اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

تفاوتهای اصلی بین دو تیم امنیت سایبری قرمز و آبی

تفاوت دو تیم امنیتی سایبری قرمز و آبی

زمانی که بحث تیم امنیت سایبری به میان می‌آید مفاهیم «تیم قرمز» و «تیم آبی» نیز مطرح می‌شوند. از آنجا که این امر با مباحث نظامی مرتبط است، این مفاهیم برای تعریف تیم‌هایی به کار می‌رود که از مهارت خود در تقلید از تکنیک‌های هجومی و محتمل «دشمنان» استفاده می‌کنند و تیم‌های دیگری که مهارت خود را صرف دفاع می‌کنند. پس در امنیت سایبری نیز چنین گروه‌هایی وجود دارند.

با تنظیم سیاست‌های جدید که شامل اجرای آیین‌نامه‌ی GDPR و قوانین مجازات مالی آن‌ها هستند، سازمان‌ها هنگامی که با خطر جدی نقض ایمنی داده‌ها مواجه می‌شوند، برای تقویت زیرساخت‌های امنیتی تلاش بیشتری می‌کنند.

در مقاله‌های دیگر درباره‌ White Hatها و نقش آن‌ها در امنیت سایبری صحبت شد و در این اینجا به مقایسه‌ تیم‌های آبی و قرمز، اهمیت آن‌ها و دلیل اینکه هر شرکت باید از توانایی‌های این متخصصین ماهر استفاده کند، پرداخته خواهد شد.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

ویژگی های Red Team یا تیم قرمز چیست؟

تیم‌های قرمز بر تست نفوذ سیستم‌های مختلف و سطح امنیت برنامه‌ها و تجهیزات آن‌ها تمرکز دارند و به منظور شناسایی، جلوگیری و کاهش نقاط آسیب‌پذیر فعالیت می‌کنند.

تیم قرمز از حملات واقعی و غیر شبیه‌سازی‌شده که ممکن است یک شرکت یا سازمان را مورد هدف قرار دهد، تقلید کرده و تمامی اقدامات لازم را که مهاجمان ممکن بود انجام دهند، اجرا می‌کنند. با فرض نقش یک مهاجم، به سازمان‌ها نشان می‌دهند که چه چیزهایی ممکن است راه مخفی دسترسی (Backdoor) و یا نقاط آسیب‌پذیر قابل سوءاستفاده باشند که برای امنیت سایبری آن‌ها تهدیدآمیز است.

مطلب مرتبط: پنج مهارت اصلی تیم‌های قرمز و آبی در ایجاد امنیت سایبری

یکی از اقدامات رایج، استخدام فردی خارج از سازمان برای انجام کارهای تیم قرمز است، فردی که دانش استفاده از نقاط آسیب‌پذیر را داشته باشد اما از عملکرد دفاعی زیرساخت سازمان ناآگاه باشد.

تیم قرمز از تکنیک‌هایی مانند Phishing معمولی که کارمندان را توسط مهندسی اجتماعی هدف قرار می‌دهد تا جعل هویت کارمندان به منظور کسب دسترسی ادمین، استفاده می‌کند. تیم‌های قرمز برای موثر واقع شدن باید تمامی تاکتیک‌ها، تکنیک‌ها و دستورالعمل‌های احتمالی مهاجمان را بدانند.

تیم‌های قرمز مزایای مهمی ارائه می‌دهند که شامل فهم بهتر راه‌های آسیب‌پذیری نسبت به داده‌ها و جلوگیری از نقض‌های ایمنی در آینده می‌شود. با شبیه‌سازی حمله‌های سایبری و تهدیدات امنیت شبکه، شرکت‌ها اطمینان حاصل می‌کنند که امنیت آن‌ها مطابق با استاندارد‌های مناسب در شرایط حمله است.

ویژگی های Blue Team یا تیم آبی چیست؟

تیم آبی نیز همانند تیم قرمز امنیت شبکه را ارزیابی کرده و نقاط آسیب‌پذیر شبکه را شناسایی می‌کند.

اما آنچه که تیم آبی را متمایز می‌کند این است که وقتی یک تیم قرمز از یک مهاجم تقلید کرده و با تکنیک‌ها و تاکتیک‌های مشخص حمله می‌کند، یک تیم آبی برای کشف راه‌های دفاعی در آنجا وجود دارد و مکانیسم‌های دفاعی را تغییر و مجددا گروه‌بندی می‌کند تا پاسخ مناسب به رویداد پیش‌آمده امنیتی را قوی‌تر نماید.

بیشتر بخوانید: اهمیت تست نفوذ (Pen Test) در برابر اسکن آسیب‌پذیری‌ها

همانند تیم قرمز، تیم آبی نیز باید از تاکتیک‌ها، تکنیک‌ها و دستور العمل‌های مخرب آگاه باشد تا راهبردهای پاسخگویی را پیرامون آن‌ها ایجاد کند. اما فعالیت‌های تیم آبی منحصر به حملات نیست. آن‌ها بطور مداوم درگیر تقویت تمام زیرساخت امنیت دیجیتال با استفاده از نرم‌افزاری مانند IDS (سیستم شناسایی نفوذ) هستند که تحلیل فعالیت‌های مشکوک و غیرعادی را فراهم می‌کند.

برخی اقداماتی که یک تیم آبی انجام می‌دهند عبارت است از:

  • Auditهای امنیتی مانند DNS
  • تحلیل حافظه و Log
  • استفاده از Pcap
  • تحلیل ریسک‌پذیری داده‌ها توسط هوش مصنوعی
  • تحلیل ظرفیت اشغال‌شده‌ی دیجیتالی
  • مهندسی معکوس
  • تست DDoS
  • سناریوهای ریسک‌های روبه گسترش

کدام تیم امنیت سایبری مناسب‌تر است؟

در تویتر یک نظر سنجی انجام شد. از دنبال‌کنندگان پرسیده شد که کدام یک از موارد، از نظر آن‌ها مهم‌تر است، تیم آبی یا قرمز؟ و کدام تیم امنیت سایبری بیشتر مورد نیاز شرکت‌ها بوده است؟ پاسخ‌ها به سرعت جمع‌آوری شد. آن‌ها در ابتدا مردد بودند.  با وجود اینکه رقابت بسیار نزدیک بود، در نهایت تیم قرمز برنده شد.

بیشتر بخوانید: حفاظت از کسب‌و‌کار با امنیت سایبری مبتنی بر هوش مصنوعی

با توجه به جامعه آماری دنبال‌کنندگان و ماهیت حرفه‌ی آن‌ها، قابل درک است که چرا مردم تیم قرمز را انتخاب کردند. همواره بین تیم‌های قرمز و آبی خصومتی وجود داشته است، بنابراین پرسش از گروه‌های مختلفی از مردم جواب‌های متفاوتی درپی داشت. واقعیت این است که بدون تیم آبی هیچ تیم قرمزی وجود نخواهد داشت و برعکس و در نتیجه پاسخ واقعی به این سوال این است: هردو.

تیم قرمز از تاکتیک‌های حمله خود استفاده می‌کند تا انتظارات و آمادگی دفاعی تیم آبی را بیازماید. گاهی ممکن است تیم قرمز نقاطی را پیدا کند که تیم آبی آن‌ها را نادیده گرفته باشد و این وظیفه‌ی تیم قرمز است که نشان دهد چطور این موارد امکان بهبود دارند. اینکه تیم قرمز و آبی با هم درمقابل مجرمین سایبری همکاری کنند، مهم است و بدین ترتیب امنیت سایبری امکان پیشرفت دارد.

چنین حرفی که تیم قرمز از تیم آبی بهتر است وجود ندارد و هیچ مزیتی برای انتخاب و سرمایه‌گذاری روی تنها یکی از آن‌ها نیست. نکته‌ی مهم یادآوری این است که هدف هردو جلوگیری از حملات سایبری است. ایده‌ی دیگر که حاصل تجمیع تیم آبی و قرمز است، ایجاد گروه بنفش می‌باشد. ایجاد تیم بنفش مفهومی است که حقیقتا به معنی وجود تیمی جدید نیست، بلکه تنها ترکیبی از تیم قرمز و آبی است و هردو تیم را درگیر می‌کند تا باهم کار کنند.

شرکت‌ها نیاز به همکاری دوجانبه‌ی هردو گروه دارند تا با Logهای ایجاد شده در هر تست و رکوردهای مشخصات مربوطه، بازرسی کاملی از هردوجهت انجام دهند. تیم قرمز اطلاعاتی را ارسال می‌کند که مربوط به حملات اجراشده‌ی آن‌هاست و تیم آبی مستندات اقدامات انجام‌شده جهت رفع نقص‌ها و رسیدگی به مشکلات و نقاط آسیب‌پذیر کشف‌شده را ارسال می‌کند.

مطالب بیشتر: تیم‌های امنیت سایبری قرمز، آبی و بنفش چه هستند و چه تفاوت‌هایی دارند

هردو تیم آبی و قرمز ضروری هستند. بدون حسابرسی امنیتی مداوم آن‌ها و پیاده‌سازی تست نفوذ و توسعه‌ی زیرساخت امنیتی، شرکت‌ها و سازمان‌ها از امنیت خود آگاهی نخواهند داشت. البته از آسیب‌پذیری‌ها و نفوذ‌های اتفاق افتاده گذشته نیز آگاه نخواهند شد و به صورت یک فاجعه آشکار می‌شود که معیارها و اقدامات امنیتی آن سازمان کافی نبوده است.

مقاله های مرتبط: