در راستای امنیت سایبری راهکارهای حفاظتی و و مقابله در گروههای قرمز، آبی و ارغوانی به تناسب شدت و عمق حمله تعریف میشوند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هرگاه در مورد امنیت اطلاعات از زاویه دید دفاعی صحبت میشود؛ در واقع از موضوعاتی نظیر حفاظت، کنترل خسارت و واکنش صحبت میکنیم. با فهم این طرز تفکر یک مهاجم میتواند به شکل مؤثری کمک کند تا هر شرکتی قابلیتهای دفاعی خود را در برابر تهدیدهایی که روزبهروز تغییر پیدا میکنند افزایش دهد.
در اصطلاحات نظامی، اصطلاح گروه قرمز بهصورت سنتی برای مواقعی استفاده میشود که گروههای بسیار ماهر و سازمانیافتهای بهعنوان یک رقیب و یا دشمن فرضی علیه نیروهای «معمول» بجنگد که با اصطلاح گروه آبی مشخص میشوند.
در واقع گروه قرمز بر تخصص خود برای یافتن هر نوع راه و روشی تکیه دارد که بتواند با کمک آن حملهای را برنامهریزی کرده و انجام دهد؛ بنابراین از این جایگاه تلاش میکند تا نگرش مهاجمان بالقوه را اتخاذ کند.
چنین نوع شبیهسازیهایی کمک میکند تا شرایط اضطراری واقعی را تولید کرده و توانایی نیروها را برای دفاع در برابر مهاجمان و دفع آنان افزایش دهیم. در همان زمان، اعضای گروه آبی آزمایش دیدهاند تا گروه قرمز را تشخیص داده با آنها مقابله کرده و تلاشهای آن را تضعیف کنند.
همه این مفاهیم یک وضعیت عجیب و غریب را در زمینه امنیت سایبری ایجاد میکنند و در این بین فعالیتهای خصمانه گروه قرمز به شکل آزمایشهای نفوذ پیچیده عمل میکند که نتایج آن به یک ارزیابی قابلاعتماد از تواناییهای دفاعی سازمان یا شرکت و وضعیت امنیت آن منجر میشود.
بهطور کلی گروه قرمز دارای یک وظیفه خاص است؛ برای مثال ارزیابی امکان دسترسی به دادههای حساس ذخیرهشده در پایگاه داده.
در چنین وضعیتی این گروه باید بهعنوان یک گروه تهدید خارجی عمل کند و هر نوع فرصتی را برای شناخت حفرهها و بهرهبرداری از ضعفهای موجود در زیرساختهای شرکت غنیمت شمارد تا بتواند حملهای را صورت دهد و اطلاعات مورد نیاز خود را از شبکه شرکت یا سازمان خارج کند. در این حین، گروه آبی مسئولیت دفاع در چنین شرایطی را عهدهدار است.
گروه آبی قرار است تا هرکدام از آسیبپذیریها را در PPT (افراد، فرایندها و زیرساختهای فناوری) در سامانههای دفاعی کشف کنند و به سازمان کمک کند تا قابلیتهای دفاعی خود را بهبود بخشد.
درحالیکه نقش گروه قرمز بهخوبی تعریف شدهاست، وظیفه گروه آبی و درنتیجه تجزیهوتحلیلی SOC و پاسخها کاملاً متغیر است و از قبل پیشبینی نشدهاست: بنابراین از این حملات شبیهسازیشده انتظار میرود تا به آزمایش آنها بپردازد و مهارتهای آنها را افزایش دهد.
روال معمول کار گروه آبی دسترسی به سوابق دادهها، استفاده از SIEM، جمعآوری اطلاعات هوشمند تهدید و انجام تجزیهوتحلیلهای ترافیک و جریان داده است، شاید بتوان کار آنها را با یافتن یک سوزن در انبار کاه قابل مقایسه دانست.
از سویی دیگر، اعضای گروه قرمز باید از هرکدام از TTP هایی (تاکتیک، تکنیک و روش) که گروه آبی انتظار دارد تا شناسایی و با آن مقابله کند، اطلاع داشتهباشند.