Blue Teaming چیست و چگونه امنیت سایبری را بهبود می بخشد؟

تیم های متعددی برای مبارزه با حملات سایبری در یک شبکه کار می کنند که یکی از آنها تیم آبی است. پس واقعاً چه می کنند؟

تیم آبی تمرین ایجاد و محافظت از یک محیط امنیتی و واکنش به حوادثی است که آن محیط را تهدید می کند. اپراتورهای امنیت سایبری تیم آبی در نظارت بر محیط امنیتی که از آسیب پذیری ها محافظت می کنند، چه از قبل وجود داشته باشد و چه توسط مهاجمان ایجاد شده باشد، ماهر هستند. تیم‌های آبی حوادث امنیتی را مدیریت می‌کنند و از درس‌های آموخته‌شده برای سخت‌تر کردن محیط در برابر حملات آینده استفاده می‌کنند.

پس چرا تیم های آبی مهم هستند؟ آنها در واقع چه نقش هایی را بر عهده می گیرند؟

چرا تیم آبی مهم است؟

محصولات و خدمات ساخته شده بر اساس فناوری از حملات سایبری مصون نیستند. این مسئولیت ابتدا بر عهده ارائه دهندگان فناوری است تا از کاربران خود در برابر حملات سایبری داخلی یا خارجی محافظت کنند که می تواند داده ها یا دارایی های آنها را به خطر بیندازد. کاربران فناوری نیز در این مسئولیت سهیم هستند، اما کاربر نمی تواند برای دفاع از یک محصول یا خدمات با امنیت ضعیف انجام دهد.

کاربران عادی نمی‌توانند بخش‌هایی از متخصصان فناوری اطلاعات را برای طراحی معماری‌های امنیتی یا پیاده‌سازی ویژگی‌هایی که امنیت خودشان را افزایش می‌دهند، استخدام کنند. این مسئولیت اعتباری شرکتی است که در زمینه سخت افزار و زیرساخت شبکه سروکار دارد.

سازمان های نظارتی مانند موسسه ملی استاندارد و فناوری (NIST) نیز نقش خود را ایفا می کنند. برای مثال، NIST چارچوب‌های امنیت سایبری را طراحی می‌کند که شرکت‌ها از آن استفاده می‌کنند تا اطمینان حاصل شود که محصولات و خدمات فناوری اطلاعات استانداردهای امنیتی را رعایت می‌کنند.

همه چیز متصل است

همه از طریق سخت افزار و زیرساخت های شبکه (لپ تاپ و وای فای خود را در نظر بگیرید) به اینترنت متصل می شوند. ارتباطات و تجارت های مهم بر روی این زیرساخت ها ساخته شده اند، بنابراین همه چیز به هم متصل است. به عنوان مثال، شما عکس می گیرید و در گوشی خود ذخیره می کنید. شما از آن فایل ها در فضای ابری نسخه پشتیبان تهیه می کنید. بعداً، برنامه‌های رسانه‌های اجتماعی روی تلفنتان به شما کمک می‌کنند لحظاتی را با خانواده و دوستانتان به اشتراک بگذارید.

برنامه‌های بانکی و پلت‌فرم‌های پرداخت به شما کمک می‌کنند تا برای چیزهایی بدون صف فیزیکی در بانک یا ارسال چک بپردازید و می‌توانید مالیات را به صورت آنلاین ثبت کنید. همه این‌ها روی پلتفرم‌هایی اتفاق می‌افتند که از طریق یک فناوری ارتباطی بی‌سیم تعبیه‌شده در تلفن یا لپ‌تاپ به آن متصل می‌شوید.

مطلب مرتبط: Cyberflashing چیست؟ آیا غیر قانونی است؟

اگر یک هکر بتواند دستگاه یا شبکه بی سیم شما را به خطر بیاندازد، می تواند تصاویر خصوصی، جزئیات ورود به بانک و اسناد هویتی شما را بدزدد. آنها حتی می توانند شما را جعل کنند و چیزهایی را از افراد حلقه اجتماعی شما بدزدند. سپس آنها می توانند این گنجینه اطلاعات دزدیده شده را به سایر هکرها بفروشند یا شما را مجبور به باج گیری کنند.

