایبری شبیه سازی شده (BAS) برای بررسی این موضوع اجرا شوند. اعتبارسنجی امنیت سازمان ها و اجرای حملات شبیه سازی شده می توانند آسیب‌پذیری‌ها و پیکربندی های نادرست را شناسایی کرده و به برطرف سازی آنها قبل از این که رخداد ناگواری برای سازمان ها به وجود آید، کمک کنند.

خودکارسازی تیم قرمز

در حال حاضر یکی از رویکردهای مورد توجه، خودکارسازی فعالیت های تیم قرمز است. این رویکرد با انجام کارهای تکراری و تحقیقاتی به صورت خودکار توسط تیم قرمز باعث افزایش بهره وری شده، نقاط ضعف و آسیب‌پذیری‌ هایی که امکان سوءاستفاده از آنها وجود دارد را مشخص کرده و در نهایت نیز در سریع ترین زمان ممکن، تصویری جامع از آن چه قرار است تیم های قرمز با آن مواجه شوند را برای آنها مجسم می کند.

این رویکرد با سرویس BAS که طیف گسترده‌ ای از حملات شبیه سازی شده مختلف را ارایه می‌کند، تفاوتی ندارد و یک منبع کامل از راهکارهایی که بر اساس چارچوب MITRE ATT&CK کدگذاری شده اند را در اختیار سازمان‌ ها قرار می‌دهد. این راهکارها به تیم های قرمز امکان می‌دهند تا آزمون‌های دلخواه خودشان را طراحی و اجرا کنند. خودکارسازی تیم قرمز با وجود آن که توانایی پشتیبانی از فعالیت‌های این تیم را دارد اما ارزش آن محدود بوده و بیشتر تیم های قرمز از مجموعه ابزارهای داخلی پیشرفته خودشان که برای اهداف مشابه ساخته شده اند، استفاده می کنند.

شبیه سازی تیم قرمز

رویکرد جدید دیگری به نام شبیه ‌سازی تیم قرمز وجود دارد که به این تیم ها امکان می‌دهد تا سناریوهای پیچیده‌ را اجرا نموده و حملات شبیه سازی شده APTهای متداول را در درون سازمان اجرا ‌کنند. در این روش، به جای اجرای مجموعه‌ گسترده ای از حملات مختلف برای یافتن یک نقطه ضعف، جریانی که شامل مسیرهای پیوسته است اجرا می شود.

مزیت اصلی این رویکرد، به کارگیری منطق است. همزمان با پیشروی شبیه سازی، از یافته‌های مانورهای قبلی نیز در کنار ابزارها و منابع اطلاعات خارجی استفاده می‌شود. این روش، قابلیت نصب ابزارهای مختلفی که برای اجرای موفق یک آزمایش مورد نیاز هستند را بر روی سیستم هدف فراهم می کند.

مزیت شبیه‌ سازی ‌های تیم قرمز برای این تیم‌های داخلی و شرکت‌هایی که چنین خدماتی را عرضه می‌کنند، فراتر از بهره وری عملیاتی است. همچنین به منظور تأیید مانورهای قبلی، سناریوهای متفاوت را می توان دوباره تکرار کرد. تیم‌های قرمزی هم که در شرکت‌های بین المللی فعالیت می‌کنند می‌توانند محدوده‌ های جغرافیایی بیشتری را تحت پوشش خدمات خود قرار دهند.

حتی با شبیه‌ سازی تیم قرمز، عامل انسانی همچنان یک عنصر کلیدی مهم برای ارزیابی نتایج یک آزمون و کمک به بهبود روش‌های مدیریت حادثه و واکنش به آن است. این شبیه ‌سازی‌ ها ابزارهای تیم قرمز را در دسترس بازارهای بزرگتر به خصوص برای بخش‌هایی که بحث هزینه در آنها یک عامل محدود کننده است، قرار می‌دهند.

منبع: thehackernews