کتاب تیم قرمز حرفه‌ای – فصل چهارم

فصل چهارم: شکل‌دهی عملیات

شکل‌دهی یا تشکیل محدوده برای یک عملیات امنیت تهاجمی، یعنی تعیین آنچه که قرار است ارزیابی شود و زمان انجام آن بر اساس توافق بین اجراکنندگان ارزیابی و مشتری. این دو ویژگی ارتباط تنگاتنگی با هم دارند و محدودیت‌های در نظر گرفته شده برای هر کدام، بر دیگری تأثیر خواهد داشت. تعیین “آنچه” که قرار است ارزیابی شود، به میزان زیادی بستگی به نیازهای واقعی یا مورد تصور مشتری دارد. “زمان” اجرای ارزیابی نشان دهنده بازه زمانی و زمانبندی اجرای ارزیابی است و تحت تأثیر دسترس پذیری منابع قرار دارد. محدودیت‌های منابع که بر زمان اجرای ارزیابی تأثیر دارند معمولاً اگر از سمت مشتری باشند اقتصادی و اگر از سمت تیم قرمز باشند عملیاتی هستند. این فصل به شما کمک می‌کند تا درک خوبی از جنبه‌های مختلف تأثیرگذار بر تعیین محدوده ارزیابی‌های امنیت تهاجمی و عوامل شکل دهنده نتیجه این فرایند به دست آورید.

چه افرادی؟

اشتباه در تعیین محدوده می‌تواند شانس اجرای موفقیت آمیز ارزیابی را از بین برده و روابط کاری بین کارمندان سازمانی (در صورت استفاده از تیم درون سازمانی) یا روابط تجاری را (در صورت استفاده از خدمات شخص ثالث) تخریب کند. بسیار مهم است که در تعیین محدوده، پرسنل درست و مناسبی حضور داشته باشند تا شانس برآورده شدن نیازهای مشتری در ارزیابی‌ها و اجرای این فرایند متناسب با ظرفیت عملیاتی منابع ارزیابی به بیشترین حالت ممکن برسد. در شرایط ایده آل، مشتری و ارایه دهنده خدمات هر دو در فرایند شکل دهی محدوده، نمایندگانی از بخش‌های فنی و عملیاتی یا مدیریتی دارند.

پرسنل فنی سازمان مشتری

منظور از پرسنل فنی سازمان مشتری، افرادی هستند که در زمینه ایمن سازی و مدیریت شبکه نقش دارند. اگر سازمان مشتری در مرحله تشکیل محدوده هیچ نماینده فنی نداشته باشد، این احتمال وجود دارد که هنگام تعیین محدوده ارزیایی، برخی از نقاط حیاتی و مهم در نظر گرفته نشوند یا بخش‌هایی از کل سطح حمله سازمان از قلم بیفتند. همچنین، بدون حضور آنها این احتمال وجود دارد که محدوده مورد توافق شامل بخش‌هایی از شبکه باشد که در حال توسعه هستند یا در انجام یکسری عملیات‌های خاص، نقشی حیاتی دارند. اگر در این مرحله، اهداف در حال توسعه مشخص نشوند، ممکن است ارزیاب‌ها برای ارزیابی سیستم‌هایی که در آینده نزدیک کاملاً تغییر خواهند یافت یا وجود نخواهند داشت، وقت و تلاش بیهوده صرف کنند.

من به شخصه زمان زیادی را برای ارزیابی – و همچنین گزارش دادن نتایج – آسیب‌پذیری‌های ظاهراً مهم صرف کرده‌ام و بعد مشتری به دلیل اینکه قرار بوده چنین سیستم‌هایی کنار گذاشته شوند، این گزارش‌ها را رد کرده است. چنین شرایطی برای یک ارزیاب بسیار آزار دهنده است و البته باعث اتلاف منابع مشتری هم می‌شود. مدیران یا کارمندان امنیتی در صورتی که در تعیین محدوده مشارکت داده شوند، می‌توانند به نکاتی مثل اینکه چند کلاستر پایگاه داده از رده خارج شده‌اند اشاره کنند تا وقت ارزیاب‌ها صرف بررسی و بهره برداری از آنها نشود.

پرسنل عملیاتی سازمان مشتری

وجود نمایندگان مدیریتی یا عملیاتی از سمت مشتری هم به همین میزان در تعیین محدوده ارزیابی اهمیت دارد. بدون وجود چنین ورودی‌هایی، ممکن است ارزیابی بهترین حالت بازگشت سرمایه را برای سازمان نداشته باشد. همانطور که پیش از این اشاره شد، گاهی اوقات ارزیابی امنیتی به عنوان اهرمی برای به دست آوردن بودجه یا در راستای رسیدن به اهداف داخلی انجام می‌شود. امنیت سایبری یکی از اجزای بسیار مهم هر سازمان امروزی است اما تنها یکی از اجزای آن است. سازمان‌هایی هستند که یک یا چند عملکرد مختلف دارند و تعیین محدوده بدون حضور افراد مسئول چنین عملکردهایی از منظر عملیاتی یا مدیریتی، می‌تواند کار نادرست و غیرمسئولانه‌ای باشد.

هنگام تشکیل تیم قرمز برای سازمان‌های بزرگ، من هم در ارزیابی‌هایی که در آنها مدیریت فنی سازمان محدوده عملیات و اهداف مشکوک را برای ارزیابی مشخص می‌کرد، حضور داشتم. در واقع هدف این بود که نقص عملکرد کارمندان عملیاتی و امنیتی یک زیرمجموعه خاص از سازمان را ثابت کنیم. تیم قرمز ما، به عنوان یک گروه ارزیاب خارجی در یک محیط تجاری در جایگاهی قرار نداشت که ایده نامناسب بودن محدوده انتخابی برای کل سازمان را مطرح کند. حضور کارمندان مدیریتی یا عملیاتی خارج از حوزه‌های فنی می‌توانست منجر به انتخاب محدوده‌ای شود که در نهایت باعث ارتقای وضعیت امنیتی سازمان پس از ارزیابی می‌شود.

پرسنل فنی ارایه دهنده خدمات ارزیابی

مزایای حضور کارمندان فنی و غیرفنی در تعیین محدوده و شکل دهی ارزیابی، محدود به کارمندان مشتری نیست. حضور پرسنل فنی که حداقل مقداری در حوزه امنیت تهاجمی تجربه دارند یا حتی حضور یک یا چند ارزیاب واقعی در هنگام بحث و گفتگو برای شکل دهی این ارزیابی‌ها، یک امر ضروری به نظر می‌رسد. اما همیشه شرایط این طور نیست به خصوص وقتی که تیم قرمز به صورت خدمات شخص ثالث ارایه می‌شود و نه درون سازمانی. گاهی اوقات پرسنل فروش یا توسعه کسب و کار مذاکرات قراردادهای امنیت تهاجمی را برعهده دارند و خیلی از مواقع این کار بدون حضور نمایندگان ارزیاب یا فنی انجام می‌شود که در چنین شرایطی دو مشکل مهم برای ارزیابی ایجاد می‌شود. اول اینکه، ممکن است ارزیابی محدوده مورد توافق با توجه به منابع در اختیار ارزیابان ممکن نباشد و احتمال ایجاد انتظارات غیرواقع گرایانه در مشتری وجود دارد. دوماً ممکن است محدوده مورد توافق، به نفع مشتری نباشد. انتخاب دقیق محدوده ارزیابی برای درک نیازهای واقعی مشتری ضروری است. ممکن است عدم حضور کارشناسان تیم قرمز در این گفتگوها باعث شود که انتخاب محدوده در نهایت به رفع نیازهای مشتری منجر نشود.

پرسنل عملیاتی ارایه دهنده خدمات ارزیابی

در هر دو حالت یعنی استفاده از خدمات تیم قرمز درون سازمانی یا برون سازمانی، باید بعضی از کارمندان عملیاتی سازمان ارایه دهنده این خدمات، در تعیین محدوده ارزیابی نقش داشته باشند. در یک تیم قرمز درون سازمانی، ممکن است ارزیابی زیرمجموعه‌ای از یک سازمان بزرگ برای پرسنل فنی هر دو گروه معقول به نظر برسد اما شاید هکرهای اخلاقی که این ارزیابی را انجام می‌دهند، درکی از نیازهای عملیاتی این سازمان بزرگ نداشته باشند. دریافت نظرات بخش مدیریتی یا عملیاتی در تعیین محدوده عملیات اهمیت زیادی دارد و اطمینان ایجاد می‌کند که زمانبندی اجرای این عملیات برای کل سازمان مناسب خواهد بود نه فقط یک گروه خاص از افراد. در محیط‌های تجاری که در آنها ارایه دهنده ارزیابی این کار را به عنوان خدمات انجام می‌دهد هم گرفتن بازخورد از کارمندان عملیاتی برای تعیین محدوده عملیات ضروری است. معمولاً چنین خدماتی در بازه‌های کوتاه‌تر انجام می‌شوند و ممکن است از منابع ارزیابی برای چندین مشتری استفاده شود. دریافت بازخوردهای بخش عملیاتی برای تعیین محدوده، مانع از ایجاد اختلال در کار با سایر مشتریان در اثر تعیین محدوده ارزیابی برای یک مشتری خاص می‌شود و از استفاده بیش از حد یا اتلاف منابع ارزیابان هم جلوگیری می‌کند.

چه زمانی؟

از بین دو ویژگی مهم برای تعیین محدوده یک ارزیابی، درک و تعیین “زمان” اجرای عملیات راحت‌تر است. این زمان مشخص کننده بازه‌های زمانی اجرای ارزیابی و در صورت نیاز، زمانبندی انجام آنها است. در سطح بالا، مدت ارزیابی همانطور که از نام آن مشخص است، تعیین کننده مدت زمانی است که در آن ارزیاب‌ها آنچه که به عنوان هدف انتخاب شده بوده را هک می‌کنند. نیازی نیست که بازه زمانی اجرای ارزیابی بسیار دقیق مشخص شود و دلیل این موضوع را در پاراگراف‌های پیش رو توضیح خواهم داد.

پیشگیری از حادثه

قرار است فعالیت تیم قرمز، عملکرد مهاجمان واقعی را تقلید کند بنابراین ممکن است کاربران آن را با یک حمله واقعی اشتباه بگیرند. برای به حداقل رساندن تلاش‌های بیهوده در واکنش به این فعالیت‌ها، باید بازه زمانی ارزیابی علاوه بر تاریخ‌های شروع و پایان فعالیت، شامل روزها و ساعاتی از هفته باشد که هکرهای اخلاقی در آنها فعال هستند. این “فعالیت‌ها” عبارتند از: حملاتی که انسان‌ها در آنها حضور و نقش دارند، گردآوری اطلاعات و عملکردهای خودکار ابزارهای تیم قرمز. اگر ابزاری توسط تیم قرمز نصب شده تا مثل یک بدافزار عمل کند و هر ساعت برای دریافت فرمان با یک سرور خارجی در ارتباط باشد، این ابزار باید طوری تنظیم شود که خارج از ساعات یا روزهای مشخص شده برای ارزیابی، با بیرون از سازمان ارتباط برقرار نکند. معمولاً ارزیاب‌ها این موضوع را نادیده می‌گیرند و تصور می‌کنند که اگر اسکن یا هدف گیری را برای آن روز متوقف کنند، زمانبندی تعیین شده برای ارزیابی را رعایت کرده‌اند.

در یک مورد، سازمان مورد ارزیابی چنین فعالیت‌های ارتباطی را مشاهده کرده و تصور کرده بود که نفوذی در سازمان صورت گرفته است. این سازمان با کارمندان بخش واکنش به حادثه، امنیت و مدیریت سطح بالا تماس گرفته و شروع به برنامه‌ریزی برای اعلام این حادثه و چگونگی مقابله با پیامدهای تجاری آن کرده بود – اما چند ساعت بعد با پیگیری‌هایی که اواخر شب انجام شد مشخص شد که یکی از ابزارهای تیم قرمز فعال و مشغول ارسال سیگنال برای برقراری ارتباط بوده است. آنچه باعث بدتر شدن این شرایط شد، این بود که این بدافزار توسط یک تیم قرمز آمریکایی در یک مرکز داده اروپایی نصب شده بود بنابراین، کارمندان اروپایی در یک روز کاری متوجه این موضوع شده بودند در حالی که اعضای تیم قرمز آمریکایی خواب بودند و امکان برقراری تماس با آنها وجود نداشت.

برقراری تعادل بین ویژگی‌های مختلف در تعیین محدوده

به غیر از مقابله با اتلاف منابع و ایجاد دردسر و زحمت، درک واضح زمان اجرای ارزیابی نقش مهمی در برآورده ساختن حداکثر میزان ممکن نیازهای مشتری دارد. ممکن است زمانبندی اجرای عملیات بر اساس آنچه که قرار است ارزیابی شود، تعیین شود. یعنی ممکن است مشتری اعلام کند که نیاز به ارزیابی یک مرکز داده خاص دارد و 8 هفته زمان ببرد که تیم این هدف را کاملاً ارزیابی کرده و گزارش این فرایند را منتشر کند بنابراین، برای این کار 8 هفته زمان در نظر گرفته می‌شود. متأسفانه، در اغلب مواقع شرایط این طور پیش نمی‌رود. معمولاً این طور است که سازمان مثلاً برای 4 هفته منابع لازم انجام این خدمات را در اختیار دارد و مایل است که همین مرکز داده ارزیابی شود. ممکن است اعلام شود که بودجه فقط برای چهار ماه خدمات وجود دارد یا اینکه به دلیل وجود برخی الزامات دیگر، برای اجرای این ارزیابی مرکز داده فقط چهار هفته به تیم قرمز فرصت داده می‌شود.

این یک نمونه از تناقض در دو جنبه “چه افرادی” و “چه زمانی” است اما شبیه به بسیاری از مسائل دشوار و پیچیده‌ای است که محدوده یک تعامل را تعیین می‌کنند. در چنین شرایطی که بازه زمانی اجرای ارزیابی در آن مهم است، ارزیاب‌ها باید بیشتر تلاش خودشان را برای اجرای یک ارزیابی مناسب از کل مرکز داده انجام دهند. با توجه به محدودیت زمانی، مهم است که – حین تعیین محدوده ارزیابی – همه کارمندان دخیل در این فرایند در رابطه با اولویت‌های ارزیابی با هم به توافق برسند و این موضوع را قبول کنند که بازه زمانی اجرای ارزیابی کاملاً ایده آل نیست و ممکن است بر یافته‌ها تأثیر منفی داشته باشد. اگر این کار انجام نشود، ممکن است سازمان مشتری انتظاراتی غیرواقع گرایانه داشته باشد و احتمال شکست خوردن تیم قرمز ایجاد شود.

چه چیزی؟

می‌توان گفت که مهم‌ترین جنبه از هر عملیات امنیت تهاجمی که بیشترین تأثیر را در تعیین محدوده دارد، نیازهای سازمان مشتری هستند. مشکل تأثیر نیازهای سازمانی بر آنچه قرار است ارزیابی شود یا نشود این است که بین نیازهای واقعی و نیازهای حس شده برای ارزیابی، تفاوتی جزئی وجود داد. این هم یکی دیگر از دلایل شرکت دادن همه پرسنل اشاره شده در فرایند تعیین محدوده است. گفتگوی سازنده بین مشتری فنی و غیرفنی و پرسنل ارایه دهنده خدمات باعث می‌شود که مناسب‌ترین محدوده برای ارزیابی انتخاب شود که حداکثر نیازهای سازمان را برآورده کند. سوالات مختلفی هم وجود دارند که سازمان مشتری باید به آنها پاسخ دهد تا مذاکرات تعیین محدوده منجر به ایجاد نتایجی شود که به خوبی بین نیازهای واقعی سازمان و منابع در اختیار آن توازن برقرار می‌کنند. یک تعیین محدوده خوب و ایده آل با توجه به نیازهای سازمان و توانایی برآورده کردن آنها، بیشترین بازگشت سرمایه را فراهم می‌کند. گرچه حین تعیین محدوده سوالات زیادی ایجاد می‌شود اما من همیشه برای شفاف سازی نیازهای مشتری، سوالات زیر را در نظر می‌گیرم:

• چرا مشتری درخواست اجرای چنین ارزیابی را مطرح کرده است؟
• آیا مشتری قبل از این هم تست و ارزیابی انجام داده است؟
• تجهیزات امنیتی این سازمان چقدر کامل و بالغ هستند؟

انگیزه ارزیابی

انگیزه مطرح کردن درخواست اجرای چنین ارزیابی‌هایی توسط یک سازمان، به تعیین نیازهایی که باید حین ارزیابی برآورده شوند، کمک می‌کند. معمولاً دلیل درخواست اجرای یک عملیات امنیت تهاجمی، واکنش به یک رویداد برنامه‌ریزی شده، یک رویداد زمانبندی شده یا یک رویداد غیربرنامه‌ریزی شده است. اولین نوع – یعنی رویدادهای برنامه‌ریزی شده – تحت کنترل سازمان قرار دارند و معمولاً می‌توان آنها را متناسب با سایر نیازهای سازمانی و دسترس پذیری ارزیاب انجام داد. نوع دوم – رویدادهای زمانبندی شده – معمولاً خارج از کنترل سازمان درخواست دهنده هستند اما به اندازه‌ای منسجم و بانظم هستند که بتوان بر اساس آنها برنامه‌ریزی کرد. سومین نوع – رویدادهای غیربرنامه‌ریزی شده – خارج از کنترل سازمان درخواست دهنده هستند و می‌توانند هم برای مرحله تعیین محدوده و هم برای کل تعامل تیم قرمز چالش ایجاد کنند.

رویدادهای برنامه‌ریزی شده، آنهایی هستند که سازمان با یک هدف و دلیل مشخص آنها را اجرا کرده و نیاز به خدمات یک تیم قرمز دارند. ممکن است هدف این رویدادها صرفاً بهبود وضعیت امنیتی سازمان باشند. خیلی از مواقع، رویدادهای برنامه‌ریزی شده مربوط به یکی دیگر از پروژه‌هایی هستند که سازمان آنها را متقبل می‌شود مثل گسترش سطح حمله. ممکن است این سطح حمله جدید ناشی از اضافه شدن یک سایت جدید، یک ساختمان جدید یا یک زیرمجموعه از سازمان به کل سطح حمله باشد. هنگام رخ دادن چنین اتفاقاتی، خوب است که سازمان ریسک‌های ناشی از اضافه شدن این سطوح حمله جدید را در نظر بگیرد. به ویژه این موضوع برای سازمان‌های بزرگی که سازمان‌های کوچکتر را خریداری و اکتساب می‌کنند، صدق می‌کند. تیم قرمز می‌تواند بدون درگیر شدن در ایجاد سایت، ساختمان یا شبکه ابزار ارزشمندی در درک تأثیرات اضافه شدن یک موجودیت خارجی بر ریسک‌های سازمانی باشد.

همچنین، رویدادهای برنامه‌ریزی شده می‌توانند مربوط به ایجاد یک محصول یا خدمات جدید باشند و می‌توان فرایند تست را برای زیرمجموعه‌هایی از سازمان در حد چند سیستم محدود اجرا کرد که یک سرویس جدید را تشکیل می‌دهند یا حتی برای یک سرور اپلیکیشن خاص. در این شرایط، تشکیل تیم قرمز به سازمان امکان می‌دهد که محصول یا اپلیکیشن را پیش از فعال شدن آن برای استفاده‌های داخلی یا استفاده توسط مشتریان، ارزیابی کند.

رویدادهای زمانبندی شده آنهایی هستند که سازمان انتظار دارد یک قانونگذار بیرونی یا یک موجودیت داخلی آنها را اجرا کند. چنین رویدادهایی ناشی از مسائل مقرراتی، پیشگیرانه یا قانونی هستند که ممکن است یک سازمان با آنها روبرو شود. این رویدادها باعث ایجاد نیاز به اجرای ارزیابی‌های تیم قرمز با توجه به سیاست‌ها، رویه‌ها یا قوانینی می‌شوند که سازمان باید به آنها پایبند باشد. از جمله این رویدادها می‌توان به اطمینان از رعایت مقررات کار با داده‌های طبقه بندی شده، رویه‌های دسترسی به اطلاعات HIPAA یا اطلاعات مالی یا سیاست‌های شرکت‌های مجاز به همکاری با نهادهای دولتی یا ایالتی اشاره کرد. گرچه از نظر اجرای تعاملات تیم قرمز، این موضوع خارج از کنترل سازمان است اما معمولاً سیاست‌های مقرراتی وجود دارد که روش و میزان اجرای چنین ارزیابی‌هایی را مشخص می‌کند. وقتی به دلیل چنین رویدادهایی درخواست اجرای ارزیابی مطرح می‌شود، باید به این نکته توجه داشت که: تیم قرمز باید به سازمان کمک کند تا با حداکثر کارایی ممکن، الزامات و تعهدات خودش را برآورده کند. معمولاً در چنین رویدادهای برنامه‌ریزی شده‌ای، از دید مشتری اولویت برآورده کردن تعهدات قانونی بیشتر از ارتقای وضعیت امنیتی است.

رویدادهای برنامه‌ریزی نشده، آنهایی هستند که خارج از کنترل سازمان رخ داده و می‌توانند محیط سختی برای تعاملات تیم قرمز ایجاد کنند. رویدادهای برنامه‌ریزی نشده می‌توانند ناشی از یک ارزیابی غیر منتظره یا تغییرات سازمانی و شبکه‌ای باشند که از اموری مثل بلایای طبیعی ریشه می‌گیرند. دشوارترین نوع رویدادهای برنامه‌ریزی شده که منجر به درخواست اجرای تعاملات تیم قرمز می‌شوند، حملات واقعی هستند که یکی از این دو شرایط را ایجاد می‌کنند: در بیشتر مواقع، تیم قرمز بر اساس تشخیص نفوذ، مشخص شدن نتایج جرم شناسی و تکمیل تلاش‌های مقابله با آثار حمله وارد عمل می‌شود. در این شرایط، از تیم قرمز درخواست می‌شود که اثربخشی راهکارهای انتخابی سازمان را ارزیابی و تأیید کند. مشتری که در این شرایط درخواست ارزیابی را مطرح می‌کند، به دنبال رسیدن به حداقل یافته‌های ممکن از تیم قرمز است. در برخی موارد، این تعامل با تیم قرمز در راستای تلاش‌های بزرگتر برای تشخیص نحوه رخ دادن نفوذ انجام می‌شود و در این شرایط مشتری امیدوار است که تیم قرمز آسیب‌پذیری‌هایی را پیدا کند که دستگاه امنیتی قادر به پیدا کردن آنها نبوده و افراد مخرب با استفاده از آنها به دارایی‌های سازمان دسترسی و نفوذ پیدا کرده‌اند.

تست قبلی

اینکه آیا قبلاً یک تیم قرمز یا اجرا کننده تست نفوذ ارزیابی‌هایی را در سازمان انجام داده یا خیر، می‌تواند به شناسایی نیازهای مشتری کمک کند یا منجر به رسیدن به یک بن بست شود. اطلاعات به دست آمده از این پرسش به شدت وابسته به تمایل مشتری به ارایه اطلاعات مفید است. بهتر است به دنبال پاسخ سوالات جزئی‌تر و دقیق‌تر بود از جمله اینکه:

• این ارزیابی چه مدت قبل انجام شده است؟
• ارزیابی توسط چه اشخاصی انجام شده است؟
• گزارش ارزیابی حاوی چه نتایجی بوده است؟
• آیا به مشکلات گزارش شده رسیدگی شده است؟

چنین گزارش‌هایی به تیم قرمز برای تشخیص فواید و ارزش‌های احتمالی ارزیابی‌های قبلی صورت گرفته در زمینه امنیت تهاجمی کمک می‌کنند.

اگر ارزیابی سال‌ها پیش انجام شده باشد، ممکن است در بهترین حالت مکمل تلاش‌های فعلی باشد و نتوان آن را جایگزین فعالیت‌های بررسی اولیه یا ارزیابی کرد. اگر این اقدامات بسیار جدید بوده و تیم قرمز برای برآورده ساختن نیازهای ارزیابی سازمان محدودیت زمانی داشته باشد، شاید بهتر باشد که تیم قرمز متمرکز بر میزبان‌هایی شود که در ارزیابی قبلی یافته‌ای از آنها به دست نیامده تا در این فرصت محدود، حداکثر میزان ممکن از سطح حمله پوشش داده شود. به همین ترتیب، اگر وضعیت گزارش خوب بوده و شامل فعالیت‌های سرشماری شبکه[1] و نتایج آن باشد و این ارزیابی در چند هفته یا چند ماه اخیر انجام شده باشد، اطلاعات به دست آمده از این ارزیابی‌ها می‌توانند برای تیم‌های بعدی مفید باشند.

برای رسیدن به یک قضاوت درست درباره قابلیت اطمینان یا مفید بودن اطلاعات ارزیابی‌های قبلی، باید با اجرا کنندگان این ارزیابی‌ها آشنا بود. برخی از شرکت‌ها نسبت به دیگران خدمات بهتری ارایه می‌دهند و همانطور که در فصل‌های قبل اشاره شد، بعضی از آنها خدمات اسکن آسیب‌پذیری را با عنوان تست نفوذ ارایه می‌دهند. قرار داشتن در جریان اینکه چه شرکت یا گروهی تست قبلی را اجرا کرده، به ارزیابان تیم قرمز کمک می‌کند تا کیفیت ارزیابی‌های قبلی را مشخص کنند. از دیدگاه غیرتجاری، این کار به تشخیص اینکه کدامیک از افراد سازمان، ارزیابی‌های قبلی را اجرا کرده‌اند هم کمک می‌کند. اگر به تازگی یک ارزیابی اجرا شده اما این کار پیش از تشکیل تیم قرمز درون سازمانی انجام شده باشد، ممکن است نبود کارشناسان امنیت تهاجمی ماهر، باعث کمتر شدن قابلیت اطمینان این نتایج شود.

اگر کارشناسان امنیت تهاجمی کار خودشان را باکیفیت لازم انجام دهند، گزارش تعاملات آنها متنوع‌تر خواهد بود. خیلی از هکرهای اخلاقی در زمینه گزارش دهی، خلاصه نویسی و مستندسازی مدارک عملکرد بسیار ضعیفی دارند بنابراین نمی‌توان به طور کامل از استعداد بالای آنها بهره مند شد. همچنین این عملکرد باعث می‌شود که حتی اگر تعاملات قبلی توسط یک تیم بسیار بااستعداد اجرا شده اما گزارش ارایه شده چندان آموزنده نباشد، اطلاعات به دست آمده از این تعامل برای تیم بعدی تقریباً بی‌فایده باشند. بعداً توضیح خواهم داد که تیم‌های قرمز چطو می‌توانند در ثبت مستندات عملیات و گزارش دهی، بهترین بهره را از استعدادهای خودشان ببرند.

اگر در تست قبلی مشکلاتی شناسایی شده، بهتر است در جریان باشید که سازمان این مشکلات را رفع کرده یا خیر. اگر مشکل رفع نشده باشد، این اطلاعات می‌توانند برای سرشماری‌های بعدی مفید باشند یا می‌توان با پیگیری‌های بعدی مطمئن شد که مشکل ناشناخته دیگری در سیستم‌های آسیب‌پذیر وجود نداشته باشد. اگر آسیب‌پذیری‌های شناخته شده رفع شده باشند، بررسی اینکه این مشکلات واقعاً رفع شده‌اند یا همچنان پابرجا هستند، راهکاری سریع و ارزشمند است. گاهی اوقات، به خصوص در رابطه با آسیب‌پذیری‌های ناشی از پیکربندی یا پیاده سازی ضعیف، ممکن است – حتی در صورت پیاده سازی یک راهکار – فقط علایم رفع شده باشد و نه ریشه اصلی مسئله و همچنان تهدید مشکل اصلی برای سازمان پابرجا باشد. دقت داشته باشید که حس امنیت کاذب می‌تواند بزرگترین خطر برای یک سازمان باشد.

امنیت فعلی

هنگام تعیین نیازهای ارزیابی که قرار است توسط تیم قرمز انجام شود، باید بیشتر اجزای دستگاه امنیتی فعلی سازمان را در نظر گرفت. پس از پرس و جو در رابطه با میزان بلوغ و تکامل امنیت سازمانی، معمولاً این سه پرسش را برای پیگیری مطرح می‌کنیم:

• آیا تیم امنیت سایبری، اسکن آسیب‌پذیری را پیاده سازی کرده است؟
• آیا کارهای به روزرسانی و حفظ جامعیت سیستم انجام می‌شوند؟
• چه قابلیت‌های نظارتی، واکنشی و جرم شناسی وجود دارند؟

پاسخ این سوالات، به تیم قرمز امکان می‌دهد که ارزیابی را متناسب با شرایط سازمان انجام دهد تا امنیت سازمان به بیشترین میزان ممکن بهبود پیدا کند. گاهی اوقات ممکن است یک سازمان پاسخ خوب یا کاملی برای این پرسش‌ها نداشته باشد. در چنین مواقعی، تیم باید بدون اطلاع درباره این موضوعات اقدام کند.

اگر سازمان، اسکن آسیب‌پذیری را چه به صورت دستی و چه به صورت یک فرایند خودکار پیاده سازی نکرده باشد، این موضوع می‌تواند یکی از دغدغه‌های جدی تیم قرمز باشد. در این مرحله، تیم قرمز باید این اقدام را به عنوان بخشی از ارزیابی‌ها انجام داده و در یافته‌های ارزیابی، به نبود فرایند اسکن آسیب‌پذیری اشاره کند. به ویژه برای ارزیابی که در یک بازه زمانی کوتاه انجام می‌شود، پوشش یک اسکن آسیب‌پذیری برای همه سیستم‌هایی که در محدوده ارزیابی قرار دارند می‌تواند بسیار ارزشمندتر از بررسی عمیق چند سیستم خاص باشد. اگر در حال حاضر به روزرسانی و تلاش برای حفظ جامعیت سیستم‌ها انجام نمی‌شود، تیم قرمز باید این موضوع را هم در یافته‌های خودش گزارش دهد اما حداقل باید تمرکز اولیه تلاش‌های تیم قرمز، شناسایی آسیب‌پذیری‌های موجود در همه سیستم‌ها از یک نقطه خارجی باشد پیش از اینکه تیم سعی کند از راه دور کد اجرا کرده و به سیستم‌های مختلف سازمان نفوذ کند. اگر محیط پر از حفره باشد، بهتر است به سازمان برای تشخیص محل این حفره‌ها کمک کرد تا اینکه به آنها بگوییم احتمال وجود آسیب‌پذیری اجرای کد از را دور، در چند ماشین در اعماق شبکه سازمانی وجود دارد.

آخرین سوال در رابطه با وضعیت فعلی امنیت سازمان، تأثیر مستقیمی بر شیوه رفتار تیم قرمز در یک تعامل و نحوه تعیین محدوده آن دارد. یکی از مزایای مهم تیم‌های قرمز و هکرهای اخلاقی قابلیت آنها برای ارزیابی واکنش یک سازمان به حمله است. از جمله عملکرد قابلیت‌های نظارتی سازمان در تشخیص مهاجمان، تأثیر فناوری‌ها و رویه‌های امنیتی در واکنش سازمان به حملات تیم قرمز و شیوه پیگیری فعالیت‌های تیم قرمز توسط قابلیت‌های جرم شناسی. اگر سازمانی یک یا چند مورد از این قابلیت‌ها را در اختیار نداشته باشد، ممکن است پیاده سازی روش‌های به شدت مخفیانه و فعالیت‌های سرشماری محتاطانه روش مناسبی برای بهره برداری از زمان نباشد. خوب است هنگام اجرای عملیات سرشماری تیم قرمز مراقب و محتاط باشید تا مشخص شود که ابزارهای نظارتی قدرت تشخیص فعالیت‌ها را دارند یا خیر. اگر چنین ابزارهای نظارتی موجود نباشند، باید این موضوع را به عنوان یکی از یافته‌های تیم قرمز ثبت کرد اما تیم قرمز باید از این واقعیت برای تسریع عملیات سرشماری و تمرکز بر سایر مراحل فرایند ارزیابی استفاده کند. این موضوع برای شگردها و روش‌های مورد استفاده تیم قرمز هم صدق می‌کند. اگر هیچ قابلیتی برای جرم شناسی یا واکنش امنیتی به رویدادهای شناسایی شده وجود نداشته باشد، امتحان کردن چند روش برای استمرار حضور و استفاده از یک زیرساخت فرماندهی و کنترل متنوع می‌تواند باعث اتلاف وقت شود. زمانی که قابلیت‌های جرم شناسی و واکنش به حوادث امنیتی وجود داشته باشند، ارزیابی کارایی آنها اهمیت زیادی دارد اما وقتی چنین قابلیت‌هایی وجود ندارند، تیم قرمز باید این موضوع را به عنوان یک واقعیت ثبت کرده و از این واقعیت برای ارتقای بهره وری خودش در دوره ارزیابی استفاده کند.

