إظهار لجنة الإدارة بشكل عملي ما يمكن أن يقوم به هاكر معلوماتي هو نهج هجومي لا غنى عنه لتقييم وتحسين التسليح الكامل لحماية الأنظمة المعلوماتية.
اختبار الاختراق والفريق الأحمر، ما الفرق؟
اختبارات الاختراق (Pentest) تشكل النهج الهجومي الأكثر انتشارًا في الوقت الحالي. إنها تقدم بسرعة تقييمًا عمليًا لمستوى أمن نطاق محدد. إنها تسمح بالكشف عن وجود ثغرات تقنية، وتقييم قابلية استغلالها، وتسليط الضوء على المخاطر التي قد تترتب عليها.
تقدم فرق الأحمر (Red Team) نهجًا أكثر شمولية: إذ يتعين عليها تقييم الأمن بشكل عام على مستوى الكيان، وذلك بغية كشف وجود ثغرات تقنية وغير تقنية، وتقييم قدرات الكشف والاستجابة لفرق الدفاع (Blue Team).
اختبارات الاختراق (Pentest): كيفية العمل
هناك العديد من الدلائل والمراجع المثبتة لاختبارات الاختراق، وهي متكيفة مع مختلف أنواع النطاقات الموجودة (OSSTMM، OWASP، NIST، PASSI...). تقترح هذه المنهجيات عمومًا نفس المخطط: يتم تحديد اختبارات الاختراق بنطاق محدد يتعين اختباره وتتبع سيناريوهات هجوم واحدة أو أكثر. يتم تحديد مستويات متعددة من الشروط المسبقة المرتبطة بهذه السيناريوهات للحصول على الأمن وتغطية النطاق بأكمله في ظروف التنفيذ المحددة (المواعيد، الموارد).
على سبيل المثال، قد يبدأ الاختبار بمرحلة "صندوق أسود"، حيث يحاكي اختبار الاختراق هجومًا لا يتوفر فيه المهاجم على أي معلومات خاصة حول الهدف، تليها مرحلة "صندوق رمادي"، حيث يحاكي المهاجم الذي نجح في الحصول على شروط مسبقة، مثل حساب مستخدم يحمل حقوق وصول إلى النطاق الذي يتم فحصه. يتم تنفيذ الاختبارات عن طريق تسلسل مراحل البحث عن الثغرات ومراحل الاستغلال. تسمح هذه الأخيرة بتصنيف الفجوات المكتشفة وتوسيع النطاق المتاح.
يجب ملاحظة أنه خلال اختبار الاختراق، من أجل فعالية العمل، لا يضيع الاختبارون الزمن في إخفاء أفعالهم والبقاء تحت الرادار كما يفعل المهاجم الحقيقي.
مهمة الفريق الأحمر: كيفية العمل
الإطارات المنهجية
تعتبر ممارسة الفريق الأحمر حديثة بشكل واضح. الإطارات المنهجية الكبيرة أيضًا حديثة وتحتاج إلى النمو. أحد أوائل هذه الإطارات هو "Cyber Red Teaming – Organisational, technical and legal implications in a military context" الذي نشرته مركز التحكم في الدفاع السيبراني المشترك لحلف شمال الأطلسي (OTAN) في عام 2015. تم تصميمه للسياق العسكري ويصعب تطبيقه على سياقات أخرى.
في نهاية عام 2017، قام البنك الهولندي (البنك المركزي لهولندا) بنشر "TIBER: Threat Intelligence Based Ethical Red teaming" ، الذي تم اعتماده في عام 2018 من قبل البنك المركزي الأوروبي (BCE) لإنشاء TIBER-EU. يبدو أن هذا الإطار يصبح الإطار الرئيسي في هذا المجال. على الرغم من أنه تم إنشاؤها في الأصل لقطاع البنوك، فإن هذه الطريقة قابلة للتطبيق في مجالات أخرى من الأعمال. تستهدف أساسًا الحسابات الكبيرة.
أحد خصائصها هو التأكيد على مرحلة البحث عن المعلومات (التهديدات الاستخباراتية) في المرحلة الأولى، وأيضًا على ضرورة تكليف فرق خارجية بتنفيذها. الهدف: تجنب أي تحيز مرتبط بالمعلومات أو ارتباط يمكن أن يكون لديه فريق داخلي. تفترض طريقة TIBER-EU أن الجهات الفاعلة التي تقوم بمراحل البحث عن المعلومات والتي تتولى مراحل الهجوم هي مجموعات منفصلة. هذا النهج ليس بالضرورة مثاليًا لضمان أن تكون البيانات المطلوبة هي الأكثر صلة لإنجاح الهجوم، ولا للحفاظ على فريق الهجوم على دراية بجميع المعلومات التي تم جمعها أثناء تنفيذ الهجوم. تتضمن الطريقة أيضًا تسليمات محددة، بما في ذلك اجتماع يشمل إعادة مراجعة سيناريو التمرين، حيث يقوم الفريق الهجومي (الفريق الأحمر) والفريق الدفاعي (الفريق الأزرق) بمراجعة جميع الإجراءات التي قام بها كل فريق طوال العملية.
بالتعاون مع CREST، قام بنك إنجلترا بنشر أخيرًا "CBEST Threat Intelligence-Led Assessments"، وهي طريقة تتجه أكثر نحو قطاع البنوك من TIBER-EU، ومناسبة خاصة للتشريعات البريطانية.
سيناريوهات الهجوم
لذلك، تُجرى تمارين الفريق الأحمر باستخدام واحدة أو أكثر من هذه الأساليب للتكيف مع احتياجات وخصوصيات العملاء. يتم تحديدها بأهداف حرجة تشبه تلك التي يستهدفها الهاكرز الحقيقيون الذين يستهدفون الجهة المُدققة، مثل استرجاع البيانات السرية المتعلقة بمشروع حساس، أو الوصول إلى وظائف حيوية، أو حتى نشر برمجيات الفدية. ودائمًا على غرار الهاكر الحقيقي، تبدأ مهمة الفريق الأحمر بمرحلة البحث عن المعلومات حول العميل لتحديد استراتيجية الهجوم. تشمل العناصر المستهدفة التكنولوجيات المستخدمة بواسطة الهدف والفاعلين الذين لديهم وصول إلى الأهداف، وذلك باستخدام تقنيات OSINT (استخبارات المصادر المفتوحة). استنادًا إلى البيانات المحصلة، يتم إعداد سيناريوهات هجوم واحد أو أكثر. لتكرار الواقعية للسلوكيات الضارة بأفضل شكل ممكن، قد تتضمن السيناريوهات اختراقًا جسديًا بالإضافة إلى تقنيات الهندسة الاجتماعية مثل الاصطياد (التصيّد) الالكتروني. يتم التفضيل عادة لتلك التي تمثل أفضل توازن بين الكفاءة والتعقيد وخطر اكتشافها. بمجرد إعداد السيناريو، تبدأ مرحلة الهجوم. تشمل عادة عمليات الاختراق الأولية واحدة أو أكثر، تليها جمع المعلومات، والبحث عن الثغرات، والتحركات الجانبية، ورفع الامتيازات. خلال هذه المرحلة، يأخذ فريق الهجوم وقتًا لإخفاء هذه الأفعال للبقاء غير مرئي. وفقًا لتفاعل فرق الدفاع أو الفاعلين المستهدفين بالهجمات، يقوم بضبط أفعاله لمحاولة تحقيق أهدافه على الرغم من كل شيء.
لتكييفها بأفضل طريقة ممكنة مع رغبات العملاء وقيود الوقت والميزانية، يمكن تخطي بعض الخطوات. على سبيل المثال، قد يقوم الفريق بحذف مرحلة البحث عن المعلومات عن طريق استخدام سيناريو اختراق مقدم من العميل. ولكن يكمن الخطر في أن يقوم بتقليد استراتيجية هجوم تبتعد كثيرًا عن استراتيجية الهاكر الحقيقي. حتى إذا لم يكن هذا هو النمط المثالي، فإنه من الممكن أيضًا تجاوز الاختراق الأولي، بافتراض أن هناك هاكرًا قد دخل بالفعل. يبدأ السيناريو في هذه الحالة مباشرة من الشبكة الداخلية. ولكن في هذه الحالة، يصبح من المستحيل اختبار الدفاع الحدودي والكشف المرتبط.
خيار آخر: دمج الفرق الهجومية والدفاعية خلال مجرى التمرين بأكمله. هذا التعاون المشترك الذي يجمع بين الفرق الزرقاء والحمراء يُطلق عليه عادة اسم فريق بنفسجي (Purple Team). يسمح ذلك بتقدم أسرع للفرق الدفاعية، ولكن على حساب واقعية الهجمات التي يتم تحييدها عادةً من خلال هذه التفاعلات. تشارك الفرق الحمراء الداخلية في هذا النوع من الممارسات غالبًا، والتي يمكن تنفيذها بشكل مستمر خصوصًا في حالات الشركات ذات المصلحة الكبيرة في مجال أمن المعلومات، وذلك كإضافة إلى تمارين فريق أحمر منتظمة بالمعنى الضيق.
الناتج الرئيسي لاختبار الاختراق هو تقرير يمكن العميل من خلاله الحصول على تقييم لمستوى أمن النطاق المُدقق، بالإضافة إلى قائمة الثغرات المكتشفة، وتوجيه توصيات للتصحيح. بالنسبة لكل ثغرة، يقوم الفاحصون بتقييم وفقًا لمعيار CVSSv3، ويُحدد درجة حرجيتها والمخاطر المرتبطة باستغلالها. بالتالي، يمكن للعميل تحديد خطة عمل تُحدد أولوية التصحيحات اللازمة لتحسين مستوى الأمن الخاص به.
أما بالنسبة لتمارين فريق الأحمر، يحتوي التقرير المقدم على جميع المعلومات الهامة التي تم جمعها خلال مرحلة البحث عن المعلومات، ووصف مفصل لسير الهجوم بما في ذلك نجاحاته وفشلاته، وأي مؤشرات اختراق محتملة (IOC) التي كان يجب اكتشاف الهجوم من خلالها، وسلاسل الاستغلال وفقًا لمرجعية ATT&CK من MITRE، بالإضافة إلى قائمة الثغرات المواجهة، كما في تقارير اختبار الاختراق. تُعقد اجتماعات مع وجود ممثلين عن الفرق الهجومية والدفاعية بهدف استعراض جميع الجوانب التي يمكن اكتشافها أو تحجيمها من قبل الفريق الدفاعي، وتمكين الطرفين من استخلاص أكبر قدر ممكن من الدروس.