همانطور که میدانید برای تضمین امنیت شبکه، نیاز به کشف حفرههای امنیتی در شبکه و رفع مشکلات امنیتی و همچنین نظارت بر شبکه وجود دارد. بنابراین لازم است در خصوص شبکههای بزرگ، تیمهای امنیتی تشکیل شوند.
خارج از تیم شبکه برای امن کردن شبکه نیاز به دو تیم آفند و پدافند نیز میباشد. به جهت آن که امنیت از مهمترین فاکتورهای شبکه محسوب میشود، تا زمانی که مدیران C Level به این بلوغ فکری و مدیریتی نرسند که لازم است در راستای ارتقای امنیت مجموعهشان هزینههایی را تقبل نمایند، طبیعتا باید هزینه صورت نگرفته را جهت بازگشت اعتبار از دست رفتهشان به کار گیرند؛ زیرا در صورت نفوذ، افشا یا از بین رفتن اطلاعات ممکن است مورد باجگیری قرار گیرند.
بنابراین محاسبه و ارزیابی دقیق در خصوص داراییهای یک سازمان که میتواند در صورت هک شدن با خطر مواجه شود، از اهمیت بالایی برخوردار است. به همین منظور هزینهای که برای امنیت میشود رابطه مستقیمی با ارزش دادهها دارد و حاصل این مصالحه (Trade Off)، امنیتی است که در سازمان به وجود میآید.
Red Team
تیم آفند، از هکرهای قانونمند (Ethical Hacker) که دائما در حال ارزیابی شبکه و کارمندان به روشهای مختلف میباشند، تشکیل شده است. این ارزیابیها عموما به صورت قانونمند انجام میشود و مانند یک هکر که قصد کشف نقاط ضعف را دارد این تیم نیز در تلاش است مسائل آسیب پذیر را کشف نماید. کارهایی که این تیم انجام میدهد شامل موارد زیر میشود.
- اسنیف شبکه برای کشف سیستم عاملهای شبکه و بررسی آسیب پذیری در آنها و همچنین ترسیم یک نقشه برای نظمدهی به ارزیابی مورد استفاده قرار میگیرد.
- کشف تمام نقاط ورودی شبکه که شامل تجهیزات شبکه از قبیل فایروالها، روترها و همچنین سرورها میباشند و بررسی آسیب پذیری در آنها، مانند ارزیابی فایروال که از بیرون و داخل جهت تست DLP و همچنین گذر (Bypass) فایروال جهت اسکن سرویسهایی که پشت فایروال قرار میگیرند، نیز کار این تیم میباشد.
- بررسی امنیت فیزیکی شبکه که شامل اتاق سرور، دسترسی به کامپیوترها در شبکه یا ورود یک لپتاپ غیر مجاز به داخل شبکه از دیگر فعالیتهای این تیم میباشد.
- کشف تمام سرویسهای موجود در شبکه (banner grabbing و port scanning) و بررسی آسیب پذیری در آنها
- تست کارمندان به صورت دورهای که شامل ارسال ایمیل ناشناس برای ارزیابی آگاهی امنیتی پرسنل میشود و شامل سناریوهای مختلف مهندسی اجتماعی میباشد (به طور مفصل به این موضوع در پستهای دیگر بلاگ پرداخته شده است)
به صورت کلی تیم آفند دائما در حال ارزیابی امنیتی و تلاش برای نفوذ هستند تا تمامی راههای نفوذ را شناسایی و گزارش کنند. بررسی آسیبپذیریها و همچنین اکسپلویتهایی که منتشر میشوند وظیفه تیم آفند میباشد تا ارزیابی لازم را جهت آسیب پذیر بودن شبکه نسبت به این ابزارها و اکسپلویتها انجام دهند.
بهترین منبع RTFM
Blue Team
تیم پدافند عموما وظیفهاش حفاظت و صیانت از امنیت شبکه میباشد. Blue Team با توجه به گزارشهای Red Team، تمامی باگها و آسیب پذیریها را رفع میکند. از جمله کارهای این تیم میتوان به موارد زیر اشاره کرد:
- مدیریت سرویس DNS برای جلوگیری از حملات Phishing
- آنالیز لاگ شبکه برای کشف ورودیهای غیرمجاز
- نصب Endpoint Security بر روی کلیه دستگاههای شبکه داخلی و دستگاههایی که بین سازمان در حال جابجایی هستند.
- بررسی کانفیگ فایروال به صورت مداوم برای جلوگیری از حملات و ورودیهای غیرمجاز
- نصب و کانفیگ IDS و IPS برای شناسایی و جلوگیری از حملات شبکه
- پیاده سازی SIEM سرور برای آنالیز لاگهای شبکه (از جمله نقاط حساس شبکه، لاگها و مدیریت لاگها میباشد)
- آنالیز لاگها در صورت کشف آنومالی یا رفتار غیرمتعارف در شبکه که البته باید دقت داشت که اکسپلویتهای روز صفر (0Day)، فقط توسط لاگ قابل شناسایی هستند
- VLANبندی و تفکیک شبکهها جهت مدیریت سطح دسترسی و همچنین کاهش مخاطرات نفوذ از نقاط DMZ به شبکه دیتابیس یا سرورهای حساس
- استفاده از ابزارهای اسکن آسیبپذیری جهت کشف و رفع آسیبپذیریها
- نصب و پیکربندی آنتی ویروس، آنتی روتکیت و آنتی Ransomwareها
- فراهم کردن امنیت دستگاه Embedded داخل شبکه (دوربینها، دستگاههای ذخیره ساز، مودمها و …)
به طور کل تیم آفند و پدافند تکمیل کنندهی یکدیگر هستند و در راستای ارتقای امنیت شبکه تلاش میکنند. بنابراین لازم است برای همافزایی بیشتر، این تیمهای مدیریت امنیت تلاش کنند که رابطه بین این دو تیم همیشه بسیار خوب باشد. از جمله تیمهای میانی که برای همافزایی این دو تیم فعالیت میکنند، میتوان به تیم Purple اشاره کرد. وظیفه این تیم نیز همافزایی بین آفند و پدافند میباشد.
بهترین منبع Blue TEAM
بهترین منبع Purple Team
