ما هو Red Teaming في الأمن السيبراني؟ الدليل الكامل
إن العمل ضمن الفريق الأحمر هو ممارسة مطالبة مجموعة موثوق بها من الأفراد بشن هجوم على برنامجك أو مؤسستك حتى تتمكن من اختبار كيف ستصمد دفاعاتك في المواقف الواقعية. من المحتمل أن تكون أي مؤسسة تعتمد على البرامج...
إن العمل ضمن الفريق الأحمر هو ممارسة مطالبة مجموعة موثوق بها من الأفراد بشن هجوم على برنامجك أو مؤسستك حتى تتمكن من اختبار كيف ستصمد دفاعاتك في المواقف الواقعية. من المحتمل أن تكون أي مؤسسة تعتمد على البرامج - بما في ذلك البنوك أو مقدمي الرعاية الصحية أو المؤسسات الحكومية أو شركات الخدمات اللوجستية - عرضة للهجمات الإلكترونية ، مثل برامج الفدية أو تسلل البيانات.
بالنسبة لموفري البرامج ، يعد العمل الجماعي الأحمر طريقة فعالة لاختبار أمان منتجك أو خدمتك وحماية المستخدمين من الهجمات التي يتم إجراؤها عبر برنامجك في المستقبل. يمكن أن يكون الفريق الأحمر إما فريقًا داخليًا أو مجموعة تابعة لجهة خارجية من المتسللين الأخلاقيين المعينين صراحةً للمهمة.
الفريق الأحمر مقابل الفريق الأزرق
نشأ مصطلح "الفريق الأحمر" من الممارسة العسكرية لاستخدام الألعاب الحربية لتحدي الخطط التشغيلية من خلال اختبار كيفية أداء الدفاعات ضد خصم ذكي. يشير "الفريق الأحمر" إلى المجموعة التي تلعب دور العدو ، وتتمثل مهمتها في تجاوز دفاعات "الفريق الأزرق" ، الذي يمثل الوطن.
في سياق الأمن السيبراني ، الفريق الأحمر هو مجموعة من المتسللين الأخلاقيين المكلفين بشن هجوم. في الوقت نفسه ، يشير الفريق الأزرق إلى محللي الأمن أو فريق العمليات أو مطوري البرامج المسؤولين عن النظام (الأنظمة) المعرض للهجوم. عادةً ما يتم تكليف الفريق الأحمر بهدف معين ، مثل الوصول إلى البيانات الحساسة ، أو تعطيل خدمة ، أو زرع برامج ضارة من شأنها تمكين الهجمات المستقبلية.
المعلومات الوحيدة للفريق الأحمر حول النظام هي ما يمكن أن يستخلصه المهاجم الفعلي. لم يتم إبلاغ الفريق الأزرق مسبقًا بالهجوم ويجب أن يتعامل مع أي نشاط مشبوه باعتباره موقفًا حيًا ومعالجته وفقًا لذلك. يستجيب الفريق الأحمر لأي إجراء دفاعي من خلال تكييف نهجهم والمثابرة حتى يصلوا إلى هدفهم أو يتم توجيههم من قبل الفريق الأزرق.
بمجرد انتهاء الهجوم ، يقوم الفريق الأحمر بالإبلاغ عن أنشطته ، بما في ذلك أي نقاط ضعف وجدوها وأي دفاعات عملت ضدهم. ثم يتم استخدام هذه المعلومات من قبل فريق الأمان و / أو مطوري البرامج لتقوية دفاعاتهم للمستقبل. تعد مشاركة المعلومات من الفريق الأحمر بعد التمرين جزءًا أساسيًا من العملية ، وتحويل الهجوم المحاكي إلى فرصة لتحسين العمليات الأمنية.
في بعض السياقات ، قد تصادف مصطلح "فريق أرجواني" ، في إشارة إلى اندماج الفريقين الأحمر والأزرق. الهدف من إنشاء فريق أرجواني هو التركيز على مشاركة التكتيكات والتقنيات والإجراءات المستخدمة حتى يتمكن موظفو الأمن من التعلم منها. ومع ذلك ، لتشغيل محاكاة فعالة ، من الضروري ألا يكون لدى الفريق الأحمر معرفة من الداخل بأن المهاجم قد يفتقر إليها ، ويتفاعل الفريق الأزرق كما يفعل في سيناريو العالم الحقيقي. وبالمثل ، للحصول على قيمة من تمارين الفريق الأحمر ، من الضروري أن يشارك الفريق الأحمر النتائج التي توصلوا إليها لتحسين الأمان.
الفرق بين فريق الأحمر مقابل اختبار الاختراق
على الرغم من ارتباطه الوثيق بالفريق الأحمر ، إلا أنه يختلف عن اختبار الاختراق (المعروف أيضًا باسم اختبار القلم). بينما تم تصميم كلا النوعين من اختبارات الأمان لتقييم ما إذا كان بإمكان المهاجم تحقيق هدف معين ، فإن نطاقهما مختلف.
باستخدام اختبار الاختراق ، عادةً ما يكون فريق الأمان على دراية بالاختبار قبل إجراؤه. سيعمل مختبرو القلم من خلال تكتيكات متعددة لتحقيق الهدف ، وتسجيل أي ملاحظات على طول الطريق.
يأخذ فريق Red Teaming اختبار الأمان خطوة إلى الأمام. نظرًا لأن دور الفريق الأحمر هو محاكاة المهاجمين الحقيقيين ، يجب ألا يكون الفريق الأمني على دراية بتفاصيل الهجوم أو توقيته. علاوة على ذلك ، سيعمل الفريق الأحمر عن طريق التخفي ، ويسعى إلى تجنب الكشف وتغطية مساراتهم بنفس الطريقة التي يعمل بها مجرم الإنترنت الفعلي.
لجعل الهجوم المحاكي دقيقًا قدر الإمكان ، تذهب الفرق الحمراء إلى أبعد من مجرد اختبار البرامج وقد تستخدم تقنيات الهندسة الاجتماعية وتحاول اختراق الأمن المادي لمتابعة هدفها ، تمامًا كما يفعل المهاجم الفعلي.
ماذا يهاجم الفريق الأحمر؟
سيعتمد هجوم الفريق الأحمر على ما تحاول اختباره - مؤسستك أو برنامجك أو مزيج من الاثنين (كما في حالة موفري البرامج كخدمة). لمحاكاة هجوم إلكتروني حقيقي ، قد يتحدى الفريق الأحمر:
شبكتك - بمحاولة الوصول عبر المنافذ المفتوحة ، أو الأجهزة المخترقة ، أو حسابات المستخدمين غير الآمنة ، على سبيل المثال لا الحصر بضعة خيارات. ينطبق هذا بقدر ما ينطبق على الأنظمة المستضافة على السحابة كما ينطبق على عمليات التثبيت في مكان العمل. بمجرد دخولك إلى شبكتك ، سيحاول الفريق الأحمر الانتقال بشكل جانبي إلى الأنظمة ذات الأهمية ، واستغلال الثغرات الأمنية لرفع امتيازاتهم.
برنامجك - من خلال البحث في برنامجك عن الثغرات الأمنية التي ستمكن العديد من أنواع الهجوم ، من تجاوز المخزن المؤقت إلى حقن SQL ، والبرمجة عبر المواقع ، إلى نائب مرتبك. قد تحاول الفرق الحمراء أيضًا الغموض - وهي تقنية تتضمن إيجاد طرق لتعطل برنامجك ثم تشخيص سبب التعطل لإيجاد طريقة لاستخدام برنامجك لأغراض ضارة ، مثل تنفيذ تعليمات برمجية ضارة أو الوصول إلى البيانات التي يستخدمها المهاجمون لإنشاء ثغرات جديدة في البرامج التي يمكن بيعها بعد ذلك على الويب المظلم ، مما يؤدي إلى العديد من الهجمات المستقبلية على المستخدمين.
أمنك المادي - باستخدام أدوات مثل مستنسخات RFID لتزوير تصاريح الأمان أو التكتيكات الخفية مثل تجاوز النقاط العمياء في كاميرا الأمان أو اختيار الأقفال للوصول إلى منفذ شبكة فعلي أو غرفة خادم.
الأشخاص التابعون لك - باستخدام الهندسة الاجتماعية للوصول إلى المباني المادية الخاصة بك ، أو زرع البرامج الضارة عبر عمليات التصيد الاحتيالي المستهدفة بعناية ، أو استرداد المعلومات حول مؤسستك التي يمكن أن تسهل الهجوم.
في الممارسة العملية ، تتداخل هذه المجالات ، وغالبًا ما يستخدم الفريق الأحمر التكتيكات التي تغطي بعض أو كل هذه المجالات. على سبيل المثال ، على الرغم من أن بروتوكولات الوصول عن بُعد قد تحمي أنظمتك من اختراق الشبكة ، إلا أن أمان المبنى الضعيف جنبًا إلى جنب مع بعض الهندسة الاجتماعية البسيطة قد يسمح لفريقك الأحمر (أو ممثل ضار) بالدخول إلى مكاتبك والحصول على أيديهم على موظف غير مراقب كمبيوتر محمول أو توصيل أجهزتهم الخاصة بمقبس شبكة متاح.
بمجرد الدخول إلى شبكتك ، يمكنهم استخدام تكتيكات تصعيد الامتيازات للوصول إلى الأنظمة المهمة. بعد حصولهم على حق الوصول ، سيوضحون كيف يمكنهم سرقة بيانات قيمة أو زرع برامج ضارة يمكن استخدامها لتشفير ملفاتك والمطالبة بفدية.
متى يجب عليك استخدام الفريق الاحمر؟
في حين أن الفريق الأحمر واختبار القلم هما طريقتان فعالتان لاختبار الدفاعات الإلكترونية لمؤسستك ، إلا أنهما غير مصممين لتزويدك بقائمة شاملة لجميع نقاط الضعف الأمنية الخاصة بك. هذا هو دور تقييم الضعف.
قبل الشروع في اختبار الفريق الأحمر ، من الضروري وضع الأساس لتقييم مفصل للضعف لتحديد أكبر عدد ممكن من العيوب الأمنية وتحديد أولوياتها ومعالجتها. قد تتراوح النتائج من الخوادم غير المصححة وكلمات مرور المسؤول الافتراضية إلى استخدام مكتبات الطرف الثالث المخترقة أو الفشل في تعقيم مدخلات المستخدم.
بعد معالجة جميع المشكلات المعروفة ، حان الوقت لاستخدام تقييم التهديد لتحديد أعلى المخاطر لتركيز الاختبار وفقًا لذلك. يعتمد نوع الهجوم الإلكتروني الذي من المرجح أن تواجهه على مؤسستك ومجال عملك.
إن أدنى مستوى من الهجمات هو تلك التي أطلقها قراصنة انتهازيون فرديون باستخدام مآثر معروفة وأدوات جاهزة لمعرفة ما يمكنهم العثور عليه ، من بيانات اعتماد حساب المستخدم إلى الخوادم التي ينشرون عليها مُعدِّني العملات المشفرة.
تتعرض المؤسسات الأكثر شهرة وتلك التي لديها أصول قيمة لخطر أكبر من المهاجمين المتقدمين الذين سيستثمرون الوقت في استخدام تكتيكات مخادعة لنشر برامج الفدية أو سرقة المعلومات الحساسة أو صياغة عمليات استغلال جديدة لمنتجك أو خدمتك. أخيرًا ، هناك مهاجمون ترعهم دولة قومية ولديهم موارد هائلة تحت تصرفهم لتحديد أهداف استراتيجية.
بمجرد وضع إجراءات الأمان الخاصة بك وتحديد أنواع المخاطر التي من المحتمل أن تواجهها ، يمكنك اختبار دفاعاتك من خلال اختبار القلم للتحقق من وجود نقاط ضعف أكثر تعقيدًا. بعد إصلاح كل ما في وسعك ، حان الوقت لنرى كيف يواجهون هجومًا متواصلًا عبر الفريق الأحمر.
من الناحية المثالية ، يجب أن يكون تكوين الفرق باللون الأحمر نشاطًا مستمرًا يعمل على تقييم وضعك الأمني باستمرار. مع إجراء تغييرات على الأنظمة أو البرامج الخاصة بك ، واكتشاف مآثر جديدة ، يجب عليك الاستمرار في اختبار دفاعاتك ضد تقنيات الهجوم الواقعية.
ما هي فوائد Red Teaming؟
سيقوم الفريق الأحمر الفعال بتكييف تكتيكاتهم استجابةً لدفاعاتك ، بحثًا عن أي فرصة للوصول إلى أنظمتك ، مما يعني أنهم في وضع جيد لإيجاد طرق غير متوقعة.
يمكن للمنظمات التي تستخدم فرق اللون الأحمر بانتظام لتحدي وضعها الأمني استخدام النتائج من تلك التدريبات لتقوية دفاعاتها ، وتحسين قدرتها على اكتشاف الهجمات مبكرًا ، والحد من أي ضرر. من خلال محاكاة جميع جوانب الهجوم المحتمل ، يختبر الفريق الأحمر النظام البيئي ككل بدلاً من مجرد عنصر واحد منه.
يمكن أن تساعد مشاركة نتائج هجوم الفريق الأحمر مع موظفيك - بشكل أساسي حيث شكلت الهندسة الاجتماعية جزءًا من النهج - في تقليل الشعور بالرضا عن الذات وتعزيز ثقافة الأمان. غالبًا ما يكون إظهار تأثير انتهاك غير مهم على ما يبدو أكثر إقناعًا بكثير من فيديو تدريب الشركة.
يوفر العمل الجماعي المستمر باللون الأحمر أيضًا مقاييس في العالم الحقيقي لفريق SOC الخاص بك لقياس أدائهم بمرور الوقت وتقديم أدلة قيمة لإعلام وتبرير الاستثمار في التحسينات الأمنية.
كيف تعمل عملية اختبار أمان الفريق الأحمر؟
نقطة البداية لأنشطة الفريق الأحمر هي تحديد شروط المشاركة. يجب أن يشمل ذلك تفاصيل أي شيء محظور بشكل صريح ، ووصف كيفية منح السلطة لنشاط ما ، والاتفاق على كيفية التعامل مع المعلومات الشخصية والحساسة ، وتفصيل شروط وقف هجوم الفريق الأحمر.
على الرغم من أن فريق الأمن الخاص بك (الفريق الأزرق) يجب أن يكون غير مدرك إلى حد كبير لمشاركة الفريق الأحمر (بما في ذلك التاريخ والوقت المخطط لهما) ، فمن الضروري أن يكون شخص ما في السلطة على دراية بالأنشطة القادمة ويمكنه تقديم الضمانات اللازمة - لكل من سلطات تطبيق القانون و أصحاب المصلحة - أن أفعالهم قد تم التصريح بها. هذا صحيح سواء كان الهجوم ضد مؤسستك أو منتج برمجي - في الحالة الأخيرة ، إذا قمت بالتكامل مع مزودي الطرف الثالث ، فيجب إخطارهم باحتمال حدوث فرق حمراء.
بمجرد الاتفاق على الشروط وتحديد الهدف ، يمكن أن تبدأ عملية الفريق الأحمر. هذا يتضمن:
مرحلة استطلاع لجمع أكبر قدر ممكن من المعلومات حول الهدف. لجعل الهجوم واقعيًا قدر الإمكان ، يجب ألا يستفيد الفريق الأحمر من المعرفة الداخلية التي لن تكون متاحة للمهاجم المحتمل. ومع ذلك ، يمكنهم استخدام أي وسيلة تحت تصرفهم لجمع المعلومات الاستخبارية - من مراجعة محتوى الويب والصحافة وصور الأقمار الصناعية ومنشورات وسائل التواصل الاجتماعي إلى المراقبة السرية أو خداع الموظفين في محادثات بدون حراسة.
مرحلة تخطيط لتحديد أفضل التكتيكات والتقنيات والإجراءات التي يجب استخدامها ، جنبًا إلى جنب مع خطط الطوارئ. في حالة حدوث هجوم على مؤسستك ، قد يشمل ذلك استخدام الهندسة الاجتماعية لجعل الموظف يربط محرك أقراص USB بجهاز متصل بالشبكة أو ببساطة الاقتراب بدرجة كافية لاستخدام شبكة Wi-Fi المكتبية ذات بيانات اعتماد ضعيفة وأذونات واسعة.
مرحلة الهجوم. هذا عندما يضع الفريق الأحمر خطته موضع التنفيذ. اعتمادًا على التكتيكات ، قد يستمر هذا لساعات إلى أيام أو أسابيع. يجب أن يعمل فريق الأمن كالمعتاد.
تنتهي مرحلة الهجوم عندما يحقق الفريق الأحمر هدفه أو يتم اكتشافه وإيقافه. يمكن أن تختلف النقطة التي يكشف فيها الفريق الأحمر عن نفسه من خلال تقديم خطاب التفويض الخاص به أو استدعاء كبار أصحاب المصلحة للتأكيد عليهم. في بعض المواقف ، يكون من المفيد السماح لبعض الاستجابات الأمنية باللعب كما لو كانت هجومًا فعليًا ، لاستخلاص أكبر قدر ممكن من التعلم من الاختبار.
تقرير ومرحلة استعادية لتقديم التغذية الراجعة حول التمرين. يجب أن يتضمن التقرير تفاصيل كاملة عن الهجوم ، بما في ذلك تلك الدفاعات التي نجحت بشكل جيد وتلك التي تم اختراقها ، وما هي الأساليب المستخدمة للتحرك بشكل جانبي و / أو تصعيد الامتيازات ، وأي ضرر إضافي كان يمكن حدوثه خارج الهدف المحدد.
بمجرد اكتمال العملية ، يعود الأمر لفريق الأمان أو مطوري البرامج للبدء في معالجة الثغرات الأمنية وتحديث الإجراءات ، استعدادًا للهجوم التالي.
أدوات الفريق الأحمر الشائعة
إذا كنت جديدًا على فريق Red ، يمكن أن تساعدك الأدوات المختلفة في الحصول على أقصى قيمة من نشاط اختبار الأمان هذا.
يُعد إطار عمل MITER ATT & CK موردًا قيمًا لتسجيل وتحليل مراحل الهجوم. كفريق أحمر ، يمكنك استخدام إطار العمل لتحديد الاستراتيجيات وتوثيق نهجك في إعداد التقارير بعد الحدث. كفريق أزرق ، سيساعدك تحديد التكتيكات والتقنيات والإجراءات المستخدمة في الهجوم في تحديد عوامل التخفيف بشكل أفضل لحماية مؤسستك أو برنامجك في المستقبل.
MITER Caldera هو مشروع مفتوح المصدر من مطوري إطار عمل ATT & CK ، والذي يمكنك استخدامه لأتمتة عناصر كل من هجوم الفريق الأحمر واستجابة الفريق الأزرق.
أخيرًا ، تساعد أدوات مثل Vectr في التخطيط وإعداد التقارير عن أنشطة الفريق الأحمر ، بما في ذلك جمع المقاييس لمساعدتك في قياس أداء دفاعاتك.
خاتمة
يوفر الفريق الأحمر الاختبار الأكثر واقعية لأنظمتك ودفاعات مؤسستك ضد أي هجوم إلكتروني. إذا كانت مؤسستك مسؤولة عن بيانات المستخدم أو تعتمد على أنظمة برمجية للتشغيل اليومي ، فأنت عرضة لهجمات برامج الفدية وتسلل البيانات. إذا كنت تطور برنامجًا ، فإن التحقق من أمان منتجاتك وخدماتك ضروري لحماية المستخدمين من الهجمات التي تستغل نظامك. لتحقيق أقصى استفادة من تكوين الفرق باللون الأحمر ، اجعلها ممارسة مستمرة وتأكد من مشاركة جميع النتائج والعمل وفقًا لها.