تیم آبی یا بلوتیم (Blue Team) چیست؟

خواندن این مطلب

14 دقیقه

زمان میبرد!

تیم آبی یا بلوتیم (Blue Team) چیست؟

سلام و درود خدمت تمامی شما دوستان عزیز و گرامی امیدوارم که حالتون خوب باشه. دوستان ما تو مقاله قبلی راجب Red Team صحبت کردیم و فهمیدیم که سازمان ها و شرکت های مهم و بزرگ برای اینکه بیان امنیتشون رو تامین کنن و امنیت خودشون مورد آزمایش و بررسی قرار بدن میان و یه چند تا تیم امنیتی برای اینکار استخدام میکنن که اون تیم ها هم به سه دسته ی Red ,Blue , Purple تقسیم میشن و هر کدوم از اینا وظایف خاص خودشونو دارن که در مقاله قبلی به Red Team پرداختیم که چیهو چیکار میکنه و… . در این مقاله هم قراره راجب Blue Team صحبت کنیم پس با من همراه باشید 🙂

خب همونطور که در مقاله قبلی گفتیم ما یه تیم تهاجمی (Offensive) داریم که با یه سازمانی قرارداد میبندن و بعد با استفاده از روش های مختلف این تیم میاد و به اون سازمان attack میزنه که به اون تیم میگن تیم قرمز یا Red Team .. حالا در مقابل این تیم قرمز ما ی تیم تدافعی (Defensive) داریم که میاد و با استفاده از روش های مختلف سعی میکنه جلوی حملاتی که توسط red team انجام میشه بگیره و با توجه به گزارشاتی که تیم قرمز به این تیم میده میان و اون حفره های امنیتی موجود هم اصطلاحا patch (رفع) میکنن که به این تیم تدافعی هم میگن تیم آبی یا Blue Team

خب بریم تا ببینم داستان این بلو تیمی که میگن چیه!

دوستان ببنید یکی از مهمترین وظایف و مهارت های Blue Team یا تیم آبی در یک سازمان SOC یا Security Operation Manager (مرکز عملیات امنیت) هست که حالا شاید خیلی هاتون این SOC به گوشتون خورده باشه ولی ندونید چیه، حالا از اونجایی که SOC بخشی از کار blue team هست و ما هم قراره در این مقاله راجب بلوتیم صحبت کنیم قبل از هر چیزی من میام ی توضیحی راجب SOC میدم تا ببنیم قضیش چیه!…

مرکز عملیات امنیت (Security Operation Manager) یا SOC

دوستان رسیدیم به یکی از مباحث مهم در Blue Team بنام SOC .. . خب یک مرکز عملیات امنیت یا SOC، مسئولیت نظارت، پیشگیری، شناسایی، تحقیق و پاسخگویی به تهدیدات سایبری در طول شبانه روز رو بر عهده داره و تیم SOC میاد کلا روش های مختلف رو روی کل اون سازمان برای برقراری و تامین امنیت پیاده سازی میکنه که SOC باز ی تیمه که به بخش های مختلف تقسیم میشه و این تیم ینی تیم SOC بخشی از Blue Team می باشد.

اطمینان از محرمانگی (CCredentiality، صحت (Integrity) و در دسترس بودن اطلاعات (Availability) تو دنیای IT یا فناوری اطلاعات کار هر کسی نیست و میشه گفت این یه کار بزرگیه که اینکار شامل وظایف بسیاری می‌شود که عموما نیاز به درک درستی از مقوله امنیت اطلاعات دارد.

هر SOC مجموعه ای از افراد، ابزارها و فرایندهایی است که افراد این مجموعه، تیمی از متخصصین امنیت فناوری اطلاعات هستند.

هر مرکز عملیات امنیت (SOC)، دارای روش ها و ابزارهای مختلفی جهت پایش/monitoring (نظارت از طریق نمایشگر) تجهیزات شبکه، سخت‌افزارها و نرم افزارها است.

خب همونطور که گفتم SOC کلا یکی از مهمترین بخش های امنیت اطلاعاته و کلا SOC بخش بزرگیه که به سطوح (Tier) مختلفی تقسیم می شود که حالا اون بخش ها و سطوحی که SOC داره بحث ما نیست و ما هم قرار نیست تو این مقاله همش راجب SOC حرف بزنیم ، چون حالا این SOC یکی از بخش های مهم توی blue team هست و بحث اصلی ما هم اینجا بلوتیمه در حد نیاز و آشنایی در حد نیاز راجب SOC ی توضیح دادم که اگه به این بحث علاقه دارید و دوست دارید بیشتر در موردش بدونید پیشنهاد کنم یه سرچ بزنید.

بررسی تیم آبی یا Blue Team

توی بحث تیم آبی یا Blue Team در واقع اون تیمی که مقابل تیم قرمز (red team) بوجود اومد، Blue Team بود که کارشون امنیته. یعنی تیم آبی کارش اینه که حملاتی که تیم قرمز انجام میده رو بررسی و تحلیل کنه و در اخر اون آسیب پذیری ها و حفره های امنیتی رو از بین ببرن.

پس تیم آبی کارش امنیته و تیم قرمز هم کارش هکه (نفوذ) و این دو تیم مقابل هم هستند.

حتی اگه مسابقات CTF یا Capture The Flag هم دنبال کنید این مورد هست که رد تیم و بلو تیم در مقابل هم قرار میگیرن و رد تیم اتک میزنه و اونجا در مقابلش بلو تیم هم سعی میکنه جلوی حملات رد تیمو بگیره و باگارو پچ کنه و این یچیزیه که در CTF و سطح دنیا استفاده میشه.

همچنین تیم آبی هم مثل تیم قرمز، باید تکنیک ها و تاکتیک ها و دستورالعمل های امنیت (Security) برای رفع آسیب پذیری های مختلف یا عملیات های مخرب رو بشناسه و بتونه اونها رو پیاده سازی کنه تا بتونه جلوی حملات مختلف رو بگیره و امنیت رو تا حد امکان در اون سازمان باید برقرار کنه. همچنین blue team باید روی ترافیک های شبکه و کلا روی اون سازمان نظارت کامل با دید امنیتی قوی داشته باشند. ناگفته نماند که وظیفه blue team فقط جلوگیری از حملات نیست، برخلاف Red Team که کلا صحبت از تهاجم و حمله هست، در تیم آبی صحبت از دفاع و پدافنده. تیم آبی در واقع علاوه بر اون مواردی که خدمتتون گفتم وظیفه نظارت/monitoring بر امنیت شبکه سازمان رو هم بر عهده داره. نظارت روی حملات مختلف با یکسری ابزارهای اختصاصی و مخصوص اینکار انجام میشه که باید یک بلوتیمر بتونه با این ابزارها کار کنه و اونارو بصورت کامل بشناسه، که حالا این ابزار های امنیتی که گفتم باید یک blue teamer باهاشون آشنا باشه. هم من در ادامه بصورت کامل تر توضیح میدم.

تیم آبی / Blue Team هم مثل red team، باید از تکنیک ها و روش های مختلف حمله که یک مهاجم از اونا استفاده میکنه آگاهی کافی داشته باشه تا بتونه روش های لازم رو برای دفاع در برابر حمله پیاده سازی کنه و آمادگی کافی رو فراهم کنه و داشته باشه.

برخی از وظایف تیم آبی (Blue Team)

استفاده از سیستم های تشخیص نفوذ/جلوگیری از نفوذ (IDS/IPS)
استفاده از فایروال و config آن بصورت صحیح
استفاده از آنتی ویروس
استفاده از هانی پات (Honeypot)
بازرسی های امنیتی
log برداری / ثبت وقایع
آنالیز ترافیک شبکه
تجزیه و تحلیل ریسک و آسیب پذیری ها
جلوگیری از بروز حملات مختلف مثل DDoS
توسعه سناریوهای تهدید آمیز و رفع آنها
تحلیل ریسک پذیری داده ها توسط هوش مصنوعی
برقراری امنیت و امنیت اطلاعات (Information Security)
استفاده از نرم افزار های مانیتورینگ برای آنالیز ترافیک
SOC
پچ/رفع کردن آسیب پذیری ها
SIEM
- امنیت اطلاعات و مدیریت وقایع یا SIEM که مخفف Security information and event management می باشد، مجموعه ای از ابزارها و خدماتی که دیدگاهی جامع از امنیت اطلاعات یک سازمان ارائه می دهد.
و…

تخصص های مورد نیاز برای Blue Teaming

بصورت کلی تخصص های رد تیم مجموعه گسترده ای رو شامل میشه؛ این تخصص ها میتونه شامل موارد زیر باشه :

امنیت اطلاعات (Information Security)
دانش و مهارت SOC
شکار تهدیدات یا Threat Hunting
ارزیابی تهدید و حملات
تحلیل رویکرد های مهاجم
جرم شناسی رایانه ای (Forensic)
تحلیل بدافزار (Malware Analysis) و مهندسی معکوس (Reverse Engineering)
امنیت شبکه (Network Security)
امنیت وب (Web Security)
توسعه ابزار های امنیتی
روانشناسی و توانایی مشاوره امنیتی
تست نفوذ (Penetration Testing)
و…

شکار تهدیدات یا Threat Hunting

اگر حمله‌ای پیشرفته تو سازمان اتفاق بیوفته که همه تجهیزات امنیتیو بایپس کرده باشه و با موفقیت انجام شده باشه، به احتمال زیاد اون هکر توی شبکه ی اون سازمانه و داره کار خودشو انجام میده و تمامی راهکارهای امنیتی که روی مسیر ترافیک ورودی وجود دارن تقریبا دیگه هیچ نقشی در مسدود سازی این هکر ندارند. خب الان ی بحثی میاد وسط بنام Threat Hunting که کارش اینه که با تحلیل اطلاعات از دید امنیتی میتونه تهدیدات موجود توی اون سازمان رو کشف کنه و این Threat Hunting کلا یک تیمه. خب تیم شکار تهدیدات یا Threat Hunting میگرده اون هکر رو قبل از اینکه حرکت مخربی بزنه یا بلایی سر اون سازمان بیاره این تیم میاد وسط و کارش شناسایی اینجور چیزاست که جای این هکر میتونه بد افزار باشه یا… کلا کار تیم Threat Hunting اینه که بیاد تهدیدات مختلف توی سازمان رو اولا پیشگیری کنه و بعد اگر تهدیدی اتفاق افتاد کار این تیم اینه که بیاد اون تهدیدات رو کشفو رفع کنه که اینا هم با استفاده از ابزار های تخصصی توی زمینه امنیت و تجزیه و تحلیل بصورت هوشمند و… میانو کارشونو انجام میدن. در کل سرویس Threat hinting (شکار تهدیدات) مجموعه‌ای از فرآیندهای مستمر است که توسط یک تیم متخصص راه اندازی شده و اون سازمان رو در برابر حملات پیشرفته و هدفمند در سطح بالایی محافظت می‌کند. شکار تهدیدات یک جستجوی Proactive در شبکه‌ها، سیستم‌های کاربران و داده‌هاست که توسط عامل انسانی انجام می‌شود. به همین دلیل تجربه تیم threat hunting بسیار اهمیت داره، این افراد با تحلیل اطلاعات از نگاه امنیتی و به کار گیری ابزار مناسب موفق می‌شوند تهدیداتی که از دید راهکارهایی مانند فایروال و آنتی ویروس‌ها پنهان مانده‌اند را کشف کنند. با توجه اینکه معمولا تهدیدات سایبری بر اساس رفتار یا نشانه‌های تهدید (IOC) کشف می‌شوند، بنابراین بسیاری از این تهدیدات از دید سامانه‌های خودکار تشخیص و شناسایی تهدیدات پنهان می‌مانند. شکار تهدیدات به سازمان‌ها کمک می‌کند تا این موارد را شناسایی کنند. در فرآیند شکار تهدیدات، بر خلاف روش‌های سنتی، شکارچیان تهدید (threat hunters) پیش از آن‌که رخدادی به وقوع بپیوندد، داده‌ها را بررسی و تحلیل می‌کنند. در واقع، شکارچیان تهدید با استفاده از تکنیک‌های دستی و خودکار، به جستجوی تهدیدات ناشناخته می‌پردازند و قبل از اینکه آسیبی به سازمان وارد شود آن‌ها را شناسایی می‌کنند. این افراد تهدیداتی را پیدا می‌کنند که هیچ‌یک از فایروال‌ها و سیستم‌های تشخیص نفوذ یا سایر تجهیزات امنیتی نتوانسته‌اند تشخیص دهند. پس Threat Hunting توی Blue Teaming اهمیت زیادی داره.

جرم شناسی رایانه ای (Forensic)

فارنزیک پروسه ای جهت جمع آوری اطلاعات و شواهد به منظور چگونه اتفاق افتادن واقعه ای است. این علم در شاخه های مختلفی مانند پزشکی، فیزیک، شیمی، کامپیوتر کاربرد دارد که در هر کدام از ان ها هم می تواند نیاز به تخصصی زیادی داشته باشد تا به صورت حرفه ای انجام شود. جرم شناسی رایانه ای هم برای blue teaming نیازه چون مثلا اگر حمله ای اتفاق بیوفته به forensic نیاز داریم تا اتفاقاتی که افتاده و حمله ای که در اون سازمان رخ داده رو مورد بررسی قرار بدن تا اولا بتونن کار هایی که توسط اون مهاجم بعد از حمله انجام شده چی بوده و تخریب هارو تشخیص بدنو بعدش پیشگیری کنن از حادثه و در اخرم میتونن با استفاده از فارنزیک اگر هکر از خودش ردی بجا گذاشته باشه با دنبال کردن اون ردپاهای موجود بیان و اون هکر رو مورد عنایت قرار بدن و… .

تحلیل بدافزار (Malware Analysis) و مهندسی معکوس (Reverse Engineering)

وقتی یک بدافزاری وارد سیستم های اون سازمان شد یا اون بدافزار در راه/قبله آلوده کردن سیستم های اون سازمان توسط سیستم های امنیتی شناسایی شد، اینجا به تحلیلگر بدافزار نیاز داریم تا بیاد این بد افزار رو بشکافه ببینه برای چی این بدافزار ساخته شده و میخواسته چیکار کنه و… تا یکسری مکانیزم های امنیتی بیشتری روی اون سازمان اعمال کنند تا دفعه دیگه همچین اتفاقی نیوفته و همچنین ما با استفاده از تحلیل بدافزار میتونیم که signature / ساختار یک بدافزار رو در بیاریم و به دیتابیس های دستگاه های امنیتی که داریم اضافه کنیم تا اگر چنین بدافزاری رویت بشه بیاد و دهن اون بدافزارو سرویس کنه بجای اینکه اون بدافزار دهن ما رو… .

امنیت شبکه (Network Security)

برای جلوگیری از بروز حملات شبکه باید امنیت شبکه رو تامین کنیم چون مهمترین بخش هر سازمانی شبکه است که حالا اگر اون شبکه از کار بیوفته یا دچار حملات مختلف بشه دیگه عرضم به حضورتون ممکنه کل سازمان مختل شه و خسارت زیادی به اون سازمان وارد شود.

امنیت وب (Web Security)

همونطور که میدونید هر سازمان یا شرکت وب سایت داره دیگه ! خب الان این وب سایت ها هم روی بستر وب قرار داره و همه میتونن به اون سایت دسترسی داشته باشن که این نیاز به اعمال کردن یکسری سیاست های امنیتی روی اون سایت داره چون چیزی که همه میتونن بهش دسترسی داشته باشن باید تا حد امکان امنیتش برقرار باشه؛ زیرا که هکرا ریختن تو اینترنت فقط دنبال ی سوراخ میگردن که از طریق اون بتونن کار خودشونو انجام بدن پس امنیت وب سایت در فرآیند بلوتیمینگ میتونه یکی از بخش های مهم باشه.

توسعه ابزارهای امنیتی

همونطور که میدونید خیلی از ابزار هایی که در حوزه ی هک و امنیت وجود دارند ممکنه که یکسری کمو کسری هایی داشته باشند که این کمو کسری ها هم ممکنه توسط شرکت سازنده ی اون ابزار اضافه نشه یا مثلا ممکنه یک ابزاری وجود داشته باشه که کلا شرکت سازنده یا کسی که اونو ساخته دیگه ساپورتش نمیکنه. خب اینجاست ما نیاز داریم به مهارت ابزار نویسی و توسعه ابزارهای امنیتی تا بتونیم اولا ابزار های اختصاصی امنیتی برای خودمون بنویسیم و توسعه بدیم که هم یجورای پرایویت باشه هم قابل اطمینان و… .

روانشناسی و توانایی مشاوره امنیتی

یک blue teamer باید در حدی دانش روانشناسی و روان شناختی داشته باشد تا بتونه از حملات مهندسی اجتماعی جلوگیری کنه و همچنین این دانش روانشناسی یا Psychology توی زمینه هک و امنیت یا حتی زندگی روزمره کاربرد زیادی داره و این امکان رو به اون تیم آبی میده تا بتونن به شکل صحیح و درست یک مشاوره امنیتی کامل برای جلوگیری از حملات مهندسی اجتماعی و… به کارکنان اون سازمان ارائه دهند. همونطور که در مقاله Red Team گفتم ، یکی از آسیب پذیری هایی که میشه گفت هیچوقت پچ نمیشه آسیب پذیری روان آدماست 😉 چون هر انسانی توی جامعه یک نقطه ضغفی داره پس نیازه که رو این مورد کار بشه.

تست نفوذ (Penetration Testing)

بعد از اینکه blue team از خودش مطمئن شد و تا حد امکان اون سازمان رو امن کرده الان نیازه که بیاد یک شبیه سازی از حملات red team و حملاتی که از بیرون توسط مهاجمین ممکنه انجام بشه روی خودشون انجان بدن تا دیگه اگه مشکلی بود اونارو پچ کنن و…!

ابزارهای مورد نیاز برای Blue Teaming

شما میتونید به این آدرس مراجعه کنید و مجموعه ای از ابزارهای مورد نیاز برای Blue Teaming رو مشاهده کنید که ابزارهای مختلفی برای فاز های مختلف ‌Blue Team وجود داره که میتونید به اون آدرس مراجعه کنید و ببنید.

همچنین شما میتوانید به این سایت مراجعه کنید و چالش های مربوط به Blue Team رو حل کنید، که سایت خیلی خوبیه و پیشنهاد می کنم حتما ی سر بهش بزنید پشیمون نمیشید 🙂 و این سایت هم آموزش داره و هم محیط هایی رو برای تمرین Blue Teaming فراهم کرده.

خب الان کلا با ساختار blue team در این مقاله آشنا شدیم و همچنین در مقاله قبلی هم به red team پرداختیم حالا بریم ببنیم مزایای این دو تیم چیا هستند.

قبل از هر چیزی من اینو بگم که

دوستان توجه داشته باشید که ما هیچ تیم قرمزی بدون تیم آبی نداریم و برعکس!!!

همچین حرفی که ردتیم از تیم آبی بهتره هم وجود نداره و هیچ مزیتی برای انتخاب و سرمایه‌گذاری روی تنها یکی از آن‌ها نیست .. نکته‌ی مهم هم اینه که هدف هردو تیم برای جلوگیری از حملات سایبری فعالیت می کنند.

تیم قرمز از تاکتیک‌های حمله خود استفاده می‌کند تا انتظارات و آمادگی دفاعی تیم آبی را مورد ارزیابی قرار بده که بعضی وقتا ممکنه ردتیم نقاطی پیدا کنه که تیم آبی اونارو نادیده گرفته باشه و این وظیفه‌ی تیم قرمزه که نشون بده چطور این موارد امکان بهبودی دارند .

و اینکه تیم قرمز و آبی با هم در مقابل هکرای بیرون سازمان و مهاجمین مخرب همکاری کنند بحث مهمیه که بدین سان امنیت سایبری امکان پیشرفت دارد و این کار هم بر عهده ی تیم واسط ینی تیم بین ردتیم و بلوتیم یعنی تیم بنفش یا پرپل تیم می باشد که در مقاله بعدی می پردازیم بش.

مزایای Blue Team و Red Team

اولین مزایای این دو تیم برای یک سازمان میتونه امنیت رو با یه حدی خوبی به همراه داشته باشه چون این دو تیم متفاوت و در مقابل هم هستند و این باعث میشه برای هر دو تیم ی حالت رقابتی بوجود بیاد و برای اهدافی که دارن عمیقا تلاش کنند و این باعث میشه علاوه بر بهبود امنیت اون سازمان، این دو تیم نیز به تجربیات و دانششون اضافه شه ، چون هر هم blue team و هم red team در طول مسیر فرآیند کاریشون با چالش های مختلفی روبرو میشن.

ردتیم میاد آسیب پذیری های موجود روی سیستم های اون سازمان و خود اون سازمان رو مورد بررسی قرار میده و در اخر اینو میده به بلو تیم تا محکم کاری های لازم رو انجام بده و این خیلی به بهبود امنیت اون سازمان در مقابله با حملات مختلف از بیرون توسط مهاجمان کمک میکنه.

و کلی مزایای دیگر…

خب تو این مقاله فهمیدیم که تیم آبی چیه و چیکار میکنه و… و در مقابله بعدی هم قراره راجب تیم بنفش یا Purple Team در هک و امنیت صحبت کنیم.

و تمام!…

خیلی ممنون که تا اینجا با من همراه بودین 🌹

امیدوارم از این مطلب لذت کافی رو برده باشید 🙂