تیم قرمز (امنیت رایانه)

تیم قرمز (به انگلیسی: Red Team) گروهی متخصص امنیت سایبری در قالب رخنه‌گر با هماهنگی سازمان یا شرکت اقدام به طراحی و پیاده سازی نفوذ فیزیکی و دیجیتال به سامانه و زیرساخت‌های آن سازمان یا شرکت می‌کنند. سپس طی گزارشی آسیب‌پذیری‌های موجود در سامانه را به سازمان گزارش می‌دهند تا سطح امنیت آن‌ها را بهبود بخشند. تیم های قرمز برای سازمان کار می کنند یا توسط سازمان استخدام می شوند. کار آنها قانونی است، اما می تواند برخی از کارمندان را شگفت زده کند که ممکن است ندانند که عملیات نفوذ توسط تیم قرمز در حال رخ دادن است (همانند مانور زلزله)، یا ممکن است توسط تیم قرمز فریب بخورند. اصطلاح تیم قرمز در دهه ۱۹۶۰ در ایالات متحده ابداع شد.

واحد فنی تیم قرمز بر روی به خطر انداختن شبکه‌ها و رایانه‌ها به صورت دیجیتالی تمرکز دارد. همچنین ممکن است یک تیم آبی وجود داشته باشد، اصطلاحی که برای کارکنان امنیت سایبری که مسئول دفاع از شبکه‌ها و رایانه‌های سازمان در برابر حمله هستند. واحد فنی تیم قرمز، از انواع آسیب‌پذیری‌ها برای حمله و دستیابی به اطلاعات و گرفتن دسترسی از رایانه‌ها استفاده می‌کنند و سپس شناسایی برای کشف دستگاه‌های بیشتری برای به خطر انداختن احتمالی انجام می‌شود. شکار اعتبار شامل جستجوی رایانه برای یافتن اعتبارنامه‌هایی مانند رمز عبور و کوکی‌های جلسه است و پس از یافتن آنها، می‌توان برای به خطر انداختن رایانه‌های دیگر استفاده کرد. در طول نفوذ اشخاص ثالث و غیر سازمانی (رخنه‌گرها)، یک تیم قرمز ممکن است با تیم آبی متحد شود تا به دفاع از سازمان کمک کنند. قوانین درگیری و رویه‌های عملیاتی استاندارد اغلب برای اطمینان از اینکه تیم قرمز در طول تمرینات خود آسیبی وارد نمی‌کند تدوین و اعمال می‌شود.

واحد فیزیکی تیم قرمز برای ورود به مناطق ممنوعه سازمان یا شرکت تمرکز دارد. این کار برای تست و بهینه سازی امنیت فیزیکی مانند نرده‌ها، دوربین ها، آلارم‌ها، قفل‌ها و رفتار کارکنان انجام می شود. مانند واحد فنی تیم قرمز، قوانین درگیری و عملیاتی متناسب با شرایط برای آن‌ها تدوین و اعمال می‌شود تا در طول تمرینات خود آسیبی به سازمان وارد نشود. تیم قرمز فیزیکی اغلب شامل یک مرحله شناسایی است که در آن اطلاعات جمع‌آوری می‌شود و نقاط ضعف امنیتی شناسایی می‌شوند و سپس از آن اطلاعات برای انجام عملیات (معمولاً در شب) برای ورود فیزیکی به محل استفاده می‌شود. دستگاه های امنیتی با استفاده از ابزارها و تکنیک‌ها شناسایی و شکست خواهند خورد. به تیم‌های قرمز فیزیکی اهداف مشخصی مانند دسترسی به اتاق سرور و گرفتن یک هارد دیسک قابل حمل، یا دسترسی به دفتر یک مدیر اجرایی و گرفتن اسناد محرمانه داده می‌شود.

از تیم‌های قرمز در چندین زمینه از جمله امنیت سایبری، امنیت فرودگاه، اجرای قانون، ارتش و سازمان‌های اطلاعاتی استفاده می شوند. در دولت ایالات متحده، تیم های قرمز توسط ارتش، تفنگداران دریایی، وزارت دفاع، اداره هوانوردی فدرال و اداره امنیت حمل و نقل استفاده می‌شود.^[۱]

پیشینه

مفهوم تیم قرمز و تیم آبی در اوایل دهه ۱۹۶۰ ظهور کرد. یکی از نمونه‌های اولیه تیم قرمز شامل اندیشکده رند کورپوریشن بود که شبیه‌سازی‌هایی را برای ارتش ایالات متحده در طول جنگ سرد انجام داد. "تیم قرمز" و رنگ قرمز برای نشان دادن اتحاد جماهیر شوروی و "تیم آبی" و رنگ آبی برای نشان دادن ایالات متحده استفاده می شد. نمونه اولیه دیگر مربوط به وزیر دفاع ایالات متحده رابرت مک نامارا بود که یک تیم قرمز و یک تیم آبی را گرد هم آورد تا کشف کند که به کدام پیمانکار دولتی باید قرارداد هواپیمای آزمایشی اعطا شود. یکی دیگر از نمونه‌های اولیه، مدل‌سازی مذاکره یک معاهده کنترل تسلیحات و ارزیابی اثربخشی آن است.

تیم‌های قرمز گاهی با «تفکر متضاد» و تفکر گروهی مبارزه می‌کنند، تمایل گروه‌ها به ایجاد و حفظ مفروضات حتی در زمانی که شواهد برخلاف آن باشد. یکی از نمونه‌های گروهی که تیم قرمز نامیده نمی‌شد، اما مسلماً یکی از اولین نمونه‌های تشکیل گروهی برای مبارزه با تفکر گروهی بود،ایپچا میستابرا (Ipcha Mistabra) اسرائیلی است که پس از شکست‌های تصمیم‌گیری اسرائیل در طول جنگ یوم کیپور در سال ۲۰۱۸ تشکیل شد. حمله به اسرائیل با وجود شواهد فراوان از حمله قریب الوقوع، تقریباً اسرائیل را غافلگیر کرد و تقریباً منجر به شکست اسرائیل شد. ایپچا میستابرا پس از جنگ شکل گرفت و با توجه به این وظیفه که همواره تحلیلی خلاف، غیرمنتظره یا غیرمتعارف از گزارش های سیاست خارجی و اطلاعاتی ارائه کند، به گونه ای که در آینده کمتر نادیده گرفته شود فعالیت می‌کند.

در اوایل دهه ۲۰۰۰، نمونه هایی از تیم‌های قرمز وجود داشت که برای تمرینات تئوری استفاده می‌شد. تمرین تئوری سا تمرینات روی میز اغلب توسط اولین پاسخ دهندگان استفاده می شود و شامل اقدام و برنامه ریزی برای بدترین سناریوها، شبیه به بازی تخته‌ای است. در پاسخ به حملات ۱۱ سپتامبر، با در نظر گرفتن مبارزه با تروریسم، سازمان اطلاعات مرکزی یک سلول قرمز جدید ایجاد کرد، و تیم‌های قرمز برای مدل سازی پاسخ به جنگ نامتقارن مانند تروریسم استفاده شدند. در پاسخ به شکست های جنگ عراق، تیم قرمز در ارتش ایالات متحده رایج‌تر شد.^[۲]

با گذشت زمان، تمرین تیم قرمز به سایر صنایع و سازمان‌ها، از جمله شرکت‌ها، سازمان‌های دولتی و سازمان‌های غیرانتفاعی گسترش یافت. این رویکرد به طور فزاینده ای در دنیای امنیت سایبری محبوب شده است، جایی که تیم های قرمز برای شبیه سازی حملات دنیای واقعی به زیرساخت دیجیتال یک سازمان کمک کرده و آزمایش‌های اثربخشی برای اقدامات امنیت سایبری آنها انجام می‌دهند.

