fbpx

ARİDOSHİKA

Ulaşabildiğin her yerde

Purple (Mor Takım) Teaming Nedir?

5 min read

Giriş

Red Team terimi, askeri çevrede, Mavi Takım olarak adlandırılan savunma ekibinin aksine rakiplerin rolünü oynayabilen son derece uzmanlaşmış grupları temsil etmek için doğdu. Kırmızı Takım, Mavi Takım tarafından temsil edilen bir savunma önlemi ile tespit edilmesi ve azaltılması gereken gerçek saldırıları geliştirmek için yeteneklerini, bilgilerini ve araçlarını kullanıyorlardı. Nihai amaç, savunma yeteneklerini gerçek bir düşman gibi davranan birine karşı geliştirmekti. Bu kavramlarla siber güvenlik alanında, bir Organizasyonun direncini gerçek ataklara karşı test eden ve etkin algılama kabiliyetlerini test eden aktiviteleri belirtmek için de uygulanmıştır.

Gerçek dünya saldırılarının evrimi ve popülaritesini göz önünde bulundurarak, Örgütlerin siber saldırılara karşı etkin bir esnekliği değerlendirmek ve test altyapısı ile gerçek saldırı senaryoları arasındaki uçurumu kapatmak amacıyla, penetrasyon testine kendi yaklaşımlarını geliştirmeleri gerekmektedir.

Tipik bir penetrasyon testi, yarı otomatik bir ağ ve güvenlik açığı taraması, ardından tanımlanan zayıflık ve kusurların istismar edilebilirliği ile karakterize edilir. Bu yaklaşım, Organizasyon tarafından uygulanan güvenlik açıkları ve önleyici kontroller hakkında geniş bir genel bakış sağlar, ancak mevcut saldırılar karşısında etkili bir direnç gösteremez, çünkü gerçek bir saldırganın kötü amaçlı yazılım, sosyal mühendislik gibi tipik bileşenlerinden yoksundurlar.

Penetrasyon Testi ile Karşılaştırma

Red Teaming aktiviteleri, özellikle Penetration Testing nişanlarına kıyasla çeşitli farklılıklar sunuyor:

  • Hedef , daha önce açıklandığı gibi, bu etkinliğin amacı, gerçek saldırılara karşı dayanıklılığını test yerine teknik saldırıya maruz kaldığını gözetim kazanmaktır.
  • Kapsam , Red Teaming uygulamalarında tüm erişim yollarını önceden tanımlanmış altkümeler veya uygulamalar yerine kapsam dahilindedir.
  • Test etme , testin odak noktası, esnekliği test etmek için organizasyonun tespiti ve yanıtı üzerine odaklanmıştır.
  • Red Teaming aktivitelerindeki araçlar , potansiyel bir saldırganın kullanabileceği tüm TTP’leri (Araç, Taktikler ve Prosedürler) kullanabilir, ayrıca özel kötü amaçlı yazılım ve sosyal mühendislik saldırılarını da içerir.
  • Kritik kıymetlere ve hassas veri ve bilginin sızmasına odaklanan sömürü sonrası .
  • Konumlandırma genellikle, genellikle geliştirme yaşam döngüsünün bir parçası olan Penetrasyon Testi yerine periyodik bir alıştırmadır.

Kırmızı takım yaklaşımı

Kırmızı Takım, en yetenekli bilgisayar korsanları tarafından oluşturulmalı ve gerçek saldırganları taklit etmek için en son teknolojiyi kullanmalıdır. Kullanılan yaklaşım, Siber Öldürme Zincirine yönlendirilmelidir:

  • Reconnaissance(Keşif) : hedefin ayak izi ve bilgi toplaması (etki alanları, e-posta adresleri, bilgi vb.) Ve saldırı yöntemlerini belirleme.
  • Weaponization(Silahlanma) : Saldırı yöntemlerinin geliştirme aşaması, genellikle istismar ve arka kapıyı içeren dağıtılabilir kötü amaçlı yük.
  • Delivery(Teslimat) : saldırının farklı saldırı vektörü (e-posta, web, sosyal medya, fiziksel vb.) Yoluyla iletilmesi
  • Exploitation(Sömürü) : teknik veya insan savunmasızlığının veya yanlış yapılandırılmasının kullanılması.
  • Installation(Kurulum) : kurban sisteminin uzaktan kumanda kazanmak için özelleştirilmiş malware veya backdoor yükleme
  • Control(Kontrol) : ağ boyunca K2 (Komuta & Kontrol) kanalının kurulması
  • Maintenance(Bakım) : uzaktan kumandayı korumak için kurbanın ağındaki (yanal hareket, exfiltrasyon vb.) Gerçek hedeflere ulaşmak için eylemlerin yapılması ve “süreklilik” yapılması.

 

Kırmızı + Mavi = Mor Takım

Kırmızı Takım çalışması, bir örgütün gerçek siber esnekliğini anlamak için çok faydalıdır. Ancak, bazı verimsizlikler olabilir. Tipik olarak, iki grup asla konuşmaz: Kırmızı takım, kendi teknik departmanlarını bilgilendirmeksizin, alt yapıyı ihlal etme amacı ile STK (Baş Güvenlik Görevlisi) veya bir kuruluşun eşdeğeri tarafından işe alınır. Bu anlaşmayı bitirdikten sonra, sonuçların ve izlenecek yolun takibi, mavi takıma faydalı bir şekilde iletilmezse, kırmızı ekip (veya gerçek siber saldırgan) her ne zaman analiz gerçekleştirirse, her zaman Organizasyona girmeyi başarabilir.

Her iki grup tarafından da çabaların verimliliğini ve etkinliğini optimize etmek ve bu etkinliğin değerli sonuçlarını sağlamak için Mor Takım olarak adlandırılan yeni bir konsept tanımlanmıştır (mavi ve kırmızı renkleri karıştırarak mor renk elde edilmiştir). Purple Teaming’in amacı, saldırı ve savunma taktiklerinin işbirliğidir: saldırgan takım, saldırganın kullanabileceği tüm TTP’leri (Taktikler, Teknikler ve Prosedürler) kullanmalıdır ve savunma ekibi, algılama e yanıt yeteneklerini geliştirmeli ve geliştirmelidir.

Red Team’in misyonu siber öldürme zincirini takip etmeyi denemek olsa da, Mavi Ekip, siber saldırıları  azaltmak amacıyla, özellikle yanal hareket ve ayrıcalık yükseltme olayları olmak üzere bu saldırı girişimlerini tespit edebilmelidir. Red Team’in “taç mücevherlerini” eve getirmesini önlemek için zinciri mümkün olan en erken aşamada öldürün.

Genel olarak, savunma grubu, bir SIEM (Güvenlik Olayı Olay Yönetimi) ve ilgili güvenlik sondaları (IDS / IPS, Güvenlik Duvarı, Anti-kötü amaçlı yazılım) aracılığıyla güvenlik olaylarını inceleyen olay yanıtlayıcı, adli tıp uzmanı veya SOC (Güvenlik Operasyon Merkezi) analisti tarafından temsil edilir. vb.): Organizasyonun karmaşıklığına ve uyguladığı teknolojilere bağlıdır. Purple Teaming’in yararı, her iki grubun sinerji ve karşılıklı geri bildirimi ve zorlama yeteneğini sürekli olarak algılama kapasitesini ve yanıt yeteneklerini iyileştirme yeteneğidir. Aslında, işbirliği, saldırgan ve savunmacı taktikler ve özellikle de gerçek siber saldırganların (Taktikler, Teknikler ve Prosedürler) kullandıkları teknikler hakkındaki bilgilerini genişletmek için bu fırsattan yararlanacak olan mavi için sürekli iyileştirmeyi amaçlamalıdır. .

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.