Khi nói về an ninh mạng, ta thường nghe thấy các thuật ngữ như “Red Team” và “Blue Team”. Nhưng bạn có thực sự hiểu “đội đỏ” và “đội xanh” là gì, và họ có vai trò khác nhau như thế nào trong một hệ thống an toàn thông tin?
Mục lục
Red Team vs Blue Team
Bắt nguồn từ môi trường quân sự, các thuật ngữ này được dùng để miêu tả những nhóm người có thể sử dụng kĩ năng của mình để mô phỏng lại các chiêu thức tấn công mà “kẻ địch” có thể sử dụng (Red Team), và những nhóm người còn khác có khả năng sử dụng kỹ năng của mình để phòng thủ (Blue Team). Đối với an ninh mạng cũng vậy.
Với những quy định mới, bao gồm cả Bộ luật bảo vệ dữ liệu chung châu Âu (GDPR – General Data Protection Regulation) và rủi ro phải chịu các án phạt tài chính, các tổ chức đã và đang gấp rút củng cố cơ sở hạ tầng an ninh của họ khi đối mặt với nguy cơ cao về việc rò rỉ dữ liệu.
Chúng ta đã nói về các hacker mũ trắng và vai trò của họ trong An ninh mạng, và hôm nay chúng ta sẽ nói về Red Team và Blue team, tầm quan trọng của họ và vì sao các công ty nên tận dụng khả năng của các chuyên gia dày dặn kinh nghiệm này.
Red Team là gì?
Công việc của Red Team tập trung vào việc kiểm thử xâm nhập ở các hệ thống với các mức độ bảo mật phần mềm khác nhau. Họ phát hiện, ngăn chặn và xóa bỏ các lỗ hổng bảo mật.
Red Team mô phỏng lại các cuộc tấn công có thật, có thể nhắm vào một công ty hoặc một tổ chức và họ thực hiện tất cả các các bước cần thiết mà một kẻ tấn công có thể sử dụng. Bằng việc đóng vai một kẻ tấn công, họ cho các tổ chức thấy được những lỗ hổng bảo mật hoặc các “cửa hậu” có thể bị lợi dụng để đe dọa An ninh mạng của tổ chức
Các công ty thường thuê ngoài đội ngũ Red Team để kiểm tra hệ thống của mình. Đội ngũ này phải là những người có kiến thức về việc tận dụng lỗ hổng bảo mật nhưng lại không được biết về sự phòng ngự được xây dựng sẵn trong cơ sở hạ tầng của tổ chức.
CyStack cung cấp dịch vụ kiểm tra an ninh mạng chuẩn quốc tế, đánh giá toàn diện các rủi ro bảo mật đe dọa doanh nghiệp.
Các chiêu thức mà Red Team sử dụng có thể khác nhau, từ việc lừa đảo thông thường nhắm vào nhân viên và việc tấn công phi kỹ thuật để đóng giả một nhân viên với mục đích chiếm được quyền truy cập của quản trị viên. Để thực sự hiệu quả, Red team phải biết được các chiến thuật, chiêu thức và quy trình mà một kẻ tấn công có thể sử dụng.
Red team cung cấp những lợi thế rất quan trọng, bao gồm cả việc nắm được rõ hơn về những nguy cơ lợi dụng dữ liệu và ngăn chặn việc rò rỉ trong tương lai. Bằng việc mô tả các cuộc tấn công mạng và các nguy cơ an minh mạng, các công ty sẽ đảm bảo được an ninh sẽ đạt tiêu chuẩn cùng với hệ thống phòng ngự phù hợp.
Blue Team là gì?
Cũng tương tự như Red Team, Blue Team đánh giá an ninh mạng và xác định các lỗ hổng bảo mật nếu có.
Điểm khác biệt là Blue Team sẽ tìm cách phòng thủ, thay đổi và tập hợp lại các cơ chế phòng ngự để cho việc xử lý sự cố được tốt hơn trong khi Red Team đóng vai một kẻ tấn công sử dụng các chiến thuật và chiêu thức đặc trưng,
Giống như Red Team, Blue Team cần phải biết đến cùng loại chiến thuật, chiêu thức và các quy trình có hại để xây dựng được chiến thuật phản hồi tương ứng. Các hoạt động của Blue Team không chỉ giới hạn ở việc tấn công. Họ liên tục tham gia củng cố toàn bộ cơ sở hạ tầng an ninh số, sử dụng các phần mềm như Hệ thống phát hiện đột nhập (IDS – intrusion detection system) để lấy được phân tích thời gian thực về những hoạt động bất thường, đáng nghi.
Một số bước mà Blue Team thường kết hợp là:
- Kiểm tra bảo mật, ví dụ như kiểm tra DNS
- Phân tích bộ nhớ và log
- PCAP
- Phân tích rủi ro về tin tức dữ liệu
- Phân tích Digital Footprint
- Đảo ngược thiết kế
- Kiểm thử DDoS
- Phát triển các tình huống rủi ro.
Vậy công ty của bạn cần Red Team hay Blue Team?
Thực sự thì không có Red Team nào mà thiếu Blue Team cả, và ngược lại cũng vậy.
Câu trả lời tốt nhất dành cho doanh nghiệp là: CẢ HAI.
Red Team sử dụng các chiến thuật tấn công để kiểm tra việc chuẩn bị và kỳ vọng về hàng phòng ngự của Blue Team. Đôi khi Red Team có thể tìm ra được những lỗ hổng mà Blue Team hoàn toàn bỏ qua, và việc chỉ ra những lỗ hổng đó có thể được cải thiện như thế nào là trách nhiệm của Red Team. Sự hợp tác giữa Red Team và Blue Team là điều tối quan trọng để chống lại tội phạm mạng và cải thiện an ninh mạng.
Sẽ không có chuyện “Red Team giỏi hơn Blue Team”, việc chỉ chọn hay đầu tư vào một bên sẽ không có lợi gì cả. Điều quan trọng mà ta phải nhớ là mục tiêu của cả hai bên đều là ngăn chặn tội phạm mạng.
Một ý tưởng với mục đích hòa giải giữa Red Team và Blue Team là việc tạo ra Purple Team (tạm dịch: đội Tím). Đây là một khái niệm không dùng để miêu tả một đội mới, mà nó là sự kết hợp của cả Red Team và Blue Team. Điều này sẽ kích thích cả 2 bên làm việc cùng nhau.
Các công ty cần có sự hợp tác chung của cả hai bên để có được sự đánh giá toàn diện từ cả hai bên, với các log cho mỗi bài kiểm thử mà họ thực hiện và các bản ghi chép về những đặc điêm có liên quan. Red Team sẽ cung cấp thông tin về các nhiệm vụ mà họ đã thực hiện khi đang “tấn công”, còn Blue Team sẽ cung cấp các tài liệu về những hành động họ dùng để san lấp và xử lý các lỗ hổng bảo mật và vấn đề mà họ tìm thấy được.
Cả Red Team lẫn Blue Team đều quan trọng. Nếu không có sự đánh giá đánh giá bảo mật, thực thi kiểm thử thâm nhập và phát triển cơ sở hạ tầng an ninh liên tục từ cả hai phía, các công ty và tổ chức sẽ chẳng thể nhận thức được mức độ bảo mật của chính họ. Họ sẽ không thể biết được những vụ rò rỉ dữ liệu và rõ ràng, các giải pháp bảo mật của họ là không đủ.
5 kỹ năng hàng đầu của Red Team và Blue Team
Red Team và Blue Team có tính chất khác nhau, và sử dụng các kỹ thuật khác nhau. Điều này sẽ cho bạn thấy rõ hơn về vai trò và mục đích của hai bên. Bạn cũng sẽ hiểu rõ hơn xem kỹ năng của mình có phù hợp với miêu tả công việc An ninh mạng đó không, và giúp bạn chọn đúng con đường.
Các kỹ năng dành cho Red Team
Tư duy vượt giới hạn
Đặc điểm chính của Red Team là khả năng tư duy vượt giới hạn; liên tục tìm những công cụ và chiêu thức mới để vượt qua lớp an ninh của công ty cần bảo vệ. Là một thành viên Đội đỏ, bạn cũng cần có một mức độ nổi loạn nào đó, vì đó là điều cấm kỵ – bạn đang đi ngược lại các luật lệ và phạm vi pháp luật trong khi đang tuân theo các chiêu thức của hacker mũ trắng và chỉ cho mọi người thấy các khuyết điểm trong hệ thống của họ. Không phải ai cũng thích điều này.
Hiểu biết sâu về các hệ thống
Hiểu biết sâu về các hệ thống máy tính, giao thức, các thư viện và các phương pháp luận sẽ cho bạn một con đường rõ rang tới thành công.
Việc có hiểu biết về mọi hệ thống và bắt kịp xu hướng công nghệ là điều tối quan trọng đối với Red Team. Hiểu biết về máy chủ và cơ sở dữ liệu sẽ cho bạn nhiều lựa chọn trong việc tìm kiếm lỗ hổng bảo mật hơn.
Phát triển phần mềm
Lợi ích khi biết tự phát triển công cụ của chính mình rất có giá trị. Để viết phần mềm cần phải luyện tập và học hỏi liên tục, để có thể giúp một Red Team thực hiện được chiến thuật tấn công tốt nhất.
Kiểm thử thâm nhập
Đây là việc mô phỏng lại cuộc tấn công vào hệ thống máy tính và mạng lưới để đánh giá bảo mật. Việc này sẽ xác định được các lỗ hổng bảo mật và bất kỳ mối đe dọa tiềm tàng nào để đánh giá rủi ro toàn diện. Đây là một phần không thể thiếu của các Red Team và là một phần trong các quy trình “chuẩn” của họ. Nó cũng được dung thường xuyên bởi các hacker mũ trắng. Thậm chí, Red Team có thế theo được khá nhiều công cụ pentest mà các hacker mũ trắng sử dụng.
Tấn công phi kỹ thuật.
Khi thực hiện đánh giá bảo mật bất kỳ tổ chức nào, việc sai khiến mọi người thực hiện những hành động nhất định có thể dẫn tới rò rỉ dữ liệu nhạy cảm cũng khá là quan trọng, vì lỗi do con người là một trong những lý do thường thấy nhất trong các vụ rò rỉ dữ liệu.
Các kỹ năng dành cho Blue Team
Bạn sẽ phải san lấp những lỗ hổng bảo mật mà phần lớn mọi người còn không biết tới.
Có khả năng tổ chức và chú ý đến chi tiết
Một người có xu hướng “làm đúng theo sách vở” với các phương pháp đã được sử dụng và tin dung sẽ phù hợp hơn với một Blue Team. Tư duy đặc biệt chú ý đến chi tiết là điều cần thiết để tránh bỏ qua các lỗ hổng trong cơ sở hạ tầng an ninh của công ty.
Phân tích an ninh mạng và phân loại các nguy cơ.
Khi đánh giá bảo mật cho một tổ chức hay một công ty thì bạn cần phải tọa ra một hồ sơ về các rủi ro và nguy cơ. Một hồ sơ tốt sẽ chứa tất cả dữ liệu tiềm tàng có khả năng bao gồm cả những kẻ tấn công và những tình huống rủi ro có thật, chuẩn bị kỹ càng cho bất kỳ cuộc tấn công nào trong tương lai bằng việc xử lý những mặt còn yếu. Hãy tận dụng OSINT và mọi nguồn dữ liệu công cộng sẵn có, và hãy xem qua các công cụ OSINT có thể giúp bạn thu thập dữ liệu về mục tiêu của mình.
Củng cố kỹ năng
Để thật sự chuẩn bị cho mọi cuộc tấn công hay rò rỉ, các kỹ năng củng cố chuyên môn với mọi hệ thống phải được thực hiện, để giảm thiểu những bề mặt tấn công mà hacker có thể sử dụng. Việc củng cố DNS là điều rất quan trọng, vì đó là điều bị bỏ sót nhiều nhất trong các chính sách củng cố. Bạn có thể theo các mẹo của chúng tôi về việc ngăn chặn tấn công DNS để giảm thiểu bề mặt tấn công hơn nữa.
Hiểu biết về hệ thống phát hiện
Hãy làm quen với các ứng dụng phần mềm cho phép theo dõi mạng để tìm bất kỳ các hoạt động bất thường hoặc có ác ý nào. Việc theo dõi các đường truyền mạng, lọc gói tin, tường lửa hiện có và v.v. sẽ cho bạn nắm rõ hơn về các hoạt động trong hệ thống công ty.
SIEM – Security Information and Event Management
SIEM là phần mêm cho phép phân tích thời gian thực các sự kiện bảo mật. Nó sẽ thu thập dữ liệu từ luồng bên ngoài và có khả năng thực hiện phân tích dữ liệu dựa trên các chỉ tiêu cụ thể.
Lời kết
Khi nói về Red Team và Blue Team thì nhiều người thường nghiêng về một trong 2 bên, nhưng sự thực là một hệ thống bảo mật hoàn chỉnh và hiệu quả chỉ có thể tồn tại khi hai bên hợp tác với nhau. Chỉ bằng cách “công thủ toàn diện” mới giúp doanh nghiệp đủ sức mạnh chống lại các thế lực tội phạm mạng trên internet.
Theo SecurityTrails