بدتر از آن، چرخه با یک هک به پایان نمی رسد. قربانی شدن یک هک از قبل به این معنی نیست که مهاجمان دیگر از شما اجتناب می کنند. شانس این است که از شما یک آهنربا می سازد. بنابراین، بهتر است در وهله اول از شروع حملات جلوگیری کنید. و اگر پیشگیری موثر واقع نشد، مهم است که آسیب را محدود کنید و از حملات بعدی جلوگیری کنید. از طرف خود، می‌توانید با امنیت لایه‌ای نوردهی را محدود کنید. این شرکت وظیفه را به تیم آبی خود محول می کند.

بازیکنان نقش در تیم آبی

تیم آبی متشکل از اپراتورهای امنیتی فنی و غیرفنی با نقش ها و مسئولیت های خاص است. اما، البته، تیم های آبی می توانند آنقدر بزرگ باشند که زیر گروه هایی از چندین اپراتور وجود داشته باشد. گاهی اوقات، نقش ها با هم همپوشانی دارند. تمرینات تیم قرمز در مقابل تیم آبی معمولاً دارای نقش های زیر است:

تیم آبی عملیات دفاعی را برنامه ریزی می کند و نقش ها و مسئولیت هایی را به دیگر اپراتورها در سلول آبی محول می کند.
سلول آبی شامل اپراتورهایی است که جلوی دفاع را می گیرند.
عوامل مورد اعتماد افرادی هستند که از حمله اطلاع دارند یا حتی در وهله اول تیم قرمز را به خدمت می گیرند. با وجود دانش قبلی آنها از تمرین، عوامل مورد اعتماد بی طرف هستند. عوامل مورد اعتماد در امور تیم قرمز دخالت نمی کنند و به دفاع توصیه نمی کنند.
سلول سفید شامل اپراتورهایی است که به عنوان بافر عمل می کنند و با هر دو تیم در ارتباط هستند. آنها داورانی هستند که اطمینان حاصل می کنند که فعالیت های آبی ها و تیم قرمز باعث ایجاد مشکلات ناخواسته خارج از محدوده تعامل نمی شوند.
ناظران افرادی هستند که کارشان تماشا است. آنها بازی نامزدی را تماشا می کنند و مشاهدات خود را یادداشت می کنند. ناظران بی طرف هستند. در بیشتر موارد، آنها حتی نمی دانند چه کسی در تیم های آبی یا قرمز حضور دارد.
تیم قرمز متشکل از اپراتورهایی است که به معماری امنیتی هدف حمله می کنند. وظیفه آنها یافتن نقاط آسیب پذیر، سوراخ کردن در دفاع و تلاش برای گول زدن تیم آبی است.

مطلب مرتبط: بدافزار Redirect Dipladoks.org چیست؟ نحوه حذف آن در ویندوز

اهداف تیم آبی چیست؟

اهداف هر تیم آبی به محیط امنیتی آنها و وضعیت معماری امنیتی شرکت بستگی دارد. گفته می شود، تیم های آبی معمولا چهار هدف اصلی دارند.

شناسایی و مهار تهدیدها
تهدیدات را از بین ببرید.
محافظت و بازیابی دارایی های سرقت شده
ثبت و بررسی حوادث برای اصلاح پاسخ به تهدیدات آینده.

تیم آبی چگونه کار می کند؟

در اکثر سازمان ها، اپراتورهای تیم آبی در یک مرکز عملیات امنیتی (SOC) کار می کنند. SOC جایی است که کارشناسان امنیت سایبری پلتفرم امنیتی یک شرکت را اداره می کنند و رویدادهای امنیتی را در آن نظارت و مدیریت می کنند. SOC همچنین جایی است که اپراتورها از کارکنان غیر فنی و استفاده کنندگان از منابع شرکت پشتیبانی می کنند.

پیشگیری از حوادث

تیم آبی مسئول درک و ایجاد نقشه ای از گستره محیط امنیتی است. آنها همچنین تمام دارایی های موجود در محیط، کاربران آنها و وضعیت آن دارایی ها را یادداشت می کنند. با این دانش، تیم تدابیری را برای جلوگیری از حملات و حوادث ناگوار اتخاذ می کند.

برخی از اقداماتی که اپراتورهای تیم آبی برای پیشگیری از حوادث انجام می دهند شامل تعیین امتیازات مدیریتی است. به این ترتیب، افراد غیرمجاز به منابعی که در وهله اول نباید دسترسی داشته باشند، دسترسی ندارند. این اقدام در محدود کردن حرکت جانبی در صورت ورود مهاجم موثر است.

علاوه بر محدود کردن امتیازات مدیریت، پیشگیری از حادثه همچنین شامل رمزگذاری کامل دیسک، راه‌اندازی شبکه‌های خصوصی مجازی، فایروال‌ها، ورود امن و احراز هویت می‌شود. بسیاری از تیم‌های آبی تکنیک‌های فریب را به کار می‌گیرند، تله‌هایی که با دارایی‌های ساختگی تنظیم می‌شوند تا مهاجمان را قبل از ایجاد آسیب، دستگیر کنند.

پاسخ حادثه

پاسخ حادثه به نحوه شناسایی، رسیدگی و بازیابی یک رخنه توسط تیم آبی اشاره دارد. چندین رویداد هشدارهای امنیتی را ایجاد می‌کنند و پاسخ به هر یک از این عوامل ممکن نیست. بنابراین، تیم آبی باید برای آنچه که یک حادثه محسوب می شود، فیلتری تعیین کند.

مطلب مرتبط: آسیب پذیری افزایش امتیاز Polkit CVE-2021-4034 چیست؟

به طور کلی، آنها این کار را با پیاده سازی یک سیستم اطلاعات امنیتی و مدیریت رویداد (SIEM) انجام می دهند. SIEM ها اپراتورهای تیم آبی را هنگام رخ دادن رویدادهای امنیتی، مانند ورود غیرمجاز همراه با تلاش برای دسترسی به فایل های حساس، مطلع می کنند. معمولاً پس از اطلاع رسانی از یک SIEM، یک سیستم خودکار تهدید را بررسی می کند و در صورت لزوم به اپراتور انسانی تشدید می شود.

اپراتورهای تیم آبی معمولاً با جداسازی سیستم در معرض خطر و حذف تهدید به حوادث پاسخ می دهند. پاسخ به حادثه ممکن است به معنای خاموش کردن همه کلیدهای دسترسی در موارد دسترسی غیرمجاز، ایجاد یک بیانیه مطبوعاتی در مواردی که حادثه بر مشتریان تأثیر می گذارد و انتشار یک پچ باشد. بعداً، تیم پس از نقض یک ممیزی پزشکی قانونی انجام می دهد تا شواهدی را جمع آوری کند که به جلوگیری از تکرار کمک می کند.

مدل سازی تهدید

مدل سازی تهدید زمانی است که اپراتورها از آسیب پذیری های شناخته شده برای شبیه سازی یک حمله استفاده می کنند. این تیم یک کتاب بازی برای پاسخ به تهدیدات و برقراری ارتباط با سهامداران می سازد. بنابراین، وقتی یک حمله واقعی اتفاق می‌افتد، تیم آبی برنامه‌ای برای اولویت‌بندی دارایی‌ها یا تخصیص نیروی انسانی و منابع به دفاع دارد. البته به ندرت همه چیز دقیقاً طبق برنامه پیش می رود. با این حال، داشتن یک مدل تهدید به اپراتورهای تیم آبی کمک می کند تا تصویر بزرگ را در چشم انداز نگه دارند.

تیم آبی قوی فعال است

اپراتورهای تیم آبی مطمئن می شوند که داده های شما ایمن هستند و شما می توانید با خیال راحت از فناوری استفاده کنید. با این حال، تغییر سریع چشم‌انداز امنیت سایبری به این معنی است که یک تیم آبی نمی‌تواند از هر تهدیدی جلوگیری یا حذف کند. آنها همچنین نمی توانند یک سیستم را خیلی سخت کنند. می تواند غیر قابل استفاده شود کاری که آنها می توانند انجام دهند تحمل سطح قابل قبولی از ریسک و همکاری با تیم قرمز برای بهبود مستمر امنیت است.