Bilgi Güvenliği sektöründe yeni trend kırmızı, mavi ve mor takım kavramlarıyla ilgili bir karmaşıklık yaşanmaktadır.
Öncelikle tanımları inceliyecek olursak:
Kırmızı Takım/Red Team
Bir güvenlik testi uygulamasında, dışarıdan bir saldırganın muhtemel uygulayacağı davranışları ve teknikleri en gerçekçi şekilde taklit eder. Uygulama Penetrasyon Testine benzer ancak aynı kapsamda ve tekniklerde değildir. Kırmızı takım bir veya birden fazla hedef seçer.
Mavi Takım/Blue Team
Mavi takım hem gerçek saldırganlara hem de kırmızı takıma karşı sistemi savunur. Mavi takımın saldırı anında veya en kısa sürede tepki vermesi gerektiğinden organizasyonlarda standart güvenlik ekiplerinden ayrı şekilde konumlandırılmalıdır.
Mor Takım/Purple Team
Mor takım ise kırmızı ve mavi takımın etkinliklerini sağlamak ve en üst düzeyde verim alınmasını sağlamak için bulunur. Kırmızı takım tarafından gelen saldırı isteklerini, buldukları zafiyetleri ve teknikleri, mavi takımdan gelen savunma tekniklerini ve kontrollerini optimize ederek gerçekleştirmeye çalışırlar. Mor takımın bulunması için kırmızı ve mavi takımların da bulunması gerekliliği ortaya çıkacaktır.
Organizasyonlarda kırmızı takımın amacı güncel saldırı teknik/taktiklerini takip ederek mavi takımı geliştirmesini sağlamaktır.
Kavramlar ve İşin Felsefesi
Kırmızı ve mavi takım felsefesi Aynı madalyonun iki farklı yüzeyi gibi aynı amaca bağlı farklı yöntemleri olmasıdır.
“Ying ve Yang” veya “Saldırı ve Savunma” gibi kırmızı ve mavi takımlar taktik ve davranışlarda birbirleriyle zıttır. Bu zıtlığa rağmen ortak hedef kurumun güvenlik yapısını en iyi hale getirmektir.
Mor Takımlar bu ikili mücadele arasında köprü görevi görür, arada köprü görevi görülmezse yapılan çalışmaların boşa olması muhtemeldir. Kırmızı takımdan aldığı saldırı taktikleriyle mavi takımdaki savunma taktiklerinin geliştirilmesini sağlar.
Kırmızı ve mavi takım iş birlikteliklerinde görülen yaygın sorunlar;
- Kırmızı takım, mavi takımla bilgi paylaşımı konusunda oldukça seçici olduğu gözlemlenir.
- Kırmızı takım tek başına kaldığında organizasyonlarda içeri çekilerek işlevsizleştirildiği gözlemlenmektedir.
- Kırmızı ve mavi takım elbette sürekli olarak birbirleriyle iletişim halide olması için tasarlanmamıştır, bu nedenle iki tarafın birbirlerinden öğrendikleri derslerin unutulduğu gözlemlenmiştir.
- Bilgi güvenliği yönetimi aynı çabanın bir parçası olarak kırmızı ve mavi takımları görmezden geldiği görülmüştür. Ekip içinde yönetim sorunları ortaya çıkmıştır.
Organizasyonlarda bu tip sorunlar görülmeye başlandığında mor takıma olan ihtiyaçları ortaya doğmaktadır.
Mor takımların işleyişindeki önemli bir nokta ayrı bir varlıktan ziyade işlev veya kavram olarak düşünülmesi gerektiğidir. Tek bir başına mor takım kurulması yerine mavi ve kırmızı takımların yöntemlerinden birer parça olabilir.
Mor takım kırmızı ve mavi takımlar arasındaki iletişimsizliği ve bilgi ve deneyim paylaşmadaki isteksizliği ortadan kaldırabilir.
Toparlayacak olursak;
- Kırmızı takımlar, çalıştıkları kurumların savunmalarında kusurlar bulmak için saldırganları taklit ederler.
- Mavi takımlar saldırganlara karşı savunma yapmakta ve kurumunun yada organizasyonun güvenlik açısından en iyi duruma getirmek için çabalarlar.
- Düzgün bir Kırmızı/Mavi takım uygulaması için aralarında bilgi ve deneyim paylaşımını gerektirmektedir.
- Mor takım kavramsallaştırılarak aradaki iletişim sorunlarının önüne geçmek için mavi ve kırmızı takım yönetiminden oluşabilir.
- İdeal bir organizasyonda kırmızı takımın amacı mavi takımı geliştirmektir.
NOTLAR
Değindiğimiz güvenlik felsefesi her türlü güvenlik operasyonuna uygulanabilir.
Süreçlerin basite indirgenip hızlı aksiyon alınması önemlidir.
Kırmızı takım tiger takım kavramıyla karıştırılmamalıdır. Tiger takımlarda derinleşilen bir konu vardır.
Kırmızı takımlarda yaygın olarak görülen organizasyon içine çekilip, kapsamları azaltılarak körelmelerine neden olmaktadır.