عندما يتعلق الأمر بالأمن السيبراني ، فعادةً ما تكون أي مؤسسة آمنة بنسبة 100٪. حتى في المؤسسات التي لديها تقنيات أمان متقدمة ، قد تكون هناك نقاط مشكلة في العناصر الرئيسية - مثل الأشخاص وعمليات الأعمال والتقنيات ونقاط التقاطع المرتبطة بها.

هناك العديد من الخدمات للتحقق من مستوى الأمان: تحليل أمن الأنظمة والتطبيقات ، واختبار الاختراق ، وتقييم وعي الموظفين بقضايا أمن المعلومات ، إلخ. ومع ذلك ، نظرًا للتغير المستمر في المشهد العام للتهديدات السيبرانية وظهور أدوات وجماعات إجرامية جديدة ، تنشأ أنواع جديدة من المخاطر يصعب تحديدها باستخدام الأساليب التقليدية لتحليل الأمان.

على هذه الخلفية ، فإن النهج الأكثر واقعية ومتقدمة لاختبار الأمن ،
في رأينا ، تعد الطلبات الإلكترونية في تنسيق Red Teaming بمثابة تقييم مستمر لأمن أنظمة المعلومات ، واستعداد أخصائيي الاستجابة للحوادث ومقاومة البنية التحتية لأنواع جديدة من الهجمات ، بما في ذلك APT (التهديد المستمر المتواصل ، والتهديد المستمر المعقد ، والهجوم السيبراني المستهدف). من خلال إجراء Red Teaming وممارسة الاستجابة للهجمات التي يتم التحكم فيها ، يمكن لفريق الأمن الداخلي تحسين مهاراته في الكشف عن التهديدات التي لم يتم اكتشافها من قبل لإيقاف المهاجمين الحقيقيين في المراحل المبكرة من الهجوم ومنع الضرر المادي والسمعي للشركة.

يقول Vyacheslav Vasin ( vas-v ) ، المحلل الرائد في قسم التدقيق والاستشارات في Group-IB ، حول كيفية تنفيذ الطلبات الإلكترونية في تنسيق Red Teaming.

فريق أحمر. ما هذا

Red Teaming هي طريقة شاملة وأكثر واقعية لاختبار قدرة أي منظمة على صد الهجمات الإلكترونية المعقدة باستخدام أساليب وأدوات متقدمة من ترسانة مجموعات المتسللين.

الفكرة الرئيسية لهذا التمرين ليست فقط تحديد نقاط الضعف المحتملة التي لم يتم اكتشافها باستخدام منهجيات الاختبار القياسية ، ولكن أيضًا لتقييم قدرة المنظمة على منع الهجمات الإلكترونية واكتشافها والرد عليها.

• كيف يحمي الأمن الأصول الهامة
• ما إذا تم تكوين نظام الإنذار والمراقبة بشكل صحيح
• ما هي الفرص المتاحة للمهاجمين في البنية التحتية الداخلية في حالة تعرض موارد المستخدم للخطر

لذلك ، يجب أن يكون كل شيء واقعيًا وحقيقيًا إلى أقصى حد: لا يتم إبلاغ خدمة العملاء (Blue Team) ببدء العمل حتى يتمكن الفريق الأحمر من نمذجة تصرفات المهاجمين الحقيقيين استنادًا إلى تحليل تهديد خاص وتقييم إمكانية "كسر" البنية التحتية.

تعد الطلبات عبر الإنترنت بتنسيق Red Teaming أكثر فاعلية للشركات التي تتمتع بمستوى ناضج من أمان المعلومات. فهي ليست محدودة بأي شكل من الأشكال في وقت التعرض وتركز على تحقيق الأهداف ، سواء أكانت الوصول إلى عقد الشبكة أو المعلومات الحساسة بأي وسيلة متاحة.

تعتمد السيناريوهات الرئيسية لـ Red Teaming ، الفريدة لكل عميل ، على الأهداف المحددة.

• القبض على الغابات دليل نشط
• الوصول إلى أجهزة الإدارة العليا
• تقليد سرقة بيانات العميل الحساسة أو الملكية الفكرية

قراءة Teaming مقابل. اختبار الاختراق

على الرغم من أن Red Teaming واختبار الاختراق يستخدمان أدوات مماثلة للهجوم السيبراني ، إلا أن أهداف ونتائج كلتا الدراستين مختلفة للغاية.

تحاكي عملية Red Teaming الهجمات الحقيقية والمستهدفة على منظمة بأكملها. ميزة هذا النهج هو البحث المستمر لنظم المعلومات لتحقيق الأهداف. يوفر هذا الفحص العميق فهماً شاملاً لمدى أمان البنية التحتية والموظفين على دراية والعمليات الداخلية للمؤسسة تكون فعالة عندما تتعرض لهجوم حقيقي.

في سياق هذه الدراسة ، يحاول أخصائيو اختبار الاختراق استغلال الثغرات المكتشفة وزيادة امتيازاتهم من أجل تقييم المخاطر المحتملة من هذه الآثار. هذا الاختبار لا يختبر الاستعداد للكشف عن حوادث أمن المعلومات والاستجابة لها.

تظهر تجربة Group-IB أن اختبار Red Teaming والاختبار الاختراق يكمل كل منهما الآخر تمامًا. كل دراسة مهمة ومفيدة للمؤسسة بطريقتها الخاصة ، لأنه في سياق مثل هذا الاختبار المشترك ، من الممكن تقييم كل من الأمن السلبي للأنظمة والأمن النشط للشركة ككل.

يكمل Red Teaming أشكال مختلفة من الاختبار (على سبيل المثال ، تحليل الشفرة ، واختبار الاختراق ، وما إلى ذلك) ويتم تضمينه في خطة التحقق من أمن المعلومات مع نمو المنظمة.

فيما يلي مقارنة بين الأهداف ونتائج البحوث المماثلة لـ Red Teaming:

نهجنا

أنشطة المشروع

ينقسم البحث بتنسيق Red Teaming إلى عدة مراحل متعاقبة. لزيادة الكفاءة ، قد تبدأ بعض الإجراءات في المراحل الرئيسية في وقت مبكر أو يمكن تنفيذها بالتوازي مع غيرها ، مع مراعاة الوقت المحدود. لذلك ، في الممارسة العملية ، فإن عملية Red Teaming ليست تسلسل خطي واضح من الخطوات.

فيما يلي المراحل الرئيسية لعمل Red Teaming:

يمكن العثور على مزيد من المعلومات حول كل مرحلة تحت المفسد:

الأطراف المباشرة المشاركة في عملية Red Teaming هي:

• الفريق الأبيض هو المدير المسؤول والممثلون الضروريون لوحدات أعمال العميل والعدد المطلوب من خبراء الأمن الذين سيعرفون عن العمل
• الفريق الأزرق - خدمة أمن العملاء للكشف عن حادثة أمن المعلومات والاستجابة لها
• الفريق الأحمر هو مدير مسؤول وخبراء يحاكيون الهجمات المستهدفة

يتم تقديم مثال على الفريق الأحمر في مشروع ما تحت المفسد

أساليب العمل

لمحاكاة الهجمات على هدف محدد ، يستخدم خبراء Group-IB منهجية مجربة تتضمن ممارسات دولية وتتكيف مع عميل معين من أجل مراعاة خصائص المنظمة وعدم تعطيل استمرارية العمليات التجارية الحيوية.

تتبع دورة حياة الاختبار بتنسيق Red Teaming نموذج سلسلة Cyber ​​Kill ، وتتضمن الخطوات المعممة التالية: الاستطلاع والتسليح والتسليم والتشغيل والتثبيت والحصول على التحكم وتنفيذ الإجراءات المتعلقة بالهدف.

واحدة من Red Teaming Case Group-IB

الوصول إلى الدليل النشط

كان العميل مجموعة من الشركات في قطاع الإنتاج.

الهدف هو الوصول الإداري إلى وحدة تحكم مجال Active Directory في مقر الشركة.

في أثناء العمل ، تبين أن العميل يستخدم المصادقة متعددة العوامل (البطاقات الذكية) لجميع أنواع الوصول في المقر ، بما في ذلك خدمات الويب عن بعد والخارجية. استخدام الهندسة الاجتماعية محظور.

البنية التحتية المعممة لشركة صناعية:

أجرى خبراء المجموعة IB دراسة استقصائية شاملة وقرروا أن المقر قد استحوذ على 14 شركة وإعادة تنظيمها في فروعها خلال عمليات Red Teaming. تمكن الفريق الأحمر من الحصول على إذن للقيام بهجوم على جميع الشركات في المجموعة. بعد ذلك ، تم "اختراق" شركة فرعية ذات حماية ضعيفة ، بما في ذلك وحدات التحكم بالمجال branch1.domain.com ، وتم اكتشاف VPN بين الشبكات المحلية للمكاتب الفرعية (شبكة اتصال VPN كاملة من موقع إلى موقع).

كان لدى العميل غابة مجال Active Directory نصف بنيت لجميع الفروع ، لكنه لم يستطع تقوية الشبكة الخارجية (انظر الشكل أدناه).

اتصال الشبكة كان محمي بشكل جيد. لم تعمل آليات الثقة بين مجالات مجموعة تفرعات Active Directory لوحدات التحكم في مجال branch1.domain.com. تم توزيع الهجوم على branch2.domain.com ، والحصول على حقوق مسؤول المجال هناك.

المحاولة الأولية لـ "اختراق" Active Directory:

باستخدام هجوم Kerberos "تذكرة ذهبية" ، تجاوز الفريق الأحمر الحماية باستخدام البطاقات الذكية في "مستوى منخفض" بسبب ميزات تنفيذ بروتوكول Kerberos نفسه. من خلال تشغيل آلية الثقة بين مجالات Active Directory ، تمكن الفريق من الحصول على حقوق إدارية في المكتب الرئيسي.

الوصول إلى Active Directory في المكتب الرئيسي:

وبالتالي ، تم اختراق "وحدات التحكم بالمجال في المقر".
حقق خبراء المجموعة IB هدف مشروع Red Teaming.

لتلخيص

بعد قراءة جميع المواد ، قد لا يزال السؤال الذي يطرح نفسه ، لماذا "أوامر الإنترنت"؟ أكرر ، من خلال إجراء Red Teaming وممارسة الاستجابة للهجمات التي يتم التحكم فيها ، يمكن لفريق الأمن الداخلي تحسين مهاراته في الكشف عن التهديدات التي لم يتم اكتشافها من قبل من أجل إيقاف المهاجمين الحقيقيين في المراحل المبكرة من الهجوم ومنع الضرر المادي والسمعي للشركة. أيضًا ، كجزء من التدريب ، يمكن عقد حدث لإعادة إنتاج الهجمات ومواجهتها بشكل مشترك.

يعطي الاختبار بتنسيق Red Teaming للمؤسسة فكرة عن نقاط القوة والضعف في الأمن السيبراني ، كما يتيح لك تحديد خطة تحسين في هذا المجال لاستمرارية العمليات التجارية وحماية البيانات القيمة.

بإضافة Red Teaming كجزء من استراتيجية الأمان الخاصة بها ، يمكن للشركة قياس تحسينات الأمان مع مرور الوقت. يمكن استخدام هذه النتائج القابلة للقياس من أجل الجدوى الاقتصادية لمشروعات أمن المعلومات الإضافية وإدخال الوسائل التقنية اللازمة للحماية.

يمكن الاطلاع على مراجعة تحليلات الفريق الأحمر - Group-IB الكاملة هنا .