اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

مقایسه وظایف تیم‌های قرمز و آبی در تامین امنیت سایبری

وظایف تیم‌های قرمز و آبی

یکی از بهترین راه‌های اطمینان از وضعیت امنیتی یک سازمان، اجرای حملات مشابه و شبیه‌سازی شده است. اصول طراحی آن‌ها مانند تست نفوذ (حملات مشابه دستی) و اسکن کردن آسیب‌پذیری‌ها (حملات مشابه خودکار) است. وظایف تیم‌های قرمز و آبی در تامین امنیت متفاوت و در عین حال مکمل یکدیگر است. زمانی که تست‌های نفوذ و اسکن‌های آسیب‌پذیری‌ به صورت منظم انجام شدند، نوع خاصی از یک فعالیت استراتژیک و تهاجمی صورت می‌گیرد که در حفظ امنیت بسیار موثر است.

وظایف تیم‌های قرمز و آبی در ساختارهای امنیتی

در ساختارهای امنیتی، تیم قرمز، تیم آموزش دیده‌ای از متخصصان امنیت خارج از سازمان است که تنها قصد آن‌ها یافتن آسیب‌پذیری‌های امنیتی سازمان و مشخص کردن نقاطی است که در آنها ضعف امنیتی وجود دارد. تیم آبی یک تیم آموزش دیده امنیتی درون سازمانی است. هدف از ایجاد این تیم امنیتی، پاسخگویی در لحظه به حمله است، تا جلوی نفوذ تیم قرمز را بگیرند.

برخی از عملیات‌های امنیتی شامل یک تیم بنفش نیز هستند که بیشتر یک مفهوم است تا یک تیم. تنها هدف تیم بنفش یادگیری از تیم قرمز و انتقال دانش به تیم آبی است.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


وظایف تیم‌های قرمز و آبی تنها محدود به اصلاحات در زمینه امنیت سایبری نیست و اصطلاحات نظامی نیز محسوب می‌شوند. تمرینات تیم آبی در مقابل تیم قرمز در شرایط متفاوت و به روش‌های مختلف اجرا می‌شوند. به عنوان مثال، در امنیت ملی می‌توان یک تیم قرمز داشت که قصد پخش کردن اطلاعات غلط را دارد و یک تیم آبی داشت که قصد دارد این اطلاعات را از بین ببرد و غلط بودن آنها را فاش کند.

در برخی موارد، تیم قرمز می‌تواند یک تیم تحلیل‌گر امنیتی از داخل باشد که مسولیت‌ آن‌ها به خارج از سازمان محول شده تا حملات را اجرا کنند. با این‌حال، ترجیح با تیم امنیت خارج از سازمان است زیرا حملات جدی تری انجام می‌دهد.

تفاوت تست نفوذ و فعالیت تیم قرمز در امنیت سایبری

در دنیای امنیت سایبری، تفاوت میان تست نفوذ و فعالیت‌های تیم قرمز این است که برای انجام تست نفوذ بازه زمانی محدود در نظر گرفته می‌شود اما تیم قرمز روندی مداوم برای ارزیابی امنیت سازمان دارد. تمرینات تیم قرمز ممکن است برای ماه‌ها به طول بیانجامد، زیرا چنین رویکردی حمله‌های واقعی را بهتر شبیه‌سازی می‌کند.

همچنین فعالیت‌های تیم قرمز تنها محدود به استفاده از ابزارهای تست نفوذ نیست. تمرکز آنها بطور مداوم بر یافتن ایده‌های جدیدی است که به واسطه آنها بتوان به داده‌های حساس هدف دست‌ یافت. از آنجایی که تیم قرمز حوزه محدودی ندارد، برای مثال، تنها به امنیت وب محدود نیست، تکنیک‌های مهندسی اجتماعی، فیشینگ و بسیاری از تکنیک‌های دیگر حمله را استفاده می‌کند.

مطلب مرتبط: پنج مهارت اصلی تیم‌های قرمز و آبی در ایجاد امنیت سایبری

اعضای مناسب برای تیم‌های قرمز و آبی

تیم قرمز ملزم به استفاده از روش‌های هکر‌های کلاه سفید نیست و از آنجایی که هدف، نفوذ به سازمان است هیچ مانعی وجود ندارد. تیم قرمز شاید شامل کسی باشد که مهارت او در دریافت اطلاعات از طریق تلفن همراه باشد و برای این کار وانمود می‌کند که شخص دیگری است، یا حتی کسی که در ایجاد نقض امنیت فیزیکی ماهر است، مثلا یک USB مخرب تحویل می‌دهد. بهترین اعضای تیم قرمز افرادی هستند که بسیار کنجکاو، صبور و خلاق هستند.

تیم آبی نیز محدود به کارمندان دپارتمان امنیتی نیست. اکثر اوقات اعضای تیم آبی که از سایر دپارتمان‌ها هستند بسیار مفید واقع می‌شوند نه بخاطر مهارت‌هایشان، بلکه به دلیل ویژگی‌های شخصیتی آنها. کسی که بسیار کنجکاو است و حتی کوچک‌ترین تغییرات را به‌سرعت تشخیص می‌دهد، شخص با ارزشی برای تیم آبی خواهد بود.

بیشتر بخوانید: اهمیت تست نفوذ یا Pen Test و تفاوت آن با اسکن آسیب‌پذیری‌ها

نقش اسکن آسیبپذیریها در وظایف تیمهای قرمز و آبی

یک اسکنر نقاط آسیب‌پذیر از ابزارهایی است که هردو تیم از آن به عنوان بخشی از فعالیت‌های عادی خود استفاده می‌کنند. تیم آبی ممکن است از یک اسکنر نقاط آسیب‌پذیر استفاده کند تا بطور مداوم هرگونه تهدیدات وب را شناسایی کند. البته اگر سازمان از دستور العمل‌های Hardening امنیتی پیروی کرده و از اسکنر به عنوان بخشی از DevSecOps استفاده کند، نگرانی‌های تیم آبی کم‌تر خواهد شد. با این‌ حال، آسیب‌پذیری‌های جدید همیشه در برنامه‌های کاربردی شخص ثالث، در صورتی‌که شرکت از چنین برنامه‌هایی مانند WordPress استفاده کند، شناسایی می‌شوند. یک اسکنر تجاری همچنین ضعف‌های دیگر سیستم امنیتی را شناسایی می‌کند، مانند رمزهای عبور رایج که ممکن است در هر زمانی باب شوند و توسط اسکن‌های SDLC برداشته نخواهند شد.

تیم قرمز همچنین ممکن است از یک اسکنر به صورت تک منظوره و همیشگی استفاده کند. اول از همه اینکه تهدیدات جدید در حین بررسی‌ها و تست‌ها بطور پیاپی آشکار می‌شوند. نکته دوم، هدف ممکن است در زیرساخت امنیتی خود نقاط آسیب‌پذیری مانند پیکربندی‌های اشتباه را نشان دهد. بنابراین، استفاده از یک اسکنر حرفه‌ای مانند Acunetix، که به لطف یکپارچه شدن آن با OpenVAS، از هوش تهدیدات نیز برای تست نفوذ به وب و شبکه استفاده می‌کند. ابزار Acunetix در طی این مبارزه استراتژیک میان تیم قرمز و تیم آبی ایده خوبی است.

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK