RED TEAM BLUE TEAM NEDİR?
Hem kırmızı ekipler hem de mavi ekipler bir kuruluşun güvenliğini iyileştirmeye çalışır, ancak bunu farklı şekilde yaparlar. Hadi bu konuyu detaylı inceleyelim.
RED TEAM:
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kırmızı ekibi “potansiyel bir düşmanın saldırı veya istismar yeteneklerini bir işletmenin güvenlik duruşuna karşı taklit etmek için yetkilendirilmiş ve organize edilmiş bir grup insan” olarak tanımlar daha basit bir şekilde anlatırsak Red Team(Kırmızı Takım) etik bilgisayar korsanlarından oluşuyor diyebiliriz. Etik bilgisayar korsanlığı; bir saldırgan gibi düşünüp sistem üzerindeki güvenlik açıklarını keşfetmeye ve siber güvenlik savunmalarını aşmayı hedefleyerek zafiyetleri sömürmeyi amaçlayan takımdır.
Kırmızı Takım Aktiviteleri
· Sosyal mühendislik
· Güvenlik açıkları
· Güvenlik iyileştirmeleri için mavi ekibe önerilerde bulunmak
· Kablosuz erişim
Bazı kaynaklarda aktivelerin arasında sızma testi olduğu da yazmaktadır, evet benzerlikleri vardır yazılabilir ancak tam olarak bunu ifade etmek istemez. Gelin bir karşılaştırma yapalım.
Red Teaming İle Sızma Testi Arasındaki Farklar Nedir?
Genel olarak yapılan operasyonlar aynı gibi gözükse de Red Teaming yaklaşım ve sonuç bakımından büyük ölçüde farklılık gösterir.
Sızma testi yapılırken sızma testinin yapıldığı kuruma test yapılacağı bildirilmektedir ve ekip buna karşı hazır bir şekilde kontrollü yapılmaktadır.
Red Teaming hizmetinde ise operasyonun gerçekleştirileceği ekibe bildirilmez ve önceden belirlenmiş 1 veya 2 yönetici tarafından bilinmektedir.
Yapılacak olan operasyon bilgi teknolojileri ekibinden bağımsız yürütülür. Böylece kurumun hedeflenmiş bir saldırı ile karşılaştığında gerçek anlamda ne ile karşılaşacağını görebilme fırsatı yakalar.
Red Teaming, sadece bilişim sistemlerini değil, aynı zamanda insan ve süreç faktörlerini de test etmeyi hedeflemektedir.
Sızma testi çalışmaları 1-2 hafta sürerken, Red Teaming çalışmaları 1-3 aylık çalışma süresine sahiptir.
Red Team Metodolojisi
Red Team Metodolojisi 6 alt başlıkta toplanabilir;
Keşif (Reconnaissance)
Bilgi toplama aşamasıdır. Mümkün olduğunca fazla bilgi toplamaya çalışılırken hedefe özel kullanılanacak araçların da belirlendiği aşamadır.
Silahlanma (Weaponization)
Zararlı yazılım ve donanımların hedefe dair bilgiler ışığında özelleştirilmesi, senaryoların, sahte kimliklerin ve ortamların oluşturulması vb. Çalışma adımlarının yer alacağı aşamadır.
Gönderim (Delivery)
Aktif başlangıç noktasıdır. Red Team bu noktada belirlenen hedeflere ulaşmak için hedef kişi veya kişilere yönelik çalışmaları gerçekleştirirler. Fiziksel, yüz yüze veya uzaktan her türlü siber güvenlik öğesine dair zafiyetlerin analiz edileceği aşamadır.
İstismar (Exploitation)
Hedefe ulaşıldıktan sonra ilerlenerek ne kadar bulaşıcılık sağlandığının ölçülmesi bu aşamada gerçekleştirilir.
Komuta ve Kontrol (Command & Control)
Hedef sistemlere bulaşan zararlı etkileşimlerin Red Team yönetimi ile iletişime geçtiği aşamadır.
Hedefe İlerleme (Actions on Objective)
Bu adımda önceden belirlenmiş bir hedeflere erişmek için çalışılır. Amaç en kısa sürede ve yakalanmadan hedefe ulaşmaktır.
KIRMIZI EKİP OLUŞTURMA NEDİR VE GÜVENLİK EKİBİNİZİN BUNA NEDEN İHTİYACI VAR?
Saldırgan rolünde yaklaşımı benimsemede, kuruluşun savunması, güvenlik araçlarının ve sistemlerinin teorik yeteneklerine değil, gerçek dünya tehditlerinin varlığındaki gerçek performanslarına dayanmaktadır. Kırmızı ekip oluşturma, şirketin önleme, tespit ve iyileştirme yeteneklerini ve olgunluğunu doğru bir şekilde değerlendirmede kritik bir bileşendir.
BLUE TEAM:
Ulusal Standartlar ve Teknoloji Enstitüsü NIST, mavi takımı “bir grup sahte saldırgana karşı güvenlik duruşunu koruyarak bir kuruluşun bilgi sistemlerini kullanmasını savunmaktan sorumlu grup” olarak tanımlar. Bunuda basit şekilde anlatırsak olası olabilecek siber saldırılara karşı her zaman savunma halinde olup güvenlik açıklarını, güvenlikle ilgili yapılandırma sorunlarını belirlemek ve güvenlik kontrollerinin etkisini doğrulamak için bilgi sistemlerini sürekli olarak değerlendiren takımdır.
Mavi Takım Aktiviteleri:
· Dns araştırması yapmak
· Dijital analiz yapmak
· Güvenlik yazılımını gözden geçirme, yapılandırma ve izleme
· Ağ etkinliğini günlüğe kaydetmek ve almak için SIEM çözümlerini uygulamak
· İşlemlere güvenliği yerleştirme.
Kırmızı Ve Mavi Takımlar Birlikte Nasıl Çalışır?
Gerçek hayattaki saldırı senaryolarını simüle ederek, kırmızı takıma karşı mavi takım çalışmaları, kuruluşunuzun güvenlik altyapısının durumu hakkında çok değerli bilgiler sağlar. Güvenlik denetimleri, fiziksel güvenlik kontrolleri ve sürekli web uygulaması güvenlik açığı taraması gibi devam eden diğer güvenlik programlarıyla birleştiğinde, sürekli gelişen tehdit ortamında zayıf noktaları ortadan kaldırmanın ve sağlam bir güvenlik duruşunu korumanın etkili bir yolu olabilir.
Merhaba site ile nasıl iletişim kurabilirim? işbirliği amaçlı, teşekkürler
admin@siberguvenlik.web.tr adresine yazabilirsiniz.