ردپای محدوده انتخابی

زیرمجموعه‌ای از شبکه سازمان که به آن ردپا گفته می‌شود معمولاً توسط مشتری انتخاب می‌شود تا در عملیات تیم قرمز پوشش داده شود. همچنین باید توجه داشت که آیا فرصت در نظر گرفته شده برای ارزیابی، به اندازه‌ای هست که برای ردپای در نظر گرفته شده کافی باشد یا خیر. در این فصل به چند مورد از ردپاهایی که باید مورد ارزیابی قرار بگیرند اشاره شد از جمله سیستم‌های یا اپلیکیشن‌هایی خاص و یا کل سازمان. ممکن است ردپا بر اساس نیازها و پاسخ سوالاتی که پیش از این در مرحله تعیین محدوده مورد بررسی قرار گرفتند، انتخاب شود اما چند نکته دیگر هم برای انتخاب ردپای مناسب وجود دارد.

ممکن است هنگام انتخاب محدوده ارزیابی، مشتری اعلام کند که مایل است ارزیابی فقط روی اهدافی انجام شود که از طریق اینترنت به شدت قابل دید هستند. این روش می‌تواند دو مشکل ایجاد کند. ممکن است سازمان درک درستی از مفهوم “قابل دید از طریق اینترنت” نداشته باشد و با اینکه تصور می‌شود برخی از دارایی‌ها فقط از داخل شبکه سازمان در دسترس هستند، اما امکان دسترسی از طریق اینترنت به آنها وجود داشته باشد. این روش می‌تواند باعث شود که تیم قرمز به دنبال ارزیابی دارایی‌هایی باشد که مشتری تصور می‌کرده طبق مذاکرات، این دارایی‌ها خارج از محدوده ارزیابی در نظر گرفته شده‌اند. به همین دلیل باید هنگام تعیین محدوده، از بیان جملات ساده‌ای مثل اینکه فقط میزبان‌های خارجی هدف گرفته شوند، خودداری شود. در صورتی که مشتری خواستار هدف گیری میزبان‌های خاصی است، باید این میزبان‌ها به طور دقیق مشخص شوند. همچنین ممکن است مشتری انتظار داشته باشد که تیم قرمز به دستاوردهای خاصی برسد مثل ارزیابی قابلیت‌های نظارت و واکنش که انجام این کار با توجه به انبوه فعالیت‌هایی که میزبان‌ها در اینترنت انجام می‌دهند، می‌تواند سخت باشد. بعلاوه، باید از مشتری پرسید که آیا محدوده، شامل میزبان‌های داخلی می‌شود و اینکه آیا نفوذ به داخل سازمان از طریق میزبان‌های خارجی مجاز است یا خیر.

من با چند مشتری همکاری کردم که هر چند تمایل به ارزیابی کل سیستم امنیتی خودشان داشتند اما با نفوذ به داخل محیط از طریق میزبان‌هایی که زودتر مورد نفوذ قرار می‌گرفتند، مخالفت می‌کردند. به نظر من چنین رویکردی مضحک است چون بیشتر نفوذها از داخل و از طریق مهندسی اجتماعی یا تهدیدات داخلی انجام می‌شوند نه از طریق حملات اینترنتی. در هر صورت، درک ردپای محدوده مهم است و اینکه آیا مشتری امکان ارایه فهرستی کامل از میزبان‌های مورد نظرش را دارد یا خیر و نفوذ از طریق میزبان‌های اولیه مجاز است یا خیر. مجاز بودن نفوذ به سایر بخش‌های سازمان، ردپای محدوده را به طور چشمگیری افزایش می‌دهد و اندازه این ردپا می‌تواند برای اجرای ارزیابی در بازه زمانی تعیین شده همزمان با برآورده ساختن نیازها مشتری، مشکل ایجاد کند. یک تیم قرمز خوب باید آماده درک و در صورت لزوم تغییر ردپای به توافق رسیده با سازمان باشد. گاهی اوقات، لازم است این موضوع بیشتر از سایر عواملی که می‌توانند مانع موفقیت ارزیابی شوند، مورد توجه قرار بگیرد.

محدودیت‌های برون سازمانی

با اینکه ممکن است مشتری و ارایه دهنده خدمات با بیشترین توانایی‌های خودشان برای انتخاب یک محدوده مناسب به توافق برسند، عوامل بیرون از سازمان هم می‌توانند بر این محدوده تأثیر بگذارند. متداول‌ترین مسئله‌ای که مشاهده کرده‌ام، تأثیر ارایه دهندگان خدمات ابر بر هر گفتگویی برای تعیین محدوده ارزیابی است. اگر استفاده از محیط‌های ابر به درستی انجام شود، این فناوری می‌تواند برای عملیات و امنیت سازمانی مفید باشد. رشد این روند باعث می‌شود که روزبروز سازمان‌های بیشتری برخی از دارایی‌های عملیاتی خودشان را در محیط ابر مستقر کنند. در چنین مواردی، یکی از جنبه‌هایی که معمولاً نادیده گرفته می‌شود، نیاز به کسب مجوز و تأیید برای اجرای تست روی این دارایی‌ها است. در بسیاری از موارد، در توافقنامه‌های بین کاربران و مشاغل با ارایه دهندگان خدمات ابر، بندهایی وجود دارد که طبق آنها اجرای هر گونه ارزیابی روی این سیستم‌ها، مستلزم اطلاع رسانی و دریافت مجوز قبلی است. گاهی اوقات انجام این کار به شدت ممنوع است. با توجه به اینکه قبلاً اشاره شد که انجام فعالیت‌های امنیت تهاجمی بدون مجوز اقدامی غیرقانونی است، به این نکته دقت داشته باشید که ممکن است سازمان مشتری شما قبل از اجرای تست مجوزهای لازم را از ارایه دهنده خدمات ابر دریافت نکرده باشد.

علاوه بر مجوزهای بدیهی و خاص مورد نیاز جهت اجرای تست در سازمان‌هایی با محیط ترکیبی (که شامل دستگاه‌های فیزیکی و محیط ابر هستند)، محدودیت‌های دیگری هم وجود دارد که باید به آنها توجه داشت. اگر مشتری دارایی‌هایی در محیط ابر دارد، ارزیاب باید پرس و جو کند که آیا آدرس این دارایی‌ها ثابت است یا خیر. تنها در صورتی که این آدرس‌ها متعلق به مشتری باشند، امکان اجرای حملات تیم قرمز روی آنها وجود دارد. اگر حین اجرای یک تعامل، یکی از این آدرس‌های غیرثابت محیط ابر به یک مشتری دیگر منتقل شده و تیم قرمز از این موضوع آگاه نباشد، تیم در اصل در حال اجرای حملاتی غیرقانونی بر علیه یک سازمان ناشناس خواهد بود. اطلاعات به دست آمده در هنگام تعیین محدوده ارزیابی هم نباید متغیر باشند. اگر از یک سرویس میزبانی ابر استفاده می‌شود، تیم قرمز باید مطمئن شود که هر آنچه مشتری به عنوان اطلاعات قابل هدف گیری برای این دارایی‌های تحت ابر معرفی کرده، ثابت و قابل اطمینان هستند.

پس از سازمان‌های ترکیبی که از زیرساخت‌هایی مثل ابر به صورت خدمات استفاده می‌کنند، سازمان‌هایی هستند که توافقنامه‌هایی برای اتصالات و سایر شرایط مشابه دارند. منظور، شرایطی است که در آن یک سازمان به دلایل مختلف، یک اتصال منطقی یا فیزیکی با سازمانی دیگر دارد. قوانین این اتصالات معمولاً در اسناد حقوقی درج می‌شوند که طبق آنها اگر یکی از دو طرف در اثر غفلت یا بی‌مسئولیتی طرف مقابل قربانی یک حمله سایبری شود، طرف مقابل باید پاسخگو باشد. همچنین، در این اسناد مرز بین نقطه‌ای از این اتصالات که در آن یک سازمان به پایان رسیده و سازمان دیگر شروع می‌شود، مشخص می‌شود.

یک نمونه خوب از چنین شرایطی مربوط به برخی مؤسسات تحقیقاتی است. مثلاً یک آزمایشگاه تحقیقاتی دولتی ممکن است چندین کالج و دانشگاه در سطح کشور داشته باشد که همگی با اتصالاتی اختصاصی به شبکه‌های کامپیوتری این آزمایشگاه متصل شده‌اند تا کارهایی مثل به اشتراک گذاری اطلاعات، مطالعه و تحقیق را انجام دهند. خطر موجود در چنین شرایطی این است که ممکن است یکی از این سازمان‌ها تصمیم به اجرای یک ارزیابی تیم قرمز بگیرد و تیم قرمز از چنین توافقنامه‌هایی یا شیوه پیاده سازی عملی آنها آگاه نباشد. اگر تیم قرمز در حال بررسی آزمایشگاه و سپس دانشگاه‌های مختلف متصل به دانشگاه از طریق شبکه‌های خصوصی مجازی باشد، ممکن است سرشماری اهداف نشان ندهد که یکسری از میزبان‌ها متعلق به سازمانی دیگر هستند. اگر تیم قرمز مجاز به جابجایی بین کل ردپای مشخص شده در محدوده تعامل باشد، این خطر بسیار جدی وجود دارد که با یک موجودیت خارجی شبیه به یکی دیگر از زیرمجموعه‌های سازمان مشتری رفتار شود.

پاسخ سوالات مربوط به وجود دستگاه‌های شخص ثالث در یک سازمان، برای تعیین مرزهای قانونی محدوده ارزیابی اهمیت زیادی دارد. این دارایی‌های شخص ثالث می‌توانند نقش یکی از اجزای زیرساخت سازمان را داشته باشند یا اینکه صرفاً یکسری سازمان خارجیِ در ارتباط با سازمان مشتری باشند. اتصالاتی مثل آنچه در مثال آزمایشگاه تحقیقاتی اشاره شد، باید در همان شروع تعامل و حین بحث و گفتگو درباره محدوده تعامل مشخص شوند تا تیم قرمز درک درست و کاملی از مرزهای سازمان مورد ارزیابی پیدا کند. این کار به غیر از پیشگیری از انجام فعالیت‌های غیرقانونی توسط تیم قرمز، اطمینان ایجاد می‌کند که دارایی‌هایی مورد ارزیابی قرار می‌گیرند که انتظار حضور آنها در این تعامل وجود دارد. در غیر این صورت این خطر وجود دارد که تیم قرمز به سیستم‌های شخص ثالث یا خارجی غیرآماده آسیب وارد کند.

خلاصه فصل چهارم

در این فصل به بررسی مرحله تعیین محدوده در عملیات تیم قرمز پرداختیم و توضیح دادیم که این مرحله چطور با تعیین جنبه‌هایی مثل چه افرادی، چه چیزهایی و چه زمانی به اجرای موفقیت آمیز ارزیابی‌های امنیت تهاجمی کمک می‌کند.

[1] Enumeration فرآیندی است که توسط آن مهاجم اطلاعاتی از قبیل نام کاربری، اسامی ماشین‌ها (کامپیوترها)، منابع شبکه، ارتباطات یا اتصالات فعال روی سیستم هدف و برخی اطلاعات دیگر که توسط Query از سیستم مقصد به دست می‌آید را بدست می‌آورد.