الامن السيبراني, الفريق الاحمر والفريق الازرق
الأمن السيبراني
هو عبارة عن مجموعة من الوسائل التقنية والتنظيمية والادارية يتم توظيفها لحماية المعلومات والبيانات من الوصول غير المخول له (الاختراق) للبيانات, بهدف سرقتها أو اتلافها، أو حتى من الكوارث الطبيعية, وتعزيز حماية وسرية وخصوصية البيانات الشخصية في الفضاء السيبراني.
ولهذا تتوجه المجتمعات الحديثة الان الى استعمال فرق خاصة بحماية المؤسسات والمنظمات من هذه الهجمات, سنتعرف اليوم على أهم فريقين في مجال الامن السيبراني.
ماهو الفريق الأحمر Red Team
وهذا يشكل تحدى للمنظمة بدافع تحسين فعاليتها بطريقة غير مباشرة. المخابرات الأمريكية ومؤسسات خاصة مثل IBM وكالة المخابرات المركزية استخدمت الفرق الحمراء لفترة طويلة لحماية البنية التحتية الخاصة بها من الاختراق.
تبني عقلية المهاجم أو الهاكر للشركات يقوم بتعزيز فرصها بشكل فعال في تأمين نفسها ضد التهديدات المتغيرة والمتجددة باستمرار.
من ناحية أخرى ، يتعين على أعضاء الفريق الأحمر أن يكونوا على دراية كاملة لأي منافس محتمل لـ TTP ( التكتيكات والتقنيات والإجراءات ) ، والتي من المتوقع أن يكتشفها الفريق الأزرق ومواجهتها.
الإبداع هو مفتاح الفريق الأحمر - فأنت تحاول باستمرار التفكير خارج الصندوق حول كيفية منع التهديدات باستخدام مجموعة واسعة من الأدوات.
أحد الأمثلة على ذلك هو القرصنة الأخلاقية وهي استراتيجية أساسية للفريق الأحمر حيث تساعد على حماية أنظمة الشركة بشكل أفضل من خلال التفكير كالمخترقين للعثور على نقاط الضعف في الأنظمة.
ماهو الفريق الأزرق Blue Team
يمكن اعتباره الفريق المُدافع, يتضمن روتين عمل Blue Team الوصول إلى بيانات السجل ، باستخدام SIEM ، وتجميع معلومات استخباراتية للتهديدات المحتملة، وإجراء تحليل تدفق البيانات وحركة المرور..., يمكننا مقارنة مهمتهم بإيجاد الإبرة في كومة قش ...
الفريق الأزرق هو مجموعة مكونة من الأعضاء الذين يقومون بإجراء تحليل لنظم المعلومات لضمان الأمن وتحديد عيوب الأمن ونقاط الضعف, والتحقق من فعالية كل التدابير الأمنية وللتأكد من أن جميع التدابير الأمنية بأنها فعالة.
يجب ألا يعتمد الفريق الأزرق على التكنولوجيا وحدها فلا يمكن الاستغناء عن الحدس البشري والخبرة والمهارات والذكاء و تقنيات الهندسة الاجتماعية (مثل التصيد العشوائي ).يجب أن يعارض الهجوم ويمنع الفريق الأحمر من الوصول إلى هدفه.
مجالات الفريق الأزرق
- Linux Forensic
- Windows Forensic
- Network Forensic
- Malware Analysis
ما الذي يجعل أنشطتهما فعالة؟
- عنصر أساسي لنجاح الفريق الأحمر هو قدرته على تبني عقلية عدوانية أو وجه الهاكر الحقيقي. لذلك ، لا ينبغي اختيار أعضائها من بين الذين ساهموا (أو ما زالوا يساهمون) في الدفاع عن البنية التحتية.
- هناك حاجة إلى "عقلية خارجية" ، ويمكن معالجة هذه الضرورة بشكل أفضل من خلال الاعتماد على المساعدة الخارجية أو الأفراد غير المشاركين.
- يقوم المهاجم الحقيقي أي الهاكر بالتغاضي عن أي قاعدة أو آداب أو قضية أخلاقية (فقد يكون إرهابيًا أو مجرمًا أو حتى موظف سابق مستاء) ولهذا قد يكون تبني مثل هذه العقلية أمرًا صعبًا.
- يجب إجراء اختبار اختراق فعلي، كلما كان ذلك ممكنًا ، ويجب أن تركز أيضًا على أضعف نقطة في النظام الأمني ونعني بذلك العنصر البشري (أي الموظفين).
- قد تتاح للفريق الأحمر فرصة مراقبة استجابة الموظفين لبعض المدخلات من مرفقات البريد الإلكتروني الضار ، ومحرك أقراص USB وفي مرافق HQ (مواقف السيارات أو غرفة الاستراحة).
- إذا كانت الشركة قد أصدرت بالفعل سياستها الأمنية الخاصة ، فستكون جهود الفريق الأحمر قادرة على تقييم معرفة الموظفين ووعيهم وانضباطهم ، وكذلك قدرة الشركة على إنفاذ القواعد.
Wardriving هو عملية البحث عن شبكات Wi-Fi اللاسلكية بواسطة شخص عادة في مركبة متحركة ، باستخدام كمبيوتر محمول أو هاتف ذكي.
التعاون وردود الفعل المتبادلة بين الفريقين
تكمن فائدة الفريقين Red Team و Blue Team في التفاعل والخبرات المتبادلة، وفي قدرتها على تحويل التحدي إلى وسيلة لتحسين قدرة المنظمة على اكتشاف التهديدات ومواجهتها.
يجب أن يسعى مثل هذا التعاون إلى التحسين المستمر ، وينبغي أن يرى الفريق الأزرق أنشطة الفريق الأحمر كفرصة لفهم أساليب المهاجمين المحتملين وتقنياتهم وإجراءاتهم في الاختراق.
هجوم الفريق الأحمر يمكن أن يكشف نقاط الضعف هذه قبل أن يستغلها المجرمون الحقيقيون.
نظرًا لأن لكل فريق أغراضًا مختلفة ، فستكون وسائله مختلفة أيضًا.
من المفترض أن يتقن الفريق الاحمر استخدام الأدوات الهجومية (على سبيل المثال ، Meterpreter أو Metasploit) ، ومعرفة ماهية حقن SQL ، واستخدام أدوات مسح الشبكة بواسطة Nmap، واستخدام لغات البرمجة النصية ، للتعرف على أوامر جهاز التوجيه وجدار الحماية...، إلخ
من ناحية أخرى ، من المفترض أن يفهم الفريق الأزرق أي مرحلة من مراحل الاستجابة للحوادث ، وإتقانه للأدوات واللغات البرمجية ، وملاحظة أنماط حركة المرور المشبوهة في الشبكة، واستخدام IDS بشكل صحيح ، وإجراء التحليلات والتحليل الجنائي الرقمي على أنظمة التشغيل المختلفة.
الفريق الأرجواني
نظرًا لأن كل فريق يسعى جاهداً للوصول إلى أهدافه الخاصة - وعند تعريفه - مؤشرات الأداء الرئيسية الخاصة به - فإن جعل الاثنين يعملان بشكل متآلف ليس بالأمر السهل.
ومع ذلك ، فإن الهدف النهائي هو مساعدة الأعمال على تحقيق مستوى أعلى من الأمان ؛ سيتعين على هذا الممثل الجديد ، الفريق الأرجواني، تعظيم وضمان فعالية نشاط المجموعات "التقليدية" ، من خلال الجمع بين الروتين الدفاعي للفريق الأزرق ونقاط الضعف التي كشف عنها الفريق الأحمر ، وبالتالي إنتاج جهود متماسكة تهدف إلى تعظيم النتائج ومؤشرات الأداء الرئيسية والقياسات التجارية
قد يهمك أيضاً