عملیات تیم قرمز و مهندسی اجتماعی

عملیات تیم قرمز متشکل از یک سناریوی واقع گرایانه از یک حمله تهاجمی در سطح جهانی میباشب که اغلب در راستای اهداف بزرگ بکار گرفته می شود، تیم های قرمز از هر روش مستند شده و ابتکاری خود استفاده نموده تا به فضای سایبری قربانی نفوذ کنند، این استانداردها مطابق با MITRE ATT&CK بوده و تمامی چهارده پلن مستند شده در خصوص حمله سایبری جهانی را شبیه سازی کنترل شده میکند، این شبیه سازی وضعیت تمامی مکانیزم های دفاعی شما و کیفیت عمکردی آنها را مورد آزمون جدی قرار میدهد از این روی خدمات تیم قرمز یکی از مهمترین و حساس ترین خدمات امنیت تهاجمی بشمار می آید.
  • تیم قرمز با تست نفوذ در چندین سطح متفاوت است: محدود به دامنه خاصی نیست و سختگیری نمی شود (به عنوان مثال سطح دسترسی فقط به محدوده یک برنامه وب خاص).
  • کشف آسیب پذیری های مختص به ایجاد دسترسی که برخی از آنها فقط در تیم قرمز موضوعیت دارد، مانند کشف آسیب پذیری از مرورگرها و بکارگیری آن در سناریو حمله.
  • عملیات های تیم قرمز فقط به تکنیک های فنی محدود نمی شود، بلکه شامل عوامل انسانی (مهندسی اجتماعی) و همچنین امنیت فیزیکی (به عنوان مثال سطح دسترسی فیزیکی در محل) را هم شامل میشود.
  • عملیات های تیم قرمز نباید پر سر و صدا باشند چرا که یکی از اهداف، ناشناس ماندن از مکانیزم های دفاعی برای برقراری ارتباط هر چه بهتر با مرکز کنترل و فرمان هکر است.
  • ما قادر به انجام حملات شبیه سازی شده در سطح کیفی APT (تهدید مداوم پیشرفته) به واسطه تکنیک های CPH (سایبر-فیزیکی-انسانی) هستیم. منظور از عملیات تیم های قرمز، انعکاس سناریوهای واقعی حمله سایبری است که ممکن است برای یک سازمان خاص باشد.
  • تمرینات تیم قرمز برای ارزیابی وضعیت امنیتی فعلی در یک شرکت هدفمند، آگاهی کارکنان و همچنین زمان واکنش تیم های امنیتی داخلی مانند SOC (مرکز عملیات امنیتی) استفاده می شود.
  • تیم قرمز همواره میکوشد تا روش های ابتکاری خود را در تمامی مراحل مورد نیاز حمله خود بکار گیرد، از این روی کیفیت حمله و محک زدن تدابیر تیم های آبی همواره بستگی به سطح دانش بکار برده شده در حمله تیم قرمز نمایان می شود.

شناسایی اولیه

مهاجم در تلاش است اطلاعاتی را که می تواند برای برنامه ریزی عملیات آینده استفاده کند جمع آوری کند. عملیات شناسایی شامل تکنیک هایی است که مهاجمان به طور فعال یا منفعلانه اطلاعاتی را جمع آوری می کنند که می تواند برای پشتیبانی از هدف قرار گیرد. این اطلاعات ممکن است شامل جزئیات مربوط به سازمان، زیرساخت ها، یا کارکنان و پرسنل قربانی باشد. این اطلاعات می تواند توسط مهاجم مورد استفاده قرار گیرد تا در مراحل دیگر چرخه عملیات نفوذ مهاجم کمک کند که این کمک مانند استفاده از Information Gathering برای برنامه ریزی و اجرای مرحله Initial Access استفاده می‌شود.

ایجاد دسترسی اولیه

مهاجم در تلاش است تا وارد شبکه شما شود. دسترسی اولیه شامل تکنیک هایی است که از بردارهای مختلف ورودی برای بدست آوردن دسترسی اولیه خود در یک شبکه استفاده می کند. تکنیک هایی که برای به دست آوردن دسترسی خود استفاده می شوند شامل Spear Phishing و بهره برداری از نقاط ضعف در وب سرورهای عمومی است. پایه هایی که از طریق دسترسی اولیه به دست می آیند ممکن است امکان دسترسی مستمری ایجاد کنند مانند حساب های معتبر و استفاده از سرویس های از راه دور خارجی است.

پایداری دسترسی

مهاجم در تلاش است دسترسی خود را حفظ کند. پایداری دسترسی شامل تکنیک هایی است که مهاجم برای جلوگیری از ایجاد دسترسی مجدد به سیستم، تغییر اعتبارنامه و سایر وقفه هایی که می توانند دسترسی آنها را قطع کنند، استفاده می کنند. تکنیک های مورد استفاده برای پایداری شامل هرگونه عملکرد یا تغییر در پیکربندی است که به آنها امکان می دهد جای خود را در سیستم حفظ کنند، مانند جایگزینی یا ربودن کد مجاز یا افزودن کد در Startup.

ارتقاء سطح دسترسی

افزایش سطح شامل تکنیک هایی است که مهاجم برای به دست آوردن مجوزهای سطح بالاتر در یک سیستم یا شبکه استفاده می کنند. مهاجمان غالباً می توانند با دسترسی غیرمحرمانه به شبکه ای وارد شوند و آن را کشف کنند اما برای پیگیری اهداف خود به دسترسی بالاتری نیاز دارند. این نیاز با رویکردهای معمول استفاده از نقاط ضعف یا تنظیمات نادرست و آسیب پذیری های سیستم است. این تکنیک ها اغلب با تکنیک های پایداری دسترسی  همراهی دارند.

نامحسوس در دفاع

نامحسوس بودن در مقابل مکانیزم های دفاعی شامل تکنیک هایی است که مهاجمان برای جلوگیری از شناسایی در طول مصالحه خود از آنها استفاده می کنند. تکنیک های مورد استفاده برای نامحسوسی از مکانیزم های دفاعی شامل حذف و غیرفعال سازی نرم افزار امنیتی یا مبهم سازی و رمزگذاری داده ها و اسکریپت ها است. مهاجمان همچنین برای مخفی کردن و مخفی ماندن بدافزارهای خود، از فرایندهای قابل اعتماد سوءاستفاده می کنند.

شناسایی داخلی

شناسایی داخلی شامل تکنیک هایی است که یک مهاجم ممکن است برای کسب اطلاعات در مورد سیستم و شبکه داخلی استفاده کند. این تکنیک ها به مهاجمان کمک می کند تا قبل از تصمیم گیری درباره نحوه کار، محیط را مشاهده کرده و جهت گیری کنند. اطلاعات حاصله به مهاجمین اجازه می دهند آنچه را که می توانند کنترل کنند و آنچه در اطراف نقطه ورود آنها است را کشف کنند تا دریابند که چگونه می شود مهاجم بعد از نفوذ بهره برداری مورد نظر خود را از سیستم قربانی ببرد. در این راستا ابزارهای سیستم عامل که بصورت بومی وجود دارد اغلب در جهت جمع آوری اطلاعات استفاده می شوند.

حرکت جانبی

حرکت جانبی شامل تکنیک هایی است که مهاجمان برای ورود و کنترل سیستم های از راه دور در شبکه استفاده می کنند. پیگیری هدف اصلی آنها اغلب نیاز به کاوش در شبکه برای یافتن هدف خود و متعاقبا دستیابی به آن دارد. رسیدن به هدف آنها اغلب شامل چرخش از طریق چندین سیستم و حساب برای به دست آوردن است. مهاجمان ممکن است ابزارهای دسترسی از راه دور خود را برای انجام Lateral Movement یا استفاده از اعتبارات مجاز با شبکه محلی و ابزارهای سیستم عامل، که ممکن است مخفی باشد، نصب کنند.

مجموعه بهره مندی

این مجموعه بهره مندی متشکل از تکنیک هایی است که مهاجمان ممکن است از آنها برای جمع آوری اطلاعات استفاده کنند و اطلاعات منابعی که هدف مهاجم برای رسیدن به آن است، جمع آوری شود. غالباً، هدف بعدی پس از جمع آوری داده ها مرحله بعد سرقت آنهاست. منابع قربانی معمولا شامل انواع مختلف درایو، مرورگرها، صوتی، تصویری و ایمیل است. روش های معمول جمع آوری شامل گرفتن عکس از صفحه و ورودی صفحه کلید است.
تست نفوذ و ارزیابی امنیتی
امنیت سیستم های کنترل صنعتی
فهرست