امنیت سایبری

واحد فنی تیم قرمز (واحد تکنیکال) برای تست نفوذپذیری و آزمایش امنیت دیجیتال یک سازمان وظیفه‌ی طراحی و پیاده سازی نفوذهای دیجیتال به شبکه‌های کامپیوتری آن‌ها را دارد.

واژه شناسی

تیم آبی گروهی است که وظیفه دفاع در برابر نفوذ را بر عهده دارد.

در امنیت سایبری، یک تست نفوذ شامل هکرهای اخلاقی (آزمایش کننده‌ها) است که بدون هیچ عنصر غافلگیر کننده‌ای سعی می‌کنند به یک سیستم رایانه‌ای نفوذ کنند.^[۲] سازمان از آزمون نفوذ آگاه است و آماده دفاع است.یک تیم قرمز یک قدم فراتر می رود و نفوذ فیزیکی، مهندسی اجتماعی و عنصر شگفتی را اضافه می کند. به تیم آبی هیچ هشداری در مورد تیم قرمز داده نمی شود و با آن به عنوان یک نفوذ واقعی برخورد خواهد شد. یکی از نقش های تیم قرمز دائمی و داخلی، بهبود فرهنگ امنیتی سازمان است. یک تیم بنفش ترکیب موقتی از هر دو تیم است و می‌تواند پاسخ‌های اطلاعاتی سریعی را در طول آزمایش ارائه دهد. یکی از مزیت‌های تیم‌سازی بنفش این است که تیم قرمز می‌تواند حملات خاصی را به طور مکرر انجام دهد، و تیم آبی می‌تواند از آن برای راه‌اندازی نرم‌افزار تشخیص، کالیبره کردن آن و افزایش پیوسته نرخ تشخیص استفاده کند. تیم‌های بنفش ممکن است در جلسات «شکار تهدید» شرکت کنند، جایی که تیم قرمز و آبی به دنبال مزاحمان واقعی می‌گردند. مشارکت دادن سایر کارمندان در تیم بنفش نیز سودمند است، برای مثال مهندسان نرم‌افزار که می‌توانند در ثبت گزارش و هشدارهای نرم‌افزار کمک کنند، و مدیرانی که می‌توانند به شناسایی مضرترین سناریوهای مالی کمک کنند. یکی از خطرات تیم بنفش، رضایت و توسعه تفکر گروهی است که می‌توان با استخدام افراد با مهارت‌های مختلف یا استخدام یک فروشنده خارجی با آن مبارزه کرد. تیم سفید گروهی است که بر عملیات بین تیم های قرمز و تیم های آبی نظارت و مدیریت می کند. به عنوان مثال، ممکن است تیم سفید متشکل از مدیران یک شرکت باشند که قوانین تعامل را برای تیم قرمز تعیین می کنند.^[۳]

حملات

نقطه ورود اولیه یک تیم قرمز یا حریف، ساحل نامیده می شود. یک تیم بالغ آبی اغلب در مهاجمان در نقطه‌ی ورود یا همان ابتدای ساحل، و بیرون راندن مهاجمان ماهر است. نقش تیم قرمز افزایش مهارت های تیم آبی است.

هنگام نفوذ، یک رویکرد "جراحی" مخفیانه وجود دارد که زیر رادار تیم آبی باقی می ماند و به یک هدف واضح نیاز دارد، و یک رویکرد "بمباران فرش" پر سر و صدا که بیشتر شبیه یک حمله بی رحمانه است. بمباران فرش اغلب روش مفیدتری برای تیم‌های قرمز است، زیرا می‌تواند آسیب‌پذیری‌های غیرمنتظره را کشف کند.

انواع مختلفی از تهدیدات امنیت سایبری وجود دارد. تهدیدها ممکن است از چیزهای سنتی مانند هک کردن کنترلر دامنه شبکه یا چیزهای کمتر متعارف مانند راه اندازی استخراج ارزهای دیجیتال یا دسترسی بیش از حد کارمندان به اطلاعات شناسایی شخصی (PII) باشد که شرکت را در برابر مقررات حفاظت از داده‌های عمومی (GDPR) باز می کند. هر یک از این تهدیدها را می‌توان با گزارش‌های تیم قرمز ترکیب کرد تا مشخص شود که چقدر مشکل جدی است. تمرین‌های تئوری، که در آن نفوذها به صورت تئوری و فرضیه مشابه با نحوه انجام یک بازی تخته‌ای انجام می‌شوند، می‌توانند برای شبیه‌سازی نفوذهایی که برای اجرای زنده بسیار سنگین، بسیار پیچیده یا غیرقانونی هستند، استفاده شوند. تلاش برای نفوذ به تیم قرمز و تیم آبی، علاوه بر اهداف سنتی‌تر، می تواند مفید باشد.

پس از دستیابی به یک شبکه، شناسایی می‌تواند انجام شود. داده‌های جمع آوری شده را می‌توان در یک پایگاه داده گراف قرار داد، که نرم‌افزاری است که گره‌ها، روابط و خصوصیات را به صورت بصری ترسیم می کند. گره‌های معمولی ممکن است رایانه‌ها، کاربران یا گروه‌های مجوز باشند. تیم‌های قرمز معمولاً پایگاه‌های اطلاعاتی نموداری بسیار خوبی از سازمان خود خواهند داشت، زیرا می‌توانند از مزیت میدان خانگی، از جمله همکاری با تیم آبی برای ایجاد یک نقشه کامل از شبکه، و فهرست کاملی از کاربران و مدیران استفاده کنند. یک زبان پرس و جو مانند Cypher می تواند برای ایجاد و اصلاح پایگاه داده های نمودار استفاده شود. هر نوع حساب مدیر برای قرار دادن در پایگاه داده نمودار ارزشمند است، از جمله مدیران ابزارهای شخص ثالث مانند خدمات وب آمازون (AWS).گاهی می توان داده‌ها را از ابزارها صادر کرد و سپس در پایگاه داده گراف درج کرد.

هنگامی که تیم قرمز یک رایانه، وب سایت یا سیستم را به خطر انداخت، یک تکنیک قدرتمند شکار اعتبار است. اینها می‌توانند به صورت رمزهای عبور متنی واضح، متن رمزنگاری شده، هش یا نشانه های دسترسی باشند. تیم قرمز به یک رایانه دسترسی پیدا می‌کند، به دنبال اعتباری می‌گردد که می‌تواند برای دسترسی به رایانه دیگری استفاده شود، سپس این کار با هدف دسترسی به رایانه‌های زیادی تکرار می‌شود. اعتبارنامه‌ها را می‌توان از بسیاری از مکان‌ها، از جمله فایل‌ها، مخازن کد منبع مانند گیت (Git)، حافظه رایانه، و نرم‌افزار ردیابی و ثبت نام به سرقت برد. برای دسترسی به وب‌سایت‌ها و ماشین‌ها بدون وارد کردن رمز عبور، می‌توان از تکنیک‌هایی مانند پاس دادن کوکی و عبور هش استفاده کرد. تکنیک‌هایی مانند تشخیص کاراکتر نوری (OCR)، بهره‌برداری از رمزهای عبور پیش‌فرض، جعل درخواست اعتبار، و فیشینگ نیز می‌توانند مورد استفاده قرار گیرند.

تیم قرمز می تواند از برنامه‌نویسی رایانه و اسکریپت‌های رابط خط فرمان (CLI) برای خودکارسازی برخی از وظایف خود استفاده کند. برای مثال، اسکریپت‌های CLI می‌توانند از Component Object Model (COM) در ماشین‌های مجازی مایکروسافت ویندوز به منظور خودکارسازی وظایف در برنامه‌های مایکروسافت آفیس استفاده کنند. کارهای مفید ممکن است شامل ارسال ایمیل، جستجوی اسناد، رمزگذاری یا بازیابی داده ها باشد. تیم‌های قرمز می‌توانند با استفاده از COM اینترنت اکسپلورر، ویژگی اشکال‌زدایی از راه دور گوگل کروم، یا چارچوب آزمایشی سلنیوم، کنترل مرورگر را در دست بگیرند.

