در این مقاله آموزشی قصد دایم تا در رابطه با تیم قرمز صحبت کنیم و نقش این تیم امنیتی در نفوذ رو بیشتر بشناسیم 🙂 تیم قرمز گروهی است که تظاهر به دشمن بودن میکنه، سعی میکنه یک نفوذ فیزیکی یا دیجیتالی علیه یک سازمان به دستور آن سازمان رو انجام بده، سپس گزارش مییده تا سازمان بتونه دفاع خودش رو در مقابل تهدیدات و حملات بهبود ببخشه. تیم های قرمز برای سازمان کار می کنند یا توسط سازمان استخدام می شن. کار آنها قانونی هست، اما می تواند برخی از کارمندان را شگفت زده کند که ممکن است ندانند که تیم قرمز در حال پیاده سازی یک سناریو حمله هست، یا ممکنه توسط تیم قرمز فریب بخورند.
بیشتر ببینید : جذابترین دوره آموزشی تکنیک های تیم قرمز (Red Team Techniques)
یک تیم قرمز یک قدم فراتر می رود و نفوذ فیزیکی، مهندسی اجتماعی و عناصر دیگری را اضافه می کند. به تیم آبی هیچ هشداری در مورد تیم قرمز داده نمی شود و با آن به عنوان یک نفوذ واقعی برخورد خواهد کرد.یکی از نقش های تیم قرمز دائمی و داخلی، بهبود فرهنگ امنیتی سازمان است.یک تیم بنفش ترکیب موقتی از هر دو تیم است و میتواند پاسخ های اطلاعاتی سریعی را در طول آزمایش ارائه دهد یکی از مزیت های تیمسازی بنفش این است که تیم قرمز میتواند حملات خاصی را به طور مکرر انجام دهد، و تیم آبی میتواند از آن برای راه اندازی نرم افزار تشخیص، کالیبره کردن آن و افزایش پیوسته نرخ تشخیص استفاده کند.تیم های بنفش ممکن است در جلسات شکار تهدید شرکت کنند، جایی که تیم قرمز و آبی به دنبال مزاحمان واقعی میگردند.
مشارکت دادن سایر کارمندان در تیم بنفش نیز سودمند است، برای مثال مهندسان نرمافزار که میتوانند در ثبت گزارش و هشدار های نرم افزار کمک کنند، و مدیرانی که میتوانند به شناسایی مضرترین سناریو های مالی کمک کنند.یکی از خطرات تیم ارغوانی، رضایت و توسعه تفکر گروهی است که میتوان با استخدام افراد با مهارت های مختلف یا استخدام یک فروشنده خارجی با آن مبارزه کرد.
مدیریت یک تیم قرمز
استفاده از قوانین تعامل میتواند به تعیین سیستم های غیرمجاز، جلوگیری از حوادث امنیتی و اطمینان از رعایت حریم خصوصی کارکنان کمک کند.استفاده از یک روش عملیاتی استاندارد (SOP) میتواند اطمینان حاصل کند که افراد مناسب در برنامهریزی مطلع شده و درگیر هستند، و فرآیند تیم قرمز را بهبود میبخشد و آن را بالغ و قابل تکرار میکند.فعالیت های تیم قرمز معمولاً دارای ریتم منظمی هستند.
نفوذ فیزیکی
تیم قرمز در تست نفوذ فیزیکی که شامل آزمایش امنیت فیزیکی یک مرکز، از جمله اقدامات امنیتی کارکنان و تجهیزات امنیتی آن است. نمونه هایی از تجهیزات امنیتی عبارتند از دوربین های امنیتی، قفل ها و نرده ها. در تست نفوذ فیزیکی، شبکه های کامپیوتری معمولاً هدف نیستند. برخلاف امنیت سایبری که معمولاً دارای لایههای امنیتی زیادی است، ممکن است تنها یک یا دو لایه امنیت فیزیکی وجود داشته باشد.
شناسایی (Recon)
یک مرحله ای است که در آن اطلاعات جمع آوری میشود و نقاط ضعف امنیتی شناسایی میشوند و سپس از آن اطلاعات برای انجام عملیات (معمولاً در شب) برای ورود فیزیکی به محل استفاده میشود. دستگاه های امنیتی با استفاده از ابزارها و تکنیک ها شناسایی و شکست خواهند خورد.
بیشتر یاد بگیرید : کاملترین دوره آموزش تکنیک های تیم قرمز بصورت عملی و سناریو محور
فرق بین Penetration Testing (تست نفوذ) با Red Team (تیم قرمز)
تیم قرمز کارش اینه که بیاد همه ی راه های نفوذ رو بررسی بکنه ینی هر راه نفوذی که به اون شبکه یا سیستم و… اون سازمان وجود داره رو این تیم باید بررسی کنه.
توی Penetration Test اون pentester یا کسی که قراره کاره penetration test رو انجام بده میاد و با اون سازمان یک قرداد میبنده که میخوام سازمان شماره از لحاظ امنیتی بررسی کنم حالا اون سازمان هم بر اساس یکسری معیار ها و فیلتر هایی که روش اعمال میکنه و بهش میگه ینی اون pentester ممکنه محدود باشه و یکسری کارارو نتونه بکنه و خلاصه اون قراداد مورد نظر بر اساس شرایط و قوانینی که مدیر یا مسئول اون سازمان تعیین میکنه میبندن و در آخر وقتی pentester کارش رو انجام داد یک گزارش کامل و با جزئیات از تستی که زده باید به اون کارفرما یا مسئول اون سازمان بده و در اخر هم ی مبلغی در قبالش دریافت میکنه که یجورایی تست نفوذ میشه هک بصورت قانونی یا هک یکچیزی با اجازه ی خود شخص.
تفاوت تیم قرمز با تیم آبی چیست؟
تیم های قرمز و آبی چیزی بیش از تکنیک های هک و نفوذ هستند. در واقع، این تیم ها نقش مهمی در دفاع در برابر حملات سایبری پیشرفته ای دارند که ارتباطات تجاری، داده های حساس مشتری یا اسرار تجاری را تهدید می کند.تیم های قرمز متخصصان امنیتی تهاجمی هستند که در حمله به سیستم ها و نفوذ به سیستم دفاعی متخصص هستند. تیم های آبی متخصصان امنیتی دفاعی هستند که مسئول حفظ سیستم دفاعی شبکه داخلی در برابر تمام حملات و تهدیدات سایبری هستند. تیم های قرمز حملات علیه تیم های آبی را شبیه سازی میکنند تا اثر بخشی امنیت شبکه را آزمایش کنند. این تمرین های تیمی قرمز و آبی یک راهحل امنیتی جامع را ارائه میکند که ضمن در نظر گرفتن تهدیدات در حال تحول، دفاع قوی را تضمین میکند.
یک تیم قرمز چگونه کار می کند؟
ممکن است تعجب کنید که تیم های قرمز زمان بیشتری را صرف برنامه ریزی حمله میکنند تا حملات انجام دهند. در واقع، تیم های قرمز تعدادی روش را برای دسترسی به یک شبکه به کار میگیرند.به عنوان مثال، حملات مهندسی اجتماعی برای ارائه کمپین های فیشینگ هدفمند به شناسایی و تحقیق متکی هستند. به همین ترتیب، قبل از انجام تست نفوذ، از sniffer های بسته و تحلیلگرهای پروتکل برای اسکن شبکه و جمع آوری اطلاعات تا حد امکان در مورد سیستم استفاده می شود.
اطلاعات معمول جمع آوری شده در این مرحله شامل موارد زیر است:
- کشف سیستم عامل های در حال استفاده (ویندوز، macOS یا لینوکس).
- شناسایی ساخت و مدل تجهیزات شبکه (سرور، فایروال، سوئیچ، روتر، اکسس پوینت، کامپیوتر و …).
- درک کنترل های فیزیکی (درها، قفل ها، دوربین ها، پرسنل امنیتی).
- یادگیری اینکه چه پورت هایی در فایروال باز/بسته می شوند تا ترافیک خاصی را مجاز یا مسدود کنند.
- ایجاد نقشه ای از شبکه برای تعیین اینکه چه میزبانی چه خدماتی را اجرا می کند و ترافیک به کجا ارسال می شود.
