یک تصور رایج که درباره تیم های قرمز و آزمون نفوذپذیری وجود دارد این است که مانورهای تیم قرمز در واقع نوعی تست نفوذ هستند. با وجود این که هر دو طرح تیم قرمز و آزمون نفوذپذیری توسط هکرهای اخلاقی یا همان هکرهای کلاه سفید انجام میشوند ولی فعالیت های اجرایی آنها با هم متفاوت است.
در حالت کلی، آزمون نفوذپذیری برای شناسایی آسیب پذیری هایی به کار می رود که امکان سوءاستفاده از آنها توسط مجرمان سایبری وجود دارد. این آزمایش ها به منظور ارزیابی میزان اثربخشی کنترل های امنیتی و همچنین طرحهای آگاهی بخشی امنیت سایبری کارمندان اجرا میشوند. هدف از اجرای مانورهای تیم قرمز، علاوه بر تشخیص آسیبپذیری هایی که امکان سوءاستفاده از آنها وجود دارد، بررسی کارایی عملیاتی تیم امنیت نیز است. وظیفه مانور تیم آبی هم کشف راهکارهای دفاعی در برابر حملات ساختگی است. در واقع هدف از اجرای مانور تیم های آبی و قرمز، بهبود روش های مدیریت حادثه و راهکارهای واکنش به آن است.
از آنجا که اجرای تست نفوذ و تشکیل تیم قرمز نیازمند بودجه نسبتاً سنگینی هستند و همچنین با توجه به این که اجرای آزمون نفوذپذیری معمولاً بین یک تا سه هفته و اجرای مانور تیم قرمز هم بین چهار الی هشت هفته زمان میبرد بنابراین این طرح ها اغلب فقط یک بار در سال اجرا می شوند.
امروزه فضای حملات سایبری به دلیل رشد و تکامل فنون و تهدیدها و همچنین تغییرات و پیشرفت روزافزون در حوزه فناوری اطلاعات، با سرعت بسیار زیادی در حال رشد و توسعه است. از این رو، امنیت سازمان ها باید به صورت پیوسته و خودکار ارزیابی شده و حملات سایبری شبیه سازی شده (BAS) برای بررسی این موضوع اجرا شوند. اعتبارسنجی امنیت سازمان ها و اجرای حملات شبیه سازی شده می توانند آسیبپذیریها و پیکربندی های نادرست را شناسایی کرده و به برطرف سازی آنها قبل از این که رخداد ناگواری برای سازمان ها به وجود آید، کمک کنند.
خودکارسازی تیم قرمز
در حال حاضر یکی از رویکردهای مورد توجه، خودکارسازی فعالیت های تیم قرمز است. این رویکرد با انجام کارهای تکراری و تحقیقاتی به صورت خودکار توسط تیم قرمز باعث افزایش بهره وری شده، نقاط ضعف و آسیبپذیری هایی که امکان سوءاستفاده از آنها وجود دارد را مشخص کرده و در نهایت نیز در سریع ترین زمان ممکن، تصویری جامع از آن چه قرار است تیم های قرمز با آن مواجه شوند را برای آنها مجسم می کند.
این رویکرد با سرویس BAS که طیف گسترده ای از حملات شبیه سازی شده مختلف را ارایه میکند، تفاوتی ندارد و یک منبع کامل از راهکارهایی که بر اساس چارچوب MITRE ATT&CK کدگذاری شده اند را در اختیار سازمان ها قرار میدهد. این راهکارها به تیم های قرمز امکان میدهند تا آزمونهای دلخواه خودشان را طراحی و اجرا کنند. خودکارسازی تیم قرمز با وجود آن که توانایی پشتیبانی از فعالیتهای این تیم را دارد اما ارزش آن محدود بوده و بیشتر تیم های قرمز از مجموعه ابزارهای داخلی پیشرفته خودشان که برای اهداف مشابه ساخته شده اند، استفاده می کنند.
شبیه سازی تیم قرمز
رویکرد جدید دیگری به نام شبیه سازی تیم قرمز وجود دارد که به این تیم ها امکان میدهد تا سناریوهای پیچیده را اجرا نموده و حملات شبیه سازی شده APTهای متداول را در درون سازمان اجرا کنند. در این روش، به جای اجرای مجموعه گسترده ای از حملات مختلف برای یافتن یک نقطه ضعف، جریانی که شامل مسیرهای پیوسته است اجرا می شود.
مزیت اصلی این رویکرد، به کارگیری منطق است. همزمان با پیشروی شبیه سازی، از یافتههای مانورهای قبلی نیز در کنار ابزارها و منابع اطلاعات خارجی استفاده میشود. این روش، قابلیت نصب ابزارهای مختلفی که برای اجرای موفق یک آزمایش مورد نیاز هستند را بر روی سیستم هدف فراهم می کند.
مزیت شبیه سازی های تیم قرمز برای این تیمهای داخلی و شرکتهایی که چنین خدماتی را عرضه میکنند، فراتر از بهره وری عملیاتی است. همچنین به منظور تأیید مانورهای قبلی، سناریوهای متفاوت را می توان دوباره تکرار کرد. تیمهای قرمزی هم که در شرکتهای بین المللی فعالیت میکنند میتوانند محدوده های جغرافیایی بیشتری را تحت پوشش خدمات خود قرار دهند.
حتی با شبیه سازی تیم قرمز، عامل انسانی همچنان یک عنصر کلیدی مهم برای ارزیابی نتایج یک آزمون و کمک به بهبود روشهای مدیریت حادثه و واکنش به آن است. این شبیه سازی ها ابزارهای تیم قرمز را در دسترس بازارهای بزرگتر به خصوص برای بخشهایی که بحث هزینه در آنها یک عامل محدود کننده است، قرار میدهند.
منبع: thehackernews
