الفريق الأحمر هو عملية لاختبار فعالية الأمن السيبراني حيث يقوم المتسللون الأخلاقيون بإجراء هجوم إلكتروني محاكي وغير مدمر. يساعد الهجوم المحاكي المؤسسة على تحديد الثغرات الأمنية في نظامها وإجراء تحسينات مستهدفة على العمليات.
أصبحت الهجمات الإلكترونية اليوم أسرع من أي وقت مضى. وفقًا لمؤشر IBM X-Force Threat Intelligence Index، انخفض الوقت المستغرق لتنفيذ هجمات برامج الفدية بنسبة 94% على مدار السنوات القليلة الماضية، من 68 يومًا في عام 2019 إلى أقل من أربعة أيام في عام 2023.
توفر عمليات الفريق الأحمر للمؤسسة طريقة للكشف عن المخاطر الأمنية وفهمها وإصلاحها بشكل استباقي قبل أن تتمكن الجهات المُهدِّدة من استغلالها. تتبنى الفرق الحمراء عدسات عدائية، مما يساعدها على تحديد الثغرات الأمنية التي من المرجح أن يستغلها المهاجمون الحقيقيون.
يسمح النهج الاستباقي والعدائي للفرق الحمراء لفرق الأمن بتعزيز أنظمة الأمان وحماية البيانات الحساسة حتى في مواجهة التهديدات الإلكترونية المتزايدة.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
عمل الفريق الأحمر هو نوع من أنواع القرصنة الأخلاقية التي يحاكي فيها الخبراء أساليب وتقنيات وإجراءات (TTPs) المهاجمين الحقيقيين.
يتمتع المتسللون الأخلاقيون بنفس المهارات ويستخدمون نفس الأدوات مثل المتسللين الخبيثين، لكن هدفهم هو تحسين أمن الشبكة. يتبع أعضاء الفريق الأحمر وغيرهم من المخترقين الأخلاقيين مدونة سلوك صارمة. يحصلون على إذن من المؤسسات قبل اختراقها، ولا يلحقون أي ضرر حقيقي بالشبكة أو مستخدميها.
وبدلاً من ذلك، تستخدم الفرق الحمراء عمليات محاكاة الهجمات لفهم كيف يمكن للقراصنة الخبيثين التسبب في ضرر حقيقي للنظام. أثناء التمرين على عمل الفريق الأحمر، يتصرف أعضاء الفريق الأحمر كما لو كانوا خصومًا في العالم الحقيقي. فهم يستفيدون من منهجيات القرصنة المختلفة وأدوات محاكاة التهديدات وغيرها من الأساليب لمحاكاة المهاجمين المتطورين والتهديدات المستمرة المتقدمة.
تساعد هذه الهجمات المحاكية في تحديد مدى قدرة أنظمة إدارة المخاطر للمؤسسة—الأشخاص والعمليات والتقنيات—على مقاومة أنواع مختلفة من الهجمات الإلكترونية والاستجابة لها.
عادة ما تكون تمارين الفريق الأحمر محددة زمنيًا. قد يستغرق الاختبار ما بين بضعة أسابيع إلى شهر أو أكثر. يبدأ كل اختبار عادةً بالبحث عن النظام المستهدف، بما في ذلك المعلومات العامة والاستعلامات مفتوحة المصدر والاستطلاع النشط.
بعد ذلك، يشن الفريق الأحمر هجمات محاكية ضد نقاط مختلفة في سطح هجوم النظام، لاستكشاف نواقل الهجوم المختلفة. وتشمل الأهداف الشائعة:
خلال هذه الهجمات المحاكية، غالبًا ما تواجه الفرق الحمراء الفرق الزرقاء، التي تعمل كمدافعين عن النظام. يحاول الفريق الأحمر الالتفاف حول دفاعات الفريق الأزرق، مع ملاحظة كيفية القيام بذلك. يسجل الفريق الأحمر أيضًا أي ثغرات أمنية يجدها وما يمكنه فعله بها.
تنتهي تمارين الفريق الأحمر بتقرير نهائي، حيث يجتمع الفريق الأحمر مع فرق تكنولوجيا المعلومات وفرق الأمن لمشاركة النتائج التي توصل إليها وتقديم توصيات بشأن معالجة الثغرات الأمنية.
توظف أنشطة الفريق الأحمر نفس الأدوات والتقنيات التي يستخدمها المهاجمون في العالم الحقيقي لاستكشاف التدابير الأمنية للمؤسسة.
بعض أدوات وتقنيات الفريق الأحمر الشائعة تشمل التالي:
يمكن أن يساعد الفريق الأحمر في تعزيز الوضع الأمني المؤسسي وتعزيز المرونة، ولكنه يمكن أن يشكل أيضاً تحديات خطيرة لفرق الأمن. فمن أهم التحديات هي التكلفة والوقت المستغرق لإجراء اختبارات الفريق الأحمر.
في المؤسسات النموذجية، تميل عمليات الفريق الأحمر للحدوث بشكل دوري فقط في أفضل الحالات، مما يوفر رؤى حول أمن المؤسسة السيبراني في نقطة زمنية واحدة. تكمن المشكلة في أن الوضع الأمني للشركة قد يبدو قويًا عند إجراء الاختبارات، ولكنه قد لا يبقى كذلك طوال الوقت.
تتيح حلول الأتمتة المستمرة للفريق الأحمر (CART) للمؤسسات تقييم الوضع الأمني بشكل مستمر في الوقت الفعلي. تستخدم حلول CART الأتمتة لاكتشاف الأصول وتحديد أولويات خطورة الثغرات الأمنية وتنفيذ الهجمات باستخدام الأدوات والثغرات التي طورها ويشرف عليها خبراء المجال.
من خلال أتمتة جزء كبير من العملية، يمكن لـ CART جعل اختبار الفريق الأحمر أكثر سهولة ويحرر محترفي الأمن للتركيز على الاختبارات المثيرة للاهتمام والجديدة.
تساعد تمارين الفريق الأحمر المؤسسة في الحصول على منظور المهاجم لأنظمتها. يمكّن هذا المنظور المؤسسة من معرفة مدى قدرة دفاعاتها على الصمود في وجه هجوم إلكتروني حقيقي.
يضع هجوم المحاكاة الضوابط والحلول الأمنية وحتى الأفراد في مواجهة خصم مخصص ولكنه غير مدمر لتحديد ما يعمل—أو ما لا يعمل—بشكل جيد. يمكن للفريق الأحمر أن يقدم لمسؤولي الأمن تقييمًا واقعيًا لأمن مؤسستهم.
ويمكن أن يساعد الفريق الأحمر المؤسسة على:
تعمل الفرق الحمراء والفِرق الزرقاء والفِرق الأرجوانية معًا لتحسين أمن تكنولوجيا المعلومات. تقوم الفرق الحمراء بإجراء هجمات وهمية، بينما تتولى الفرق الزرقاء دورًا دفاعيًا وتقوم الفرق الأرجوانية بتسهيل التعاون بين الفريقين.
تتكون الفرق الحمراء من محترفي الأمن الذين يختبرون أمن المؤسسة من خلال محاكاة الأدوات والتقنيات التي يستخدمها المهاجمون في العالم الحقيقي.
يحاول الفريق الأحمر اختراق دفاعات الفريق الأزرق مع تجنب كشفه. هدف الفريق هو فهم كيف يمكن أن ينجح اختراق أمن البيانات أو أي إجراء ضار آخر ضد نظام معين.
الفرق الزرقاء هي فرق أمن تكنولوجيا المعلومات الداخلية التي تدافع عن نظام المؤسسة وبياناتها الحساسة من المهاجمين، بما في ذلك أعضاء الفريق الأحمر.
تعمل الفرق الزرقاء باستمرار على تحسين الأمن السيبراني لمؤسستها. تشمل مهامهم اليومية أنظمة المراقبة بحثًا عن علامات التسلل والتحقيق في التنبيهات والاستجابة للحوادث.
لا تُشكّل الفرق البنفسجية فرقًا منفصلة، بل هي عملية تعاونية مشتركة بين أعضاء الفرق الحمراء والزرقاء.
يعمل كل من أعضاء الفريق الأحمر والأزرق على تحسين أمن المؤسسة. ويتمثل دور الفريق الأرجواني في تشجيع التواصل والتعاون الفعال بين الفريقين ومع الأطراف المعنية.
يقترح الفريق البنفسجي في كثير من الأحيان استراتيجيات للتخفيف من المخاطر ويساعد على تمكين التحسين المستمر لكلا الفريقين وأمن المؤسسة السيبراني.
يعد اختبار الفريق الأحمر واختبار الاختراق—المعروف أيضًا باسم "pen testing "—طرقًا مختلفة ولكنها متداخلة لتقييم أمان النظام.
على غرار اختيار الفرق الحمراء، تستخدم اختبارات الاختراق تقنيات اختراق لتحديد الثغرات الأمنية القابلة للاستغلال في النظام. الفرق الرئيسي هو أن اختبار الفريق الأحمر أكثر اعتمادًا على السيناريوهات.
تُجرى تمارين الفريق الأحمر غالبًا في إطار زمني محدد، وغالبًا ما تُواجه فيها فرق الهجوم الأحمر فرق الدفاع الأزرق. والهدف هو محاكاة سلوك الخصم في العالم الحقيقي.
اختبارات الاختراق تشبه إلى حد كبير التقييم الأمني التقليدي. يستخدم مختبرو الاختراقات تقنيات قرصنة مختلفة ضد نظام أو أصل لمعرفة أي منها يعمل وأيها لا يعمل.
يمكن أن تساعد اختبارات الاختراق المؤسسة على تحديد الثغرات الأمنية التي يحتمل أن تكون قابلة للاستغلال في النظام. يمكن أن يساعد الفريق الأحمر المؤسسة على فهم كيفية أداء أنظمتها—بما في ذلك التدابير الدفاعية والضوابط الأمنية—في سياق الهجمات الإلكترونية الواقعية.
يجدر بالذكر أن اختبارات الاختراق واختبارات الفرق الحمراء ليست سوى طريقتين من بين العديد من الطرق التي يستخدمها المخترقون الأخلاقيون لتحسين وضع الأمن المؤسسي. قد يقوم المخترقون الأخلاقيون أيضًا بإجراء تقييمات الثغرات الأمنية وتحليل البرامج الضارة وخدمات أمن المعلومات الأخرى.