در راستای امنیت سایبری راهکارهای حفاظتی و و مقابله در گروههای قرمز، آبی و ارغوانی به تناسب شدت و عمق حمله تعریف میشوند.
آشنایی با امنیت سایبری در گروه قرمز، آبی و ارغوانی
وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات , 21 مرداد 1395 ساعت 10:00
در راستای امنیت سایبری راهکارهای حفاظتی و و مقابله در گروههای قرمز، آبی و ارغوانی به تناسب شدت و عمق حمله تعریف میشوند.
در راستای امنیت سایبری راهکارهای حفاظتی و و مقابله در گروههای قرمز، آبی و ارغوانی به تناسب شدت و عمق حمله تعریف میشوند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هرگاه در مورد امنیت اطلاعات از زاویه دید دفاعی صحبت میشود؛ در واقع از موضوعاتی نظیر حفاظت، کنترل خسارت و واکنش صحبت میکنیم. با فهم این طرز تفکر یک مهاجم میتواند به شکل مؤثری کمک کند تا هر شرکتی قابلیتهای دفاعی خود را در برابر تهدیدهایی که روزبهروز تغییر پیدا میکنند افزایش دهد.
در اصطلاحات نظامی، اصطلاح گروه قرمز بهصورت سنتی برای مواقعی استفاده میشود که گروههای بسیار ماهر و سازمانیافتهای بهعنوان یک رقیب و یا دشمن فرضی علیه نیروهای «معمول» بجنگد که با اصطلاح گروه آبی مشخص میشوند.
در واقع گروه قرمز بر تخصص خود برای یافتن هر نوع راه و روشی تکیه دارد که بتواند با کمک آن حملهای را برنامهریزی کرده و انجام دهد؛ بنابراین از این جایگاه تلاش میکند تا نگرش مهاجمان بالقوه را اتخاذ کند.
چنین نوع شبیهسازیهایی کمک میکند تا شرایط اضطراری واقعی را تولید کرده و توانایی نیروها را برای دفاع در برابر مهاجمان و دفع آنان افزایش دهیم. در همان زمان، اعضای گروه آبی آزمایش دیدهاند تا گروه قرمز را تشخیص داده با آنها مقابله کرده و تلاشهای آن را تضعیف کنند.
همه این مفاهیم یک وضعیت عجیب و غریب را در زمینه امنیت سایبری ایجاد میکنند و در این بین فعالیتهای خصمانه گروه قرمز به شکل آزمایشهای نفوذ پیچیده عمل میکند که نتایج آن به یک ارزیابی قابلاعتماد از تواناییهای دفاعی سازمان یا شرکت و وضعیت امنیت آن منجر میشود.
بهطور کلی گروه قرمز دارای یک وظیفه خاص است؛ برای مثال ارزیابی امکان دسترسی به دادههای حساس ذخیرهشده در پایگاه داده.
در چنین وضعیتی این گروه باید بهعنوان یک گروه تهدید خارجی عمل کند و هر نوع فرصتی را برای شناخت حفرهها و بهرهبرداری از ضعفهای موجود در زیرساختهای شرکت غنیمت شمارد تا بتواند حملهای را صورت دهد و اطلاعات مورد نیاز خود را از شبکه شرکت یا سازمان خارج کند. در این حین، گروه آبی مسئولیت دفاع در چنین شرایطی را عهدهدار است.
گروه آبی قرار است تا هرکدام از آسیبپذیریها را در PPT (افراد، فرایندها و زیرساختهای فناوری) در سامانههای دفاعی کشف کنند و به سازمان کمک کند تا قابلیتهای دفاعی خود را بهبود بخشد.
درحالیکه نقش گروه قرمز بهخوبی تعریف شدهاست، وظیفه گروه آبی و درنتیجه تجزیهوتحلیلی SOC و پاسخها کاملاً متغیر است و از قبل پیشبینی نشدهاست: بنابراین از این حملات شبیهسازیشده انتظار میرود تا به آزمایش آنها بپردازد و مهارتهای آنها را افزایش دهد.
روال معمول کار گروه آبی دسترسی به سوابق دادهها، استفاده از SIEM، جمعآوری اطلاعات هوشمند تهدید و انجام تجزیهوتحلیلهای ترافیک و جریان داده است، شاید بتوان کار آنها را با یافتن یک سوزن در انبار کاه قابل مقایسه دانست.
از سویی دیگر، اعضای گروه قرمز باید از هرکدام از TTP هایی (تاکتیک، تکنیک و روش) که گروه آبی انتظار دارد تا شناسایی و با آن مقابله کند، اطلاع داشتهباشند.
در حالیکه خودکارسازی میتواند در این مرحله مفید باشد اما گروه آبی نباید تنها به آن اکتفا کند: در هر دو طرف هوشیاری انسانی، تخصص و هوشمندی نباید در حال حاضر با چیزی دیگر جایگزین شود. فنون مهندسی اجتماعی ازجمله فیشینگ بهخوبی این مطلب را به ما یادآوری میکند.
اکنون به سرقت دادههای شبیهسازیشده برگردیم. در چنین وضعیتی اعضای گروه قرمز باید به مثابه مجرمان اینترنتی که بیامان حمله میکنند، عمل کنند. مرحله اول حمله ممکن است تهاجم علیه یک کاربر نهایی باشد تا بتوان اعتبارنامههای مفیدی را برای جمعآوری اطلاعات در درون شبکه بهدست آورد. این کار ممکن است منجر به این شود تا مهاجمان سعی کنند سطح دسترسی خود را افزایش دهند و به جستوجوی اعتبارنامههایی با سطح دسترسی بالاتر بپردازند و با استفاده از آنها به پایگاه مرکزی دسترسی پیدا کنند. اگر دسترسی به پایگاه داده برای آنها میسر شود خروج مؤثر دادهها امکانپذیر خواهد شد و این کار را از طریق یک اتصال شبکه که به اینترنت متصل است انجام میدهند.
گروه آبی باید قادر باشد تا چنین تلاشهایی را در حرکتهای جانبی شبکه کشف کند و هر قدمی را که در این زنجیره بهاصطلاح کشنده برداشته میشود؛ هرچه زودتر پیدا کند. در واقع او مجبور است که با این حمله مقابله کند و از رسیدن گروه قرمز به اهداف خود جلوگیری کند.
در حالیکه این مرور کوتاه ممکن است کار این گروه را ساده نشان دهد؛ اما واقعیت این نیست.
گروه قرمز در برابر گروه آبی: چه چیزی رویارویی آنها را موفقیتآمیز میکند؟ هر دوی این گروهها وظایف پیچیده خود را انجام میدهند اما چه چیزی فعالیتهای آنان را مؤثر میکند؟ عنصر مهم در موفقیت گروه قرمز داشتن ذهنیت تهاجمی است یعنی نگرش واقعی کاملاً شبیه به نفوذگران؛ بنابراین اعضای آنها نباید به این مسئله فکر کنند که در یک طرح مشارکت دارند یا به گروههای دیگر کمک میکنند که از زیرساختهای خود حفاظت کنند؛ بنابراین باید یک حمله و مقابله واقعی را صورت دهند که نگرش و تلاشی خصمانه در پی داشته باشد تا بتوانند به شکلی واقعی به ارزیابی امنیت کمک کنند.
در واقع «نگرش از بیرون» برای گروه قرمز لازم است و این ضرورت را میتوان با کمک گرفتن از تواناییها و نیروهای خارج از سازمان بهتر پشتیبانی کرد.
یک مهاجم واقعی کسی است که مقید به هیچگونه قاعده و قانون، قوانین و مقررات و موازین اخلاقی نباشد. او ممکن است یک تروریست یا مجرم بوده و یا یکی از کارکنانی که از شرکت ناراضی است. هرچند که پذیرش چنین طرز تفکری ممکن است مشکل باشد.
در برخی از موارد، رویارویی میان دو گروه در یک شرایط کاملاً انتزاعی رخ میدهد، در یک اتاق ملاقات؛ با اینحال این تازه شروع کار است. یک آزمایش واقعی مستلزم حملاتی واقعی است که نمیتوانند امنیتی فیزیکی سازمان را نادیده بگیرند.
اگر بخواهیم حقیقت را بگوییم ایجاد یک وضعیت کاملاً واقعی همیشه نمیتواند یک انتخاب تلقی شود. برای مثال مجموعهای از حملات جدی علیه مکانها و زیرساختهای حیاتی ممکن است منجر به خسارات جبرانناپذیر و یا حتی تلفات انسانی شود.
با اینحال تا جایی که ممکن است این آزمایشها باید واقعی، طراحی و در نظر گرفته شوند و آنها باید بر روی ضعیفترین نقاط در سامانه امنیتی سازمان و منابع انسانی آن (کارکنان) تمرکز کنند.
گروه قرمز ممکن است بخت این را داشتهباشد که پاسخ برخی از کارکنان را به برخی از ورودیهایی که میدهد مشاهده کند. ضمیمههای مخرب رایانامهها، یک فلش درایور یواسبی رها شده در محوطه سازمان یا شرکت (در پارکینگ یا دستشویی) فرصتهایی برای ارائه ورودی هستند.
اگر یک شرکت درحالحاضر سیاستگذاری امنیتی خاص خود را داشته و اجرا میکند، تلاشهای گروه قرمز ممکن است معطوف به دسترسی به دانش کارکنان و اطلاعات و شیوه عمل آنها و همچنین قابلیتهای شرکت برای اجرای این قواعد و سیاستگذاریها باشد.
درحالیکه امنیت فیزیکی کارمندان و رفتار آنها نباید نادیده گرفته شود، شبکههای بیسیم یک فضای نبرد دیگر را نیز ایجاد میکنند که سزاوار توجه و بررسی است.
مهاجرت از شبکههای باسیم به شبکههای وایفای با وجود نیاز به یک رویکرد امنیتی مشخص و مجزا کاملاً شفاف و ساده است.
یکی از جدیترین تهدیدهای که برای شبکههای بیسیم وجود دارد اصطلاحاً Wardriving نام دارد که راه را برای فعالیتهای مخرب زیر که به بهرهبرداری از سامانهها میپردازند باز میکند.
سودمندی رویکرد مقابله گروه قرمز با آبی در تعامل و بازخورد دوطرفه و در توانایی تبدیل این چالش به راهی برای بهبود ظرفیت سازمان برای کشف و مقابله با تهدیدات است. چنین نوع همکاریهایی باید کوشش برای بهبود مداوم باشد، گروه آبی باید فعالیتهای گروه قرمز را بهعنوان فرصتی برای فهم تاکتیکها، روشها و تکنیکهای یک مهاجم بالقوه ببیند.
در حالیکه شکست SOC و عدم توانایی آن در تشخیص و مقابله با یک نفوذ، ممکن است به کاستیهای اعضای آن بستگی داشته باشد، اما همچنین میتواند نتیجه اقدامات ناکافی در برابر روشهای کاملاً بررسیشده و یا روشهایی باشد که قبلاً ناشناس بودهاند.
گروه قرمز میتواند این نقاط ضعف را قبل از اینکه مجرمان واقعی از آنها سوءاستفاده کنند، آشکار سازد. همانطور که هر دو گروه اهداف متفاوتی دارند، اقدامات آنها نیز متفاوت خواهد بود.
از گروه قرمز انتظار میرود تا از ابزارهای تهاجمی استفاده کند (برای مثال، Meterpreter یا Meteasploit) و بتواند از تزریق SQL استفاده کند تا ابزارهای بررسی شبکه را به کار گیرد و از زبانهای اسکریپتینگ استفاده کند تا دستورات مسیریاب و دیوارههای آتش و ... را تشخیص دهد.
در طرف دیگر از گروه آبی انتظار میرود تا تکتک مراحل پاسخ به رویداد را درک کند تا بتواند به سهم خود بر ابزارها و زبانها تسلط یابد و الگوهای مشکوک ترافیک جاری را شناسایی کند و نشانههای به خطر افتادن سامانه را کشف کند و از IDS بهخوبی استفاده کند تا بتواند در سامانه عاملهای مختلف به تجزیهوتحلیل و جرمشناسی رایانهای بپردازد.
از آنجاکه هرکدام از گروهها تلاش میکنند تا به اهداف خود برسند اما همکاری داشتن این دو گروه در کنار همدیگر کار آسانی نیست.
با اینحال، چون هدف نهایی کمک به شرکت برای کسب سطحی بالاتر از امینی است و بنابراین یک گروه جدید به شکلی صحیحتر یک «عملکرد» جدید هر چه بیشتر توجهها را بهسوی خود جلب میکند.
این بازیگر جدید، «گروه ارغوانی» نام دارد که تضمین اثربخشی فعالیتهای گروههای «سنتی» را با ترکیب روال فعالیتهای دفاعی گروه آبی با نقاط ضعف کشفشده توسط گروه قرمز به حداکثر میرساند، بنابراین ایجاد فعالیتهای منسجم کمک میکند تا نتایج و شاخصهای عملکردهای کلیدی مرسوم تجاری و معیارهای آنها به بهینهترین شکل ممکن برسد.
کد مطلب: 11547