الفريق الأحمر مقابل الفريق الأزرق: ما الفرق؟

تعد الفرق الحمراء والزرقاء أكثر من مجرد إشارات وتقنيات الجيش. في الواقع ، تلعب هذه الفرق دورًا مهمًا في الدفاع ضد الهجمات الإلكترونية المتقدمة التي تهدد اتصالات الأعمال أو بيانات العملاء الحساسة أو الأسرار التجارية.

الفرق الحمراء هي من المهنيين الأمنيين الهجوميين الذين هم خبراء في مهاجمة الأنظمة واقتحام الدفاعات. الفرق الزرقاء هي متخصصون في الأمن الدفاعي مسؤولون عن الحفاظ على دفاعات الشبكة الداخلية ضد جميع الهجمات والتهديدات السيبرانية. تحاكي الفرق الحمراء الهجمات ضد الفرق الزرقاء لاختبار فعالية أمان الشبكة. توفر تمارين الفريق باللونين الأحمر والأزرق حلاً أمنيًا شاملاً يضمن دفاعات قوية مع مراعاة التهديدات المتطورة.

ما هو الفريق الأحمر؟

يتكون الفريق الأحمر من متخصصين في الأمن يعملون كخصوم للتغلب على ضوابط الأمن السيبراني. غالبًا ما تتكون الفرق الحمراء من قراصنة أخلاقيين مستقلين يقومون بتقييم أمن النظام بطريقة موضوعية.

يستخدمون جميع التقنيات المتاحة (الموضحة أدناه) للعثور على نقاط الضعف في الأشخاص والعمليات والتكنولوجيا للحصول على وصول غير مصرح به إلى الأصول. نتيجة لهذه الهجمات المحاكاة ، تقدم الفرق الحمراء توصيات وخططًا حول كيفية تعزيز الوضع الأمني للمؤسسة.

كيف يعمل الفريق الأحمر؟

قد تتفاجأ عندما تعلم  أن الفرق الحمراء تقضي وقتًا أطول في التخطيط لهجوم ثم تقوم بهجمات. في الواقع ، تنشر الفرق الحمراء عددًا من الأساليب للوصول إلى الشبكة.

تعتمد هجمات الهندسة الاجتماعية ، على سبيل المثال ، على الاستطلاع والبحث لتقديم حملات التصيد بالرمح المستهدفة. وبالمثل ، قبل إجراء اختبار الاختراق ، يتم استخدام متشمم الحزم ومحللي البروتوكول لمسح الشبكة وجمع أكبر قدر ممكن من المعلومات حول النظام.

تشمل المعلومات النموذجية التي تم جمعها خلال هذه المرحلة ما يلي:

 الكشف عن أنظمة التشغيل المستخدمة (Windows أو macOS أو Linux).
 تحديد طراز ونموذج معدات الشبكات (الخوادم ، والجدران النارية ، والمحولات ، والموجهات ، ونقاط الوصول ، وأجهزة الكمبيوتر ، وما إلى ذلك).
 فهم الضوابط المادية (الأبواب ، الأقفال ، الكاميرات ، أفراد الأمن).
 التعرف على المنافذ المفتوحة / المغلقة على جدار الحماية للسماح / حظر حركة مرور معينة.
 إنشاء خريطة للشبكة لتحديد المضيفين الذين يقومون بتشغيل الخدمات بالإضافة إلى مكان إرسال حركة المرور.

بمجرد أن يكون لدى الفريق الأحمر فكرة أكثر اكتمالاً عن النظام ، فإنهم يطورون خطة عمل مصممة لاستهداف نقاط الضعف الخاصة بالمعلومات التي جمعوها أعلاه.

بعد تحديد الثغرات الأمنية ، يحاول فريق أحمر استغلال نقاط الضعف هذه للوصول إلى شبكتك. بمجرد أن يكون المهاجم في نظامك ، فإن الإجراء المعتاد هو استخدام تقنيات تصعيد الامتيازات ، حيث يحاول المهاجم سرقة بيانات اعتماد مسؤول لديه وصول أكبر / كامل إلى أعلى مستويات المعلومات الهامة.

فريق النمر

في الأيام الأولى لأمن الشبكة ، قام فريق النمر بتنفيذ العديد من الوظائف نفسها التي قام بها الفريق الأحمر. لقد تطور المصطلح على مر السنين الآن في إشارة إلى فرق النمور باعتبارها مجموعة من النخبة ومجموعة متخصصة للغاية تم توظيفها لمواجهة تحدي معين ضد الموقف الأمني للمؤسسة.

أمثلة على تمارين الفريق الأحمر

تستخدم الفرق الحمراء مجموعة متنوعة من الأساليب والأدوات لاستغلال نقاط الضعف ونقاط الضعف في الشبكة. من المهم ملاحظة أن الفرق الحمراء ستستخدم أي وسيلة ضرورية ، وفقًا لشروط المشاركة ، لاقتحام نظامك. اعتمادًا على الثغرة الأمنية ، قد ينشرون برامج ضارة لإصابة المضيفين أو حتى تجاوز ضوابط الأمان المادية عن طريق استنساخ بطاقات الوصول.

تتضمن أمثلة تمارين الفريق الأحمر ما يلي:

 اختبار الاختراق ، المعروف أيضًا باسم القرصنة الأخلاقية ، هو المكان الذي يحاول فيه المختبر الوصول إلى نظام ، وغالبًا ما يستخدم أدوات برمجية. على سبيل المثال ، "John the Ripper" هو برنامج لاختراق كلمات المرور. يمكنه اكتشاف نوع التشفير المستخدم ومحاولة تجاوزه.
 الهندسة الاجتماعية هي المكان الذي يحاول فيه الفريق الأحمر إقناع أو خداع أعضاء فريق العمل للكشف عن أوراق اعتمادهم أو السماح بالوصول إلى منطقة محظورة.
 يستلزم التصيد الاحتيالي إرسال رسائل بريد إلكتروني تبدو أصلية تحث الموظفين على اتخاذ إجراءات معينة ، مثل تسجيل الدخول إلى موقع الويب الخاص بالمخترق وإدخال بيانات الاعتماد.
 يمكن استخدام اعتراض أدوات برامج الاتصال مثل متشمم الحزم ومحللات البروتوكول لتعيين شبكة ، أو قراءة الرسائل المرسلة بنص واضح. الغرض من هذه الأدوات هو الحصول على معلومات عن النظام. على سبيل المثال ، إذا علم المهاجم أن خادمًا ما يعمل على نظام تشغيل Microsoft ، فسوف يركزون هجماتهم على استغلال ثغرات Microsoft.
 استنساخ البطاقة لبطاقة أمن الموظف لمنح الوصول إلى مناطق غير مقيدة ، مثل غرفة الخادم.

ما هو الفريق الأزرق؟

يتكون الفريق الأزرق من متخصصين أمنيين لديهم رؤية داخلية خارجية للمؤسسة. مهمتهم هي حماية الأصول الحيوية للمنظمة ضد أي نوع من التهديد.

إنهم على دراية جيدة بأهداف العمل واستراتيجية أمان المنظمة. لذلك ، تتمثل مهمتهم في تقوية جدران القلعة حتى لا يتمكن أي دخيل من اختراق الدفاعات.

كيف يعمل الفريق الأزرق؟

يقوم الفريق الأزرق أولاً بجمع البيانات وتوثيق ما يجب حمايته بالضبط وإجراء تقييم للمخاطر. ثم يقومون بتشديد الوصول إلى النظام بعدة طرق ، بما في ذلك تقديم سياسات كلمات مرور أقوى وتثقيف الموظفين للتأكد من أنهم يفهمون الإجراءات الأمنية ويتوافقون معها.

غالبًا ما يتم وضع أدوات المراقبة ، مما يسمح بتسجيل المعلومات المتعلقة بالوصول إلى الأنظمة والتحقق منها بحثًا عن نشاط غير عادي. ستقوم الفرق الزرقاء بإجراء فحوصات منتظمة على النظام ، على سبيل المثال ، عمليات تدقيق DNS ، ومسح ثغرات الشبكة الداخلية أو الخارجية والتقاط عينة من حركة مرور الشبكة لتحليلها.

يتعين على الفرق الزرقاء وضع تدابير أمنية حول الأصول الرئيسية للمؤسسة. يبدأون خطتهم الدفاعية من خلال تحديد الأصول الحيوية ، وتوثيق أهمية هذه الأصول بالنسبة للأعمال والتأثير الذي سيحدثه غياب هذه الأصول.

تقوم الفرق الزرقاء بعد ذلك بإجراء تقييمات للمخاطر من خلال تحديد التهديدات ضد كل أصل ونقاط الضعف التي يمكن أن تستغلها هذه التهديدات. من خلال تقييم المخاطر وتحديد أولوياتها ، يطور الفريق الأزرق خطة عمل لتنفيذ الضوابط التي يمكن أن تقلل من تأثير أو احتمالية التهديدات التي تتحقق ضد الأصول.

تعد مشاركة الإدارة العليا أمرًا بالغ الأهمية في هذه المرحلة حيث يمكنهم فقط أن يقرروا قبول المخاطر أو تنفيذ ضوابط التخفيف ضدها. غالبًا ما يعتمد اختيار عناصر التحكم على تحليل التكلفة والعائد لضمان توفير الضوابط الأمنية أقصى قيمة للأعمال.

على سبيل المثال ، قد يحدد الفريق الأزرق أن شبكة الشركة معرضة لهجوم DDoS (رفض الخدمة الموزع). يقلل هذا الهجوم من توفر الشبكة للمستخدمين الشرعيين عن طريق إرسال طلبات مرور غير مكتملة إلى الخادم. يتطلب كل من هذه الطلبات موارد لتنفيذ إجراء ما ، وهذا هو السبب في أن الهجوم يعطل الشبكة بشدة.

ثم يقوم الفريق بحساب الخسارة في حالة حدوث التهديد. استنادًا إلى تحليل التكلفة والعائد والمواءمة مع أهداف العمل ، قد يفكر الفريق الأزرق في تثبيت نظام للكشف عن التسلل والوقاية منه لتقليل مخاطر هجمات DDoS.

أمثلة على تمارين الفريق الأزرق

تستخدم الفرق الزرقاء مجموعة متنوعة من الأساليب والأدوات كإجراءات مضادة لحماية الشبكة من الهجمات الإلكترونية. اعتمادًا على الموقف ، قد يقرر الفريق الأزرق أنه يلزم تثبيت جدران حماية إضافية لمنع الوصول إلى شبكة داخلية. أو ، تعتبر مخاطر هجمات الهندسة الاجتماعية بالغة الأهمية بحيث تضمن تكلفة تنفيذ تدريب التوعية الأمنية على مستوى الشركة.

تتضمن أمثلة تمارين الفريق الأزرق ما يلي:

 إجراء عمليات تدقيق DNS (خادم اسم المجال) لمنع هجمات التصيد الاحتيالي ، وتجنب مشكلات DNS التي لا معنى لها ، وتجنب التوقف عن عمليات حذف سجل DNS ، ومنع / تقليل هجمات DNS والويب.
 إجراء تحليل البصمة الرقمية لتتبع نشاط المستخدمين وتحديد أي توقيعات معروفة قد تشير إلى خرق للأمن.
 تثبيت برنامج أمان نقطة النهاية على الأجهزة الخارجية مثل أجهزة الكمبيوتر المحمولة والهواتف الذكية.
 ضمان تكوين عناصر التحكم في الوصول إلى جدار الحماية بشكل صحيح وتحديث برامج مكافحة الفيروسات
 نشر برامج IDS و IPS كأداة مراقبة أمنية وقائية.
 تنفيذ حلول SIEM لتسجيل نشاط الشبكة واستيعابه.
 تحليل السجلات والذاكرة لالتقاط نشاط غير عادي على النظام ، وتحديد الهجوم وتحديده.
 فصل الشبكات والتأكد من تكوينها بشكل صحيح.
 إجراء فحوصات روتينية لنقاط الضعف.
 تأمين الأنظمة باستخدام برامج مكافحة الفيروسات أو البرامج الضارة.
 تضمين الأمن في العمليات.

كيف تساعد تمارين الفريق الأحمر والأزرق منظمة؟

يسمح تنفيذ استراتيجية الفريق باللونين الأحمر والأزرق للمؤسسة بالاستفادة من نهجين ومهارات مختلفة تمامًا. كما أنه يجلب قدرًا معينًا من القدرة التنافسية في المهمة ، مما يشجع الأداء العالي من جانب كلا الفريقين.

يعتبر الفريق الأحمر ذا قيمة من حيث أنه يحدد الثغرات الأمنية ، ولكن يمكنه فقط تسليط الضوء على الحالة الحالية للنظام.

فوائد الفرق الحمراء:

 تحديد نقاط الضعف: يمكن للفرق الحمراء مساعدة المؤسسات على تحديد نقاط الضعف في أنظمتها وشبكاتها. من خلال تسليط الضوء على نقاط الضعف هذه في دفاعات المنظمة والفريق الأحمر يمكن أن يساعد المؤسسات على اتخاذ تدابير استباقية لمعالجتها.
 اختبار القدرات الدفاعية والاستجابة: من خلال محاكاة سيناريو هجوم حقيقي ، يمكن للمؤسسات تقييم قدراتها على الاستجابة وتحديد المجالات التي تحتاج إلى تحسين. يمكن بعد ذلك تطبيق ضوابط التعويض للتأكد من أن هذه الأنواع من الهجمات لا يمكن أن تعرض المنظمة للخطر.
 تعزيز ثقافة الأمن السيبراني: تساعد تمارين الفريق الأحمر أيضًا على تعزيز ثقافة الأمن السيبراني داخل المنظمة. من خلال إظهار للموظفين كيفية حدوث الهجمات والتأثير الذي يمكن أن تحدثه ، يمكن للمؤسسات تحسين وعي موظفيها بمخاطر الأمن السيبراني.

من ناحية أخرى ، يعد الفريق الأزرق ذا قيمة لأنه يوفر حماية طويلة المدى من خلال ضمان بقاء الدفاعات قوية ، ومن خلال المراقبة المستمرة للنظام.

مزايا الفرق الزرقاء:

 تحسين جاهزية الأمن السيبراني: يمكن للفرق الزرقاء مساعدة المؤسسات على تحديد الثغرات في دفاعات الأمن السيبراني الخاصة بهم. من خلال ممارسة سيناريوهات الاستجابة في بيئة خاضعة للرقابة ، يمكن للمنظمات تطوير خطط الاستجابة للحوادث والتأكد من أن لديها الأدوات والعمليات المناسبة للتخفيف من الهجمات الإلكترونية أو ردعها.
 تعزيز التعاون والتواصل: يمكن أن تعزز تمارين الفريق الأزرق التعاون والتواصل بين الفرق المختلفة داخل المؤسسة ، مثل وحدات تكنولوجيا المعلومات ، والأمن ، والأعمال. يمكن للفرق أن تفهم أدوار ومسؤوليات بعضها البعض بشكل أفضل بهدف تحسين قدرتها على العمل معًا في حالة وقوع هجوم حقيقي.
 تدريب الموظفين: تساعد الفرق الزرقاء أيضًا المنظمات في تدريب موظفيها على أفضل ممارسات الأمن السيبراني. الهدف هو مساعدة الفرق على تطوير المهارات والمعرفة التي يحتاجونها للاستجابة للحوادث السيبرانية. نتيجة لذلك ، يكتسب الموظفون خبرة عملية في تحديد التهديدات السيبرانية والاستجابة لها.

في حين أن هناك بعض التداخل في كلا الفريقين وفوائدهما ، فإن الميزة الرئيسية هي التحسين المستمر في الوضع الأمني للمؤسسة من خلال إيجاد الثغرات ثم سد تلك الثغرات بالضوابط المناسبة.

كيف يعمل الفريق الأحمر والأزرق معًا؟

التواصل بين الفريقين هو أهم عامل في نجاح تمارين الفريق الأحمر والأزرق.

يجب أن يظل الفريق الأزرق على اطلاع دائم على التقنيات الجديدة لتحسين الأمان ويجب أن يشارك هذه النتائج مع الفريق الأحمر. وبالمثل ، يجب أن يكون الفريق الأحمر دائمًا على دراية بالتهديدات الجديدة وتقنيات الاختراق التي يستخدمها المتسللون وتقديم المشورة للفريق الأزرق بشأن تقنيات الوقاية.

اعتمادًا على هدف اختبارك سيعتمد على ما إذا كان الفريق الأحمر سيبلغ الفريق الأزرق بالاختبار المخطط أم لا. على سبيل المثال ، إذا كان الهدف هو محاكاة سيناريو استجابة حقيقية لتهديد "مشروع" ، فلن ترغب في إخبار الفريق الأزرق عن الاختبار.

التحذير هو أن شخصًا ما في الإدارة يجب أن يكون على دراية بالاختبار ، وعادة ما يكون قائد الفريق الأزرق. هذا يضمن استمرار اختبار سيناريو الاستجابة ، ولكن مع تحكم أكثر إحكامًا عند / إذا تم تصعيد الموقف.

عند اكتمال الاختبار ، يقوم كلا الفريقين بجمع المعلومات والإبلاغ عن النتائج التي توصلوا إليها. ينصح الفريق الأحمر الفريق الأزرق إذا تمكنوا من اختراق الدفاعات ، وتقديم المشورة حول كيفية منع محاولات مماثلة في سيناريو حقيقي. وبالمثل ، يجب على الفريق الأزرق إبلاغ الفريق الأحمر بما إذا كانت إجراءات المراقبة الخاصة بهم قد التقطت محاولة هجوم أم لا.

يجب أن يعمل كلا الفريقين معًا لتخطيط وتطوير وتنفيذ ضوابط أمان أقوى حسب الحاجة.

ما هو الفريق البنفسجي؟

في حين أن الفرق الحمراء والزرقاء تشترك في أهداف مشتركة ، إلا أنها غالبًا ما تكون غير متوائمة سياسيًا. على سبيل المثال ، يتم الإشادة بالفرق الحمراء التي تبلغ عن نقاط الضعف لعملها الجيد. لذلك ، لم يتم تحفيزهم لمساعدة الفريق الأزرق على تعزيز أمنهم من خلال مشاركة المعلومات حول كيفية تجاوزهم لأمنهم.

لا فائدة أيضًا من "الفوز" باختبارات الفريق الأحمر إذا كنت لا تشارك هذه المعلومات مع الفريق الأزرق. تذكر أن الغرض الرئيسي من تمارين الفريق باللونين الأحمر والأزرق هو تقوية الوضع الأمني العام للمؤسسة.

هذا هو المكان الذي يأتي فيه مفهوم الفريق الأرجواني. الفريق الأرجواني ليس بالضرورة فريقًا قائمًا بذاته ، على الرغم من أنه قد يكون كذلك. الهدف من الفريق الأرجواني هو جمع كل من الفريقين الأحمر والأزرق معًا مع تشجيعهم على العمل كفريق واحد لمشاركة الأفكار وإنشاء حلقة ملاحظات قوية.

يجب أن تضمن الإدارة عمل الفريقين الأحمر والأزرق معًا وإطلاع كل منهما على آخر المستجدات. يعد التعاون المعزز بين كلا الفريقين من خلال المشاركة المناسبة للموارد وإعداد التقارير ومشاركة المعرفة أمرًا ضروريًا للتحسين المستمر لبرنامج الأمن السيبراني.