تیم های متعددی برای مبارزه با حملات سایبری در یک شبکه کار می کنند که یکی از آنها تیم آبی است. پس واقعاً چه می کنند؟
تیم آبی تمرین ایجاد و محافظت از یک محیط امنیتی و واکنش به حوادثی است که آن محیط را تهدید می کند. اپراتورهای امنیت سایبری تیم آبی در نظارت بر محیط امنیتی که از آسیب پذیری ها محافظت می کنند، چه از قبل وجود داشته باشد و چه توسط مهاجمان ایجاد شده باشد، ماهر هستند. تیمهای آبی حوادث امنیتی را مدیریت میکنند و از درسهای آموختهشده برای سختتر کردن محیط در برابر حملات آینده استفاده میکنند.
پس چرا تیم های آبی مهم هستند؟ آنها در واقع چه نقش هایی را بر عهده می گیرند؟
چرا تیم آبی مهم است؟
محصولات و خدمات ساخته شده بر اساس فناوری از حملات سایبری مصون نیستند. این مسئولیت ابتدا بر عهده ارائه دهندگان فناوری است تا از کاربران خود در برابر حملات سایبری داخلی یا خارجی محافظت کنند که می تواند داده ها یا دارایی های آنها را به خطر بیندازد. کاربران فناوری نیز در این مسئولیت سهیم هستند، اما کاربر نمی تواند برای دفاع از یک محصول یا خدمات با امنیت ضعیف انجام دهد.
کاربران عادی نمیتوانند بخشهایی از متخصصان فناوری اطلاعات را برای طراحی معماریهای امنیتی یا پیادهسازی ویژگیهایی که امنیت خودشان را افزایش میدهند، استخدام کنند. این مسئولیت اعتباری شرکتی است که در زمینه سخت افزار و زیرساخت شبکه سروکار دارد.
سازمان های نظارتی مانند موسسه ملی استاندارد و فناوری (NIST) نیز نقش خود را ایفا می کنند. برای مثال، NIST چارچوبهای امنیت سایبری را طراحی میکند که شرکتها از آن استفاده میکنند تا اطمینان حاصل شود که محصولات و خدمات فناوری اطلاعات استانداردهای امنیتی را رعایت میکنند.
همه چیز متصل است
همه از طریق سخت افزار و زیرساخت های شبکه (لپ تاپ و وای فای خود را در نظر بگیرید) به اینترنت متصل می شوند. ارتباطات و تجارت های مهم بر روی این زیرساخت ها ساخته شده اند، بنابراین همه چیز به هم متصل است. به عنوان مثال، شما عکس می گیرید و در گوشی خود ذخیره می کنید. شما از آن فایل ها در فضای ابری نسخه پشتیبان تهیه می کنید. بعداً، برنامههای رسانههای اجتماعی روی تلفنتان به شما کمک میکنند لحظاتی را با خانواده و دوستانتان به اشتراک بگذارید.
برنامههای بانکی و پلتفرمهای پرداخت به شما کمک میکنند تا برای چیزهایی بدون صف فیزیکی در بانک یا ارسال چک بپردازید و میتوانید مالیات را به صورت آنلاین ثبت کنید. همه اینها روی پلتفرمهایی اتفاق میافتند که از طریق یک فناوری ارتباطی بیسیم تعبیهشده در تلفن یا لپتاپ به آن متصل میشوید.
اگر یک هکر بتواند دستگاه یا شبکه بی سیم شما را به خطر بیاندازد، می تواند تصاویر خصوصی، جزئیات ورود به بانک و اسناد هویتی شما را بدزدد. آنها حتی می توانند شما را جعل کنند و چیزهایی را از افراد حلقه اجتماعی شما بدزدند. سپس آنها می توانند این گنجینه اطلاعات دزدیده شده را به سایر هکرها بفروشند یا شما را مجبور به باج گیری کنند.
بدتر از آن، چرخه با یک هک به پایان نمی رسد. قربانی شدن یک هک از قبل به این معنی نیست که مهاجمان دیگر از شما اجتناب می کنند. شانس این است که از شما یک آهنربا می سازد. بنابراین، بهتر است در وهله اول از شروع حملات جلوگیری کنید. و اگر پیشگیری موثر واقع نشد، مهم است که آسیب را محدود کنید و از حملات بعدی جلوگیری کنید. از طرف خود، میتوانید با امنیت لایهای نوردهی را محدود کنید. این شرکت وظیفه را به تیم آبی خود محول می کند.
بازیکنان نقش در تیم آبی
تیم آبی متشکل از اپراتورهای امنیتی فنی و غیرفنی با نقش ها و مسئولیت های خاص است. اما، البته، تیم های آبی می توانند آنقدر بزرگ باشند که زیر گروه هایی از چندین اپراتور وجود داشته باشد. گاهی اوقات، نقش ها با هم همپوشانی دارند. تمرینات تیم قرمز در مقابل تیم آبی معمولاً دارای نقش های زیر است:
- تیم آبی عملیات دفاعی را برنامه ریزی می کند و نقش ها و مسئولیت هایی را به دیگر اپراتورها در سلول آبی محول می کند.
- سلول آبی شامل اپراتورهایی است که جلوی دفاع را می گیرند.
- عوامل مورد اعتماد افرادی هستند که از حمله اطلاع دارند یا حتی در وهله اول تیم قرمز را به خدمت می گیرند. با وجود دانش قبلی آنها از تمرین، عوامل مورد اعتماد بی طرف هستند. عوامل مورد اعتماد در امور تیم قرمز دخالت نمی کنند و به دفاع توصیه نمی کنند.
- سلول سفید شامل اپراتورهایی است که به عنوان بافر عمل می کنند و با هر دو تیم در ارتباط هستند. آنها داورانی هستند که اطمینان حاصل می کنند که فعالیت های آبی ها و تیم قرمز باعث ایجاد مشکلات ناخواسته خارج از محدوده تعامل نمی شوند.
- ناظران افرادی هستند که کارشان تماشا است. آنها بازی نامزدی را تماشا می کنند و مشاهدات خود را یادداشت می کنند. ناظران بی طرف هستند. در بیشتر موارد، آنها حتی نمی دانند چه کسی در تیم های آبی یا قرمز حضور دارد.
- تیم قرمز متشکل از اپراتورهایی است که به معماری امنیتی هدف حمله می کنند. وظیفه آنها یافتن نقاط آسیب پذیر، سوراخ کردن در دفاع و تلاش برای گول زدن تیم آبی است.
اهداف تیم آبی چیست؟
اهداف هر تیم آبی به محیط امنیتی آنها و وضعیت معماری امنیتی شرکت بستگی دارد. گفته می شود، تیم های آبی معمولا چهار هدف اصلی دارند.
- شناسایی و مهار تهدیدها
- تهدیدات را از بین ببرید.
- محافظت و بازیابی دارایی های سرقت شده
- ثبت و بررسی حوادث برای اصلاح پاسخ به تهدیدات آینده.
تیم آبی چگونه کار می کند؟
در اکثر سازمان ها، اپراتورهای تیم آبی در یک مرکز عملیات امنیتی (SOC) کار می کنند. SOC جایی است که کارشناسان امنیت سایبری پلتفرم امنیتی یک شرکت را اداره می کنند و رویدادهای امنیتی را در آن نظارت و مدیریت می کنند. SOC همچنین جایی است که اپراتورها از کارکنان غیر فنی و استفاده کنندگان از منابع شرکت پشتیبانی می کنند.
پیشگیری از حوادث
تیم آبی مسئول درک و ایجاد نقشه ای از گستره محیط امنیتی است. آنها همچنین تمام دارایی های موجود در محیط، کاربران آنها و وضعیت آن دارایی ها را یادداشت می کنند. با این دانش، تیم تدابیری را برای جلوگیری از حملات و حوادث ناگوار اتخاذ می کند.
