مع نمو الإنفاق على الأمن السيبراني، تنمو أيضًا الجرائم السيبرانية. وفقا ل أحدث البيانات من مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي (IC3)، في عام 2023، تم تقديم رقم قياسي بلغ 880418 شكوى من قبل الجمهور الأمريكي، مما يسلط الضوء على ارتفاع كبير في تقارير الجرائم الإلكترونية مقارنة بالسنوات السابقة.
يقوم مجرمو الإنترنت بتحسين وتوسيع نطاق أساليب الهجوم الخاصة بهم باستخدام الذكاء الاصطناعي وأدوات أخرى، لذلك يجب على الشركات دمج أساليب استباقية مدعومة بالذكاء الاصطناعي، بالإضافة إلى الأساليب الدفاعية التي تقلل المخاطر وتعظيم الأمان.
تعد الفرق الحمراء جزءًا لا يتجزأ من نهج الأمان الاستباقي الذي يمكن للشركات الاستفادة منه لتعزيز الدفاعات ضد الخصوم. إنهم يلعبون دورًا حاسمًا في تحديد مدى استعداد الشركة لمنع الهجمات الإلكترونية عن طريق قياس الأمان الحالي “للهدف” من منظور جهة التهديد ثم التوصية بالتحسينات المصممة لمنع الضرر.
بينما تميل الفرق الزرقاء إلى التركيز على تعزيز استراتيجيات الدفاع والاستجابة للحوادث، تتطلع الفرق الحمراء إلى تحديد نقاط الضعف والتصرف بنفس الطريقة التي يتصرف بها الخصم. من خلال دراسة تكتيكات الجهات الفاعلة في مجال التهديد في العالم الحقيقي وتنفيذ التمارين التي تحاكي هجماتهم، يمكن للفرق الحمراء تقديم توصيات للمساعدة في الاستعداد للتهديدات المحتملة وتعطيلها.
منذ بدايته، ظهرت قيمة فريق Adobe الأمني الأحمر في جميع أنحاء الشركة. ومن خلال إجراء اختبار نشط باستخدام مجموعات أدوات مخصصة، يمكنهم تقييم مدى استعدادنا للدفاع بشكل فعال ضد الخصوم والسيناريوهات في العالم الحقيقي.
فيما يلي أهم خمس إستراتيجيات أوصي بها للآخرين الذين يتطلعون إلى تنفيذ فريق أحمر فعال:
1. تقليد الخصوم في العالم الحقيقي:
يجب أن تكون الفرق الحمراء على دراية بالخصوم وأفعالهم لفهم الدوافع والسيناريوهات المستقبلية المحتملة بشكل أفضل. قاعدة المعرفة العالمية مثل ميتري ATT&CK يتتبع التكتيكات والتقنيات المستندة إلى أحداث العالم الحقيقي ويسمح للشركات بجمع معلومات استخباراتية عن التهديدات المفهرسة والمسجلة. مراجعة التقارير الواردة من مجلس مراجعة الأمن السيبراني يمكن أن تسفر عن أفكار حول الأساليب الأمنية المعروفة بأنها غير فعالة.
2. تكرار سيناريوهات الهجوم الافتراضية:
القدرة المهمة الأخرى للفريق الأحمر هي توقع المحاولات الخبيثة واستباقها. تتيح تقنيات المحاكاة التي يستخدمها مجرمو الإنترنت للفرق الحمراء استكشاف المسارات النظرية التي قد تؤدي إلى تعرض الخدمات أو البيانات للخطر.
أثناء المحاكاة، يستكشف الفريق الأحمر الهجمات الافتراضية، مثل تصعيد الامتيازات والتحرك أفقيًا بين الأنظمة، مما قد يؤدي في النهاية إلى إلحاق الضرر بالمؤسسة إذا لم تكن الدفاعات الصحيحة في مكانها الصحيح. توفر عمليات المحاكاة هذه فهمًا متعمقًا أثناء تحليل عدد لا يحصى من نواقل الهجوم المحتملة. بعد التمرين، يجب على الفريق الأحمر مشاركة النتائج مع أصحاب المصلحة الرئيسيين لتعزيز الضوابط بناءً على خبراتهم.
3. تطوير مجموعة أدوات مخصصة:
يمكن لمجموعة الأدوات المخصصة أن تساعد الفرق الحمراء في أداء تمارين مشابهة للمهاجمين المتقدمين بكفاءة أكبر. قد تشمل هذه الأدوات:
-
عمليات استغلال مخصصة تسمح للفريق الأحمر بالتلاعب بالأنظمة والحصول على وصول أولي لمزيد من الهجمات. هذا لا يعني بالضرورة تحديد ثغرات جديدة تمامًا، يمكنك الاستفادة من التعليمات البرمجية التي قد يكتبها الخصم لتصميم محاولة استغلال لتكون أكثر فعالية في بيئتك.
-
برنامج للتواصل بشكل فعال مع الأجهزة المخترقة (يُشار إليه غالبًا باسم Command and Control أو C2 للاختصار).
-
وحدات ما بعد الاستغلال التي تستهدف خدمات الشركة وتنفيذها بعد اختراق النظام.
إن تطوير هذه القدرات بمرور الوقت يسمح للفرق بالبقاء على اطلاع دائم بالتعقيد المتزايد بسرعة لأساليب الهجوم السيبراني. ومع ذلك، قد تكون تكلفة تطوير مجموعة أدوات مخصصة عالية، لذا لا تدع ذلك يمنعك من استخدام كل ما هو متاح من مجتمع الأمان الأوسع لكي يكون فريقك فعالاً.
4. تعزيز العمليات بمساعدة الذكاء الاصطناعي: ونظرًا لأن الجهات الفاعلة السيئة تستخدم الذكاء الاصطناعي، فإن الشركات تستفيد من استخدام الذكاء الاصطناعي في جهودها الخاصة للبقاء في مواجهة التهديدات. الفرق الحمراء يمكن الاستفادة من أدوات الذكاء الاصطناعي لفهم تصرفات التهديدات الواقعية بشكل أفضل. على سبيل المثال، يمكن استخدام الذكاء الاصطناعي لتوسيع نطاق اختبار الدفاعات، مما يساعد الفرق الحمراء على التحسن في اكتشاف التهديدات المحتملة وبالتالي الدفاع ضدها. يمكن أن يوفر وقت الفريق في تعلم لغات ترميز جديدة وتطوير الأدوات، لأنه يمكن أن يساعد أعضاء الفريق الأحمر على فهم جزء من التعليمات البرمجية بشكل أفضل وبسرعة أكبر.
5. التعاون مع الفرق الزرقاء: ربما يكون الجزء الأكثر أهمية في الفريق الأحمر الفعال هو التعاون مع الفرق الزرقاء لتعزيز قدرات الكشف والاستجابة. يسمح هذا للفرق الزرقاء باختبار ما إذا كانت افتراضاتهم حول البيئة التي يحاولون حمايتها صحيحة. تمارين الفريق الأرجواني هي ارتباطات مشتركة بين الفرق الحمراء والزرقاء. يحاكي الفريق الأحمر إجراءات الهجوم للفريق الأزرق، والذي يتحقق بعد ذلك من أنه اكتشف المحاولة، وإذا لم يكن الأمر كذلك، فسيكون لديه سجلات كافية لاكتشاف الإجراءات. ويساعد التعاون كلا الفريقين على تطوير أساليب أكثر فعالية للكشف عن التهديدات.
عندما تستخدم الشركة فرقًا حمراء لفهم سيناريوهات الخصومة وتوقعها بشكل أفضل، يمكنها أن تكون أكثر تركيزًا وتقوم باستثمارات أمنية حيث تحقق أكبر تأثير. يعد الفريق الأحمر عنصرًا مفيدًا في استراتيجية الأمن السيبراني الشاملة. ويجب أن يتم دمجها دائمًا مع ضوابط تقنية قوية وثقافة تعطي الأولوية للأمن والوعي بالتهديدات للدفاع ضد التهديدات السيبرانية بشكل فعال.