هنگامی که تیم قرمز ایده کامل تری از سیستم پیدا کرد، یک برنامه اقدام طراحی شده برای هدف قرار دادن آسیب پذیری های خاص به اطلاعاتی که در بالا جمع آوری کرد، ایجاد می کند.برای مثال، یکی از اعضای تیم قرمز ممکن است بداند که سروری مایکروسافت ویندوز سرور 2016 R2 (سیستم عامل سرور) را اجرا میکند و ممکن است خطمشیهای پیشفرض دامنه همچنان در حال استفاده باشند.
مایکروسافت نرم افزار خود را در حالت پیشفرض ارسال میکند و آن را به مدیران شبکه میسپارد تا خط مشی ها را به روز رسانی کنند،مایکروسافت توصیه میکند در اسرع وقت بروزرسانی ها انجام شود تا امنیت شبکه سخت تر شود. اگر همچنان روی حالت پیشفرض تنظیم شود، مهاجم میتواند اقدامات امنیتی را به خطر بیاندازد.پس از شناسایی آسیب پذیری ها، یک تیم قرمز سعی میکند از این نقاط ضعف برای دسترسی به شبکه شما سوء استفاده کند. هنگامی که یک مهاجم در سیستم شما قرار می گیرد، روش معمول اقدام استفاده از تکنیک های افزایش امتیاز است، به موجب آن مهاجم سعی می کند اعتبار مدیری را که دسترسی بیشتر و کامل به بالاترین سطوح اطلاعات حیاتی دارد، بدزدد.
نمونه هایی از تمرینات تیم قرمز
تیم های قرمز از روش ها و ابزار های مختلفی برای بهره برداری از نقاط ضعف و آسیب پذیری در یک شبکه استفاده میکنند. مهم است که توجه داشته باشید که تیم های قرمز از هر وسیلهای که بر اساس شرایط تعامل لازم باشد برای نفوذ به سیستم شما استفاده خواهند کرد. بسته به آسیب پذیری، ممکن است بدافزار را برای آلوده کردن میزبان ها یا حتی دور زدن کنترل های امنیتی فیزیکی با شبیهسازی کارت های دسترسی به کار گیرند.
- تست نفوذ: این کلمه که همچنین به عنوان هک اخلاقی شناخته می شود، جایی است که تستر سعی می کند به یک سیستم دسترسی پیدا کند، اغلب با استفاده از ابزار های نرم افزاری. به عنوان مثال ابزار John The Ripper یک برنامه شکستن رمز عبور است. می تواند نوع رمزگذاری مورد استفاده را تشخیص دهد و سعی کند آن را دور بزند.
- مهندسی اجتماعی جایی است که تیم قرمز تلاش می کند تا اعضای کارکنان را متقاعد یا فریب دهد تا اعتبار خود را افشا کنند یا اجازه دسترسی به یک منطقه محدود را بدهند.
- فیشینگ مستلزم ارسال ایمیل های ظاهراً معتبری است که کارکنان را به انجام اقدامات خاصی از جمله ورود به وب سایت هکر و وارد کردن اعتبار تشویق میکند.
- ابزار های نرم افزار ارتباط رهگیری مانند بسته ها و تحلیلگر های پروتکل را میتوان برای نقشه برداری از شبکه یا خواندن پیام های ارسال شده به صورت متن شفاف استفاده کرد. هدف این ابزارها به دست آوردن اطلاعات در مورد سیستم است. به عنوان مثال، اگر مهاجمی بداند که سروری در سیستم عامل مایکروسافت در حال اجرا است، حملات خود را برای سوء استفاده از آسیب پذیری های مایکروسافت متمرکز می کند.
- شبیه سازی کارت امنیتی یک کارمند برای اجازه دسترسی به مناطق نامحدود، مانند اتاق سرور.
یک تیم آبی چگونه کار می کند؟
تیم آبی ابتدا داده ها را جمع آوری می کند، دقیقاً آنچه را که باید محافظت شود مستند می کند و ارزیابی ریسک را انجام می دهد. سپس آنها دسترسی به سیستم را از بسیاری جهات سخت تر می کنند، از جمله معرفی سیاست های رمز عبور قوی تر و آموزش کارکنان برای اطمینان از درک و مطابقت با رویه های امنیتی.ابزار های نظارتی اغلب در محل قرار میگیرند که به اطلاعات مربوط به دسترسی به سیستم ها اجازه ثبت و بررسی برای فعالیت غیرمعمول را میدهند. تیم های آبی بررسی های منظمی را روی سیستم انجام میدهند، به عنوان مثال، بررسی دقیق DNS، اسکن آسیب پذیری شبکه داخلی یا خارجی و گرفتن نمونه ترافیک شبکه برای تجزیه و تحلیل.
تیم های آبی باید تدابیر امنیتی را در اطراف دارایی های کلیدی یک سازمان ایجاد کنند. آنها طرح دفاعی خود را با شناسایی دارایی های حیاتی شروع می کنند، اهمیت این دارایی ها را برای کسب و کار مستند می کنند و فقدان این دارایی ها چه تاثیری خواهد داشت.سپس تیم های آبی با شناسایی تهدیدات علیه هر دارایی و نقاط ضعفی که این تهدیدها میتوانند از آنها استفاده کنند، ارزیابی ریسک را انجام میدهند. با ارزیابی ریسک ها و اولویت بندی آن، تیم آبی برای اجرای کنترل هایی که میتواند تأثیر یا احتمال تحقق تهدیدات علیه دارایی ها را کاهش دهد، یک برنامه عملی ایجاد میکند.
برای مثال، یک تیم آبی ممکن است تشخیص دهد که شبکه شرکت در برابر حمله DDoS (منع سرویس توزیع شده) آسیب پذیر است. این حمله با ارسال درخواست های ناقص ترافیک به سرور، دسترسی شبکه به کاربران قانونی را کاهش میدهد. هر یک از این درخواست ها برای انجام یک عمل به منابع نیاز دارند، به همین دلیل است که حمله به شدت یک شبکه را فلج می کند.سپس تیم ضرر را در صورت وقوع تهدید محاسبه می کند. بر اساس تجزیه و تحلیل هزینه و فایده و همسویی با اهداف تجاری، یک تیم آبی نصب یک سیستم تشخیص نفوذ و پیشگیری را برای به حداقل رساندن خطر حملات DDoS در نظر می گیرد.
تیم های آبی از روش ها و ابزار های مختلفی به عنوان اقدامات متقابل برای محافظت از شبکه در برابر حملات سایبری استفاده می کنند. بسته به موقعیت، یک تیم آبی ممکن است تشخیص دهد که فایروال های اضافی برای مسدود کردن دسترسی به یک شبکه داخلی باید نصب شود. یا خطر حملات مهندسی اجتماعی آنقدر حیاتی است که هزینه اجرای آموزش آگاهی امنیتی در سطح شرکت را تضمین می کند.
نمونه هایی از تمرینات تیم آبی عبارتند از:
- انجام آنالیز دقیق DNS (سرور نام دامنه) برای جلوگیری از حملات فیشینگ، جلوگیری از مشکلات DNS کهنه، جلوگیری از خرابی حذف رکوردهای DNS، و جلوگیری/کاهش حملات DNS و وب.
- انجام تجزیه و تحلیل ردپای دیجیتال برای ردیابی فعالیت کاربران و شناسایی هر گونه امضای شناخته شده ای که ممکن است نشان دهنده نقض امنیت باشد.
- نصب نرم افزار امنیتی نقطه پایانی بر روی دستگاه های خارجی مانند لپ تاپ و گوشی های هوشمند.
- اطمینان از پیکربندی صحیح کنترل های دسترسی فایروال و به روز نگه داشتن نرم افزار آنتی ویروس
- استقرار نرم افزار IDS و IPS به عنوان یک کنترل امنیتی کارآگاهی و پیشگیرانه.
- پیاده سازی راه حل های SIEM برای ثبت و جذب فعالیت های شبکه.
- تجزیه و تحلیل گزارش ها و حافظه برای شناسایی فعالیت های غیرعادی در سیستم، و شناسایی و مشخص کردن حمله.
- جداسازی شبکه ها و اطمینان از پیکربندی صحیح آنها.
- انجام اسکن های آسیب پذیری معمولی
- ایمن سازی سیستم ها با استفاده از آنتی ویروس یا نرم افزارهای ضد بدافزار.
- تعبیه امنیت در فرآیندها
دوره تکنیک های تیم قرمز | Red Team Techniques
امیدوارم از این مقاله آموزشی لذت برده باشید 🙂