امنیت سایبری: گروه قرمز، گروه آبی و گروه ارغوانی

هرگاه در مورد امنیت اطلاعات از زاویه‌ی دید دفاعی صحبت می‌شود؛ در واقع از موضوعاتی نظیر حفاظت، کنترل خسارت و واکنش صحبت می‌کنیم.

با فهم این طرز تفکر یک مهاجم می‌تواند به شکل مؤثری کمک کند تا هر شرکتی قابلیت‌های دفاعی خود را در برابر تهدیدهایی که روزبه‌روز تغییر پیدا می‌کنند افزایش دهد.

در اصطلاحات نظامی، اصطلاح گروه قرمز به‌صورت سنتی برای مواقعی استفاده می‌شود که گروه‌های بسیار ماهر و سازمان‌یافته‌ای به‌عنوان یک رقیب و یا دشمن فرضی علیه نیروهای «معمول» که با اصطلاح گروه آبی مشخص می‌شوند، بجنگد.

در واقع، گروه قرمز بر تخصص خود برای یافتن هر نوع راه و روشی تکیه دارد که بتواند با کمک آن حمله‌ای را برنامه‌ریزی کرده و انجام دهد. بنابراین از این جایگاه تلاش می‌کند تا نگرش مهاجمان بالقوه را اتخاذ کند.

چنین نوع شبیه‌سازی‌هایی کمک می‌کند تا شرایط اضطراری واقعی را تولید کرده و توانایی نیروها را برای دفاع در برابر مهاجمان و دفع آنان افزایش دهیم. در همان زمان، اعضای گروه آبی آزمایش دیده‌اند تا گروه قرمز را تشخیص داده با آن‌ها مقابله نموده و تلاش‌های آن را تضعیف نمایند.

همه‌ی این مفاهیم یک وضعیت عجیب و غریب را در زمینه‌ی امنیت سایبری ایجاد می‌کنند و در این ‌بین فعالیت‌های خصمانه‌ی گروه قرمز به شکل آزمایش‌های نفوذ پیچیده عمل می‌کند که نتایج آن به یک ارزیابی قابل‌اعتماد از توانایی‌های دفاعی سازمان یا شرکت و وضعیت امنیت آن منجر می‌شود.

به‌طور کلی، گروه قرمز دارای یک وظیفه‌ی خاص است. برای مثال ارزیابی امکان دسترسی به داده‌های حساس ذخیره ‌شده در پایگاه‌ داده.

در چنین وضعیتی این گروه باید به‌عنوان یک گروه تهدید خارجی عمل کند و هر نوع فرصتی را برای شناخت حفره‌ها و بهره‌برداری از ضعف‌های موجود در زیرساخت‌های شرکت غنیمت شمارد تا بتواند حمله‌ای را صورت دهد و اطلاعات مورد نیاز خود را از شبکه شرکت یا سازمان خارج کند. در این حین، گروه آبی مسئولیت دفاع در چنین شرایطی را عهده‌دار است.

گروه آبی قرار است تا هرکدام از آسیب‌پذیری‌ها را در PPT (افراد، فرایندها و زیرساخت‌های فناوری) در سامانه‌های دفاعی کشف کنند و به سازمان کمک کند تا قابلیت‌های دفاعی خود را بهبود بخشد.

در حالی‌که نقش گروه قرمز به‌خوبی تعریف شده است، وظیفه‌ی گروه آبی (و درنتیجه تجزیه و تحلیلی SOC و پاسخ‌ها) کاملاً متغیر است و از قبل پیش‌بینی نشده است: بنابراین از این حملات شبیه‌سازی‌شده انتظار می‌رود تا به آزمایش آن‌ها بپردازد و مهارت‌های آن‌ها را افزایش دهد.

روال معمول کار گروه آبی دسترسی به سوابق داده‌ها، استفاده از SIEM، جمع‌آوری اطلاعات هوشمند تهدید و انجام تجزیه و تحلیل‌های ترافیک و جریان داده است، شاید بتوان کار آن‌ها را با یافتن یک سوزن در انبار کاه قابل مقایسه دانست.

از سویی دیگر، اعضای گروه قرمز باید از هرکدام از TTP هایی (تاکتیک، تکنیک و روش) که گروه آبی انتظار دارد تا شناسایی و با آن مقابله کند، اطلاع داشته باشند.

در حالی‌که خودکارسازی می‌تواند در این مرحله مفید باشد اما گروه آبی نباید تنها به آن اکتفا کند: در هر دو طرف هوشیاری انسانی، تخصص و هوشمندی نباید (در حال حاضر) با چیزی دیگر جایگزین شود. فنون مهندسی اجتماعی (ازجمله فیشینگ) به‌خوبی این مطلب را به ما یادآوری می‌کند.

