ليس كل المتسللين أخبار سيئة! سيحاول قراصنة الفريق الأحمر الوصول إلى بياناتك ، ولكن لأغراض الإيثار ...
العمل الجماعي الأحمر هو عملية اختبار ومهاجمة واختراق شبكات وتطبيقات وأنظمة الكمبيوتر. أعضاء الفريق الأحمر هم قراصنة أخلاقيون وظفتهم المنظمات لاختبار هيكلهم الأمني. الهدف النهائي للفريق الأحمر هو اكتشاف - وأحيانًا تحفيز - المشكلات ونقاط الضعف في الكمبيوتر واستغلالها.
لماذا يعتبر Red Teaming مهمًا؟
بالنسبة للمؤسسة التي تحتاج إلى حماية البيانات والأنظمة الحساسة ، فإن العمل الجماعي الأحمر يتضمن التوظيف مشغلي الأمن السيبراني لاختبار ومهاجمة واختراق بنيتها الأمنية قبل الخبيثة المتسللين. التكلفة النسبية للحصول على مباريات ودية لمحاكاة هجوم أقل بكثير مما لو كان المهاجمون يفعلون ذلك.
لذلك ، يلعب أعضاء الفريق الأحمر دور المتسللين الخارجيين ؛ فقط نواياهم ليست خبيثة. بدلاً من ذلك ، يستخدم المشغلون حيل وأدوات وتقنيات القرصنة للعثور على نقاط الضعف واستغلالها. كما يقومون بتوثيق العملية ، بحيث يمكن للشركة استخدام الدروس المستفادة لتحسين بنيتها الأمنية الشاملة.
يعد العمل الجماعي باللون الأحمر أمرًا مهمًا لأن الشركات (وحتى الأفراد) الذين لديهم أسرار لا يمكنهم السماح لخصومهم بالحصول على مفاتيح المملكة. على أقل تقدير ، قد يؤدي الخرق إلى خسارة في الإيرادات ، وغرامات من وكالات الامتثال ، وفقدان ثقة العملاء ، وإحراج الجمهور. في أسوأ الأحوال ، يمكن أن يؤدي الخرق العدائي إلى الإفلاس ، والانهيار غير القابل للاسترداد للشركة ، و
تؤثر سرقة الهوية على ملايين العملاء.ما هو مثال على Red Teaming؟
الفريق الأحمر يركز بشكل كبير على السيناريو. على سبيل المثال ، شركة إنتاج موسيقى قد توظف مشغلي الفريق الأحمر لاختبار الضمانات لمنع التسربات. يصمم المشغلون سيناريوهات تتضمن الأشخاص الذين لديهم إمكانية الوصول إلى محركات البيانات التي تحتوي على الملكية الفكرية للفنانين.
قد يكون الهدف في هذا السيناريو هو اختبار الهجمات الأكثر فاعلية في اختراق امتيازات الوصول إلى تلك الملفات. قد يكون الهدف الآخر هو اختبار مدى سهولة تحرك المهاجم بشكل جانبي من نقطة دخول واحدة وتسلل التسجيلات الرئيسية المسروقة.
ما هي أهداف الفريق الأحمر؟
يشرع الفريق الأحمر في البحث عن أكبر عدد ممكن من الثغرات واستغلالها في وقت قصير ، دون أن يتم اكتشافها. في حين أن الأهداف الفعلية في تمرين الأمن السيبراني ستختلف بين المؤسسات ، فإن الفرق الحمراء عمومًا لديها الأهداف التالية:
- نموذج التهديدات في العالم الحقيقي.
- تحديد نقاط الضعف في الشبكة والبرامج.
- تحديد المجالات التي يجب تحسينها.
- قيم فعالية بروتوكولات الأمان.
كيف يعمل Red Teaming؟
يبدأ العمل الجماعي الأحمر عندما تقوم شركة (أو فرد) بتعيين مشغلي الأمن السيبراني لاختبار وتقييم دفاعاتهم. بمجرد التعيين ، تمر الوظيفة بأربع مراحل مشاركة: التخطيط والتنفيذ والتعقيم وإعداد التقارير.
مرحلة التخطيط
في مرحلة التخطيط ، يحدد العميل والفريق الأحمر أهداف ونطاق المشاركة. هذا هو المكان الذي يحددون فيه الأهداف المصرح بها (بالإضافة إلى الأصول المستبعدة من التمرين) ، والبيئة (المادية والرقمية) ، ومدة المشاركة ، والتكاليف ، واللوجستيات الأخرى. يضع كلا الجانبين أيضًا قواعد الاشتباك التي ستوجه التمرين.
مرحلة التنفيذ
مرحلة التنفيذ حيث يستخدم مشغلو الفريق الأحمر كل ما في وسعهم للعثور على الثغرات الأمنية واستغلالها. يجب عليهم القيام بذلك في الخفاء وتجنب الوقوع في فخ الإجراءات المضادة أو البروتوكولات الأمنية الحالية لأهدافهم. يستخدم أعضاء الفريق الأحمر تكتيكات مختلفة في مصفوفة التكتيكات والتقنيات والمعرفة المشتركة (ATT & CK).
مصفوفة ATT & CK يتضمن الأطر التي يستخدمها المهاجمون للوصول والاستمرار والتنقل عبر بنى الأمان أيضًا مثل كيفية جمع البيانات والحفاظ على الاتصال بالبنية المعرضة للخطر بعد هجوم.
بعض التقنيات التي قد يستخدمونها تشمل الهجمات المحجوزة، الهندسة الاجتماعية ، التصيد الاحتيالي ، استنشاق الشبكة ، إغراق بيانات الاعتماد ، ومسح المنافذ.
مرحلة التعقيم
هذه هي فترة التنظيف. هنا ، يقوم مشغلو الفريق الأحمر بربط أطرافهم السائبة ومحو آثار هجومهم. على سبيل المثال ، قد يؤدي الوصول إلى أدلة معينة إلى ترك سجلات وبيانات وصفية. هدف الفريق الأحمر في مرحلة التطهير هو مسح هذه السجلات وفرك البيانات الوصفية.
بالإضافة إلى ذلك ، يقومون أيضًا بعكس التغييرات التي أجروها على بنية الأمان أثناء مرحلة التنفيذ. يتضمن ذلك إعادة تعيين عناصر التحكم في الأمان ، وإلغاء امتيازات الوصول ، وإغلاق الممرات الجانبية أو الأبواب الخلفية ، وإزالة البرامج الضارة ، واستعادة التغييرات على الملفات أو البرامج النصية.
غالبًا ما يقلد الفن الحياة. يعد التعقيم مهمًا لأن مشغلي الفريق الأحمر يريدون تجنب تمهيد الطريق للمتسللين الضارين قبل أن يتمكن فريق الدفاع من تصحيح الأمور.
مرحلة تقديم التقارير
في هذه المرحلة ، يعد الفريق الأحمر وثيقة تصف تصرفاتهم ونتائجهم. يتضمن التقرير كذلك ملاحظات ونتائج تجريبية وتوصيات لإصلاح نقاط الضعف. قد يحتوي أيضًا على توجيهات لتأمين البنية والبروتوكولات المستغلة.
عادةً ما يتبع تنسيق تقارير الفريق الأحمر نموذجًا. تحدد معظم التقارير الأهداف والنطاق وقواعد الاشتباك ؛ سجلات الإجراءات والنتائج ؛ النتائج. الشروط التي جعلت هذه النتائج ممكنة ؛ ومخطط الهجوم. عادة ما يكون هناك قسم لتصنيف المخاطر الأمنية للأهداف المصرح بها والأصول الأمنية أيضًا.
ماذا بعد الفريق الأحمر؟
غالبًا ما تقوم الشركات بتوظيف فرق حمراء لاختبار أنظمة الأمان ضمن نطاق أو سيناريو محدد. بعد مشاركة الفريق الأحمر ، يستخدم فريق الدفاع (أي الفريق الأزرق) الدروس المستفادة لتحسين قدراتهم الأمنية ضد التهديدات المعروفة وتهديدات اليوم الصفري. لكن المهاجمين لا ينتظرون. نظرًا للحالة المتغيرة للأمن السيبراني والتهديدات سريعة التطور ، فإن عمل اختبار وتحسين بنية الأمان لم ينته أبدًا.