برخی از اقداماتی که اپراتورهای تیم آبی برای پیشگیری از حوادث انجام می دهند شامل تعیین امتیازات مدیریتی است. به این ترتیب، افراد غیرمجاز به منابعی که در وهله اول نباید دسترسی داشته باشند، دسترسی ندارند. این اقدام در محدود کردن حرکت جانبی در صورت ورود مهاجم موثر است.
علاوه بر محدود کردن امتیازات مدیریت، پیشگیری از حادثه همچنین شامل رمزگذاری کامل دیسک، راهاندازی شبکههای خصوصی مجازی، فایروالها، ورود امن و احراز هویت میشود. بسیاری از تیمهای آبی تکنیکهای فریب را به کار میگیرند، تلههایی که با داراییهای ساختگی تنظیم میشوند تا مهاجمان را قبل از ایجاد آسیب، دستگیر کنند.
پاسخ حادثه
پاسخ حادثه به نحوه شناسایی، رسیدگی و بازیابی یک رخنه توسط تیم آبی اشاره دارد. چندین رویداد هشدارهای امنیتی را ایجاد میکنند و پاسخ به هر یک از این عوامل ممکن نیست. بنابراین، تیم آبی باید برای آنچه که یک حادثه محسوب می شود، فیلتری تعیین کند.
به طور کلی، آنها این کار را با پیاده سازی یک سیستم اطلاعات امنیتی و مدیریت رویداد (SIEM) انجام می دهند. SIEM ها اپراتورهای تیم آبی را هنگام رخ دادن رویدادهای امنیتی، مانند ورود غیرمجاز همراه با تلاش برای دسترسی به فایل های حساس، مطلع می کنند. معمولاً پس از اطلاع رسانی از یک SIEM، یک سیستم خودکار تهدید را بررسی می کند و در صورت لزوم به اپراتور انسانی تشدید می شود.
اپراتورهای تیم آبی معمولاً با جداسازی سیستم در معرض خطر و حذف تهدید به حوادث پاسخ می دهند. پاسخ به حادثه ممکن است به معنای خاموش کردن همه کلیدهای دسترسی در موارد دسترسی غیرمجاز، ایجاد یک بیانیه مطبوعاتی در مواردی که حادثه بر مشتریان تأثیر می گذارد و انتشار یک پچ باشد. بعداً، تیم پس از نقض یک ممیزی پزشکی قانونی انجام می دهد تا شواهدی را جمع آوری کند که به جلوگیری از تکرار کمک می کند.
مدل سازی تهدید
مدل سازی تهدید زمانی است که اپراتورها از آسیب پذیری های شناخته شده برای شبیه سازی یک حمله استفاده می کنند. این تیم یک کتاب بازی برای پاسخ به تهدیدات و برقراری ارتباط با سهامداران می سازد. بنابراین، وقتی یک حمله واقعی اتفاق میافتد، تیم آبی برنامهای برای اولویتبندی داراییها یا تخصیص نیروی انسانی و منابع به دفاع دارد. البته به ندرت همه چیز دقیقاً طبق برنامه پیش می رود. با این حال، داشتن یک مدل تهدید به اپراتورهای تیم آبی کمک می کند تا تصویر بزرگ را در چشم انداز نگه دارند.
تیم آبی قوی فعال است
اپراتورهای تیم آبی مطمئن می شوند که داده های شما ایمن هستند و شما می توانید با خیال راحت از فناوری استفاده کنید. با این حال، تغییر سریع چشمانداز امنیت سایبری به این معنی است که یک تیم آبی نمیتواند از هر تهدیدی جلوگیری یا حذف کند. آنها همچنین نمی توانند یک سیستم را خیلی سخت کنند. می تواند غیر قابل استفاده شود کاری که آنها می توانند انجام دهند تحمل سطح قابل قبولی از ریسک و همکاری با تیم قرمز برای بهبود مستمر امنیت است.