آشنایی با امنیت سایبری در گروه قرمز، آبی و ارغوانی

در راستای امنیت سایبری راهکارهای حفاظتی و و مقابله در گروه‌های قرمز، آبی و ارغوانی به تناسب شدت و عمق حمله تعریف می‌شوند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هرگاه در مورد امنیت اطلاعات از زاویه‌ دید دفاعی صحبت می‌شود؛ در واقع از موضوعاتی نظیر حفاظت، کنترل خسارت و واکنش صحبت می‌کنیم. با فهم این طرز تفکر یک مهاجم می‌تواند به شکل مؤثری کمک کند تا هر شرکتی قابلیت‌های دفاعی خود را در برابر تهدیدهایی که روزبه‌روز تغییر پیدا می‌کنند افزایش دهد.

در اصطلاحات نظامی، اصطلاح گروه قرمز به‌صورت سنتی برای مواقعی استفاده می‌شود که گروه‌های بسیار ماهر و سازمان‌یافته‌ای به‌عنوان یک رقیب و یا دشمن فرضی علیه نیروهای «معمول» بجنگد که با اصطلاح گروه آبی مشخص می‌شوند.

در واقع گروه قرمز بر تخصص خود برای یافتن هر نوع راه و روشی تکیه دارد که بتواند با کمک آن حمله‌ای را برنامه‌ریزی کرده و انجام دهد؛ بنابراین از این جایگاه تلاش می‌کند تا نگرش مهاجمان بالقوه را اتخاذ کند.

چنین نوع شبیه‌سازی‌هایی کمک می‌کند تا شرایط اضطراری واقعی را تولید کرده و توانایی نیروها را برای دفاع در برابر مهاجمان و دفع آنان افزایش دهیم. در همان زمان، اعضای گروه آبی آزمایش دیده‌اند تا گروه قرمز را تشخیص داده با آنها مقابله کرده و تلاش‌های آن را تضعیف کنند.

همه این مفاهیم یک وضعیت عجیب و غریب را در زمینه‌ امنیت سایبری ایجاد می‌کنند و در این ‌بین فعالیت‌های خصمانه‌ گروه قرمز به شکل آزمایش‌های نفوذ پیچیده عمل می‌کند که نتایج آن به یک ارزیابی قابل‌اعتماد از توانایی‌های دفاعی سازمان یا شرکت و وضعیت امنیت آن منجر می‌شود.

به‌طور کلی گروه قرمز دارای یک وظیفه‌ خاص است؛ برای مثال ارزیابی امکان دسترسی به داده‌های حساس ذخیره‌شده در پایگاه‌ داده.

در چنین وضعیتی این گروه باید به‌عنوان یک گروه تهدید خارجی عمل کند و هر نوع فرصتی را برای شناخت حفره‌ها و بهره‌برداری از ضعف‌های موجود در زیرساخت‌های شرکت غنیمت شمارد تا بتواند حمله‌ای را صورت دهد و اطلاعات مورد نیاز خود را از شبکه شرکت یا سازمان خارج کند. در این حین، گروه آبی مسئولیت دفاع در چنین شرایطی را عهده‌دار است.

گروه آبی قرار است تا هرکدام از آسیب‌پذیری‌ها را در PPT (افراد، فرایندها و زیرساخت‌های فناوری) در سامانه‌های دفاعی کشف کنند و به سازمان کمک کند تا قابلیت‌های دفاعی خود را بهبود بخشد.

در‌حالی‌که نقش گروه قرمز به‌خوبی تعریف شده‌است، وظیفه‌ گروه آبی و درنتیجه تجزیه‌و‌تحلیلی SOC و پاسخ‌ها کاملاً متغیر است و از قبل پیش‌بینی نشده‌است: بنابراین از این حملات شبیه‌سازی‌شده انتظار می‌رود تا به آزمایش آنها بپردازد و مهارت‌های آنها را افزایش دهد.

روال معمول کار گروه آبی دسترسی به سوابق داده‌ها، استفاده از SIEM، جمع‌آوری اطلاعات هوشمند تهدید و انجام تجزیه‌و‌تحلیل‌های ترافیک و جریان داده است، شاید بتوان کار آنها را با یافتن یک سوزن در انبار کاه قابل مقایسه دانست.

از سویی دیگر، اعضای گروه قرمز باید از هرکدام از TTP هایی (تاکتیک، تکنیک و روش) که گروه آبی انتظار دارد تا شناسایی و با آن مقابله کند، اطلاع داشته‌باشند.

در حالی‌که خودکارسازی می‌تواند در این مرحله مفید باشد اما گروه آبی نباید تنها به آن اکتفا کند: در هر دو طرف هوشیاری انسانی، تخصص و هوشمندی نباید در حال حاضر با چیزی دیگر جایگزین شود. فنون مهندسی اجتماعی ازجمله فیشینگ به‌خوبی این مطلب را به ما یادآوری می‌کند.

اکنون به سرقت داده‌های شبیه‌سازی‌شده برگردیم. در چنین وضعیتی اعضای گروه قرمز باید به ‌مثابه مجرمان اینترنتی که بی‌امان حمله می‌کنند، عمل کنند. مرحله‌ اول حمله ممکن است تهاجم علیه یک کاربر نهایی باشد تا بتوان اعتبارنامه‌های مفیدی را برای جمع‌آوری اطلاعات در درون شبکه به‌دست آورد. این کار ممکن است منجر به این شود تا مهاجمان سعی کنند سطح دسترسی خود را افزایش دهند و به جست‌وجوی اعتبارنامه‌هایی با سطح دسترسی بالاتر بپردازند و با استفاده از آنها به پایگاه مرکزی دسترسی پیدا کنند. اگر دسترسی به پایگاه داده برای آنها میسر شود خروج مؤثر داده‌ها امکان‌پذیر خواهد شد و این کار را از طریق یک اتصال شبکه که به اینترنت متصل است انجام می‌دهند.

گروه آبی باید قادر باشد تا چنین تلاش‌هایی را در حرکت‌های جانبی شبکه کشف کند و هر قدمی را که در این زنجیره‌ به‌اصطلاح کشنده برداشته می‌شود؛ هر‌چه زودتر پیدا کند. در واقع او مجبور است که با این حمله مقابله کند و از رسیدن گروه قرمز به اهداف خود جلوگیری کند.

در حالی‌که این مرور کوتاه ممکن است کار این گروه را ساده نشان دهد؛ اما واقعیت این نیست.

گروه قرمز در برابر گروه آبی: چه چیزی رویارویی آنها را موفقیت‌آمیز می‌کند؟ هر دوی این گروه‌ها وظایف پیچیده‌ خود را انجام می‌دهند اما چه چیزی فعالیت‌های آنان را مؤثر می‌کند؟ عنصر مهم در موفقیت گروه قرمز داشتن ذهنیت تهاجمی است یعنی نگرش واقعی کاملاً شبیه به نفوذگران؛ بنابراین اعضای آنها نباید به این مسئله فکر کنند که در یک طرح مشارکت دارند یا به گروه‌های دیگر کمک می‌کنند که از زیرساخت‌های خود حفاظت کنند؛ بنابراین باید یک حمله و مقابله‌ واقعی را صورت دهند که نگرش و تلاشی خصمانه در پی داشته باشد تا بتوانند به شکلی واقعی به ارزیابی امنیت کمک کنند.

در واقع «نگرش از بیرون» برای گروه قرمز لازم است و این ضرورت را می‌توان با کمک گرفتن از توانایی‌ها و نیروهای خارج از سازمان بهتر پشتیبانی کرد.

یک مهاجم واقعی کسی است که مقید به هیچ‌گونه قاعده و قانون، قوانین و مقررات و موازین اخلاقی نباشد. او ممکن است یک تروریست یا مجرم بوده و یا یکی از کارکنانی که از شرکت ناراضی است. هرچند که پذیرش چنین طرز تفکری ممکن است مشکل باشد.

در برخی از موارد، رویارویی میان دو گروه در یک شرایط کاملاً انتزاعی رخ می‌دهد، در یک اتاق ملاقات؛ با این‌حال این تازه شروع کار است. یک آزمایش واقعی مستلزم حملاتی واقعی است که نمی‌توانند امنیتی فیزیکی سازمان را نادیده بگیرند.

اگر بخواهیم حقیقت را بگوییم ایجاد یک وضعیت کاملاً واقعی همیشه نمی‌تواند یک انتخاب تلقی شود. برای مثال مجموعه‌ای از حملات جدی علیه مکان‌ها و زیرساخت‌های حیاتی ممکن است منجر به خسارات جبران‌ناپذیر و یا حتی تلفات انسانی شود.

با این‌حال تا جایی که ممکن است این آزمایش‌ها باید واقعی، طراحی و در نظر گرفته شوند و آنها باید بر روی ضعیف‌ترین نقاط در سامانه‌ امنیتی سازمان و منابع انسانی آن (کارکنان) تمرکز کنند.

گروه قرمز ممکن است بخت این را داشته‌باشد که پاسخ برخی از کارکنان را به برخی از ورودی‌هایی که می‌دهد مشاهده کند. ضمیمه‌های مخرب رایانامه‌ها،

یک فلش‌ درایور یو‌اس‌بی رها شده در محوطه سازمان یا شرکت (در پارکینگ یا دستشویی)‌ فرصت‌هایی برای ارائه‌ ورودی هستند.

اگر یک شرکت در‌حال‌حاضر سیاست‌گذاری امنیتی خاص خود را داشته و اجرا می‌کند، تلاش‌های گروه قرمز ممکن است معطوف به دسترسی به دانش کارکنان و اطلاعات و شیوه‌ عمل آنها و همچنین قابلیت‌های شرکت برای اجرای این قواعد و سیاست‌گذاری‌ها باشد.

درحالی‌که امنیت فیزیکی کارمندان و رفتار آنها نباید نادیده گرفته شود، شبکه‌های بی‌سیم یک فضای نبرد دیگر را نیز ایجاد می‌کنند که سزاوار توجه و بررسی است.

مهاجرت از شبکه‌های باسیم به شبکه‌های وای‌فای با وجود نیاز به یک رویکرد امنیتی مشخص و مجزا کاملاً شفاف و ساده است.

یکی از جدی‌ترین تهدیدهای که برای شبکه‌های بی‌سیم وجود دارد اصطلاحاً Wardriving نام دارد که راه را برای فعالیت‌های مخرب زیر که به بهره‌برداری از سامانه‌ها می‌پردازند باز می‌کند.

سودمندی رویکرد مقابله‌ گروه قرمز با آبی در تعامل و بازخورد دوطرفه‌ و در توانایی تبدیل این چالش به راهی برای بهبود ظرفیت سازمان برای کشف و مقابله با تهدیدات است. چنین نوع همکاری‌هایی باید کوشش برای بهبود مداوم باشد، گروه آبی باید فعالیت‌های گروه قرمز را به‌عنوان فرصتی برای فهم تاکتیک‌ها، روش‌ها و تکنیک‌های یک مهاجم بالقوه ببیند.

در حالی‌که شکست SOC و عدم توانایی آن در تشخیص و مقابله با یک نفوذ، ممکن است به کاستی‌های اعضای آن بستگی داشته باشد، اما همچنین می‌تواند نتیجه‌ اقدامات ناکافی در برابر روش‌های کاملاً بررسی‌شده و یا روش‌هایی باشد که قبلاً ناشناس بوده‌اند.

گروه قرمز می‌تواند این نقاط ضعف را قبل از اینکه مجرمان واقعی از آنها سوء‌استفاده کنند، آشکار سازد. همان‌طور که هر دو گروه اهداف متفاوتی دارند، اقدامات آنها نیز متفاوت خواهد بود.

از گروه قرمز انتظار می‌رود تا از ابزارهای تهاجمی استفاده کند (برای مثال، Meterpreter یا Meteasploit) و بتواند از تزریق SQL استفاده کند تا ابزارهای بررسی شبکه را به کار گیرد و از زبان‌های اسکریپتینگ استفاده کند تا دستورات مسیریاب و دیواره‌های آتش و ... را تشخیص دهد.

در طرف دیگر از گروه آبی انتظار می‌رود تا تک‌تک مراحل پاسخ به رویداد را درک کند تا بتواند به سهم خود بر ابزارها و زبان‌ها تسلط یابد و الگوهای مشکوک ترافیک جاری را شناسایی کند و نشانه‌های به خطر افتادن سامانه را کشف کند و از IDS به‌خوبی استفاده کند تا بتواند در سامانه عامل‌های مختلف به تجزیه‌وتحلیل و جرم‌شناسی رایانه‌ای بپردازد.

از آنجاکه هرکدام از گروه‌ها تلاش می‌کنند تا به اهداف خود برسند اما همکاری داشتن این دو گروه در کنار همدیگر کار آسانی نیست.

با این‌حال، چون هدف نهایی کمک به شرکت برای کسب سطحی بالاتر از امینی است و بنابراین یک گروه جدید به شکلی صحیح‌تر یک «عملکرد» جدید هر چه بیشتر توجه‌ها را به‌سوی خود جلب می‌کند.

این بازیگر جدید، «گروه ارغوانی» نام دارد که تضمین اثربخشی فعالیت‌های گروه‌های «سنتی» را با ترکیب روال فعالیت‌های دفاعی گروه آبی با نقاط ضعف کشف‌شده توسط گروه قرمز به حداکثر می‌رساند،‌ بنابراین ایجاد فعالیت‌های منسجم کمک می‌کند تا نتایج و شاخص‌های عملکردهای کلیدی مرسوم تجاری و معیارهای آنها به بهینه‌ترین شکل ممکن برسد.