Başlıktan da anlaşılacağı üzere, şu anda “Red Team” ile ilgili uzun zamandır yazmak istediğim fakat bir türlü zaman ayıramadığım yazı serisinin ilk postunu okuyorsunuz. Bu seride Red Team başlığı altında; kendi gelişim süresince aldığım eğitimler, yapmış olduğum araştırmalar ve elimdeki notları tek bir noktada birleştirmeye gayret ediyor olacağım.
Bazı başlıklar ve yazı içerisinde İngilizce tanımlar ile karşılaşmanız mümkün. Bunun sebebi ise bazı tanımların Türkçeye çevrildiğinde anlamını yitirmesi ve Türkçe olarak bu kelimeleri kullanarak yaptığınız araştırmalarınızın sığ sonuçlar getirecek olmadır.
Bu post direkt olarak Red Team’i konu almaktan daha ziyade genel bilgileri ve tanımları içeren basit bir yazı olacak.
Vulnerability Scanning
Vulnerability Scanning (Zafiyet Taraması) en temel güvenlik denetimlerinden biridir. Adından da anlaşılabileceği üzere; verilen hedefler üzerinde otomasyon kullanılarak zafiyetler tespit edilmesine dayanır. Hedeflenen varlıklar üzerinde kısa sürede, araçların da yardımıyla bilinen zafiyetleri tespit edebilmeyi amaçlar.
Düşük insan gücü ile gerçekleştirilebilir fakat kullanılacak olan tarama araçları için yatırım ihtiyacı bulunur.
Kontrollerin tamamlanması diğer denetim yöntemlerine göre daha hızlıdır. Bu sayede varlığın büyüklüğüne bağlı olarak kısa periyotlar içerisinde tekrarlanabilir. Araçların temel bilgi toplama fonksiyonları kullanılarak yüzeysel bir envanter bilgisi elde edilebilir ve zafiyet yönetimi için girdi oluşturulabilir.
Derinliği, yüzeysel bir kontrol gerçekleştirdiği için düşüktür. Doğruluğu ise, taramalar sırasında zafiyetlere ait olan bazı değişkenlerin (versiyon, dizin vb.) tespitinde ve kurulu uygulama yapısındaki ufak değişikliklerden etkilenebildiği için (özellikle web uygulamalarında ve mantıksal zafiyetlerde) düşüktür. Bu nedenle false-positive bulgular üremesi veya bulgu kaçması olasıdır.
Penetration Testing
Penetration Testing(Sızma Testi); belirli bir kapsam içerisinde bulunan varlıklar üzerinde bulunan zafiyetlerin tamamını tespit etmeyi amaçlayan bir denetim yöntemidir. Testler sırasında farklı amaçlar için birçok araç kullanılsa bile çoğunlukla manuel efor gerektirir. Tespit edilen zafiyetler testi gerçekleştiren kişi/kişiler tarafından sömürülür. Bu sayede zafiyetlerin doğrulukları, potansiyel etkileri, hedef kurum/şirket üzerinde oluşturdukları riskler tespit edilebilir.
Tespit edilen sömürülebilir tüm zafiyetlerin bilgileri ve kanıtları bir rapor içerisinde ilgili kişiler ile paylaşılır. Çok sayıda varlığa sahip kurum/şirketlerde, zafiyetlerin etkileri iyi analiz edilebileceği için zafiyetler doğru bir öncelik ile kapatılabilir.
Zafiyet taramasına göre daha fazla manuel efor barındırdığı için tamamlanması daha uzun sürmektedir fakat derinlik ve doğruluk olarak daha kaliteli sonuçlar elde edilebilir. Hedef kapsamın büyüklüğüne göre gerçekleştirilen sızma testinin süresi ciddi ölçüde artabilir.
Yöntem olarak 3’e ayrılır;
- Black Box: Hedef hakkında herhangi bir bilgiye sahip olunmadan gerçekleştirilen testlerdir.
- Gray Box: Sınırlı sayıda bilgi ile gerçekleştirilen testlerdir.
- White Box: Hedef ile ilgili gerekli tüm bilgiye sahip olunarak gerçekleştirilen testlerdir.
Blue Team
Red Team’e geçmeden önce kısaca Blue Team’den bahsetmenin faydalı olacağını düşünüyorum. CNSS’e göre blue team’in tanımı aşağıdaki şekildedir;
“The group responsible for defending an enterprise’s use of information systems by maintaining its security posture against a group of mock attackers (i.e., the Red Team). Typically, the Blue Team and its supporters must defend against real or simulated attacks 1) over a significant period of time, 2) in a representative operational context (e.g., as part of an operational exercise), and 3) according to rules established and monitored with the help of a neutral group refereeing the simulation or exercise (i.e., the White Team).”
Özetle Blue Team; 7/24 varlıkların takibini yaparak gerçek bir saldırıya karşı organizasyonun savunmasını sağlamak ile görevli olan ekiptir. Olası güvenlik tehditlerini ve risklerini analiz eder. Bu analizler sonrasında elde edilen veriler kullanılarak, siber saldırılara karşı refleks mekanizmaları geliştirilir. Bu sayede gerçekleşecek olan olası siber saldırıların tespiti ve engellenmesi amaçlanmaktadır.
Red Team
Red Teaming basit tabiriyle; taktik, teknik ve prosedürleri (TTPs) canlandırarak gerçek bir saldırganın bakış açısı ile hedefin güvenlik duruşunu tam anlamıyla test eder. Çoğunlukla bir kapsamı yoktur veya çok geniş bir kapsam ile kontroller gerçekleştirilir.
Red Team çalışması canlı sistemler üzerinde ve Blue Team’e herhangi bir bilgilendirme yapılmadan gerçekleştirilir. Temelde Blue Team’in gelişimi amaçlanmaktadır. Kurumun tespit mekanizması, siber saldırı refleksi, savunma prosedürleri, konfigürasyon eksiklikleri ve teknolojilerinin zayıflıkları gibi birçok farklı noktayı kontrol eder. Yeni bir TTP, araç, zafiyet çıktığında veya geniş zaman aralığında periyodik olarak gerçekleştirilebilir. Bu nedenle red team çalışmalarında siber istihbarat önemli bir yere sahiptir.
Uzman bir ekip tarafından başarıyla tamamlanan ve sonuçları incelenerek gerekli önlemlerin alınması sağlanan bir sızma testi, her ne kadar güvenlik seviyesinde iyileştirme sağlasa da Red Team çalışması ile aynı şey değildir. Bunun sebebi sızma testinin ve Red Team’in tamamen farklı şekilde uygulanması ve farklı amaçlara sahip olmasıdır.
Purple Team
Purple Team aslında bir takımdan ziyade, Blue Team ve Red Team takımlarının beraber çalışması için oluşturulmuş bir süreç ve fonksiyondur. Red team çalışmaları sırasında Blue Team’e herhangi bir bilgilendirme yapılmazken Purple Team çalışmaları blue team ile beraber gerçekleştirilir. Çalışmalar sırasında Red Teaming’de olduğu gibi TTP’ler takip edilir ve Blue Team tarafından incelenir. Bu sayede anlık olarak gerçekleştirilen saldırının tespitinin incelenmesi ve gerekli durumlarda tekrarlanması/doğrulanması sağlanabilir.