اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

معرفی تیم‌های امنیت سایبری قرمز، آبی و بنفش و بررسی تفاوت‌های آنها – قسمت اول

تیم‌های امنیت سایبری

در مبحث Information Security یا امنیت اطلاعات، تعاریف متعددی از هر یک از تیم‌های امنیت سایبری قرمز، آبی و بنفش ارائه شده که باعث ایجاد سردرگمی شده است. در این مطلب تعاریف واضحی برای این سه تیم و مفاهیم مرتبط با آن آورده شده است.

تیم‌های امنیت سایبری  قرمز، آبی و بنفش چه تعریفی دارند

  • تیم‌های قرمز، تیم‌های داخلی یا افرادی هستند که از طریق الگوبرداری از ابزارها و ترفندهای مهاجمان بالقوه، به سنجش میزان تاثیرگذاری یک برنامه امنیتی در معقول‌ترین حالت ممکن می‌پردازند. این عمل شبیه به تست نفوذ است، اما با آن یکسان نیست و در جست‌وجوی یک یا چند هدف است که معمولا به صورت گروهی اجرا می‌شود.
  • منظور از تیم‌های آبی، تیم‌های امنیتی داخلی است که هم در برابر مهاجمان و هم در برابر تیم‌های قرمز، عملکرد دفاعی دارند. در بیشتر سازمان‌ها این تیم‌ها باید از تیم‌های استاندارد امنیتی متمایز شوند، چرا که بیشتر تیم‌های عملیات امنیتی، طوری طراحی نشده‌اند که همیشه گوش به زنگ حمله باشند داشتن دیدگاه  دفاعی و آماده بودن در مقابل حملات، بر عهده یک تیم آبی واقعی است.
  • تیم‌های بنفش، به منظور کسب اطمینان و به حداکثر رساندن تاثیرگذاری تیم‌های قرمز و آبی طراحی شده‌اند. آن‌ها با تلفیق تاکتیک‌های دفاعی و کنترلی تیم آبی در کنار تهدیدات و نقاط آسیب‌پذیر کشف‌شده توسط تیم قرمز یک جریان واحد ایجاد می‌کنند که باعث تقویت هر دوی آن‌ها می‌شود. در حالت ایده‌آل، بنفش اصلا نباید تیم باشد، در عوض باید یک تعامل دائمی بین دو تیم امنیت سایبری قرمز و آبی باشد.

خصوصیات تیم‌های قرمز

معمولا تیم‌های قرمز را با افرادی که تست نفوذ انجام می‌دهند، اشتباه می‌گیرند، اما این دو با وجود داشتن شباهت فراوان در مهارت‌‌ و عملکرد، یکسان نیستند.

این تیم‌ها خصوصیاتی دارند که آن‌ها را از دیگر تیم‌های تهاجمی متمایز می‌سازد. مهم‌ترین این خصوصیات به قرار زیر است:

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


  • الگوبرداری از TTPهایی که مورد استفاده مهاجمان هستند و ممکن است Target با آن‌ها برخورد داشته باشد؛ مانند استفاده از ابزارها، Exploitها، روش‌های Pivoting و اهداف مشابه به عنوان تهدید فرضی مشخص.
  • گروه‌های مبتنی بر تست که برای یک دوره زمانی توسعه‌یافته، مثلا چند هفته یا چند ماه الگوبرداری از همان مهاجم اجرا می‌شود.

اگر یک تیم امنیتی از ابزارهای استاندارد Pentesting استفاده کند، تست  را صرفا برای یک یا دو هفته ادامه داده و درصدد دستیابی به مجموعه استانداردی مانند Pivoting به شبکه داخلی، داده‌ربایی و یا به دست آوردن مدیریت دامین از اهداف آن‌ها باشد، به این کار Penetration Test یا تست نفوذ گفته می‌شود و تیم قرمز در آن دخیل نخواهد بود. آنچه به عنوان مسولیت تیم قرمز محسوب می‌گردد، استفاده از مجموعه‌ای متناسب از TTPها و اهداف طولانی مدت می‌باشد.

برای مشاوره رایگان اجرای تست نفوذ با شماره ۸۸۵۳۹۰۴۴-۰۲۱ تماس بگیرید.

تیم قرمز صرفاسنجش را برای نقاط آسیب‌پذیر انجام  نمی‌دهد، بلکه همچنین با استفاده از TTPهای تهدیدکنندگان محتمل و در دوره‌هایی که به طور مستمر اجرا می‌شوند، سنجش را برای مدت زمان طولانی‌تری انجام می‌دهد.

البته می‌توان گروهی از تیم قرمز ایجاد نمود که از بهترین TTPهای شناخته‌شده و برای تیم قرمز استفاده کند، یعنی تیمی که ترکیبی از ابزارهای Pentesting، تکنیک‌ها و اهداف رایج را مورد استفاده قرار می‌دهد و آن را به عنوان یک مجموعه (مدل‌سازی مهاجم Pentester) اجرا می‌کند، اما این باور وجود دارد که خالص‌ترین شکل گروه تیم قرمز از TTPهای یک تهدیدکننده به خصوص الگوبرداری می‌کند که این حالت لزوما با وضعیتی که تیم قرمز خود را مورد حمله قرار می‌دهد، یکسان نیست.

خصوصیات تیم‌های آبی

تیم‌های آبی، از دیدگاه امنیت سایبری، تیمی برای ایجاد امنیتی پایدارتر در برابر حملات در سازمان هستند.

تعدادی از فعالیت‌های امنیتی، چندان درخور این تیم محسوب نمی‌شوند؛ مانند تحلیلگر 1-Tier در SOC که تکنیک‌های تهاجمی را یاد نگرفته، علاقه‌ای به آن ندارد، نسبت به رابط مورد بررسی کنجکاو نیست و هیچ هشدار بالقوه‌ای را خلاقانه پیگیری نمی‌کند.

همه تیم‌های امنیت سایبری آبی مدافع هستند، اما هر مدافعی عضوی از تیم آبی نیست.

آنچه فعالیت‌های تیم آبی را از  مواردی که صرفا اقدامات دفاعی محسوب می‌شوند، متمایز می‌کند ذهنیت و نحوه تفکر است که شامل موارد زیر می‌شود:

  • ذهنیتی فوق‌العاده ‌فعال در برابر ذهنیت واکنشی
  • کنجکاوی بی‌پایان نسبت به موارد غیرعادی و غیرمعمول
  • اصلاحات مستمر در تشخیص و پاسخ‌دهی

مسئله این نیست که فرد، یک تحلیل‌گر خودآموخته Tier-1 در SOC است و یا عضو سابق فعال و زرنگ یک تیم قرمز، بلکه  حس کنجکاوی و اشتیاق او به پیشرفت مستمر است که اهمیت دارد.

آیا تیم های امنیتی برای حفظ امنیت سازمان باید رویکرد خود را تغییر دهند؟

ویدیوهای بیشتر درباره امنیت

خصوصیات تیم‌های بنفش

تیم بنفش، یک ذهنیت مشترک بین مهاجمان و مدافعانی است که برای ایجاد امنیت در یک سازمان مشغول به‌کارند. به این ترتیب، باید به جای آن که به عنوان یک تیم اختصاصی در نظر گرفته شود، به عنوان یک عملکرد به شمار بیاید.

هدف واقعی تیم قرمز، یافتن روش‌هایی برای بهبود و اصلاح تیم آبی است، بنابراین در سازمان‌هایی که تیم‌های قرمز و آبی با یکدیگر در تعامل صحیح و سالم هستند، نباید به تیم بنفش نیازی باشد.

بهترین کاربرد این واژه، آن جا بوده که هر گروهی که با تکنیک‌های تهاجمی آشنایی نداشته، تلاش نموده تا طرز فکر مهاجمان را بیاموزد. این گروه ممکن است گروه پاسخ به حادثه، گروه تشخیص، گروه توسعه‌دهنده یا هر گروه دیگری باشد. تلاش اشخاص در جهت یادگیری از هکرهای کلاه سفید را می‌توان یکی از عملیات تیم بنفش در نظر گرفت.

دلایل نامناسب بودن مفهوم تیم اختصاصی بنفش

در ادامه مثالهایی را مطرح می‌کنیم که  نشان می‌دهد استفاده از مفهوم تیم اختصاصی بنفش ایده خوبی نیست.

  1. گارسون‌هایی که غذا را تحویل نمی‌دهند: مدیریت یک رستوران نمی‌تواند گارسون‌هایش را وادار کند تا غذا را از آشپزخانه به سر میزها ببرند. راه‌حل آن‌ها برای حل این مشکل، استخدام «کارکنان آشپزخانه به میز» است، یعنی کسانی که متخصص رساندن غذا به میز هستند. وقتی از مدیریت پرسیده می‌شود که چرا به جای استفاده از گارسون‌های فعلی برای رساندن غذا، افراد جدیدی استخدام کرده است، پاسخ می‌دهد که طبق گفته گارسون‌ها، این کار وظیفه آن‌ها نیست.
  2. آشپزهای درجه یک برای نگه‌داشتن غذا در یخچال: از متخصصی خواسته شده تا دلیل عدم موفقیت یک رستوران را با وجود کادر بی‌نظیر و مستعد آشپزانش، دریابد. از قرار معلوم، مشتری‌ها زمانی طولانی منتظر می‌مانند و اغلب اصلا غذا برای آن‌ها سرو نمی‌شود. وقتی منتقد به آشپزخانه می‌رود، تعداد زیادی بشقاب غذا می‌بیند که به گونه‌ای بسیار زیبا و با چیدمانی فوق‌العاده در کنار اجاق‌ها قرار داده شده‌اند. منتقد از آشپز می‌پرسد که چرا ا بشقاب‌های آماده به میزها منتقل نشده و آشپز چنین جواب می‌دهد:

من خیلی بیشتر از این گارسون‌ها و مشتریان نادان در مورد غذا می‌دانم. می‌دانی چقدر درس خوانده‌ام تا بتوانم چنین غذایی بپزم؟ حتی اگر بگذارم آن‌ها از این غذا بخورند، باز هم چیزی از آن نخواهند فهمید و قدر آن را نخواهند دانست. به همین دلیل آن را همین جا نگه می‌دارم.

عالی شد؛ حالا گارسون‌هایی داریم که حاضر نیستند غذا را به سر میز ببرند و آشپزانی داریم که اجازه نمی‌دهند بشقاب‌های غذاشان از آشپزخانه خارج شود. این جریان، مشابه جریان کار نکردن تیم قرمز با تیم آبی است.

اگر چنین مشکلی وجود داشته باشد، راه حل آن، بهبود پویایی تعامل تیم قرمز و آبی خواهد بود و نباید در عوض این راه حل، تیم دیگری استخدام کرد تا وظایف آن‌ها را برایشان انجام دهد.

 در قسمت دوم مقاله به معرفی تیم‌های امنیت سایبری زرد و نارنجی و سبز پرداخته سپس مشکلات عملکردی هر کدام از تیم‌ها در برابر تیم‌های دیگر را بررسی خواهیم کرد.

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK