Get best of the week

5 أساطير حول Red Teaming



سمع مصطلح Red Teaming من قبل كل من يشارك في أمن المعلومات بشكل مباشر أو غير مباشر. لكن ليس كل شخص يفهم تمامًا ما هو: لماذا نحتاج إلى تقييم لفعالية فريق الاستجابة للحوادث؟ ما هذا الشكل من التدريب لفريق المدافع؟ في كثير من الأحيان ، يتم إعطاء Red Teaming لاختبار اختراق شامل: فهي توفر اختبار اختراق كلاسيكي ، وإن كان متقدمًا بسعر أعلى عدة مرات. تبحث بعض الشركات الكبيرة عن متخصصين خاصين بها في Red Teaming ، وعلى الأرجح ، لا تفهم تمامًا المهام التي ستحلها بمساعدتها. ما هو Red Teaming كخدمة وما هو Red Teaming؟ حول ذلك أدناه.

مرجع التاريخ


مثل العديد من الأشياء الأخرى في حياتنا اليومية (شريط لاصق ، ميكروويف ، بضائع معلبة ، وما إلى ذلك) ، جاء مصطلح Red Teaming من المجمع الصناعي العسكري. خلال حرب فيتنام ، مارس الطيارون العسكريون الأمريكيون مهارات القتال الجوي ودرسوا أخطائهم ، وبالتالي زادوا من مستوى مهاراتهم دون فقدان حقيقي للطيارين والطائرات. ولكن على الأرجح ظهر اسم "الفريق الأحمر" أثناء المواجهة مع الاتحاد السوفيتي. تاريخياً ، الهجوم "الأحمر" والدفاع "الأزرق".


كما أحب الحراس في بودابست هذا المصطلح ؛)

ما هو فريق Red Teaming؟


الخرافة رقم 1. Red Teaming هو اختبار اختراق أو تدقيق شامل.


هناك ثلاثة أنواع رئيسية من العمل للتحقق من مستوى أمان الشركة.

  1. (Vulnerability Assessment) – , . , . .
  2. (Penetrating Test) – ( ) -. . . , (, ) (, ).
  3. Red Teaming – , , . Red Teaming – . ( , ). IOC ( , , .), . , .

Red Teaming – , (TTP) , , .
إن محاكاة أفعال المهاجمين من قبل فريق من المهاجمين تدرب على آلية الاستجابة للحوادث وتعطي المدافعين وعيًا ظاهريًا بأدوات وتكتيكات المهاجمين.

تركز Red Teaming على العمليات الأمنية المتكاملة التي تشمل الأشخاص والعمليات والتقنيات. يركز فريق Red Teaming بشكل مباشر على تدريب الفريق الدفاعي وتقييم كيف يمكن لخدمة الأمن مواجهة الإجراءات الحقيقية للخصم. العيوب الفنية ونقاط الضعف في هذه الحالة ثانوية - والسؤال الرئيسي هو: كيف يمكن للمتسلل بمساعدتهم التأثير على أنشطة المنظمة.

في قلب فريق Red Teaming سيناريو العدو. تميز السيناريوهات فريق Red Teaming عن اختبار الاختراق ، كما أنها تحدد تقدم المشروع. تسمح لك السيناريوهات بمحاكاة إجراءات خصم معين (مجموعة APT محددة) أو محاكاة إجراءات مهاجم مشتبه به.

تستخدم Red Teaming أساليب وتقنيات أمنية هجومية ، ولكنها بطبيعتها جزء من الأمن الدفاعي وجزء من SOC ، وبالتالي لا يمكن أن توجد بدون الفريق الأزرق.

الفريق المهاجم هو مجموعة مستقلة من المحترفين تنظر في أمن منظمة من موقع الخصم. يجد الفريق طرقًا بديلة لتحقيق أهدافه ويتحدى المدافعين عن المنظمة لاختبار استعدادهم للتهديدات الحقيقية. يساعد الاستقلال المهاجمين بدقة ودون تحيز في تقييم مستويات الأمان مع تجنب العديد من التحيزات.

الأسطورة رقم 2. قد يكون للمنظمة فريق أحمر داخلي خاص بها


للحفاظ على الاستقلال ، يجب أن يكون الفريق المهاجم خارجيًا. ونقص المعرفة حول النظام الذي تمت مهاجمته وحمايته (باستثناء المعلومات التي تم الحصول عليها في مرحلة مبكرة من المشروع) سيسمح بإعداد وإعداد استراتيجية تنفيذ المشروع بشكل أفضل. يمكن أن يكون فريق Red Teaming الداخلي في شكل محدود فقط ، ومن الأفضل تسميته مصطلح "Teaming الأرجواني" (مزيج من الألوان الحمراء والزرقاء) أو Threat Hunt. هذه مجموعة من المتخصصين داخل الشركة يمكنها تنفيذ هجمات مختلفة على البنية التحتية وفي نفس الوقت إعداد ضوابط للكشف عن مثل هذه الهجمات. ولكن يجب على المجموعة الخارجية تقييم الفعالية.

الأهداف


مثل أي نشاط ، لدى Red Teaming غرض. يمكن أن تكون أهداف المهاجمين مختلفة (الشيء الرئيسي هو أنهم لا ينتهكون القانون والأسرار التجارية) ، على سبيل المثال:

  • ;
  • ;
  • ;
  • ;
  • (DLP);
  • ;
  • .

№ 3. Red Teaming – ,


لا يوجد فائزون أو خاسرون في Red Teaming. ليس للمهاجمين هدف الاستيلاء على خادم أو شبكة المؤسسة بهدوء وهدوء. في المرحلة الأولية ، سيعمل الفريق المهاجم بصمت ، ولكن بمجرد أن يقترب من "طول الذراع" المستهدف ، سيبدأ في "إحداث ضجيج" من أجل جذب انتباه المدافعين. إذا اكتشفوا وحجبوا المهاجمين في مرحلة مبكرة ، فلن يتمكنوا من معرفة كيف يمكن للعدو المضي قدمًا. ولكن إذا لم يكن هناك فائزون وخاسرون ، فكيف نحدد النجاح؟

نجاح


لا يتوقف نجاح Red Teaming على مدى جودة التقاط الفريق المهاجم للشبكة. ينجح مشروع Red Teaming عندما يحقق الفريق المهاجم أهدافه ويكون فريق الدفاع قادرًا على تعلم وتحسين مستوى الأمان في المنظمة.

يمكن تحديد النجاح أيضًا بالإجابة على الأسئلة التالية:

  • كم من الوقت يكتشف فريق الدفاع المهاجمين؟
  • هل الأدوات المتاحة تكشف المهاجمين؟
  • هل يتبع فريق الدفاع TTP الخاص بهم عندما تثير تصرفات الفريق المهاجم إنذارًا؟
  • هل يستطيع فريق الدفاع الكشف عن قنوات الاتصال مع مركز القيادة المهاجم (C2)؟
  • هل يمكن للمدافعين تجميع ملف تعريف المهاجم بناءً على مؤشرات الاختراق (IOCs) على الشبكة والمضيفين؟

مسكتك!


كيف تحدد أن مشروع الفريق الأحمر في مرحلة الاكتمال (وحان الوقت لكتابة تقرير)؟ تمت مناقشة هذا البند والموافقة عليه في البداية. بشكل عام ، هناك العديد من الخيارات:

  • . . , Red Teaming , , . , .
  • . «» , «», .
  • اكتشف فريق المدافع تصرفات الفريق المهاجم. هناك مأزق هنا. إذا اكتشف فريق المدافع في مرحلة مبكرة هجومًا ، على سبيل المثال ، هجوم تصيد أو تركيب قناة اتصال مع مركز القيادة (C2) ، وصاح "نعم ، لقد دخلنا!" ، كان رد فعله صحيحًا - تم تحقيق الهدف. في هذه الحالة ، من المجدي أن نناقش مقدماً إمكانية قيام المدافعين بمراقبة الإجراءات الإضافية للمهاجمين. هنا يمكنك بالفعل مراقبة ما يصل إلى نقطة معينة ، وبالتالي التحقق من عناصر التحكم في الأمان التي يتم تشغيلها والتي لا يتم تشغيلها وتتطلب إعدادات إضافية. سيتمكن المدافعون في أي وقت من فصل قنوات الاتصال وقول "تم الإمساك!" ، ولكن قبل ذلك سيكون لديهم الوقت للتعرف على التقنيات الجديدة.

فائدة


ما هي الفوائد الرئيسية لفريق Red Teaming؟ القدرة على تغيير زاوية الرؤية لأمن المعلومات في الشركة:

  • انظر إلى الحالة الحقيقية للأمن ونقاط الضعف فيه (قبل أن يفعلها شخص ما "موهوب" بشكل خاص من الخارج) ؛
  • تحديد الثغرات في العمليات والإجراءات والتقنيات (وإزالة بالطبع) ؛
  • معرفة ما إذا كانت خدمة IS تؤدي وظيفتها بشكل جيد ، دون عواقب حادثة حقيقية ؛
  • فهم أفضل التكتيكات والأساليب والإجراءات للعدو وإنفاق الميزانية على أمن المعلومات بشكل أكثر كفاءة ؛
  • رفع مستوى الوعي بين موظفي IS والمديرين والموظفين.

إذا لم يحسن مشروع Red Teaming مستوى الأمان ، فلا فائدة من تنفيذه.

الخرافة رقم 4. فقط منظمات الأمن الناضجة قد تحتاج إلى فريق أحمر.


يمكن استخدام Red Teaming من قبل المؤسسات التي لديها أي مستوى من نضج أمن المعلومات. الشرط المسبق هو فريق المدافعين والعمليات للاستجابة للحوادث والتهديدات.

سيساعد Red and Teaming المنظمات ذات المستوى المبتدئ والمتوسط ​​في النضج على تقييم قدرتها على مواجهة خصم ذي خبرة: فهم أي طريق ينمو ، وأي ضوابط أمنية يتم تنفيذها. وكذلك تطوير الأتمتة للاستجابة الصحيحة للحوادث.

بالنسبة لمنظمة ذات مستوى ناضج من الأمن ، سيكون هذا هو تدريب وتطوير مهاراتهم. ولكن إلى جانب ذلك ، سيكونون قادرين على رؤية تقنيات وتكتيكات جديدة لم يواجهوها بعد.

الهيكل التنظيمي


تشارك الفرق التالية في المشروع:

  • الفريق الأحمر ( الفريق الأحمر) - مهاجمة. المتخصصين الذين يحاكيون الهجمات على منظمة.
  • (Blue Team) – . , .
  • (White Team) – . , CISO. , : , , . . , , ( ) (IOC), . , «» . , Red Team, , Blue Team. .

غالبًا ما يتم الخلط بين الفريق الأبيض والفريق الأرجواني.

الأسطورة رقم 5. التكلفة العالية جدا لمشروع الفريق الأحمر


ولعل أهم قضية تهم أي زبون هي السعر. التكلفة المرتفعة للفرقة الحمراء هي حيلة تسويقية. اسم غير مفهوم ، اتجاه جديد في صناعة أمن المعلومات - كل هذا يؤدي غالبًا إلى تضخم غير معقول في سعر الخدمة.

يتم حساب تكلفة الفريق الأحمر بناءً على مدة المشروع ، والذي يعتمد بدوره على السيناريو المختار. كلما كان النص أكثر تعقيدًا ، زاد العمل عليه.
تعود مدة مشروع Red Teaming إلى حقيقة أن الفريق المهاجم مطالب بالعمل بشكل سري حتى لا يكشف عن نفسه مسبقًا. متوسط ​​مدة المشروع حوالي 12 أسبوعًا. للمقارنة: اختبار الاختراق الشامل ، والذي يشمل المحيط الخارجي والبنية التحتية الداخلية والهندسة الاجتماعية وتحليل الشبكات اللاسلكية ، يستمر 7 أسابيع في المتوسط ​​(يمكن إكماله بشكل أسرع إذا قام المقاول بإجراء المراحل بالتوازي).

حتى قبل بداية الجزء الرئيسي ، يقوم الفريق المهاجم بالاستطلاع السلبي وجمع البيانات ، وإعداد البنية التحتية ووضع اللمسات الأخيرة على أدواتهم الخاصة أو تطويرها وفقًا للمعلومات الواردة. وفي نهاية المشروع ، يتم تنظيم استشارة إضافية لموظفي العميل. تؤخذ جميع تكاليف العمالة هذه في الاعتبار في التكلفة الإجمالية.

ويتبع ذلك منطقيًا تمامًا أن سعر Red Teaming سيكون أعلى من اختبار الاختراق الشامل. ولكن في الوقت نفسه ، بالطبع ، لن تتجاوز تكلفتها عشرة أضعاف.

الانتهاء من العمل


التقرير هو شكل من أشكال إثبات العمل. ومع ذلك ، فإن قيمته الرئيسية هي أنه يمكن (ويجب) تحليلها واستخدامها لتحسين الأمان في الشركة. لذلك ، جودتها مهمة للغاية.

يمكن أن يكون تقرير الفريق الأحمر مختلفًا تمامًا عن اختبار الاختراق وتقارير التحليل الأمني. نظرًا لأن العمل يركز بشكل كبير على النص ، فإن التقرير يستند إلى تاريخ من الإجراءات.

سيحتوي التقرير على المعلومات التالية:

  • استنتاج رفيع المستوى حول حالة الأمن واستعداد المدافعين لمواجهة التهديدات الحقيقية
  • ,
  • . , (IOC)
  • ,
  • ,
  • .

في نهاية المشروع ، يمكن عقد عدة اجتماعات مع ممثلي الجانبين. الأول هو توجيه المنظمة ، مع التركيز على الصورة العامة للمشروع. قد تؤثر نتائج Red Teaming على العمل المستقبلي للمنظمة: تتطلب التمويل لإزالة أوجه القصور الموجودة أو لتغيير جدول التوظيف. إذا تم استخدام نتائج Red Teaming لتحسين أمن المنظمة (وإلا ، فإن هذا العمل لا معنى له) ، فإن إدراك واهتمام الإدارة مهم للغاية.

اجتماع آخر هو اجتماع تقني. هذا تبادل متبادل للمعلومات بين المهاجمين والمدافعين ومنسق المشروع من جانب العميل. يتضمن مراجعة تفصيلية عالية التقنية لإجراءات الفريق المهاجم والدفاعي التي تم اتخاذها خلال المشروع. يسمح للطرفين بطرح أسئلة في سياق الهجمات المنفذة والرد عليها ، وتلقي توصيات للتحسين وأفكار لمنهجيات جديدة. وهذا يجعل من الممكن تحسين قدرة كل من المدافعين والفرق الهجومية. هذه الاجتماعات جزء من المشروع ، ويمكن أن تكون فوائدها لا تقدر بثمن.

استنتاج


موضوع Red Teaming واسع للغاية ولا يمكن النظر فيه بشكل كامل في مقالة واحدة. ومع ذلك ، مما سبق ، يمكننا استخلاص بعض الاستنتاجات القصيرة الأساسية:

  • الفوائد الرئيسية لفريق Red Teaming هي التدريب وتبادل المعرفة.
  • Red Teaming
  • Red Teaming – ( )
  • Red Teaming – , , , .

: , , «-»

More articles:


All Articles