اکنون به سرقت داده‌های شبیه‌سازی‌شده برگردیم. در چنین وضعیتی اعضای گروه قرمز باید به‌مثابه مجرمان اینترنتی که بی‌امان حمله می‌کنند، عمل کنند. مرحله‌ی اول حمله ممکن است تهاجم علیه یک کاربر نهایی باشد تا بتوان اعتبارنامه‌های مفیدی را برای جمع‌آوری اطلاعات در درون شبکه به دست آورد. این کار ممکن است منجر به این شود تا مهاجمان سعی کنند سطح دسترسی خود را افزایش دهند و به جستجوی اعتبارنامه‌هایی با سطح دسترسی بالاتر بپردازند و با استفاده از آن‌ها به پایگاه مرکزی دسترسی پیدا کنند. اگر دسترسی به پایگاه داده برای آن‌ها میسر شود خروج مؤثر داده‌ها امکان‌پذیر خواهد شد و این کار را از طریق یک اتصال شبکه که به اینترنت متصل است انجام می‌دهند.

گروه آبی باید قادر باشد تا چنین تلاش‌هایی را در حرکت‌های جانبی شبکه کشف کند و هر قدمی را که در این زنجیره‌ی به‌اصطلاح کشنده برداشته می‌شود؛ هر چه زودتر پیدا کند. در واقع او مجبور است که با این حمله مقابله کند و از رسیدن گروه قرمز به اهداف خود جلوگیری کند.

در حالی‌که این مرور کوتاه ممکن است کار این گروه را ساده نشان دهد؛ اما واقعیت این نیست.

گروه قرمز در برابر گروه آبی: چه چیزی رویارویی آن‌ها را موفقیت‌آمیز می‌کند؟

همچنان که دیدیم، هر دو این گروه‌ها وظایف پیچیده‌ی خود را انجام می‌دهند اما چه چیزی فعالیت‌های آنان را مؤثر می‌کند؟

عنصر مهم در موفقیت گروه قرمز داشتن ذهنیت تهاجمی است یعنی نگرش واقعی کاملاً شبیه به نفوذگران.

بنابراین، اعضای آن‌ها نباید به این مسئله فکر کنند که در یک طرح مشارکت دارند یا به گروه‌های دیگر کمک می‌کنند که از زیرساخت‌های خود حفاظت کنند. بنابراین باید یک حمله و مقابله‌ی واقعی را صورت دهند که نگرش و تلاشی خصمانه در پی داشته باشد تا بتوانند به شکلی واقعی به ارزیابی امنیت کمک کنند.

در واقع «نگرش از بیرون» برای گروه قرمز لازم است و این ضرورت را می‌توان با کمک گرفتن از توانایی‌ها و نیروهای خارج از سازمان بهتر پشتیبانی کرد.

یک مهاجم واقعی کسی است که مقید به هیچ‌گونه قاعده و قانون، قوانین و مقررات و موازین اخلاقی نباشد (او ممکن است یک تروریست یا مجرم بوده و یا یکی از کارکنانی که از شرکت رنجش دارند، باشد). هرچند که پذیرش چنین طرز تفکری ممکن است مشکل باشد.

در برخی از موارد، رویارویی میان دو گروه در یک شرایط کاملاً انتزاعی رخ می‌دهد، در یک اتاق ملاقات؛ با این‌حال این تازه شروع کار است. یک آزمایش واقعی مستلزم حملاتی واقعی است که نمی‌توانند امنیتی فیزیکی سازمان را نادیده بگیرند.

اگر بخواهیم حقیقت را بگوییم ایجاد یک وضعیت کاملاً واقعی همیشه نمی‌تواند یک انتخاب تلقی شود. برای مثال مجموعه‌ای از حملات جدی علیه مکان‌ها و زیرساخت‌های حیاتی ممکن است منجر به خسارات جبران‌ناپذیر و یا حتی تلفات انسانی شود.

با این‌حال تا جایی که ممکن است این آزمایش‌ها باید واقعی، طراحی و در نظر گرفته شوند و آن‌ها باید بر روی ضعیف‌ترین نقاط در سامانه‌ی امنیتی سازمان و منابع انسانی آن (کارکنان) تمرکز کنند.

گروه قرمز ممکن است بخت این را داشته باشد که پاسخ برخی از کارکنان را به برخی از ورودی‌هایی که می‌دهد مشاهده کند. ضمیمه‌های مخرب رایانامه‌ها، یک فلش‌ درایور یو‌اس‌بی رها شده در محوطه سازمان یا شرکت (در پارکینگ یا دستشویی)‌ فرصت‌هایی برای ارائه‌ی ورودی هستند.

