تفاوت تیم آبی (Blue Team) ، تیم قرمز (Red Team) و تیم بنفش (Purple Team) در امنیت اطلاعات چیست؟این روزها هر سازمان یا شرکت سطح کلان یا بزرگی که امنیت اطلاعات برایش مهم است دم از واژه های قلمبه سلمبه ای مثل تیم قرمز ، تیم آبی و تیم بنفش می زند ! اما واقعا چنین واژه هایی جدید هستند؟ این کلمات در دنیای امنیت اطلاعات چه مفهومی دارند؟ بگذرید اینگونه شروع کنیم که از دیرباز هر سازمانی برای خودش یک سری افراد را برای کار شبکه و فناوری اطلاعات استخدام می کرد ، به مرور سازمان ها متوجه شدند که امنیت اطلاعات مهم است و به همین دلیل به افرادیکه در حوزه فناوری اطلاعات بودند وطایف امنیتی نیز سپردند که شبکه و سیستم عامل و ... را نیز در کنار کار اصلی شان که مدیریت شبکه و زیرساخت است نیز انجام بدهند.
به مرور و بعد از بزرگ و بزرگتر شدن سازمان و شبکه و زیرساخت ها و تنوع پیدا کردن خدمات ، سازمان ها به این نتیجه رسیدند که علاوه بر تیم پشتیبانی و نگهداری در فناوری اطلاعات نیازمند تیمی هستند که امنیت را بصورت ویژه برای آنها تامین کند و تصمیم به راه اندازی تیم امنیت اطلاعات برای سازمان خود گرفتند و همینطور این ماجرا ادامه داشت تا اینکه تفکر دیگری در حوزه امنیت به شبکه و زیرساخت فناوری اطلاعات اضافه شد و آن دیدگاه امنیت از لحاظ تهاجمی یا Offensive Security بود. در واقع تیم امنیت اطلاعات یک سازمان بیشتر در مباحث تدافعی و امن کردن فعالیت می کرد و بعضا علاقه چندانی به تهاجم یا حمله کردن به چیزی که خودش امن کرده بود نداشت.
بعد از مدت ها که سازمان ها متوجه شدند که نیاز به یک تفکر امنیتی تهاجمی در سازمان دارند و باید از بیرون سازمان شخصی تلاش به نفوذ کند و آسیب پذیری های امنیتی آنها را گوشزد کند تا تیم امنیت اطلاعات آنها را برطرف کند ، کم کم بحث تست نفوذسنجی یا Penetration Test توسط شرکت های خارجی ( خارج از سازمان ) گل کرد . شرکت های متعددی در نقش هکر قانونمند این فرآیند امنیت تهاجمی را برای سازمان ها انجام می دادند و به مرور این روال یک گروه بندی خودکار در کارشناسان امنیت اطلاعات ایجاد کرد ، در واقع کارشناسان امنیت به دو دسته کارشناسان امنیت تدافعی یا Defensive Security Experts و کارشناسان امنیت تهاجمی یا Offensive Security Experts طبقه بندی شدند.
سازمان ها کم کم و به دلایل بسیار زیاد امنیت تصمیم گرفتند که نیروهای خودشان را برای انجام تست های نفوذسنجی نیز آموزش بدهند و اینجا بود که به مرحله تفکیک کردن تیم های امنیتی در یک سازمان رسیدیم ، گروهی از کارشناسان امنیت فرآیند های امنیتی تدافعی را در یک سازمان انجام می دادند و گروهی دیگر از کارشناسان فرآیند های امنیت تهاجمی را برای سازمانشان انجام می دادند و در بسیاری اوقات یک گروه وجود داشت که هر دوی این فرآیند های کاری را انجام می داد. اینجا بود که تصمیم بر این شد که بر روی فعالیت های کاری این گروه های امنیتی اسم گذاری شود و هر کدام وظایف تعریف شده ای داشته باشند تا با هم در یک سازمان دچار تداخل کاری نشوند و این یعنی ادامه ماجرا در این مقاله ...
