Red Team, Blue Team và Purple Team khác nhau như thế nào? – Kiến thức An ninh mạng

Khi nói về an ninh mạng, ta thường nghe thấy các thuật ngữ như “Red Team”, “Blue Team” và “Purple Team” . Nhưng bạn có thực sự hiểu “đội đỏ”, “đội xanh” hay “đội tím” là gì, và họ có vai trò khác nhau như thế nào trong một hệ thống an toàn thông tin?


RED TEAM VS BLUE TEAM

Bắt nguồn từ môi trường quân sự, các thuật ngữ này được dùng để miêu tả những nhóm người có thể sử dụng kĩ năng của mình để mô phỏng lại các chiêu thức tấn công mà “kẻ địch” có thể sử dụng (Red Team), và những nhóm người còn khác có khả năng sử dụng kỹ năng của mình để phòng thủ (Blue Team). Đối với an ninh mạng cũng vậy.

Với những quy định mới, bao gồm cả Bộ luật bảo vệ dữ liệu chung châu Âu (GDPR – General Data Protection Regulation) và rủi ro phải chịu các án phạt tài chính, các tổ chức đã và đang gấp rút củng cố cơ sở hạ tầng an ninh của họ khi đối mặt với nguy cơ cao về việc rò rỉ dữ liệu.

Chúng ta đã nói về các hacker mũ trắng và vai trò của họ trong An ninh mạng, và hôm nay chúng ta sẽ nói về Red Team và Blue team, tầm quan trọng của họ và vì sao các công ty nên tận dụng khả năng của các chuyên gia dày dặn kinh nghiệm này.

Red Team là gì?

Công việc của Red Team tập trung vào việc kiểm thử xâm nhập đa tầng các hệ thống theo nhiều mức độ và cách thức khác nhau. Từ đó Red Team giúp phát hiện, ngăn chặn, khắc phục và xóa bỏ các lỗ hổng bảo mật.

Red Team thực hiện mô phỏng lại các cuộc tấn công có thật nhắm vào một công ty hoặc một tổ chức, Red Team thực hiện tất cả các các bước cần thiết mà một kẻ tấn công có thể sử dụng. Bằng việc đóng vai một kẻ tấn công, họ cho các tổ chức thấy được những lỗ hổng bảo mật hoặc các “backdoor” có thể bị lợi dụng để đe dọa An ninh mạng của tổ chức.


Một hình thức phổ biến là các công ty thuê ngoài đội ngũ để thực hiện kiểm tra hệ thống của mình. Đội ngũ này phải là những người có kiến thức về việc tận dụng lỗ hổng bảo mật nhưng lại không được biết về sự phòng ngự được xây dựng sẵn trong cơ sở hạ tầng của tổ chức.

Red Team sử dụng rất nhiều cách thức để tấn công, từ việc lừa đảo thông thường và tấn công phi kỹ thuật (social engineering) nhắm vào nhân viên tới việc mạo danh một nhân viên với mục đích chiếm được quyền truy cập của quản trị viên. Để đảm bảo hiệu quả tấn công, Red Team là những người thông thạo các chiến thuật, kỹ thuật và quy trình mà một kẻ tấn công có thể sử dụng.

Thông qua hoạt động của mình, Red Team cung cấp cho tổ chức những lợi thế rất quan trọng, bao gồm việc nắm được rõ hơn về những nguy cơ khai thác dữ liệu có thể xảy ra và ngăn chặn các nguy cơ trong tương lai. Bằng việc mô phỏng các cuộc tấn công mạng và các nguy cơ an minh mạng, các công ty đảm bảo chắc chắn rằng các giải pháp bảo mật của mình đạt tiêu chuẩn và có thể phòng thủ trước các cuộc tấn công xảy ra.


Blue Team là gì?

Cũng tương tự như Red Team, Blue Team cũng có những hiểu biết về các lỗ hổng thường xuất hiện trên các hệ thống hay ứng dụng. Họ luôn phải cập nhật những tin tức và kiến thức mới nhất về các lỗ hổng thường gặp, hình thức tấn công để có những biện pháp phòng vệ kịp thời.

Điểm khác biệt của Blue Team là họ sẽ tìm cách phòng thủ, thay đổi và tập hợp các cơ chế phòng thủ phục vụ cho việc xử lý sự cố được tốt hơn. Trong khi Red Team sẽ đóng vai trò của kẻ tấn công, sử dụng các chiến thuật và kỹ thuật của họ để xâm nhập hệ thống.



Blue Team còn cần phải biết đến các chiến thuật và kỹ thuật tấn công đến hệ thống, ứng dụng để xây dựng được chiến thuật phản ứng sự cố thích hợp. Họ luôn phải cập nhật và gia tăng bảo mật cho cơ sở hạ tầng an ninh số. Việc sử dụng các phần mềm giải pháp an toàn thông tin như Hệ thống phát hiện đột nhập (IDS – intrusion detection system) sẽ giúp Blue Team phân tích về các sự cố an toàn thông tin một cách chi tiết, kỹ lưỡng hơn.

Một số bước mà Blue Team thường kết hợp là:

  • Kiểm tra bảo mật, ví dụ như kiểm tra DNS
  • Phân tích bộ nhớ và log
  • PCAP
  • Phân tích rủi ro về tin tức dữ liệu
  • Phân tích Digital Footprint
  • Đảo ngược thiết kế
  • Kiểm thử DDoS
  • Phát triển các tình huống rủi ro.

Purple Team là gì?

Vì mỗi đội đều cố gắng đạt được mục tiêu riêng của mình - và, khi đã được xác định, các KPI của riêng mình - để có cả hai team làm việc hiệp lực với nhau không phải là một nhiệm vụ dễ dàng. Tuy nhiên, mục tiêu cuối cùng vẫn là giúp doanh nghiệp đạt được mức độ bảo mật cao hơn; do đó, một team mới - chính xác hơn, một "chức năng" mới ngày càng nhận được sự chú ý nhiều hơn.

Nhân tố mới, "Purple Team", sẽ phải tối đa hóa và đảm bảo hiệu quả hoạt động của các nhóm "truyền thống", bằng cách kết hợp chương trình phòng thủ của Blue Team với các điểm yếu của Red Team, do đó để tạo ra những nỗ lực liên kết nhằm tối đa hóa kết quả và các chỉ số KPI do doanh nghiệp dẫn đầu.


VẬY CÔNG TY CỦA BẠN CẦN RED TEAM HAY BLUE TEAM HAY PURPLE TEAM?

Thực sự thì không có Red Team nào mà thiếu Blue Team cả, và ngược lại cũng vậy.

Câu trả lời tốt nhất dành cho doanh nghiệp là: CẢ HAI - PURPLE TEAM.


Red Team sử dụng các chiến thuật tấn công để kiểm tra việc chuẩn bị và kỳ vọng về hàng phòng ngự của Blue Team. Đôi khi Red Team có thể tìm ra được những lỗ hổng mà Blue Team hoàn toàn bỏ qua, và việc chỉ ra những lỗ hổng đó có thể được cải thiện như thế nào là trách nhiệm của Red Team. Sự hợp tác giữa Red Team và Blue Team là điều tối quan trọng để chống lại tội phạm mạng và cải thiện an ninh mạng.

Sẽ không có chuyện “Red Team giỏi hơn Blue Team”, việc chỉ chọn hay đầu tư vào một bên sẽ không có lợi gì cả. Điều quan trọng mà ta phải nhớ là mục tiêu của cả hai bên đều là ngăn chặn tội phạm mạng.

Một ý tưởng với mục đích hòa giải giữa Red Team và Blue Team là việc tạo ra Purple Team - sự kết hợp của cả Red Team và Blue Team. Điều này sẽ kích thích cả 2 bên làm việc cùng nhau.

Các công ty cần có sự hợp tác chung của cả hai bên để có được sự đánh giá toàn diện từ cả hai bên, với các log cho mỗi bài kiểm thử mà họ thực hiện và các bản ghi chép về những đặc điêm có liên quan. Red Team sẽ cung cấp thông tin về các nhiệm vụ mà họ đã thực hiện khi đang “tấn công”, còn Blue Team sẽ cung cấp các tài liệu về những hành động họ dùng để san lấp và xử lý các lỗ hổng bảo mật và vấn đề mà họ tìm thấy được.

Cả Red Team lẫn Blue Team đều quan trọng. Nếu không có sự đánh giá đánh giá bảo mật, thực thi kiểm thử thâm nhập và phát triển cơ sở hạ tầng an ninh liên tục từ cả hai phía, các công ty và tổ chức sẽ chẳng thể nhận thức được mức độ bảo mật của chính họ. Họ sẽ không thể biết được những vụ rò rỉ dữ liệu và rõ ràng, các giải pháp bảo mật của họ là không đủ.


5 KỸ NĂNG HÀNG ĐẦU CỦA RED TEAM VÀ BLUE TEAM

Red Team và Blue Team có tính chất khác nhau, và sử dụng các kỹ thuật khác nhau. Điều này sẽ cho bạn thấy rõ hơn về vai trò và mục đích của hai bên. Bạn cũng sẽ hiểu rõ hơn xem kỹ năng của mình có phù hợp với miêu tả công việc An ninh mạng đó không, và giúp bạn chọn đúng con đường.

Các kỹ năng dành cho Red Team

Tư duy vượt giới hạn

Đặc điểm chính của Red Team là khả năng tư duy vượt giới hạn; liên tục tìm những công cụ và chiêu thức mới để vượt qua lớp an ninh của công ty cần bảo vệ. Là một thành viên Đội đỏ, bạn cũng cần có một mức độ nổi loạn nào đó, vì đó là điều cấm kỵ – bạn đang đi ngược lại các luật lệ và phạm vi pháp luật trong khi đang tuân theo các chiêu thức của hacker mũ trắng và chỉ cho mọi người thấy các khuyết điểm trong hệ thống của họ. Không phải ai cũng thích điều này.

Hiểu biết sâu về các hệ thống

Hiểu biết sâu về các hệ thống máy tính, giao thức, các thư viện và các phương pháp luận sẽ cho bạn một con đường rõ rang tới thành công.

Việc có hiểu biết về mọi hệ thống và bắt kịp xu hướng công nghệ là điều tối quan trọng đối với Red Team. Hiểu biết về máy chủ và cơ sở dữ liệu sẽ cho bạn nhiều lựa chọn trong việc tìm kiếm lỗ hổng bảo mật hơn.

Phát triển phần mềm

Lợi ích khi biết tự phát triển công cụ của chính mình rất có giá trị. Để viết phần mềm cần phải luyện tập và học hỏi liên tục, để có thể giúp một Red Team thực hiện được chiến thuật tấn công tốt nhất.

Kiểm thử thâm nhập

Đây là việc mô phỏng lại cuộc tấn công vào hệ thống máy tính và mạng lưới để đánh giá bảo mật. Việc này sẽ xác định được các lỗ hổng bảo mật và bất kỳ mối đe dọa tiềm tàng nào để đánh giá rủi ro toàn diện. Đây là một phần không thể thiếu của các Red Team và là một phần trong các quy trình “chuẩn” của họ. Nó cũng được dung thường xuyên bởi các hacker mũ trắng. Thậm chí, Red Team có thế theo được khá nhiều công cụ pentest mà các hacker mũ trắng sử dụng.

Tấn công phi kỹ thuật.

Khi thực hiện đánh giá bảo mật bất kỳ tổ chức nào, việc sai khiến mọi người thực hiện những hành động nhất định có thể dẫn tới rò rỉ dữ liệu nhạy cảm cũng khá là quan trọng, vì lỗi do con người là một trong những lý do thường thấy nhất trong các vụ rò rỉ dữ liệu.


Các kỹ năng dành cho Blue Team

Bạn sẽ phải vá những lỗ hổng bảo mật mà phần lớn mọi người còn không biết tới.

Có khả năng tổ chức và chú ý đến chi tiết

Một người có xu hướng “by the book” với các phương pháp đã được sử dụng và tin dùng sẽ phù hợp hơn với một Blue Team. Tư duy đặc biệt chú ý đến chi tiết là điều cần thiết để tránh bỏ qua các lỗ hổng trong cơ sở hạ tầng an ninh của công ty.

Phân tích an ninh mạng và phân loại các nguy cơ.

Khi đánh giá bảo mật cho một tổ chức hay một công ty thì bạn cần phải tọa ra một hồ sơ về các rủi ro và nguy cơ. Một hồ sơ tốt sẽ chứa tất cả dữ liệu tiềm tàng có khả năng bao gồm cả những kẻ tấn công và những tình huống rủi ro có thật, chuẩn bị kỹ càng cho bất kỳ cuộc tấn công nào trong tương lai bằng việc xử lý những mặt còn yếu. Hãy tận dụng OSINT và mọi nguồn dữ liệu công cộng sẵn có, và hãy xem qua các công cụ OSINT có thể giúp bạn thu thập dữ liệu về mục tiêu của mình.

Củng cố kỹ năng

Để thật sự chuẩn bị cho mọi cuộc tấn công hay rò rỉ, các kỹ năng củng cố chuyên môn với mọi hệ thống phải được thực hiện, để giảm thiểu những bề mặt tấn công mà hacker có thể sử dụng. Việc củng cố DNS là điều rất quan trọng, vì đó là điều bị bỏ sót nhiều nhất trong các chính sách củng cố. Bạn có thể theo các mẹo của chúng tôi về việc ngăn chặn tấn công DNS để giảm thiểu bề mặt tấn công  hơn nữa.

Hiểu biết về hệ thống phát hiện

Hãy làm quen với các ứng dụng phần mềm cho phép theo dõi mạng để tìm bất kỳ các hoạt động bất thường hoặc có ác ý nào. Việc theo dõi các đường truyền mạng, lọc gói tin,  tường lửa hiện có và v.v. sẽ cho bạn nắm rõ hơn về các hoạt động trong hệ thống công ty.

SIEM – Security Information and Event Management

SIEM là phần mêm cho phép phân tích thời gian thực các sự kiện bảo mật. Nó sẽ thu thập dữ liệu từ luồng bên ngoài và có khả năng thực hiện phân tích dữ liệu dựa trên các chỉ tiêu cụ thể.


LỜI KẾT

Khi nói về Red Team và Blue Team thì nhiều người thường nghiêng về một trong 2 bên, nhưng sự thực là một hệ thống bảo mật hoàn chỉnh và hiệu quả chỉ có thể tồn tại khi hai bên hợp tác với nhau. Chỉ bằng cách “công thủ toàn diện” mới giúp doanh nghiệp đủ sức mạnh chống lại các thế lực tội phạm mạng trên internet.


Theo SecurityTrails