اگر یک شرکت در حال حاضر سیاست‌گذاری امنیتی خاص خود را داشته و اجرا می‌کند، تلاش‌های گروه قرمز ممکن است معطوف به دسترسی به دانش کارکنان و اطلاعات و شیوه‌ی عمل آن‌ها و همچنین قابلیت‌های شرکت برای اجرای این قواعد و سیاست‌گذاری‌ها باشد.

درحالی‌که امنیت فیزیکی کارمندان و رفتار آن‌ها نباید نادیده گرفته شود، شبکه‌های بی‌سیم یک فضای نبرد دیگر را نیز ایجاد می‌کنند که سزاوار توجه و بررسی است.

مهاجرت از شبکه‌های باسیم به شبکه‌های وای‌فای باوجود نیاز به یک رویکرد امنیتی مشخص و مجزا کاملاً شفاف و ساده است.

یکی از جدی‌ترین تهدیدهای که برای شبکه‌های بی‌سیم وجود دارد اصطلاحاً Wardriving نام دارد که راه را برای فعالیت‌های مخرب زیر که به بهره‌برداری از سامانه‌ها می‌پردازند باز می‌کند.

همکاری، بازخورد دوطرفه و بهبود مداوم

سودمندی رویکرد مقابله‌ی گروه قرمز با آبی در تعامل و بازخورد دوطرفه‌ و در توانایی تبدیل این چالش به راهی برای بهبود ظرفیت سازمان برای کشف و مقابله با تهدیدات است.

چنین نوع همکاری‌هایی باید کوشش برای بهبود مداوم باشد، گروه آبی باید فعالیت‌های گروه قرمز را به‌عنوان فرصتی برای فهم تاکتیک‌ها، روش‌ها و تکنیک‌های یک مهاجم بالقوه ببیند.

در حالی‌که شکست SOC و عدم توانایی آن در تشخیص و مقابله با یک نفوذ، ممکن است به کاستی‌های اعضای آن بستگی داشته باشد، اما همچنین می‌تواند نتیجه‌ی اقدامات ناکافی در برابر روش‌های کاملاً بررسی‌شده و یا روش‌هایی که قبلاً ناشناس بوده‌اند، باشد.

گروه قرمز می‌تواند این نقاط ضعف را قبل از اینکه مجرمان واقعی از آن‌ها سوء‌استفاده کنند، آشکار سازد. همان‌طور که هر دو گروه اهداف متفاوتی دارند، اقدامات آن‌ها نیز متفاوت خواهد بود.

از گروه قرمز انتظار می‌رود تا از ابزارهای تهاجمی استفاده کند (برای مثال، Meterpreter یا Meteasploit) و بتواند از تزریق SQL استفاده کند تا ابزارهای بررسی شبکه را به کار گیرد و از زبان‌های اسکریپتینگ استفاده کند تا دستورات مسیریاب و دیواره‌های آتش و … را تشخیص دهد.

در طرف دیگر از گروه آبی انتظار می‌رود تا تک‌تک مراحل پاسخ به رویداد را درک کند تا بتواند به سهم خود بر ابزارها و زبان‌ها تسلط یابد و الگوهای مشکوک ترافیک جاری را شناسایی کند و نشانه‌های به خطر افتادن سامانه را کشف کند و از IDS به‌خوبی استفاده کند تا بتواند در سامانه عامل‌های مختلف به تجزیه و تحلیل و جرم‌شناسی رایانه‌ای بپردازد.

رنگی جدید در این افق

از آنجاکه هرکدام از گروه‌ها تلاش می‌کنند تا به اهداف خود برسند اما همکاری داشتن این دو گروه در کنار همدیگر کار آسانی نیست.

با این‌حال، چون هدف نهایی کمک به شرکت برای کسب سطحی بالاتر از امینی است و بنابراین یک گروه جدید به شکلی صحیح‌تر یک «عملکرد» جدید هر چه بیشتر توجه‌ها را به‌سوی خود جلب می‌کند.

این بازیگر جدید، «گروه ارغوانی» نام دارد که تضمین اثربخشی فعالیت‌های گروه‌های «سنتی» را با ترکیب روال فعالیت‌های دفاعی گروه آبی با نقاط ضعف کشف‌شده توسط گروه قرمز به حداکثر می‌رساند،‌ بنابراین ایجاد فعالیت‌های منسجم کمک می‌کند تا نتایج و شاخص‌های عملکردهای کلیدی مرسوم تجاری و معیارهای آن‌ها به بهینه‌ترین شکل ممکن برسد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap