ما المقصود بمنهجية الفريق الأحمر؟

أصبحت الهجمات الإلكترونية اليوم أسرع من أي وقت مضى. وفقًا لمؤشر IBM X-Force Threat Intelligence Index، انخفض الوقت المستغرق لتنفيذ هجمات برامج الفدية بنسبة 94% على مدار السنوات القليلة الماضية، من 68 يومًا في عام 2019 إلى أقل من أربعة أيام في عام 2023.

توفر عمليات الفريق الأحمر للمؤسسة طريقة للكشف عن المخاطر الأمنية وفهمها وإصلاحها بشكل استباقي قبل أن تتمكن الجهات المُهدِّدة من استغلالها. تتبنى الفرق الحمراء عدسات عدائية، مما يساعدها على تحديد الثغرات الأمنية التي من المرجح أن يستغلها المهاجمون الحقيقيون.

يسمح النهج الاستباقي والعدائي للفرق الحمراء لفرق الأمن بتعزيز أنظمة الأمان وحماية البيانات الحساسة حتى في مواجهة التهديدات الإلكترونية المتزايدة.

عمل الفريق الأحمر هو نوع من أنواع القرصنة الأخلاقية التي يحاكي فيها الخبراء أساليب وتقنيات وإجراءات (TTPs) المهاجمين الحقيقيين.

يتمتع المتسللون الأخلاقيون بنفس المهارات ويستخدمون نفس الأدوات مثل المتسللين الخبيثين، لكن هدفهم هو تحسين أمن الشبكة. يتبع أعضاء الفريق الأحمر وغيرهم من المخترقين الأخلاقيين مدونة سلوك صارمة. يحصلون على إذن من المؤسسات قبل اختراقها، ولا يلحقون أي ضرر حقيقي بالشبكة أو مستخدميها.

وبدلاً من ذلك، تستخدم الفرق الحمراء عمليات محاكاة الهجمات لفهم كيف يمكن للقراصنة الخبيثين التسبب في ضرر حقيقي للنظام. أثناء التمرين على عمل الفريق الأحمر، يتصرف أعضاء الفريق الأحمر كما لو كانوا خصومًا في العالم الحقيقي. فهم يستفيدون من منهجيات القرصنة المختلفة وأدوات محاكاة التهديدات وغيرها من الأساليب لمحاكاة المهاجمين المتطورين والتهديدات المستمرة المتقدمة.

تساعد هذه الهجمات المحاكية في تحديد مدى قدرة أنظمة إدارة المخاطر للمؤسسة—الأشخاص والعمليات والتقنيات—على مقاومة أنواع مختلفة من الهجمات الإلكترونية والاستجابة لها.

عادة ما تكون تمارين الفريق الأحمر محددة زمنيًا. قد يستغرق الاختبار ما بين بضعة أسابيع إلى شهر أو أكثر. يبدأ كل اختبار عادةً بالبحث عن النظام المستهدف، بما في ذلك المعلومات العامة والاستعلامات مفتوحة المصدر والاستطلاع النشط.

بعد ذلك، يشن الفريق الأحمر هجمات محاكية ضد نقاط مختلفة في سطح هجوم النظام، لاستكشاف نواقل الهجوم المختلفة. وتشمل الأهداف الشائعة:

• أنظمة الذكاء الاصطناعي ونماذج التعلم الآلي
• مجموعات البيانات التي تدعم تطبيقات الذكاء الاصطناعي والتعلم الآلي
• محطات العمل والأجهزة المحمولة
• الأنظمة التشفيرية
• أنظمة كشف نقطة النهاية والاستجابة لها (اكتشاف نقاط النهاية والاستجابة لها)
• أنظمة الكشف والاستجابة الموسعة (XDR)
• جدران الحماية
• أنظمة كشف التسلل (IDSs)
• أنظمة التنسيق الأمني والأتمتة والاستجابة (SOAR)
• تطبيقات الويب وخوادم الويب

خلال هذه الهجمات المحاكية، غالبًا ما تواجه الفرق الحمراء الفرق الزرقاء، التي تعمل كمدافعين عن النظام. يحاول الفريق الأحمر الالتفاف حول دفاعات الفريق الأزرق، مع ملاحظة كيفية القيام بذلك. يسجل الفريق الأحمر أيضًا أي ثغرات أمنية يجدها وما يمكنه فعله بها. 

تنتهي تمارين الفريق الأحمر بتقرير نهائي، حيث يجتمع الفريق الأحمر مع فرق تكنولوجيا المعلومات وفرق الأمن لمشاركة النتائج التي توصل إليها وتقديم توصيات بشأن معالجة الثغرات الأمنية.

توظف أنشطة الفريق الأحمر نفس الأدوات والتقنيات التي يستخدمها المهاجمون في العالم الحقيقي لاستكشاف التدابير الأمنية للمؤسسة.

بعض أدوات وتقنيات الفريق الأحمر الشائعة تشمل التالي:

• الهندسة الاجتماعية: تستخدم أساليب مثل التصيد الاحتيالي، والتصيد عبر الرسائل النصية القصيرة، والتصيد الصوتي، والتصيد الاحتيالي الموجّه  وتصيد أهداف رفيعة المستوى للحصول على معلومات حساسة أو الوصول إلى أنظمة الشركة من خلال الموظفين الغافلين.
  
  
• اختبار الأمن المادي: اختبارات لضوابط الأمن المادي التي تعتمدها المؤسسة، بما في ذلك أنظمة المراقبة وأجهزة الإنذار.
  
  
• اختبار اختراق التطبيقات: اختبار تطبيقات الويب من أجل العثور على المشكلات الأمنية الناشئة عن أخطاء الترميز، مثل ثغرات حقن SQL.
  
  
• التقاط حزم البيانات المارة بالشبكة: يراقب هذا الاختبار حركة البيانات بالشبكة للحصول على معلومات حول نظام تكنولوجيا المعلومات، مثل تفاصيل التكوين وبيانات اعتماد المستخدمين. 
  
  
• تشويه المحتوى المشترك: يُقصد به إضافة محتوى إلى محرك أقراص الشبكة أو ذاكرة التخزين المشتركة، والذي قد يتضمن برامج ضارة أو رموز برمجية خطيرة الأثر. عندما يفتحها مستخدم غير منتبه، يتم تشغيل الرمز البرمجي الخبيث، مما يتيح للمهاجم التحرك جانبيًا.
  
  
• هجوم القوة الغاشمة باستخدام بيانات الاعتماد: تخمين كلمات المرور بشكل منهجي من خلال تجربة بيانات اعتماد من اختراقات سابقة، أو اختبار قوائم كلمات المرور الشائعة الاستخدام أو باستخدام البرامج النصية الآلية.

يمكن أن يساعد الفريق الأحمر في تعزيز الوضع الأمني المؤسسي وتعزيز المرونة، ولكنه يمكن أن يشكل أيضاً تحديات خطيرة لفرق الأمن. فمن أهم التحديات هي التكلفة والوقت المستغرق لإجراء اختبارات الفريق الأحمر.

في المؤسسات النموذجية، تميل عمليات الفريق الأحمر للحدوث بشكل دوري فقط في أفضل الحالات، مما يوفر رؤى حول أمن المؤسسة السيبراني في نقطة زمنية واحدة. تكمن المشكلة في أن الوضع الأمني للشركة قد يبدو قويًا عند إجراء الاختبارات، ولكنه قد لا يبقى كذلك طوال الوقت.

تتيح حلول الأتمتة المستمرة للفريق الأحمر (CART) للمؤسسات تقييم الوضع الأمني بشكل مستمر في الوقت الفعلي. تستخدم حلول CART الأتمتة لاكتشاف الأصول وتحديد أولويات خطورة الثغرات الأمنية وتنفيذ الهجمات باستخدام الأدوات والثغرات التي طورها ويشرف عليها خبراء المجال.

من خلال أتمتة جزء كبير من العملية، يمكن لـ CART جعل اختبار الفريق الأحمر أكثر سهولة ويحرر محترفي الأمن للتركيز على الاختبارات المثيرة للاهتمام والجديدة.

تساعد تمارين الفريق الأحمر المؤسسة في الحصول على منظور المهاجم لأنظمتها. يمكّن هذا المنظور المؤسسة من معرفة مدى قدرة دفاعاتها على الصمود في وجه هجوم إلكتروني حقيقي.

يضع هجوم المحاكاة الضوابط والحلول الأمنية وحتى الأفراد في مواجهة خصم مخصص ولكنه غير مدمر لتحديد ما يعمل—أو ما لا يعمل—بشكل جيد. يمكن للفريق الأحمر أن يقدم لمسؤولي الأمن تقييمًا واقعيًا لأمن مؤسستهم.

ويمكن أن يساعد الفريق الأحمر المؤسسة على:

• تحديد وتقييم الثغرات الأمنية في كل من سطح الهجوم—النقاط التي يمكن اختراق النظام منها—ومسارات الهجوم—الخطوات التي يمكن اتباعها عند بدء الهجوم.
  
  
• تقييم أداء الاستثمارات الأمنية الحالية—بما في ذلك قدرات الكشف عن التهديدات والوقاية منها والاستجابة لها —في مواجهة التهديدات الحقيقية.
  
  
• تحديد المخاطر الأمنية غير المعروفة أو غير المتوقعة سابقًا والاستعداد لها.
  
  
•  تحديد أولويات التحسينات على أنظمة الأمان.

تعمل الفرق الحمراء والفِرق الزرقاء والفِرق الأرجوانية معًا لتحسين أمن تكنولوجيا المعلومات. تقوم الفرق الحمراء بإجراء هجمات وهمية، بينما تتولى الفرق الزرقاء دورًا دفاعيًا وتقوم الفرق الأرجوانية بتسهيل التعاون بين الفريقين. 

يعد اختبار الفريق الأحمر واختبار الاختراق—المعروف أيضًا باسم "pen testing "—طرقًا مختلفة ولكنها متداخلة لتقييم أمان النظام. 

على غرار اختيار الفرق الحمراء، تستخدم اختبارات الاختراق تقنيات اختراق لتحديد الثغرات الأمنية القابلة للاستغلال في النظام. الفرق الرئيسي هو أن اختبار الفريق الأحمر أكثر اعتمادًا على السيناريوهات.

تُجرى تمارين الفريق الأحمر غالبًا في إطار زمني محدد، وغالبًا ما تُواجه فيها فرق الهجوم الأحمر فرق الدفاع الأزرق. والهدف هو محاكاة سلوك الخصم في العالم الحقيقي.

اختبارات الاختراق تشبه إلى حد كبير التقييم الأمني التقليدي. يستخدم مختبرو الاختراقات تقنيات قرصنة مختلفة ضد نظام أو أصل لمعرفة أي منها يعمل وأيها لا يعمل.

يمكن أن تساعد اختبارات الاختراق المؤسسة على تحديد الثغرات الأمنية التي يحتمل أن تكون قابلة للاستغلال في النظام. يمكن أن يساعد الفريق الأحمر المؤسسة على فهم كيفية أداء أنظمتها—بما في ذلك التدابير الدفاعية والضوابط الأمنية—في سياق الهجمات الإلكترونية الواقعية.

يجدر بالذكر أن اختبارات الاختراق واختبارات الفرق الحمراء ليست سوى طريقتين من بين العديد من الطرق التي يستخدمها المخترقون الأخلاقيون لتحسين وضع الأمن المؤسسي. قد يقوم المخترقون الأخلاقيون أيضًا بإجراء تقييمات الثغرات الأمنية وتحليل البرامج الضارة وخدمات أمن المعلومات الأخرى.