تیم قرمز (به انگلیسی: Red Team) گروهی متخصص امنیت سایبری در قالب رخنهگر با هماهنگی سازمان یا شرکت اقدام به طراحی و پیاده سازی نفوذ فیزیکی و دیجیتال به سامانه و زیرساختهای آن سازمان یا شرکت میکنند. سپس طی گزارشی آسیبپذیریهای موجود در سامانه را به سازمان گزارش میدهند تا سطح امنیت آنها را بهبود بخشند. تیم های قرمز برای سازمان کار می کنند یا توسط سازمان استخدام می شوند. کار آنها قانونی است، اما می تواند برخی از کارمندان را شگفت زده کند که ممکن است ندانند که عملیات نفوذ توسط تیم قرمز در حال رخ دادن است (همانند مانور زلزله)، یا ممکن است توسط تیم قرمز فریب بخورند. اصطلاح تیم قرمز در دهه ۱۹۶۰ در ایالات متحده ابداع شد.
واحد فنی تیم قرمز بر روی به خطر انداختن شبکهها و رایانهها به صورت دیجیتالی تمرکز دارد. همچنین ممکن است یک تیم آبی وجود داشته باشد، اصطلاحی که برای کارکنان امنیت سایبری که مسئول دفاع از شبکهها و رایانههای سازمان در برابر حمله هستند. واحد فنی تیم قرمز، از انواع آسیبپذیریها برای حمله و دستیابی به اطلاعات و گرفتن دسترسی از رایانهها استفاده میکنند و سپس شناسایی برای کشف دستگاههای بیشتری برای به خطر انداختن احتمالی انجام میشود. شکار اعتبار شامل جستجوی رایانه برای یافتن اعتبارنامههایی مانند رمز عبور و کوکیهای جلسه است و پس از یافتن آنها، میتوان برای به خطر انداختن رایانههای دیگر استفاده کرد. در طول نفوذ اشخاص ثالث و غیر سازمانی (رخنهگرها)، یک تیم قرمز ممکن است با تیم آبی متحد شود تا به دفاع از سازمان کمک کنند. قوانین درگیری و رویههای عملیاتی استاندارد اغلب برای اطمینان از اینکه تیم قرمز در طول تمرینات خود آسیبی وارد نمیکند تدوین و اعمال میشود.
واحد فیزیکی تیم قرمز برای ورود به مناطق ممنوعه سازمان یا شرکت تمرکز دارد. این کار برای تست و بهینه سازی امنیت فیزیکی مانند نردهها، دوربین ها، آلارمها، قفلها و رفتار کارکنان انجام می شود. مانند واحد فنی تیم قرمز، قوانین درگیری و عملیاتی متناسب با شرایط برای آنها تدوین و اعمال میشود تا در طول تمرینات خود آسیبی به سازمان وارد نشود. تیم قرمز فیزیکی اغلب شامل یک مرحله شناسایی است که در آن اطلاعات جمعآوری میشود و نقاط ضعف امنیتی شناسایی میشوند و سپس از آن اطلاعات برای انجام عملیات (معمولاً در شب) برای ورود فیزیکی به محل استفاده میشود. دستگاه های امنیتی با استفاده از ابزارها و تکنیکها شناسایی و شکست خواهند خورد. به تیمهای قرمز فیزیکی اهداف مشخصی مانند دسترسی به اتاق سرور و گرفتن یک هارد دیسک قابل حمل، یا دسترسی به دفتر یک مدیر اجرایی و گرفتن اسناد محرمانه داده میشود.
مفهوم تیم قرمز و تیم آبی در اوایل دهه ۱۹۶۰ ظهور کرد. یکی از نمونههای اولیه تیم قرمز شامل اندیشکدهرند کورپوریشن بود که شبیهسازیهایی را برای ارتش ایالات متحده در طول جنگ سرد انجام داد. "تیم قرمز" و رنگ قرمز برای نشان دادن اتحاد جماهیر شوروی و "تیم آبی" و رنگ آبی برای نشان دادن ایالات متحده استفاده می شد. نمونه اولیه دیگر مربوط به وزیر دفاع ایالات متحده رابرت مک نامارا بود که یک تیم قرمز و یک تیم آبی را گرد هم آورد تا کشف کند که به کدام پیمانکار دولتی باید قرارداد هواپیمای آزمایشی اعطا شود. یکی دیگر از نمونههای اولیه، مدلسازی مذاکره یک معاهده کنترل تسلیحات و ارزیابی اثربخشی آن است.
تیمهای قرمز گاهی با «تفکر متضاد» و تفکر گروهی مبارزه میکنند، تمایل گروهها به ایجاد و حفظ مفروضات حتی در زمانی که شواهد برخلاف آن باشد. یکی از نمونههای گروهی که تیم قرمز نامیده نمیشد، اما مسلماً یکی از اولین نمونههای تشکیل گروهی برای مبارزه با تفکر گروهی بود،ایپچا میستابرا (Ipcha Mistabra) اسرائیلی است که پس از شکستهای تصمیمگیری اسرائیل در طول جنگ یوم کیپور در سال ۲۰۱۸ تشکیل شد. حمله به اسرائیل با وجود شواهد فراوان از حمله قریب الوقوع، تقریباً اسرائیل را غافلگیر کرد و تقریباً منجر به شکست اسرائیل شد. ایپچا میستابرا پس از جنگ شکل گرفت و با توجه به این وظیفه که همواره تحلیلی خلاف، غیرمنتظره یا غیرمتعارف از گزارش های سیاست خارجی و اطلاعاتی ارائه کند، به گونه ای که در آینده کمتر نادیده گرفته شود فعالیت میکند.
در اوایل دهه ۲۰۰۰، نمونه هایی از تیمهای قرمز وجود داشت که برای تمرینات تئوری استفاده میشد. تمرین تئوری سا تمرینات روی میز اغلب توسط اولین پاسخ دهندگان استفاده می شود و شامل اقدام و برنامه ریزی برای بدترین سناریوها، شبیه به بازی تختهای است. در پاسخ به حملات ۱۱ سپتامبر، با در نظر گرفتن مبارزه با تروریسم، سازمان اطلاعات مرکزی یک سلول قرمز جدید ایجاد کرد، و تیمهای قرمز برای مدل سازی پاسخ به جنگ نامتقارن مانند تروریسم استفاده شدند. در پاسخ به شکست های جنگ عراق، تیم قرمز در ارتش ایالات متحده رایجتر شد.[۲]
با گذشت زمان، تمرین تیم قرمز به سایر صنایع و سازمانها، از جمله شرکتها، سازمانهای دولتی و سازمانهای غیرانتفاعی گسترش یافت. این رویکرد به طور فزاینده ای در دنیای امنیت سایبری محبوب شده است، جایی که تیم های قرمز برای شبیه سازی حملات دنیای واقعی به زیرساخت دیجیتال یک سازمان کمک کرده و آزمایشهای اثربخشی برای اقدامات امنیت سایبری آنها انجام میدهند.
امنیت سایبری
واحد فنی تیم قرمز (واحد تکنیکال) برای تست نفوذپذیری و آزمایش امنیت دیجیتال یک سازمان وظیفهی طراحی و پیاده سازی نفوذهای دیجیتال به شبکههای کامپیوتری آنها را دارد.
واژه شناسی
تیم آبی گروهی است که وظیفه دفاع در برابر نفوذ را بر عهده دارد.
در امنیت سایبری، یک تست نفوذ شامل هکرهای اخلاقی (آزمایش کنندهها) است که بدون هیچ عنصر غافلگیر کنندهای سعی میکنند به یک سیستم رایانهای نفوذ کنند.[۲] سازمان از آزمون نفوذ آگاه است و آماده دفاع است.یک تیم قرمز یک قدم فراتر می رود و نفوذ فیزیکی، مهندسی اجتماعی و عنصر شگفتی را اضافه می کند. به تیم آبی هیچ هشداری در مورد تیم قرمز داده نمی شود و با آن به عنوان یک نفوذ واقعی برخورد خواهد شد. یکی از نقش های تیم قرمز دائمی و داخلی، بهبود فرهنگ امنیتی سازمان است. یک تیم بنفش ترکیب موقتی از هر دو تیم است و میتواند پاسخهای اطلاعاتی سریعی را در طول آزمایش ارائه دهد. یکی از مزیتهای تیمسازی بنفش این است که تیم قرمز میتواند حملات خاصی را به طور مکرر انجام دهد، و تیم آبی میتواند از آن برای راهاندازی نرمافزار تشخیص، کالیبره کردن آن و افزایش پیوسته نرخ تشخیص استفاده کند. تیمهای بنفش ممکن است در جلسات «شکار تهدید» شرکت کنند، جایی که تیم قرمز و آبی به دنبال مزاحمان واقعی میگردند. مشارکت دادن سایر کارمندان در تیم بنفش نیز سودمند است، برای مثال مهندسان نرمافزار که میتوانند در ثبت گزارش و هشدارهای نرمافزار کمک کنند، و مدیرانی که میتوانند به شناسایی مضرترین سناریوهای مالی کمک کنند. یکی از خطرات تیم بنفش، رضایت و توسعه تفکر گروهی است که میتوان با استخدام افراد با مهارتهای مختلف یا استخدام یک فروشنده خارجی با آن مبارزه کرد. تیم سفید گروهی است که بر عملیات بین تیم های قرمز و تیم های آبی نظارت و مدیریت می کند. به عنوان مثال، ممکن است تیم سفید متشکل از مدیران یک شرکت باشند که قوانین تعامل را برای تیم قرمز تعیین می کنند.[۳]
حملات
نقطه ورود اولیه یک تیم قرمز یا حریف، ساحل نامیده می شود. یک تیم بالغ آبی اغلب در مهاجمان در نقطهی ورود یا همان ابتدای ساحل، و بیرون راندن مهاجمان ماهر است. نقش تیم قرمز افزایش مهارت های تیم آبی است.
هنگام نفوذ، یک رویکرد "جراحی" مخفیانه وجود دارد که زیر رادار تیم آبی باقی می ماند و به یک هدف واضح نیاز دارد، و یک رویکرد "بمباران فرش" پر سر و صدا که بیشتر شبیه یک حمله بی رحمانه است. بمباران فرش اغلب روش مفیدتری برای تیمهای قرمز است، زیرا میتواند آسیبپذیریهای غیرمنتظره را کشف کند.
انواع مختلفی از تهدیدات امنیت سایبری وجود دارد. تهدیدها ممکن است از چیزهای سنتی مانند هک کردن کنترلر دامنه شبکه یا چیزهای کمتر متعارف مانند راه اندازی استخراج ارزهای دیجیتال یا دسترسی بیش از حد کارمندان به اطلاعات شناسایی شخصی (PII) باشد که شرکت را در برابر مقررات حفاظت از دادههای عمومی (GDPR) باز می کند. هر یک از این تهدیدها را میتوان با گزارشهای تیم قرمز ترکیب کرد تا مشخص شود که چقدر مشکل جدی است. تمرینهای تئوری، که در آن نفوذها به صورت تئوری و فرضیه مشابه با نحوه انجام یک بازی تختهای انجام میشوند، میتوانند برای شبیهسازی نفوذهایی که برای اجرای زنده بسیار سنگین، بسیار پیچیده یا غیرقانونی هستند، استفاده شوند. تلاش برای نفوذ به تیم قرمز و تیم آبی، علاوه بر اهداف سنتیتر، می تواند مفید باشد.
پس از دستیابی به یک شبکه، شناسایی میتواند انجام شود. دادههای جمع آوری شده را میتوان در یک پایگاه داده گراف قرار داد، که نرمافزاری است که گرهها، روابط و خصوصیات را به صورت بصری ترسیم می کند. گرههای معمولی ممکن است رایانهها، کاربران یا گروههای مجوز باشند. تیمهای قرمز معمولاً پایگاههای اطلاعاتی نموداری بسیار خوبی از سازمان خود خواهند داشت، زیرا میتوانند از مزیت میدان خانگی، از جمله همکاری با تیم آبی برای ایجاد یک نقشه کامل از شبکه، و فهرست کاملی از کاربران و مدیران استفاده کنند. یک زبان پرس و جو مانند Cypher می تواند برای ایجاد و اصلاح پایگاه داده های نمودار استفاده شود. هر نوع حساب مدیر برای قرار دادن در پایگاه داده نمودار ارزشمند است، از جمله مدیران ابزارهای شخص ثالث مانند خدمات وب آمازون (AWS).گاهی می توان دادهها را از ابزارها صادر کرد و سپس در پایگاه داده گراف درج کرد.
هنگامی که تیم قرمز یک رایانه، وب سایت یا سیستم را به خطر انداخت، یک تکنیک قدرتمند شکار اعتبار است. اینها میتوانند به صورت رمزهای عبور متنی واضح، متن رمزنگاری شده، هش یا نشانه های دسترسی باشند. تیم قرمز به یک رایانه دسترسی پیدا میکند، به دنبال اعتباری میگردد که میتواند برای دسترسی به رایانه دیگری استفاده شود، سپس این کار با هدف دسترسی به رایانههای زیادی تکرار میشود. اعتبارنامهها را میتوان از بسیاری از مکانها، از جمله فایلها، مخازن کد منبع مانند گیت (Git)، حافظه رایانه، و نرمافزار ردیابی و ثبت نام به سرقت برد. برای دسترسی به وبسایتها و ماشینها بدون وارد کردن رمز عبور، میتوان از تکنیکهایی مانند پاس دادن کوکی و عبور هش استفاده کرد. تکنیکهایی مانند تشخیص کاراکتر نوری (OCR)، بهرهبرداری از رمزهای عبور پیشفرض، جعل درخواست اعتبار، و فیشینگ نیز میتوانند مورد استفاده قرار گیرند.
تیم قرمز می تواند از برنامهنویسی رایانه و اسکریپتهای رابط خط فرمان (CLI) برای خودکارسازی برخی از وظایف خود استفاده کند. برای مثال، اسکریپتهای CLI میتوانند از Component Object Model (COM) در ماشینهای مجازیمایکروسافت ویندوز به منظور خودکارسازی وظایف در برنامههای مایکروسافت آفیس استفاده کنند. کارهای مفید ممکن است شامل ارسال ایمیل، جستجوی اسناد، رمزگذاری یا بازیابی داده ها باشد. تیمهای قرمز میتوانند با استفاده از COM اینترنت اکسپلورر، ویژگی اشکالزدایی از راه دور گوگل کروم، یا چارچوب آزمایشی سلنیوم، کنترل مرورگر را در دست بگیرند.
دفاع
در طول یک نفوذ واقعی، تیم قرمز میتواند برای کمک به دفاع با تیم آبی همکاری کند. به طور خاص، آنها میتوانند تجزیه و تحلیلی از اقداماتی که مهاجمان در آینده برای نفوذ خواهند داشت، ارائه دهند. در هنگام نفوذ، هم تیم قرمز و هم تیم آبی از مزیت میدان خانگی برخوردارند، زیرا با شبکهها و سیستمهای سازمان بیشتر آشنا هستند تا مهاجمان.
تیم قرمز یک سازمان ممکن است یک هدف جذاب برای مهاجمان واقعی باشد. رایانه و سرورهای اعضای تیم قرمز ممکن است حاوی اطلاعات حساس در مورد سازمان باشند. در نتیجه، رایانههای اعضای تیم قرمز اغلب از ایمنی بیشتری برخوردار هستند. میشوند. تکنیکهای ایمنسازی رایانهها شامل پیکربندی دیوار آتش سیستمعامل، محدود کردن دسترسی پوسته امن (SSH) و بلوتوث، بهبود گزارشگیری و هشدارها، حذف ایمن فایلها و رمزگذاری درایوهای سخت است.
یکی از تاکتیکها، شرکت در «دفاع فعال» است، که شامل راهاندازی طعمهها و هانیپاتها برای کمک به ردیابی مکان مهاجمان است. این هانیپات ها میتوانند به تیم آبی در مورد نفوذ شبکه ای که ممکن است شناسایی نشده باشد، هشدار دهند. بسته به سیستم عامل، میتوان از نرمافزارهای مختلفی برای راهاندازی یک فایل هانیپات استفاده کرد: ابزارهای مکینتاش شامل OpenBMS، ابزارهای لینوکس شامل پلاگینهای ممیزیشده و ابزارهای ویندوز شامل فهرستهای کنترل دسترسی سیستم (SACL) هستند. اعلانها میتواند شامل پنجرههای بازشو، ایمیلها و نوشتن در یک فایل گزارش باشد. نظارت متمرکز، که در آن فایلهای گزارش مهم به سرعت به نرمافزار گزارشگیری روی یک ماشین دیگر ارسال میشوند، یک تکنیک دفاعی شبکه مفید محسوب میشود.