الفريق الأحمر

الفريق الأحمر مجموعة تمثل جهة معادية في سياق محاكاة الهجمات، سواء كانت مادية أو رقمية، على منظمة معينة. من أسماء أفراد المجموعة: مختبر إختراق، وباحث أمني، ومستغل ثغرات.

يعمل الفريق بتوجيه من نفس المنظمة، حيث يهدف إلى تعزيز أمنها من خلال تنفيذ هجمات وهمية، ومن ثم إبلاغ المنظمة بالنتائج لتحسين دفاعاتها. يعمل أعضاء الفريق الأحمر عادةً لصالح المنظمة أو يتم تعيينهم من قِبلها، مما يجعل نشاطهم قانونيًا. ومع ذلك، قد يفاجئ هذا البعض من موظفي المنظمة الذين لا يلمون بالحدث، أو قد يتم خداعهم.

تتضمن بعض التعريفات الأوسع للفريق الأحمر أي مجموعة داخل المنظمة مخصصة لتفكير غير تقليدي واستكشاف سيناريوهات بديلة قد تبدو أقل واقعية. يُعتبر هذا النوع من التفكير الدفاعي هامًا ضد الافتراضات الخاطئة والتفكير الجماعي. نشأ مفهوم "الفريق الأحمر" في الولايات المتحدة في ستينيات القرن الماضي.

يتركز الفريق الأحمر على اختراق الشبكات وأجهزة الكمبيوتر بشكل رقمي. يُمكن أيضًا وجود فريق أزرق، وهو مصطلح يشير إلى موظفي الأمن السيبراني مسؤولين عن حماية شبكات وأجهزة كمبيوتر المنظمة من الهجمات. في الفريق الأحمر، يسعى المهاجم لجمع المعلومات عن الأجهزة والتقنيات المستخدمة في المنظمة بشكل عام، ثم التعمق في عمليات البحث والاستطلاع للكشف عن أجهزة إضافية تكون عرضة للخطر.

يتضمن البحث عن بيانات الاعتماد فحص أجهزة الكمبيوتر للعثور على معلومات مثل كلمات المرور وملفات تعريف الارتباط للجلسة. بمجرد اكتشاف هذه البيانات، يمكن استخدامها لاختراق أجهزة كمبيوتر أخرى. أثناء عمليات الاختراق التي ينفذها أطراف ثالثة، قد يتعاون الفريق الأحمر مع الفريق الأزرق لتعزيز دفاعات المنظمة. غالبًا ما تُستخدم قواعد الاشتباك وإجراءات التشغيل القياسية لضمان عدم تسبب الفريق الأحمر في أي أضرار خلال تدريباته.

يركز فريق الإختراق الفيزيائي على إرسال فريق لدخول المناطق المحظورة بهدف اختبار وتحسين الأمن المادي، مثل الأسوار والكاميرات وأجهزة الإنذار والأقفال وسلوك الموظفين. كما هو الحال في عمل الفريق الأحمر الفني، تُستخدم قواعد الاشتباك لضمان عدم تسبب الفرق الحمراء في أضرار مفرطة أثناء التدريبات.

تشمل العمليات المادية للجماعات الحمراء عادةً مرحلة استطلاعية، حيث يتم جمع المعلومات وتحديد نقاط الضعف الأمنية. بعد ذلك، تُستخدم هذه المعلومات لتنفيذ عملية (عادةً ما تتم ليلاً) للحصول على دخول فعلي إلى المبنى. خلال هذه العمليات، يتم التعرف على الأجهزة الأمنية ومواجهتها باستخدام أدوات وتقنيات معينة. يُمنح أعضاء الفريق الأحمر أهدافًا محددة، مثل الوصول إلى غرفة الخادم والاستيلاء على محرك أقراص محمول، أو الدخول إلى مكتب أحد المديرين التنفيذيين والاستحواذ على مستندات سرية.

تُستخدم الفرق الحمراء في العديد من المجالات، بما في ذلك الأمن السيبراني ، وأمن المطارات ، وإنفاذ القانون ، والجيش ، ووكالات الاستخبارات . في حكومة الولايات المتحدة ، يتم استخدام الفرق الحمراء من قبل الجيش ، وسلاح مشاة البحرية ، ووزارة الدفاع ، وإدارة الطيران الفيدرالية ، وإدارة أمن النقل .

تاريخ

ظظهر مفهوم الفريق الأحمر والفريق الأزرق في أوائل الستينيات. كان أحد الأمثلة المبكرة على التعاون بين الفريقين هو مؤسسة RAND Corporation، التي أجرت محاكاة للجيش الأمريكي خلال فترة الحرب الباردة. في هذا السياق، تم استخدام "الفريق الأحمر" واللون الأحمر لتمثيل الاتحاد السوفييتي، بينما تم استخدام "الفريق الأزرق" واللون الأزرق لتمثيل الولايات المتحدة.

مثال مبكر آخر يتعلق بوزير الدفاع الأمريكي روبرت ماكنمارا، الذي جمع فريقًا أحمر وفريقًا أزرق لاستكشاف أي مقاول حكومي ينبغي منحه عقد طائرة تجريبية. بالإضافة إلى ذلك، هناك أمثلة مبكرة أخرى تتعلق بنماذج التفاوض على معاهدات الحد من الأسلحة وتقييم فعاليتها.

ترتبط الفرق الحمراء أحيانًا بـ "التفكير المعاكس" ومواجهة التفكير الجماعي، حيث تميل المجموعات إلى تكوين افتراضات والتمسك بها حتى في وجود أدلة تناقضها. من الأمثلة على مجموعة لم تُطلق عليها اسم الفريق الأحمر، لكنها تُعتبر من بين أوائل الأمثلة على تشكيل مجموعة لمواجهة التفكير الجماعي، هي منظمة إيبخا ميستابرا الإسرائيلية، التي تم تأسيسها بعد إخفاقات اتخاذ القرار الإسرائيلي خلال حرب يوم الغفران في عام 1973.

على الرغم من وجود أدلة كافية على هجوم وشيك، كاد الهجوم على إسرائيل أن يفاجئها، مما كاد يؤدي إلى هزيمتها. تأسست منظمة إيبخا ميستابرا بعد الحرب، وعُهد إليها بتقديم تحليلات معاكسة وغير تقليدية في السياسة الخارجية وتقارير الاستخبارات، بهدف تقليل احتمال تجاهل الأمور في المستقبل.

في أوائل العقد الأول من القرن الحادي والعشرين، ظهرت أمثلة على استخدام الفرق الحمراء في التدريبات على الطاولة. يُستخدم هذا النوع من التمرين بشكل شائع من قبل المستجيبين الأوائل، حيث يتضمن التمثيل والتخطيط لأسوأ السيناريوهات، بطريقة مشابهة للعب لعبة لوحية.

ردًا على هجمات الحادي عشر من سبتمبر، ومع التركيز على مكافحة الإرهاب، أنشأت وكالة الاستخبارات المركزية (CIA) خلية حمراء جديدة، واستخدمت الفرق الحمراء لنمذجة الاستجابات للحرب غير المتكافئة، مثل الإرهاب. بعد إخفاقات حرب العراق، أصبح العمل الجماعي الأحمر أكثر شيوعًا في الجيش الأمريكي.

مع مرور الوقت، توسعت ممارسة العمل الجماعي الأحمر لتشمل صناعات ومنظمات متعددة، بما في ذلك الشركات والوكالات الحكومية والمنظمات غير الربحية. أصبح هذا النهج شائعًا بشكل متزايد في مجال الأمن السيبراني، حيث تُستخدم الفرق الحمراء لمحاكاة الهجمات الواقعية على البنية التحتية الرقمية للمؤسسة واختبار فعالية تدابير الأمن السيبراني المعتمدة لديها.

الأمن السيبراني

يتضمن العمل الجماعي التقني اختبار الأمان الرقمي للمؤسسة من خلال محاولة التسلل إلى شبكات الكمبيوتر الخاصة بها رقميًا.

مصطلحات

الفريق الأزرق هو المجموعة المسؤولة عن الدفاع ضد الاختراقات.

في مجال الأمن السيبراني ، يتضمن اختبار الاختراق قيام قراصنة أخلاقيين ("مختبري القلم") بمحاولة اختراق نظام الكمبيوتر، دون أي عنصر من عناصر المفاجأة. المنظمة على علم باختبار الاختراق وهي مستعدة لشن دفاع. ^[1]

ويذهب الفريق الأحمر إلى خطوة أبعد من ذلك، ويضيف الاختراق الجسدي، والهندسة الاجتماعية ، وعنصر المفاجأة. لا يتم إعطاء الفريق الأزرق أي تحذير مسبق من وجود فريق أحمر، وسوف يعامله على أنه تدخل حقيقي. ^[2] أحد أدوار الفريق الأحمر الدائم داخل المؤسسة هو تحسين ثقافة الأمن داخل المنظمة. ^[3]

الفريق الأرجواني هو مزيج مؤقت من كلا الفريقين ويمكنه تقديم استجابات سريعة للمعلومات أثناء الاختبار. ^{[4] [5]} من بين مزايا الفريق الأرجواني أن الفريق الأحمر يمكنه إطلاق هجمات معينة بشكل متكرر، ويمكن للفريق الأزرق استخدام ذلك لإعداد برنامج الكشف ومعايرته وزيادة معدل الكشف بشكل مطرد. ^[6] قد تشارك الفرق الأرجوانية في جلسات "البحث عن التهديدات"، حيث يبحث كل من الفريق الأحمر والفريق الأزرق عن المتسللين الحقيقيين. إن إشراك موظفين آخرين في الفريق الأرجواني مفيد أيضًا، على سبيل المثال مهندسي البرمجيات الذين يمكنهم المساعدة في تسجيل التنبيهات الخاصة بالبرمجيات، والمديرين الذين يمكنهم المساعدة في تحديد السيناريوهات الأكثر ضررًا ماليًا. ^[7] أحد مخاطر العمل الجماعي الأرجواني هو الرضا عن الذات وتطور التفكير الجماعي ، والذي يمكن مكافحته من خلال توظيف أشخاص لديهم مجموعات مهارات مختلفة أو توظيف بائع خارجي. ^[8]

الفريق الأبيض هو المجموعة التي تشرف وتدير العمليات بين الفرق الحمراء والفرق الزرقاء. على سبيل المثال، قد يكون هؤلاء مديري الشركة الذين يحددون قواعد الاشتباك للفريق الأحمر. ^[9]

هجوم

نقطة الدخول الأولية للفريق الأحمر أو الخصم تسمى رأس الشاطئ. غالبًا ما يكون الفريق الأزرق الناضج ماهرًا في العثور على رأس الشاطئ وطرد المهاجمين. أحد أدوار الفريق الأحمر هو زيادة مهارات الفريق الأزرق. ^[10]

عند التسلل، هناك نهج "جراحي" خفي يبقى تحت رادار الفريق الأزرق ويتطلب هدفًا واضحًا، ونهج "قصف السجاد" الصاخب الذي يشبه إلى حد كبير هجوم القوة الغاشمة. غالبًا ما يكون القصف السجادي هو النهج الأكثر فائدة للفرق الحمراء، لأنه يمكنه اكتشاف نقاط ضعف غير متوقعة. ^[11]

هناك مجموعة متنوعة من التهديدات للأمن السيبراني. قد تتراوح التهديدات من شيء تقليدي مثل اختراق وحدة تحكم مجال الشبكة، أو شيء أقل تقليدية مثل إعداد تعدين العملات المشفرة ، أو توفير قدر كبير جدًا من وصول الموظفين إلى المعلومات الشخصية القابلة للتحديد (PII) مما يفتح الباب أمام غرامات اللائحة العامة لحماية البيانات (GDPR). ^[12] يمكن التعامل مع أي من هذه التهديدات، من أجل استكشاف مدى خطورة المشكلة. يمكن استخدام التمارين التي تُجرى على الطاولة، حيث يتم تمثيل الاقتحامات على سطح الطاولة على نحو مماثل لكيفية لعب لعبة لوحية، لمحاكاة الاقتحامات التي تكون باهظة التكلفة أو معقدة للغاية أو غير قانونية لتنفيذها على الهواء مباشرة. ^[13] يمكن أن يكون من المفيد محاولة التدخل ضد الفريق الأحمر والفريق الأزرق، بالإضافة إلى الأهداف الأكثر تقليدية. ^[14]

 

مثال لقاعدة بيانات الرسم البياني . بالنسبة للفرق الحمراء، يمكن استخدام هذا البرنامج لإنشاء خريطة للشبكة المخترقة. العقد (الدوائر) هي عادةً أجهزة كمبيوتر، أو مستخدمين، أو مجموعات أذونات.

بمجرد الوصول إلى الشبكة، يمكن إجراء الاستطلاع. يمكن وضع البيانات المجمعة في قاعدة بيانات الرسم البياني ، وهو برنامج يرسم العقد والعلاقات والخصائص بصريًا. قد تكون العقد النموذجية عبارة عن أجهزة كمبيوتر أو مستخدمين أو مجموعات أذونات. ^[15] عادةً ما يكون لدى الفرق الحمراء قواعد بيانات رسومية جيدة جدًا لمنظمتها الخاصة، لأنها تستطيع الاستفادة من ميزة اللعب على أرضها ، بما في ذلك العمل مع الفريق الأزرق لإنشاء خريطة شاملة للشبكة، وقائمة شاملة للمستخدمين والمسؤولين. ^[16] يمكن استخدام لغة الاستعلام مثل Cypher لإنشاء قواعد بيانات الرسم البياني وتعديلها. ^[17] من المفيد وضع أي نوع من حسابات المسؤول في قاعدة بيانات الرسم البياني، بما في ذلك مسؤولي أدوات الطرف الثالث مثل Amazon Web Services (AWS). ^[18] يمكن في بعض الأحيان تصدير البيانات من الأدوات ثم إدراجها في قاعدة بيانات الرسم البياني. ^[19]

بمجرد أن يتمكن الفريق الأحمر من اختراق جهاز كمبيوتر أو موقع ويب أو نظام، فإن إحدى التقنيات القوية هي البحث عن بيانات الاعتماد . يمكن أن تكون هذه في شكل كلمات مرور نصية واضحة، أو نص مشفر ، أو تجزئات ، أو رموز وصول . يتمكن الفريق الأحمر من الوصول إلى جهاز كمبيوتر، ويبحث عن بيانات اعتماد يمكن استخدامها للوصول إلى جهاز كمبيوتر مختلف، ثم يتم تكرار ذلك، بهدف الوصول إلى العديد من أجهزة الكمبيوتر. ^[20] يمكن سرقة بيانات الاعتماد من العديد من المواقع، بما في ذلك الملفات ومستودعات التعليمات البرمجية المصدرية مثل Git وذاكرة الكمبيوتر وبرامج التتبع والتسجيل. يمكن استخدام تقنيات مثل تمرير ملف تعريف الارتباط وتمرير التجزئة للوصول إلى مواقع الويب والأجهزة دون إدخال كلمة مرور. يمكن أيضًا استخدام تقنيات مثل التعرف الضوئي على الحروف (OCR)، واستغلال كلمات المرور الافتراضية ، وتزييف مطالبة بيانات الاعتماد، والتصيد الاحتيالي . ^[21]

يمكن للفريق الأحمر الاستفادة من برمجة الكمبيوتر ونصوص واجهة سطر الأوامر (CLI) لأتمتة بعض مهامهم. على سبيل المثال، يمكن لنصوص CLI الاستفادة من نموذج كائن المكون (COM) على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Microsoft Windows من أجل أتمتة المهام في تطبيقات Microsoft Office . قد تتضمن المهام المفيدة إرسال رسائل البريد الإلكتروني، أو البحث في المستندات، أو تشفير البيانات أو استردادها. يمكن للفرق الحمراء التحكم في المتصفح باستخدام COM في Internet Explorer ، أو ميزة التصحيح عن بعد في Google Chrome ، أو إطار عمل الاختبار Selenium . ^[22]

الدفاع

أثناء الاقتحام الحقيقي، يمكن إعادة توجيه الفريق الأحمر للعمل مع الفريق الأزرق للمساعدة في الدفاع. وعلى وجه التحديد، يمكنهم تقديم تحليل لما من المرجح أن يحاول المتسللون القيام به بعد ذلك. أثناء الاقتحام، يتمتع كل من الفريق الأحمر والفريق الأزرق بميزة اللعب على أرض الوطن لأنهم أكثر دراية بشبكات وأنظمة المنظمة من المتسلل. ^[6]

 

يمكن استخدام جدار حماية الشبكة (الموضح في الصورة) للحد من الوصول إلى شبكة خاصة من شبكة الإنترنت الأوسع. يمكن استخدام جدار الحماية البرمجي، مثل جدار الحماية المدمج في نظام تشغيل الكمبيوتر، للحد من الوصول عن بعد إلى هذا الكمبيوتر.

قد يكون الفريق الأحمر للمنظمة هدفًا جذابًا للمهاجمين الحقيقيين. قد تحتوي أجهزة أعضاء الفريق الأحمر على معلومات حساسة حول المنظمة. ردًا على ذلك، غالبًا ما يتم تأمين أجهزة أعضاء الفريق الأحمر. ^[23] تتضمن تقنيات تأمين الأجهزة تكوين جدار الحماية لنظام التشغيل، وتقييد الوصول عبر Secure Shell (SSH) و Bluetooth ، وتحسين التسجيل والتنبيهات، وحذف الملفات بشكل آمن، وتشفير محركات الأقراص الصلبة. ^[24]

أحد التكتيكات هو الانخراط في "الدفاع النشط"، والذي يتضمن إعداد الطعوم والمصائد الاحتيالية للمساعدة في تتبع موقع المتسللين. ^[25] يمكن أن تساعد هذه المصائد في تنبيه الفريق الأزرق إلى اختراق الشبكة الذي ربما لم يتم اكتشافه لولا ذلك. يمكن استخدام برامج مختلفة لإعداد ملف honeypot اعتمادًا على نظام التشغيل: تتضمن أدوات macOS OpenBMS، وتتضمن أدوات Linux مكونات auditd الإضافية، وتتضمن أدوات Windows قوائم التحكم في الوصول إلى النظام (SACL). يمكن أن تتضمن الإشعارات النوافذ المنبثقة ورسائل البريد الإلكتروني والكتابة إلى ملف السجل. ^[26] إن المراقبة المركزية، حيث يتم إرسال ملفات السجل المهمة بسرعة إلى برنامج تسجيل على جهاز مختلف، هي تقنية دفاع مفيدة للشبكة. ^[27]

إدارة الفريق الأحمر

يمكن أن يساعد استخدام قواعد الاشتباك في تحديد الأنظمة التي لا يمكن الوصول إليها، ومنع الحوادث الأمنية، وضمان احترام خصوصية الموظفين. ^[28] إن استخدام إجراءات التشغيل القياسية (SOP) يمكن أن يضمن إخطار الأشخاص المناسبين وإشراكهم في التخطيط، وتحسين عملية الفريق الأحمر، مما يجعلها ناضجة وقابلة للتكرار. ^[29] عادةً ما يكون لأنشطة الفريق الأحمر إيقاع منتظم. ^[30]

 

مركز عمليات الأمن (SOC) في جامعة ماريلاند

إن تتبع بعض المقاييس أو مؤشرات الأداء الرئيسية (KPIs) يمكن أن يساعد في التأكد من أن الفريق الأحمر يحقق النتيجة المطلوبة. تتضمن أمثلة مؤشرات الأداء الرئيسية للفريق الأحمر إجراء عدد معين من اختبارات الاختراق سنويًا، أو عن طريق تنمية الفريق بعدد معين من مختبري الاختراق خلال فترة زمنية معينة. يمكن أن يكون من المفيد أيضًا تتبع عدد الأجهزة المخترقة والأجهزة القابلة للاختراق والمقاييس الأخرى المتعلقة بالتسلل. يمكن رسم هذه الإحصائيات بيانياً حسب اليوم ووضعها على لوحة معلومات معروضة في مركز عمليات الأمان (SOC) لتوفير الحافز للفريق الأزرق للكشف عن الخروقات وإغلاقها. ^[31]

من أجل تحديد أسوأ المدافعين، يمكن رسم الخطوط وتجميع التعقيدات حسب المكان في البرنامج الذي تم اكتشافها، وموقع مكتب الشركة، عنوان الوظيفة، أو القسم. ^[32] يمكن استخدام محاكاة مونت كارلو لتحديد سيناريوهات الاختراق التي تكون أكثر احتمالاً أو أكثر ضررًا أو كليهما. ^[33] يمكن استخدام نموذج النضج التجريبي ، وهو نوع من نموذج نضج القدرة ، لتقييم مدى نضج فريق أحمر ، وما هي الخطوة التالية لتنمية. ^[34] يمكن استشارة مترو ATT&CK Navigator ، قائمة من التكتيكات والتقنيات والإجراءات (TTPs) بما في ذلك التهديدات المستمرة المتقدمة (APTs) ، لمعرفة عدد TTPs التي يستغلها فريق أحمر ، وإعطاء أفكار إضافية لـ TTPs لاستخدامها في المستقبل. ^[35]

التطفل الجسدي

يتضمن الاختبار الأحمر المادي أو اختبار الاختراق المادي ^[36] اختبار الأمان المادي للمنشأة، بما في ذلك ممارسات الأمن لموظفيها ومعدات الأمن. تشمل أمثلة معدات الأمن كاميرات المراقبة والأقفال والأسوار . في التعاون الأحمر المادي، لا تكون شبكات الكمبيوتر عادةً هي الهدف. ^[37] على عكس الأمن السيبراني، الذي يحتوي عادةً على طبقات عديدة من الأمان، قد لا يكون هناك سوى طبقة أو طبقتين من الأمان المادي. ^[38]

من المفيد أن يكون لديك مستند "قواعد الاشتباك" يتم مشاركته مع العميل، لتحديد التدابير والإجراءات التكتيكية والتكتيكية التي سيتم استخدامها، والمواقع التي يمكن استهدافها، والمواقع التي لا يمكن استهدافها، ومدى الضرر المسموح به للمعدات مثل الأقفال والأبواب، وما هي الخطة، وما هي المعالم، ومشاركة معلومات الاتصال. ^{[39] [40]} قد يتم تحديث قواعد الاشتباك بعد مرحلة الاستطلاع، مع جولة أخرى من التبادل بين الفريق الأحمر والعميل. ^[41] يمكن استخدام البيانات التي تم جمعها خلال مرحلة الاستطلاع لإنشاء خطة تشغيلية، سواء للاستخدام الداخلي، أو لإرسالها إلى العميل للموافقة عليها. ^[42]

استطلاع

 

في بعض الأحيان، تستخدم الفرق الحمراء أجهزة الاتصال اللاسلكية وسماعات الأذن أثناء إجراء العمليات في الليل. قد يكون من المفضل استخدام شيء أقل وضوحًا مثل سماعات الأذن التي تعمل بتقنية البلوتوث أثناء النهار.

جزء من العمل الجماعي الأحمر هو القيام بالاستطلاع. ^[43] يشتمل نوع الاستطلاع الذي يتم جمعه عادةً على معلومات حول الأشخاص والأماكن وأجهزة الأمن والطقس. ^[44] الاستطلاع له أصل عسكري، وتقنيات الاستطلاع العسكرية قابلة للتطبيق على الفريق الأحمر المادي. قد تشمل معدات الاستطلاع الخاصة بالفريق الأحمر الملابس العسكرية لأنها لا تتمزق بسهولة، والأضواء الحمراء للحفاظ على الرؤية الليلية ولتكون أقل قابلية للاكتشاف، وأجهزة الراديو وسماعات الأذن، والكاميرا والحامل الثلاثي القوائم، والمنظار، ومعدات الرؤية الليلية، ودفتر ملاحظات لجميع الأحوال الجوية. ^[45] تتضمن بعض طرق الاتصال الميداني سماعة أذن بلوتوث يتم توصيلها بمكالمة مؤتمر هاتف محمول أثناء النهار، وأجهزة راديو ثنائية الاتجاه مع سماعات أذن في الليل. ^[46] في حالة الاختراق، غالبًا ما يحمل أعضاء الفريق الأحمر بطاقة هوية وخطاب تفويض مع جهات اتصال متعددة خارج ساعات العمل يمكنها ضمان شرعية ومشروعية أنشطة الفريق الأحمر. ^[47]

قبل إجراء الاستطلاع المادي، يمكن أن يتم جمع المعلومات الاستخباراتية مفتوحة المصدر (OSINT) من خلال البحث عن المواقع وأعضاء الموظفين عبر الإنترنت، بما في ذلك موقع الشركة على الويب، وحسابات وسائل التواصل الاجتماعي، ومحركات البحث، ومواقع الخرائط، وإعلانات الوظائف (التي تقدم تلميحات حول التكنولوجيا والبرمجيات التي تستخدمها الشركة). ^[48] من الممارسات الجيدة القيام بأيام متعددة من الاستطلاع، والاستطلاع أثناء النهار والليل، وإحضار ثلاثة مشغلين على الأقل، والاستفادة من منطقة تجمع قريبة خارج نطاق رؤية الهدف، والقيام بالاستطلاع والتسلل في رحلتين منفصلتين بدلاً من الجمع بينهما. ^[49]

يمكن لفرق الاستطلاع استخدام تقنيات لإخفاء أنفسهم ومعداتهم. على سبيل المثال، يمكن استئجار حافلة ركاب ويمكن تعتيم النوافذ لإخفاء التصوير الفوتوغرافي وتصوير الفيديو للهدف. ^[50] يمكن إخفاء فحص وتصوير أقفال المبنى أثناء التجول من خلال قيام أحد أفراد الاستطلاع بالتظاهر بأنه يتحدث عبر الهاتف. ^[51] في حالة حدوث أي تسوية، مثل أن يصبح الموظفون متشككين، يمكن التدرب على القصة مسبقًا حتى يتمكنوا من سردها بثقة. إذا انقسم الفريق، فإن اختراق أحد المشغلين قد يؤدي إلى قيام قائد الفريق بسحب المشغلين الآخرين. ^[52] يمكن استخدام كاميرات الفيديو المخفية لالتقاط لقطات لمراجعتها لاحقًا، ويمكن إجراء جلسات استجواب سريعة بعد مغادرة المنطقة بحيث يتم توثيق المعلومات الجديدة بسرعة. ^[53]

تسلل

تحدث معظم عمليات الفريق الأحمر الجسدية في الليل، بسبب انخفاض أمن المنشأة وبالتالي يمكن للظلام أن يخفي الأنشطة. ^[54] إن التسلل المثالي يكون عادة غير مرئي سواء خارج المنشأة (لا يتم اكتشاف النهج من قبل المارة أو أجهزة الأمن) أو داخل المنشأة (لا يحدث أي ضرر ولا يتم صدم أي شيء أو تركه في غير مكانه)، ولا ينبه أحدًا إلى وجود فريق أحمر هناك. ^[55]

تحضير

يمكن أن يساعد استخدام قائمة التحميل في ضمان عدم نسيان معدات الفريق الأحمر المهمة. ^[56] إن استخدام المعدات العسكرية مثل سترات MOLLE والحقائب التكتيكية الصغيرة يمكن أن يوفر أماكن مفيدة لتخزين الأدوات، ولكن له جانب سلبي يتمثل في كونه بارزًا ويزيد من العبء. ^[57] يمكن أن تكون الملابس السوداء أو التمويه الداكن مفيدًا في المناطق الريفية، بينما قد تكون الملابس العادية بدرجات اللون الرمادي والأسود مفضلة في المناطق الحضرية. ^[58] وتشمل عناصر التنكر الحضرية الأخرى حقيبة كمبيوتر محمول، أو زوج من سماعات الرأس حول الرقبة. يمكن استخدام أنواع مختلفة من أغطية الأحذية لتقليل آثار الأقدام سواء في الأماكن الخارجية أو الداخلية. ^[59]

الإقتراب

يقلل الانضباط في استخدام الضوء (إبقاء الأضواء الصادرة عن المركبات والمصابيح الكهربائية والأدوات الأخرى إلى الحد الأدنى) من فرصة التعرض للخطر. ^[54] تتضمن بعض تكتيكات الانضباط الضوئي استخدام المصابيح الحمراء، واستخدام مركبة واحدة فقط، وإطفاء المصابيح الأمامية للمركبة. ^[54]

في بعض الأحيان تحدث تغييرات أمنية بين الاستطلاع والتسلل، لذا فإن الممارسة الجيدة للفرق التي تقترب من هدف ما هي "التقييم والتأقلم"، لمعرفة ما إذا كان من الممكن رؤية أي تدابير أمنية جديدة. ^[38] من المرجح أن تحدث الاختراقات أثناء التسلل أثناء الاقتراب من المنشأة. ^[60] الموظفون وأفراد الأمن والشرطة والمتفرجون هم الأكثر عرضة للهجوم من قبل فريق أحمر جسديًا. ^[61] إن المارة نادرون في المناطق الريفية، ولكنهم أيضًا أكثر إثارة للشكوك. ^[62]

يمكن أن تساعد الحركة الصحيحة الفريق الأحمر على تجنب اكتشافه أثناء الاقتراب من الهدف، وقد تشمل الاندفاع والزحف وتجنب التظليل عند وجوده على التلال والمشي في تشكيلات مثل الملف الواحد والمشي في دفعات قصيرة ثم التوقف. ^[63] يمكن استخدام إشارات اليد لتقليل الضوضاء. ^[64]

الدخول إلى المنشأة

 

تعتبر بعض الفرق الحمراء الجسدية أن اختيار الأقفال هو طريقة أقل جودة لتجاوز الأقفال، بسبب الضوضاء والوقت الذي يستغرقه مقارنة باستخدام هجمات ذات مهارات أقل مثل الدعامات .

تشمل أجهزة الأمان الشائعة الأبواب والأقفال والأسوار وأجهزة الإنذار وأجهزة استشعار الحركة وأجهزة استشعار الأرض. غالبًا ما يكون تجاوز الأبواب والأقفال أسرع وأكثر هدوءًا باستخدام الأدوات والحشوات ، بدلاً من فتح الأقفال . ^[65] أصبحت أقفال RFID شائعة في الشركات، ويمكن استخدام قارئات RFID السرية جنبًا إلى جنب مع الهندسة الاجتماعية أثناء الاستطلاع لتكرار شارة الموظف المعتمد. ^[66] يمكن تجاوز الأسلاك الشائكة الموجودة على الأسوار عن طريق وضع بطانية سميكة فوقها. ^[67] يمكن تجاوز الأسوار المضادة للتسلق باستخدام السلالم. ^[68]

يمكن أن تساعد الحركة الصحيحة الفريق الأحمر على تجنب اكتشافه أثناء الاقتراب من الهدف. قد تشمل هذه الحركات الاندفاع، الزحف، وتجنب التظليل عند التواجد على التلال، بالإضافة إلى المشي في تشكيلات مثل تشكيل الملف الواحد والمشي في دفعات قصيرة ثم التوقف. يمكن أيضًا استخدام إشارات اليد لتقليل الضوضاء.

داخل المنشأة

بمجرد دخول المبنى، إذا كان هناك شك في أنه مشغول، يُعتبر التنكر في هيئة عامل نظافة أو موظف باستخدام الملابس المناسبة تكتيكًا جيدًا. غالبًا ما يكون الانضباط في تقليل الضوضاء مهمًا بعد دخول المبنى، حيث تساعد الأصوات المحيطة في إخفاء ضوضاء الفريق الأحمر.

 

يمكن أن تكون غرفة الخادم هدفًا جذابًا للفرق الحمراء. يمكن أن يساعد الوصول الفعلي إلى الخادم في الدخول إلى الشبكات الآمنة والتي تكون محمية بشكل جيد من التهديدات الرقمية.

عادةً ما يكون لدى الفرق الحمراء مواقع أهداف محددة ومهام مخططة مسبقًا لكل فريق أو عضو في الفريق، مثل الدخول إلى غرفة الخادم أو مكتب المدير التنفيذي. ومع ذلك، قد يكون من الصعب تحديد موقع الغرفة مسبقًا، لذلك غالبًا ما يتم تحديد ذلك أثناء العمل. يمكن أن يساعد قراءة علامات طريق الخروج في حالات الطوارئ واستخدام ساعة مزودة ببوصلة في التنقل داخل المباني. ^[69]

غالبًا ما يتم ترك بعض الأضواء مضاءة في المباني التجارية. من الجيد عدم تشغيل الأضواء أو إطفائها، لأن هذا قد ينبه شخصًا ما. بدلاً من ذلك، يفضل استخدام المناطق غير المضاءة بالفعل لعمليات الفريق الأحمر، مع استخدام تقنيات الاندفاع والتجميد للتحرك بسرعة عبر المناطق المضاءة. ^[70] غالبًا ما يتم تجنب الوقوف بكامل طولك أمام النوافذ والدخول إلى المباني عبر الردهة بسبب مخاطر أن يتم رؤيتك. ^[71]

يمكن استخدام المنظار الداخلي للنظر حول الزوايا وتحت الأبواب، للمساعدة في تحديد موقع الأشخاص أو الكاميرات أو أجهزة استشعار الحركة. ^[72]

بمجرد الوصول إلى الغرفة المستهدفة، إذا كان من الضروري العثور على شيء ما مثل مستند معين أو معدات معينة، فيمكن تقسيم الغرفة إلى أقسام، مع تركيز كل عضو في الفريق الأحمر على قسم. ^[73]

غالبًا ما تتواجد كلمات المرور أسفل لوحات المفاتيح. يمكن استخدام تقنيات لتجنب إزعاج وضع الأشياء في المكاتب مثل لوحات المفاتيح والكراسي، حيث سيتم ملاحظة تعديلها غالبًا. ^[74] يمكن ترك الأضواء والأقفال في حالتها الأصلية، سواء كانت مضاءة أو مطفأة، مقفلة أو غير مقفلة. ^[75] يمكن اتخاذ خطوات لضمان عدم ترك المعدات، مثل الاحتفاظ بقائمة بجميع المعدات التي تم إحضارها والتحقق من تسجيل جميع العناصر. ^[76]

الخروج من المنشأة

الطريقة المثالية للخروج من المنشأة هي الخروج ببطء وبحذر، على غرار الطريقة التي تم بها الدخول. في بعض الأحيان يكون هناك رغبة في الخروج بسرعة بعد تحقيق هدف المهمة، ولكن هذا ليس ممارسة جيدة. إن الخروج ببطء وبحذر يحافظ على الوعي الظرفي، في حالة وجود شخص ما في منطقة كانت فارغة سابقًا أو يقترب منها الآن. ^[77] في حين يتم عادةً اتخاذ مسار الدخول أثناء الخروج، يمكن أيضًا استخدام مخرج أقرب أو بديل. ^[78]

الهدف من جميع أعضاء الفريق هو الوصول إلى نقطة التجمع، أو ربما إلى نقطة تجمع طوارئ ثانية. نقطة التجمع تكون عادة في موقع مختلف عن نقطة الإنزال. ^[79]

المستخدمون

الشركات والمنظمات

تستعين الشركات الخاصة في بعض الأحيان بفرق حمراء لتكملة إجراءاتها الأمنية العادية وموظفيها. على سبيل المثال، تستخدم شركتا Microsoft وGoogle فرقًا حمراء للمساعدة في تأمين أنظمتهما. ^{[80] [81]} تستخدم بعض المؤسسات المالية في أوروبا إطار TIBER-EU. ^[82]

وكالات الاستخبارات

 

مجمع زعيم الإرهابي أسامة بن لادن في باكستان. تم استخدام ثلاث فرق حمراء لمراجعة المعلومات الاستخباراتية التي أدت إلى مقتل أسامة بن لادن في عام 2011.

عندما يتم تطبيقه على العمل الاستخباراتي، يطلق على الفريق الأحمر أحيانًا اسم التحليل البديل . ^[83] يتضمن التحليل البديل الاستعانة بمحللين جدد للتحقق من استنتاجات فريق آخر، وتحدي الافتراضات والتأكد من عدم إغفال أي شيء. تم استخدام ثلاث فرق حمراء لمراجعة المعلومات الاستخباراتية التي أدت إلى مقتل أسامة بن لادن في عام 2011، بما في ذلك الفرق الحمراء من خارج وكالة الاستخبارات المركزية، لأن إطلاق عملية عسكرية في باكستان كان له عواقب دبلوماسية وعامة كبيرة، لذلك كان من المهم التحقق مرة أخرى من معلومات الفريق الأصلي واستنتاجاته. ^[84]

بعد الفشل في توقع حرب يوم الغفران، قامت مديرية الاستخبارات في قوات الدفاع الإسرائيلية بتشكيل فريق أحمر أطلق عليه اسم "إيبشا ميستابرا" ("على العكس") لإعادة النظر في الافتراضات التي تم التخلي عنها وتجنب الرضا عن الذات. ^[85] تستخدم منظمة حلف شمال الأطلسي (الناتو) التحليل البديل. ^[86]

الجيوش

تستخدم المؤسسات العسكرية عادةً الفريق الأحمر لإجراء التحليلات البديلة والمحاكاة واستكشاف نقاط الضعف. ^[87] في ألعاب الحرب العسكرية ، قد يُشار إلى القوة المعارضة (OPFOR) في صراع محاكي باسم الخلية الحمراء. ^[88] الموضوع الرئيسي هو أن الخصم (الفريق الأحمر) يستخدم التكتيكات والتقنيات والمعدات حسب الاقتضاء لمحاكاة الممثل المطلوب. يتحدى الفريق الأحمر التخطيط العملياتي من خلال لعب دور الخصم الواعي.

لدى وزارة الدفاع في المملكة المتحدة برنامج الفريق الأحمر. ^[89]

بدأ مفهوم الفريق الأحمر التابع لسلاح مشاة البحرية في عام 2010 عندما حاول قائد سلاح مشاة البحرية الجنرال جيمس ف. آموس تنفيذه. ^[90] قام آموس بصياغة ورقة بيضاء بعنوان " التعاون الأحمر في سلاح مشاة البحرية" . في هذه الوثيقة، ناقش آموس كيف أن مفهوم الفريق الأحمر يحتاج إلى تحدي عملية التخطيط واتخاذ القرارات من خلال تطبيق التفكير النقدي من المستوى التكتيكي إلى الاستراتيجي. في يونيو/حزيران 2013، قام سلاح مشاة البحرية بتشكيل فرق حمراء من الموظفين الموضحين في مسودة الكتاب الأبيض. في سلاح مشاة البحرية، يكمل جميع مشاة البحرية المعينين لشغل مناصب الفريق الأحمر دورات تدريبية للفريق الأحمر مدتها ستة أسابيع أو تسعة أسابيع تقدمها جامعة الدراسات العسكرية والثقافية الأجنبية (UFMCS). ^[91]

 

عناصر من الفريق الأحمر خلال تدريبات الحرب السيبرانية للقيادة الأوروبية للولايات المتحدة

تستخدم وزارة الدفاع فرقًا حمراء إلكترونية لإجراء تقييمات معادية على شبكاتها. ^[92] هذه الفرق الحمراء معتمدة من قبل وكالة الأمن القومي ومعتمدة من قبل القيادة الاستراتيجية للولايات المتحدة . ^[92]

أمن المطار

 

يتم استخدام الفرق الحمراء من قبل بعض منظمات أمن المطارات مثل إدارة أمن النقل في الولايات المتحدة لاختبار دقة فحص المطارات .

بدأت إدارة الطيران الفيدرالية الأميركية في تطبيق فكرة الفرق الحمراء منذ حادثة طائرة بان آم الرحلة 103 فوق لوكربي في اسكتلندا والتي تعرضت لهجوم إرهابي في عام 1988. تُجري الفرق الحمراء اختبارات في حوالي 100 مطار أمريكي سنويًا. توقفت الاختبارات بعد هجمات الحادي عشر من سبتمبر عام 2001، واستؤنفت في عام 2003 تحت إشراف إدارة أمن النقل، التي تولت دور إدارة الطيران الفيدرالية في أمن الطيران بعد أحداث الحادي عشر من سبتمبر. ^[93] قبل هجمات 11 سبتمبر، كشف استخدام إدارة الطيران الفيدرالية لفريق أحمر عن نقاط ضعف خطيرة في الأمن في مطار لوغان الدولي في بوسطن، وهو المطار الذي انطلقت منه اثنتان من الرحلات الأربع المخطوفة في هجمات 11 سبتمبر. ويرى بعض المحققين السابقين في إدارة الطيران الفيدرالية الذين شاركوا في هذه الفرق أن إدارة الطيران الفيدرالية تجاهلت عمدًا نتائج الاختبارات، وأن هذا كان سببًا جزئيًا في الهجوم الإرهابي الذي وقع في الحادي عشر من سبتمبر على الولايات المتحدة . ^[94]

لقد استخدمت إدارة أمن النقل في الولايات المتحدة الفريق الأحمر في الماضي. في إحدى عمليات الفريق الأحمر، تمكن العملاء السريون من خداع ضباط أمن النقل وإحضار أسلحة ومتفجرات مزيفة عبر الأمن 67 مرة من أصل 70 مرة في عام 2015. ^[95]

انظر أيضا

• ثغرة أمنية
• إدارة مخاطر تقانة المعلومات

مراجع

1. "Penetration Testing Versus Red Teaming: Clearing the Confusion". Security Intelligence (بالإنجليزية الأمريكية). Archived from the original on 2024-11-16. Retrieved 2020-12-23.
2. "Penetration Testing Versus Red Teaming: Clearing the Confusion". Security Intelligence (بالإنجليزية الأمريكية). Archived from the original on 2024-11-16. Retrieved 2020-12-23."Penetration Testing Versus Red Teaming: Clearing the Confusion". Security Intelligence. Retrieved December 23, 2020.
3. Rehberger, p. 3
4. "The Difference Between Red, Blue, and Purple Teams". Daniel Miessler (بالإنجليزية الأمريكية). Archived from the original on 2020-02-24. Retrieved 2022-04-03.
5. "What is Purple Teaming? How Can it Strengthen Your Security?". Redscan (بالإنجليزية البريطانية). 14 Sep 2021. Archived from the original on 2024-11-26. Retrieved 2022-04-03.
6. Rehberger, p. 66
7. Rehberger, p. 68
8. Rehberger, p. 72
9. "White Team – Glossary | CSRC". المعهد الوطني للمعايير والتقانة، وزارة التجارة (الولايات المتحدة) (بالإنجليزية الأمريكية). Archived from the original on 2024-12-02. Retrieved 2023-05-23.
10. Rehberger, pp. 40–41
11. Rehberger, p. 44
12. Rehberger, p. 117
13. Rehberger, p. 132
14. Rehberger, p. 127
15. Rehberger, p. 140
16. Rehberger, p. 138
17. Rehberger, p. 165
18. Rehberger, p. 178
19. Rehberger, p. 180
20. Rehberger, p. 203
21. Rehberger, p. 245
22. Rehberger, p. 348
23. Rehberger, p. 70
24. Rehberger, p. 349
25. Rehberger, pp. 70–71
26. Rehberger, p. 447
27. Rehberger, p. 473
28. Rehberger, p. 23
29. Rehberger, p. 26
30. Rehberger, p. 73
31. Rehberger, pp. 93–94
32. Rehberger, pp. 97–100
33. Rehberger, p. 103
34. Rehberger, p. 108
35. Rehberger, p. 111
36. Talamantes, pp. 24–25
37. Talamantes, pp. 26–27
38. Talamantes, p. 153
39. Talamantes, p. 41
40. Talamantes, p. 48
41. Talamantes, p 110
42. Talamantes, pp. 112–113
43. Talamantes, p. 51
44. Talamantes, p. 79
45. Talamantes, pp. 58–63
46. Talamantes, p. 142
47. Talamantes, pp. 67–68
48. Talamantes, p. 83
49. Talamantes, pp. 72–73
50. Talamantes, pp. 89–90
51. Talamantes, p. 98
52. Talamantes, pp. 100–101
53. Talamantes, p. 102
54. Talamantes, p. 126
55. Talamantes, p. 136
56. Talamantes, p. 137
57. Talamantes, pp. 133–135
58. Talamantes, p. 131
59. Talamantes, p. 287
60. Talamantes, p. 160
61. Talamantes, p. 173
62. Talamantes, p. 169
63. Talamantes, pp. 183–185
64. Talamantes, p. 186
65. Talamantes, p. 215
66. Talamantes, p. 231
67. Talamantes, p. 202
68. Talamantes, p. 201
69. Talamantes, pp. 242–243
70. Talamantes, p. 247
71. Talamantes, p. 246
72. Talamantes, p. 249
73. Talamantes, p. 253
74. Talamantes, p. 284
75. Talamantes, p. 286
76. Talamantes, p. 296
77. Talamantes, p. 272
78. Talamantes, p. 273
79. Talamantes, p. 274
80. "Microsoft Enterprise Cloud Red Teaming" (PDF). Microsoft.com. مؤرشف من الأصل (PDF) في 2024-11-16.
81. "Google's hackers: Inside the cybersecurity red team that keeps Google safe". ZDNET (بالإنجليزية). Archived from the original on 2024-05-26. Retrieved 2023-06-02.
82. European Central Bank (23 Mar 2023). What is TIBER-EU? (Report) (بالإنجليزية). Archived from the original on 2024-12-03.
83. Mateski، Mark (يونيو 2009). "Red Teaming: A Short Introduction (1.0)" (PDF). RedTeamJournal.com. مؤرشف من الأصل (PDF) في 2017-12-05. اطلع عليه بتاريخ 2011-07-19.
84. Zenko, pp. 127–128
85. Hoffman, p. 37
86. The NATO Alternative Analysis Handbook (PDF) (ط. 2nd). 2017. ISBN:978-92-845-0208-0. مؤرشف من الأصل (PDF) في 2024-12-02.
87. Zenko, p. 59
88. United Kingdom Ministry of Defence, p. 67
89. United Kingdom Ministry of Defence, p. 6
90. "Red Team: To Know Your Enemy and Yourself". Council on Foreign Relations (بالإنجليزية). Archived from the original on 2023-05-27. Retrieved 2023-05-24.
91. Amos، James F. (مارس 2011). "Red Teaming in the Marine Corps".
92. "Chairman of the Joint Chiefs of Staff Manual 5610.03" (PDF). مؤرشف من الأصل (PDF) في 2016-12-01. اطلع عليه بتاريخ 2017-02-25.
93. Sherman، Deborah (30 مارس 2007). "Test devices make it by DIA security". Denver Post. مؤرشف من الأصل في 2012-07-29.
94. "National Commission on Terrorist Attacks Upon the United States". govinfo.library.unt.edu. جامعة شمال تكساس. مؤرشف من الأصل في 2012-12-11. اطلع عليه بتاريخ 2015-10-13.
95. Bennett، Brian (2 يونيو 2015). "Red Team agents use disguises, ingenuity to expose TSA vulnerabilities". Los Angeles Times. مؤرشف من الأصل في 2019-01-25. اطلع عليه بتاريخ 2023-06-03.

قراءة إضافية

• Craig، Susan (مارس–أبريل 2007). "Reflections from a Red Team Leader". Military Review. مؤرشف من الأصل في 2024-11-30. اطلع عليه بتاريخ 2023-06-17.
• "Defense Science Board – Task Force on the Role and Status of DoD Red Teaming Activities" (PDF). U.S. Department of Defense. سبتمبر 2003. مؤرشف من الأصل (PDF) في 2021-06-10. اطلع عليه بتاريخ 2023-06-17.
• Mulvaney، Brendan S. (1 نوفمبر 2012). "Don't Box in the Red Team". Armed Forces Journal. مؤرشف من الأصل في 2024-05-26. اطلع عليه بتاريخ 2023-06-17.
• The Red Team Handbook: The Army's Guide to Making Better Decisions (PDF) (ط. Ninth). University of Foreign Military and Cultural Studies. مؤرشف من الأصل (PDF) في 2024-06-20. اطلع عليه بتاريخ 2023-06-17.
• Red Teaming Handbook (PDF) (ط. Third). U.K. Ministry of Defence. يونيو 2023. مؤرشف من الأصل (PDF) في 2023-07-07.
• Ricks، Thomas E. (5 فبراير 2007). "Officers With PhDs Advising War Effort". Washington Post. مؤرشف من الأصل في 2013-01-05. اطلع عليه بتاريخ 2023-06-17.
• "The Role and Status of DoD Red Teaming Activities" (PDF). Defense Science Board Task Force. U.S. Department of Defense. سبتمبر 2003. مؤرشف من الأصل (PDF) في 2009-04-19. اطلع عليه بتاريخ 2023-06-17.
• Second public hearing of the National Commission on Terrorist Attacks Upon the United States: Statement of Bogdan Dzakovic (Report). National Commission on Terrorist Attacks Upon the United States. 22 مايو 2003. مؤرشف من الأصل في 2012-12-11. اطلع عليه بتاريخ 2023-06-17.
•   GAO Red Team reveals Nuclear material can easily be smuggled into the United States years after 911 attack

•  بوابة أمن المعلومات
•  بوابة الحرب