خوب تیم سرخ یا تیم قرمز چیست؟ تیم تست نفوذسنجی که از طرف یک شرکت خارج از سازمان برای نفوذ به سازمان تلاش می کردند رو خاطرتون هستن؟ فکر کنید که سازمان یا شرکت خودش بصورت جدا از سازمان ( خارج از سازمان ) اینها رو استخدام می کنه و دیگه شرکتی در کار نیست و اسمشون رو میزاره Red Team یا تیم قرمز !! متوجه شدید؟ بله در واقع تیم قرمز همون کارشناس ها یا هکرهای قانونمندی هستند که دانششون بصورت ویژه برای نفوذ و پیدا کردن آسیب پذیری ها در سازمان استفاده میشه با این تفاوت که دیگه پروژه ای نیستن ! بلکه خودشون استخدام سازمان هستند و این فرآیند رو بصورت روزمره ممکن هست انجام بدند.
اعضای Red Team بصورت مستمر سطوح مختلف امنیتی یک شبکه رو تست و سعی در نفوذ به اونها دارند. وظیفه اصلی Red Team پیدا کردند ، مقابله کردن و پوشش دادن آسیب پذیری های امنیتی است که ممکن است در ساختار شبکه و زیرساخت فناوری یک سازمان وجود داشته باشه . تیم قرمز در واقع هر کاری که ممکن هست یک گروه هکری بیرون سازمانی برای نفوذ به سازمان انجام بده رو شبیه سازی کنند و تست بگیرند و تمامی مراحل حملات مختلف رو ممکن هست روی سازمان تست کنند . در واقع اونها مهاجمین واقعی هستند که فقط هدف آخرشون فرق داره ..
جالب هست بدونید که استاندارد به این شکل هست که اگر سازمانی قصد راه اندازی Red Team داره ، باید از افرادی خارج از سازمان دعوت به همکاری بکنه که دیدی نسبت به زیرساخت و شبکه و سیستم عامل های درون سازمانی نداشته باشند و به زبان فنی تر افرادیکه Blackbox هستند رو برای این پروسه در نظر بگیرند و استخدام کنند . البته این در حد یک توصیه هست و در 99 درصد موارد چنین اتفاقی نخواهد افتاد. دلیل اینکار هم کاملا مشخص هست ، وقتی کسی دیدی نسبت به درون یک سازمان نداشته باشه این امکان رو داره که اطلاعات رو به هر روشی که یک هکر عادی خارج سازمانی می تونه تهیه کنه ، پیدا کنه و این نقاط نفوذ دیگه ای رو می تونه برای سازمان مشخص کنه که پوشش داده بشه .
بر خلاف اکثر پروژه های تست نفوذ سنجی که در بیشترشون حملاتی مثل Phishing و مهندسی اجتماعی یا Social Engineering انجام نمیشه ، در Red Team اتفاقا چون زمان و اختیارات کافی در اختیار تیم قرمز هست می تونند این نوع حملات رو هم طراحی و بر روی سازمان اجرایی کنند که از نقطه های اساسی تفاوت و قدرت تیم قرمز همین موارد هست . در واقع تیم قرمز هر کاری به هر روشی که ممکن هست انجام بشه و باعث پیدا شدن آسیب پذیری های جدی در سازمان بشه رو انجام خواهد داد . یکی از وظیفه های مهم تیم قرمز شبیه سازی حملات سایبری برای شرکت یا سازمان برای محک زدن میزان امنیت هست.
خوب تیم آبی یا Blue Team چیست؟ باز برمیگردیم به ابتدای این مطلب ، همون تیمی که به عنوان تیم امنیت اطلاعات یک سازمان به عنوان تیم امنیت تدافعی کار می کرد رو در واقع میگیم تیم آبی یا Blue Team که وظیفه اصلیش پوشش دادن آسیب پذیری های موجود و اساسا نظارت بر امنیت شبکه و شناسایی آسیب پذیری ها هست ! جالب بود نه ! شناسایی آسیب پذیری ها تقریبا شبیه وظیفه تیم قرمز هم هست اما نکته اینجاست که نوع تشخیص آسیب پذیری ها و گزارش و پوشش دادنشون با تیم قرمز خیلی فرق داره . در واقع زمانیکه تیم قرمز آسیب پذیری رو شناسایی و از اون استفاده می کنه ، حالا با هر تکنیک و روشی که استفاده شده باشه ، تیم آبی سعی بر تشخیص و ایجاد مکانیزم تدافعی برای جلوگیری از انجام مجدد اون حمله از طریق اون آسیب پذیری می شه .
مثل تیم قرمز ، تیم آبی هم باید تکنیک ها و تاکتیک ها و دستورالعمل های امنیت برای پاسخگویی به آسیب پذیری ها یا عملیات های مخرب رو هم بشناسه و بتونه اونها رو پیاده سازی کنه . فراموش نکنیم که وظیفه تیم آبی فقط جلوگیری از حملات نیست ، برخلاف تیم قرمز که کلا صحبت از تهاجم و حمله هست ، در تیم آبی صحبت از دفاع و پدافند هست . تیم آبی در واقع وظیفه نظارت بر امنیت شبکه شما رو بر عهده داره ، نظارت بر تهاجم ها با ابزارهایی همراه هست مثل سیستم های تشخیص نفوذ ، یا بازرسی های امنیتی ، لاگ برداری ، آنالیز ترافیک شبکه ، تجزیه و تحلیل ریسک و آسیب پذیری ها ، تشخیص آثار جرم ، مهندسی معکوس ، تست حملات DDoS و توسعه سناریوهای تهدیدآمیز و رفع کردنشون ، همه و همه از وظایف تیم آبی هست .
اما تیم بنفش چی هست ؟ ببینید دوستان تیم آبی و تیم قرمز در واقع دو تیم کاملا مستقل در یک سازمان هستند که اساسا در حالت استاندارد زیرمجموعه همدیگه نیستند و هر کدوم وظایف مشخصی دارند . در بسیاری اوقات بین تیم آبی و قرمز اختلافات زیادی به وجود میاد و تیم قرمز مثلا آسیب پذیری هایی رو پیدا کرده و به تیم آبی گزارش داده اما روش برطرف کردن مشکل رو اعلام نکرده ! خیلی اوقات این تصویر پیش میاد که تیم بنفش یک تیم متشکل از تیم آبی و قرمز هست که سازمان هایی که توانایی راه اندازی این دو تیم بصورت جداگونه رو ندارند بتونن این تیم رو تشکیل بدن در صورتیکه در واقع اینطور نیست.
وقتی صحبت از تیم بنفش می کنیم بهترین تصویر می تونه شورای حل اختلاف باشه ! بله در واقع تیم بنفش وظیفه هماهنگی و ارتباط گیری بین دو تیم آبی و قرمز رو بر عهده داره به شکلی که این دو تیم به این باور برسند که نهایت تلاش هر دو تیم بالا بردن سطح امنیت در سازمانشون هست و این هماهنگی و یکپارچگی و واسطه گری کار تیم بنفش هست . دقت کنید که تیم بنفش الزاما یک تیم نیست و ممکن هست تنها یک فرد باشه که از سوی هر دو طرف قبول واقع شده باشه . وظیفه تیم بنفش مدیریت و یکپارچه کردن دو تیم آبی و قرمز برای رسیدن به یک هدف مشترک هست و اینکار با امکان اشتراک گذاری گزارش ، منابع و دانش دو تیم آبی و قرمز با یکدیگر توسط تیم بنفش انجام میشه.
نویسنده : محمد نصیری
منبع : جزیره امنیت اطلاعات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود