Birçok kurum güvenlik sistemlerini ve bu sistemler ile ilişkin protokollerini düzenli olarak test ederler. Siber güvenlikte diğer birçok yapıyla beraber kırmızı takım ve mavi takımdan da sıklıkla bahsedilir. Bu iki takım ile beraber yakın zamanlarda mor takımdan da bahsedilir oldu. Saldırılara karşı güvenliği sağlayacak yapılanmayı oluşturmadan önce, bu takımların kimlerden oluştuklarını, güvenliği sağlamak için hangi araçları kullandıklarını bilmek doğru yapıyı oluşturmakta yardımcı olacaktır.
Kırmızı takım ve mavi takımın çıkış noktası; eski çağlarda ordularda, ordunun saldırılara karşı direncini ölçmek ve savunma zafiyetlerini belirleyerek çözüm bulabilmek amacıyla yapılan egzersizler olmuştur. Bu egzersizlerde kırmızı takım saldıran mavi takım ise savunan taraftır. İki takımın da amacı güvenliği en iyi düzeye çıkarmaktır. Bu sebeple iki takım yin yang gibi birbirini tamamlayıcı şekildedir.
Kırmızı takım; sistemin ne kadar iyi savunulduğunu, sistemde güvenlik açıklarının olup olmadığını, çeşitli araç ve yöntemleri kullanarak gerçeğe yakın senaryolar ile düzenli olarak tarayan ve genellikle farklı bir kurumdaki ekipten oluşan takımdır.
Kırmızı takım, gerçeğe en yakın testleri yapmak için çok fazla keşif çalışması yapar ve sosyal mühendisliği de sıklıkla kullanır. Keşif çalışmasından ve sosyal mühendislikten elde ettiği verilere uygun olarak ofansif araçları kullanarak saldırır. Oltalama saldırılarında sahte maillerin yollanması, hedef yakınlarına içine zararlı yazılım yerleştirilen USB bırakılması, Raspberry Pi gibi araçların wifi saldırılarında kullanılması ya da uzaktan erişim sağlanabilecek şekilde ayarlanarak hedef ağına bağlanması ise diğer saldırı yöntemlerinden bazılarıdır.
Kırmızı takım, kullanılan tekniklerin benzer olması sebebiyle pentest ekibi gibi görülsede, gerçek hayatta oluşabilecek senaryoları test etmeye çalıştığı için pentest ekibinden farklıdır. Bu sebeple kırmızı takım hizmetine başvurmadan önce bu takımın tekniklerini bilmek, tekniklerinin kuruma uygun olduğuna emin olmak gerekir. Diğer yandan savunma tarafının da gerekli araç, bilgi ve beceriye sahip olduğundan emin olmak gerekir.
Mavi Takım; hem saldırganlara hem de kırmızı takıma karşı güvenliği sağlamaya çalışan ekiptir. Mavi takım, saldırılar zarar vermeden bunları engellemeye ve diğer kullanıcılara çok fazla engel oluşturmadan açığa bir çözüm üretmeye çalışır.
Saldırılarda hızlı bir şekilde aksiyon alınabilmesi için mavi takımın elinde veriler ve bu verileri anlamlandırabileceği araçlara sahip olması, ayrıca bu araçların da doğru olarak ayarlanması gerekmektedir. Mavi takımın Güvenlik İstihbaratı Olay Yönetimi (SIEM) aracını kullanarak loglara erişimi, trafik ve veri analizi, tehdit zekası (Threat Intelligence) verilerine erişimi, farklı işletim sistemlerinin analizlerini yapabilmesi, olay müdahalesi (Incident Response) adımlarını bilmesi saldırıya hızlı tepki vermesinde önemli rol oynar.
Çeşitli araçlardan elde edilen sonuçların korelasyonunun sağlanarak doğru alarmların oluşturulması, saldırının kısa sürede engellenmesine yardımcı olacaktır. Mavi takım teknolojik araçları ile saldırıları tespit ve engellemenin yanında, sosyal mühendislik senaryolarına karşı, hem ekibi hem de kurumdaki insan kaynağını hazırlamalıdır.
Mor takım; hem kırmızı takım hem de mavi takımın arasında iletişimi ve bilgi baylaşımı sağlayan, iki ekipten gelecek veri ve raporları değerlendiren ve iki ekibin etkin olarak çalışmasını sağlamayı amaçlayan gruptur. Bu grup kırmızı takımın saldırı teknikleri, buldukları güvenlik açıkları ve sisteme yönelik tehditleri, mavi takımın defansif taktikleri ve araçları ile entegre ederek güvenliği en üst noktaya getirme amacı taşır.
Mavi takım ve kırmızı takımın amacı güvenliği sağlamaktır ve bu başarı ikisi arasındaki iletişime ve geri dönüşlere bağlıdır. Bu iki takımın fonksiyonel çalışması için gerekli modeli “bilgi güvenliğinin mor piramidi”[1] olarak görmek ve incelemek mümkündür.
Verilerin Yönetimi
Güvenliğin sağlanabilmesi için yapılması gereken en öncelikli adımlardan bazıları, donanımların çalışır ve ihtiyaca cevap verecek düzeyde olması, yazılımların güncel olması, erişim kontrollerinin sağlanması, yetkilendirme prosedürlerinin doğru şekilde sağlanarak erişim ihtiyacı olmayan kişi, sistem ya da yazılımlara erişim hakkının tanınmaması bu adımlardan bazılarıdır. Mavi takımın aktif olarak çalışabilmesi için yapıyı bilmesi ve yapıyla ilgili verilerin (ağ yapısı, sunucu bilgileri, yetkili kullanıcı isimleri vb.) sistemi izleyen araçlara – SIEM’e- girilmesi gerekir.
İzleme ve İnceleme
Piramidin bu basamağında hem kırmızı takım hem de mavi takımın çalışmaları söz konusudur. Kırmızı takım güvenlik açıklarının bulabilmek için ağı tararken, mavi takım da anomalileri ve zararlı olabilecek durumları tespit için ağı izler. Unutulmamalıdır ki mavi takımın izleme ve olayları inceleme işlemi sürekli olmalıdır.
Araştırma ve Tepki
Kırmızı takım sistemde herhangi bir açık yakaladığı zaman bu açığı nasıl kullanabileceğini araştırmaya başlar ve sisteme sızmaya çalışır. Mavi takım ise izlemede herhangi bir tehlikeli aktivite gördüğünde bunun ile ilgili detaylı inceleme yaparak bu aktiviteyi engelleyecek aksiyonu alır.
Raporlama
Kırmızı takım yaptığı test ve buldukları zafiyetler ile ilgili raporlama yaparken, mavi takım ise saldırılar ve bu saldırıların nasıl çözüldüğü ile ilgili raporlar hazırlarlar. Yöneticiler bu raporları değerlendirerek piramidin daha alt düzeyleri ile ilgili düzenleme ve iyileştirmeleri yapabilirler.
İki takımın rollerinin farklı olduğu hatta birbirinin zıttı olduğu düşünülse de güvenliği sağlamak için iki takımın iletişimde olması ve koordineli çalışması gerekir. Mavi takımın defansif rutinleri ve kırmızı takımın zayıflıkları bulma becerileri, bilgi güvenliğinin mor piramidini uygulayınca en etkin halini alarak güvenliği sürekli geliştirecektir.
Referanslar
[1]https://isc.sans.edu/diary/Blue+++Red:+An+Infosec+Purple+Pyramid/24830
[2]https://www.rsaconference.com/writable/presentations/file_upload/air-w02-the-rise-of-the-purple-team.pdf
[3]https://danielmiessler.com/study/red-blue-purple-teams/
[4]https://securitytrails.com/blog/cybersecurity-red-blue-team