Kiber təhlükəsizlik:: Blue Team vs Red Team — strategiyanızı dəyişdirəcək iki düşüncə tərzi

Kibertəhlükəsizlik sahəsində bəziləri divarlar qurur, keşikçilər yerləşdirir, tələlər və parollar düşünür. Digərləri isə eyni zamanda boşluqları axtarır, gizli yollar qazır, mühafizəni aldadır və sistemə alternativ giriş nöqtələri tapmağa çalışır.

Birincilər — Blue Team-dir. İkincilər — Red Team. Və hər ikisi eyni təşkilat daxilində fəaliyyət göstərərək kibertəhlükəsizlik sistemində daxili balans yaradır.

Bu konsepsiya ABŞ-ın soyuq müharibə dövründəki hərbi praktikasından formalaşıb: real hazırlıq səviyyəsini yoxlamaq üçün öz mövqelərinə hücum etməlisən. Kibertəhlükəsizlik sahəsində bu yanaşma artıq sənaye standartına çevrilib. Lakin texniki terminlərin arxasında daha dərin məna dayanır — iki tamamilə fərqli düşüncə modeli. Risk və təzyiq altında qərar verən hər kəs üçün bu modelləri anlamaq olduqca vacibdir.

Onlar kimdir

Blue Team — müdafiə tərəfidir. Onlar təhlükəsizlik arxitekturasını qurur, monitorinq sistemlərini konfiqurasiya edir, hadisə jurnallarını təhlil edir, insidentlərin korrelyasiyasını aparır, əməkdaşları maarifləndirir və cavab prosedurlarını hazırlayırlar. Məqsədləri sistemin dayanıqlığını təmin etmək və mümkün hücumların təsirini minimuma endirməkdir. Onların uğuru çox vaxt görünmür, çünki nəticə insidentlərin baş verməməsidir.

Red Team — hücum tərəfidir. Onların vəzifəsi real hücumçu kimi düşünmək, mürəkkəb ssenarilər modelləşdirmək, zəiflikləri aşkar etmək və infrastrukturun hansı yollarla komprometasiya oluna biləcəyini göstərməkdir. Bu fəaliyyət real təhdidlər baş verməzdən əvvəl sistemdəki struktur boşluqları üzə çıxarmağa imkan verir.

Onlar arasındakı asimmetriya olduqca sərtdir: hücum edən tərəfin bir neçə dəfə uğur qazanması belə ciddi zərər üçün kifayət edə bilər. Müdafiəçi isə bütün mərhələlərdə və davamlı şəkildə effektiv olmalıdır. Məhz bu fundamental fərq kibertəhlükəsizlik daxilində iki fərqli strateji düşüncə modelini formalaşdırır.

Blue Team necə düşünür

Blue Team xroniki qeyri-müəyyənlik şəraitində yaşayır. Hücumun nə vaxt gələcəyini bilmirlər. Haradan gələcəyini bilmirlər. Vektoru nə olacağını bilmirlər. Ona görə də onların əsas üstünlüyü — onsuz da işləyən proseslər qurma bacarığıdır.

Blue Team-in əsas mental modeli Assume Breach adlanır — artıq sındırıldığını fərz et. Bu hər şeyi dəyişir. Sual "sındırılmanın qarşısını necə alaq" olmaqdan çıxır və "təcavüzkar içəri girdikdən sonra nə edər?" olur — və məhz orada real müdafiə qurulur.

Gündəlik həyatda Blue Team düşüncəsi belə görünür: daimi retrospektivlər, hər layihənin başlanğıcından əvvəl pre-mortem analizi, hər şeyin sənədləşdirilməsi, kritik nöqtələrin ehtiyatlanması, insidentlərin idarə edilməsi. Bunlar illəri irəlidə düşünən və çeklisti sevən insanlardır.

Red Team necə düşünür

Red Team — peşəkar skeptiklərdir. Onların vəzifəsi müdafiənin işləmədiyini sübut etməkdir. Bu xüsusi psixoloji quruluş tələb edir: eyni anda qeyri-standart və amansız düşünmək bacarığı.

Onların üstünlüyü — əsas prinsiplərdən əks istiqamətdə düşünməkdir. Sistemi götürürlər və soruşurlar: yaradıcılar burada nəyi mütləq nəzərə almayıb? Ən yaxşı hücumlar mürəkkəb texniki istismarlar yolu ilə deyil — aşkar görünən insan, proses və ya fərziyyə vasitəsilə gəlir.

Məsələn: giriş sistemi mükəmməl qorunub. Amma heç kim işçilərin monitorun altındakı stikerlərə şifrə yazdığını düşünməyib. Red Team məhz belə düşünür.

Gündəlik həyatda Red Team düşüncəsi: müşavirələrdə devil's advocate rolu, fərziyyələri ictimai səsləndirməzdən əvvəl stress-test etmək, hər qərarın ikinci və üçüncü dərəcəli nəticələrini axtarmaq.

Eyni an — iki baxış açısı

Konkret bir ssenarinə baxaq. İşçi "Q4 Maaş Yeniləməsi.xlsx" əlavəsi olan bir məktub alır.

Red Team belə düşünür: məktub daxili HR göndərişini təqlid edir — belələrini insanların 70%-i açır. Əlavə açıldıqda maşına agent quran makros ehtiva edir. Sonra — şəbəkə daxilində səssiz kəşfiyyat, hesab məlumatlarının toplanması, daha dəyərli sistemlərə keçid. Bütün bunlar kimsə fərk etməzdən əvvəl həftələr ala bilər.

Blue Team belə düşünür: SIEM ofis prosesindən şübhəli powershell işə salınmasını aşkar etdi. Korrelyasiya göstərir — eyni məktubu 40 nəfər alıb. Endpointi dərhal izolyasiya edirik, fayl hashını bütün şəbəkədə bloklayırıq, poçt filtrləmə qaydalarını yeniləyirik. Sonra isə — retrospektiv: Excel-də makroslar ümumilikdə niyə aktiv idi?

Eyni an. İki fərqli baxış.

Purple Team: müharibə tərəfdaşlığa çevrildikdə

Ən yaxşı təşkilatlar daimi qarşıdurmanın problemini anladı: Blue və Red Team siloslarda işləyir. Hücum edənlər taktikalarını paylaşmır. Müdafiə edənlər real təhdid vektorlarını başa düşmür. Nəticə — rəflərdə toz bağlayan gözəl hesabatlar.

Həll Purple Team adlanır. Bu üçüncü komanda deyil — Red və Blue-nun real vaxt rejimində birlikdə işlədiyi iş rejimidir. Hücum dərhal müdafiənin yaxşılaşmasına çevrilir. Müdafiəçilər onları necə keçdiklərini görürlər. Hücumçular nəyin real işlədiyini görürlər.

Məhz böyük texnoloji şirkətlərin yetkin təhlükəsizlik komandaları belə qurulub. Qarşıdurma — tədris modelidir. Tərəfdaşlıq — real müdafiənin işləmə üsuludur.

Nəticə

Blue və Red düşüncəsi arasında seçim etməyə ehtiyac yoxdur. Ən yaxşı strateq — vəzifədən asılı olaraq rejimlər arasında keçid edə biləndir.

Sistem qurursan — Blue kimi düşün. Metodiki, paranoyak, ehtiyatlar və proseslərlə.

Hipotezi yoxlayırsan — Red kimi düşün. Uğursuzluğun tək nöqtəsini axtar, öz fərziyyələrinə hücum et.

Təcrübədən öyrənirsən — Purple kimi düşün. Hücumun dərhal yaxşılaşmaya çevrilsin.

Təhdidlərin real, qərarların isə təzyiq altında qəbul edildiyi dünyada bu yalnız kibertəhlükəsizlik bacarığı deyil. Bu — düşünmə üsuludur.

Kiber təhlükəsizlik sahəsini dərindən öyrənmək istəyirsinizsə, JET School-da Kibertəhlükəsizlik kursuna qoşulun!