دفاع

در طول یک نفوذ واقعی، تیم قرمز می‌تواند برای کمک به دفاع با تیم آبی همکاری کند. به طور خاص، آنها می‌توانند تجزیه و تحلیلی از اقداماتی که مهاجمان در آینده برای نفوذ خواهند داشت، ارائه دهند. در هنگام نفوذ، هم تیم قرمز و هم تیم آبی از مزیت میدان خانگی برخوردارند، زیرا با شبکه‌ها و سیستم‌های سازمان بیشتر آشنا هستند تا مهاجمان.

تیم قرمز یک سازمان ممکن است یک هدف جذاب برای مهاجمان واقعی باشد. رایانه و سرورهای اعضای تیم قرمز ممکن است حاوی اطلاعات حساس در مورد سازمان باشند. در نتیجه، رایانه‌های اعضای تیم قرمز اغلب از ایمنی بیشتری برخوردار هستند. می‌شوند. تکنیک‌های ایمن‌سازی رایانه‌ها شامل پیکربندی دیوار آتش سیستم‌عامل، محدود کردن دسترسی پوسته امن (SSH) و بلوتوث، بهبود گزارش‌گیری و هشدارها، حذف ایمن فایل‌ها و رمزگذاری درایوهای سخت است.

یکی از تاکتیک‌ها، شرکت در «دفاع فعال» است، که شامل راه‌اندازی طعمه‌ها و هانی‌پات‌ها برای کمک به ردیابی مکان مهاجمان است. این هانی‌پات ها می‌توانند به تیم آبی در مورد نفوذ شبکه ای که ممکن است شناسایی نشده باشد، هشدار دهند. بسته به سیستم عامل، می‌توان از نرم‌افزارهای مختلفی برای راه‌اندازی یک فایل هانی‌پات استفاده کرد: ابزارهای مکینتاش شامل OpenBMS، ابزارهای لینوکس شامل پلاگین‌های ممیزی‌شده و ابزارهای ویندوز شامل فهرست‌های کنترل دسترسی سیستم (SACL) هستند. اعلان‌ها می‌تواند شامل پنجره‌های بازشو، ایمیل‌ها و نوشتن در یک فایل گزارش باشد. نظارت متمرکز، که در آن فایل‌های گزارش مهم به سرعت به نرم‌افزار گزارش‌گیری روی یک ماشین دیگر ارسال می‌شوند، یک تکنیک دفاعی شبکه مفید محسوب می‌شود.

جستار وابسته

منابع

↑ "What is red teaming?". WhatIs.com (به انگلیسی). Retrieved 2023-08-17.
↑ ^۲٫۰ ^۲٫۱ «Penetration Testing Versus Red Teaming: Clearing the Confusion». Security Intelligence (به انگلیسی). دریافت‌شده در ۲۰۲۳-۰۸-۱۷.
↑ Nicholls، Mark (۲۰۲۳-۰۳-۲۹). «What is Purple Teaming? How Can it Strengthen Security?». Redscan (به انگلیسی). دریافت‌شده در ۲۰۲۳-۰۸-۱۷.

[1] "What is red teaming?". WhatIs.com (به انگلیسی). Retrieved 2023-08-17.

[securityintelligence.com-2] ۲٫۰ ^۲٫۱ «Penetration Testing Versus Red Teaming: Clearing the Confusion». Security Intelligence (به انگلیسی). دریافت‌شده در ۲۰۲۳-۰۸-۱۷.

[3] Nicholls، Mark (۲۰۲۳-۰۳-۲۹). «What is Purple Teaming? How Can it Strengthen Security?». Redscan (به انگلیسی). دریافت‌شده در ۲۰۲۳-۰۸-۱۷.

[۱]

[۲]

[۳]