EN
EN

RED TEAM ve BLUE TEAM Nedir?


RED TEAM

Red Team bir kurumun güvenlik cihazlarını, ağlarını, çalışanlarını, uygulamalarını ve fiziksel güvenlik kontrollerini gerçekte bir saldırıya ne kadar dayanabileceğinin ölçülmesi için tasarlanan tam kapsamlı ve çok katmanlı saldırı simülasyonudur. Şirketlerin güvenlik ekiplerinin, kurumun gerçek bir saldırı karşısında ne kadar iyi bir sonuç alacağını test etmeleri için özel bir yol sunmaktadır. İyi kurgulanmış bir Red Team güvenlik açıklarını, teknoloji altyapısındaki, insan gücündeki ve fiziksel güvenlik ile alakalı risk tutarlarını ortaya çıkarmaktadır.

Red Team operasyonları sırasında, yüksek eğitimli güvenlik danışmanları potansiyel fiziksel, donanım, yazılım ve insan zafiyetlerini ortaya çıkarmak için saldırı senaryolarını yürürlüğe koymaktadır. Bu durumda Red Team, kötü niyetli kişilerin şirket sistemlerini ve ağlarını tehlikeye atma veya veri ihlallerine olanak verme fırsatlarını da ortaya çıkarmaktadır. Red Team Metodolojisinin detayları 6 ana maddede incelenmektedir.

Keşif (Reconnaissance)

Red Team operasyonundaki ilk ve en kritik aşamadır. Bu aşamada hedefle ilgili mümkün olduğunca fazla bilgi toplamaya çalışılır. Hedefin insanları, teknolojisi, çevresi ve çerçevesi hakkında çok şey öğrenmek çoğu zaman mümkündür. Bu adım ayrıca, hedefe özel belirli araçlar oluşturmayı yâda edinmeyi de içermektedir.

Silahlanma (Weaponization)

Keşif faaliyetlerinden elde edilen bilgilere dayanarak, hedefe özel komuta kontrol merkezlerinin inşa edilmesi ve zararlıların geliştirilmesinin adımıdır. Bu adımlar genellikle; yazılımsal ve donanımsal zararlıların hazırlanması, RFID klonlamalarını cihazlarının hazırlanması, sosyal mühendislik için senaryoların hazırlanması, sahte kişilerin veya şirketlerin oluşturulması şeklindedir

Gönderim (Delivery)

Gönderim aşaması, operasyonun hedef ile ilk temasını içerir ve kritik aşamalardan bir tanesidir. Bu, işlemin tamamını aktif olarak başlatıldığını gösterir. Red Team ekipleri bu adımda belirlenen senaryolardaki hedeflere ulaşmak için hedef kişi veya kişilere yönelik eylemleri gerçekleştirirler. Fiziksel olarak kimlik kartlarını klonlamak, yüz yüze veya iletişim kanallarında sosyal mühendislik saldırıları, teknoloji altyapısındaki zafiyet veya zafiyetlerin analizi gibi eylemler kullanılmaktadır.

İstismar (Exploitation)

Gönderim aşamasında gerçekleştirilen eylemin veya eylemlerin başarıya ulaşması sonucu hedefin teknoloji altyapısından erişimin elde edilmeye çalışmaktadır. Bu durumda hedef özel geliştirilen zararlı ilgili hedef veya hedeflere bulaşmış olacaktır.

Komuta ve Kontrol (Command & Control)

Hedef sistem veya sistemlerde çalışmaya başlayan zararlı yazılım Red Team komuta ve kontrol sunucuları ile iletişime geçtiği aşamadır. Bu aşama için oluşturulan komut ve kontrol sunucuları normal şartlarda legal sistemler gibi görünmektedir. Ayrıca zararlının oluşturduğu ağ trafiğin de legal ağ trafiğine ait gibi görünmesi için çaba sarf edilmektedir.

Hedefe İlerleme (Actions on Objective)

Bu adımda kurum tarafından belirlenmiş bir hedeflere erişmek için çalışmaların başladığı adımdır. Amaç en kısa sürede ve açığa çıkmadan konumlandırılan hedefe ulaşmaktır.

BLUE TEAM

Bu kategoride incelenen yazıların ana konusu, kurumların sistemlerine karşı gerçekleştirilebilecek saldırılara karşı alınması gereken tedbir ve saldırı belirleme yöntemleridir. Sızma testleri sonrasındaki test raporlarında belirtilen sıkılaştırma adımları, bu kategori içerisindeki yazılarda incelenmektedir. Ayrıca, bilgi güvenliği ve sistem yönetimi ile ilgili temel konular, zararlı yazılım analizi gibi konular da bu kategori altında listelenmektedir. Mavi takım becerileri aşağıda verildiği gibidir:

Organize ve detay odaklı

Bir şirketin güvenlik altyapısında boşluk bırakılmasını önlemek için olağanüstü derecede ayrıntı odaklı bir çalışmanın gerekliliğidir.

Siber güvenlik analizi ve tehdit profili

Bir şirketin veya kuruluşun güvenliğini değerlendirirken, bir risk veya tehdit profili oluşturmanız gerekir. İyi bir tehdit profili, potansiyel tehdit saldırganlarını ve gerçek hayattaki tehdit senaryolarını içerebilecek tüm verileri ve zayıf olabilecek cephelerde çalışarak gelecekteki saldırılar için tam hazırlık yapmayı içerir.

Sertleştirme teknikleri

Herhangi bir saldırı ya da ihlale tam anlamıyla hazırlıklı olmak için, tüm yüzeylerin teknik sertleştirme tekniklerinin ortaya çıkması gereklidir, bu da saldırı yüzeyindeki korsanların faydalanmasını sağlayabilir. Sertleştirme politikalarında en çok göz ardı edilenlerden biri olduğu için kesinlikle gerekli olan DNS'in sertleştirilmesidir.

Algılama sistemlerinin bilgisi

Olağandışı ve muhtemel kötü niyetli faaliyetler için ağın izlenmesine izin veren yazılım uygulamalarına aşina olunmalıdır. Tüm ağ trafiğini takiben, paket filtreleme, mevcut güvenlik duvarları ve benzeri, şirket sistemlerindeki tüm aktiviteler için daha iyi bir tutuş sağlayacaktır.

SIEM

SIEM veya Güvenlik Bilgileri ve Olay Yönetimi, güvenlik olaylarının gerçek zamanlı analizini sunan bir yazılımdır. Belirli bir kritere göre veri analizi yapabilme yeteneği ile dış kaynaklardan veri toplar.

PURPLE TEAM

Purple Team, Red ve Blue Team'ın etkinliğini en üst düzeye çıkarmak için var olan gruplardır.

RED TEAM BLUE TEAM ARASINDAKİ FARKLAR

- Red Team, Blue Team ile asla bilgi paylaşmaz. Kendilerini seçilmiş görürler.
- Red Team oluşumun içine çekilir ve kısırlaştırır.
- İki ekipte sürekli olarak birbirleriyle etkileşim içinde olmazlar.
- İki tarafında öğrendiği bilgiler hemen kaybolur.






İlgili İçerikler: