אבטחת מערכות המידע בארגון והגנת סייבר הפכו לעניין מהותי. דרושה גישה מקיפה אל מול האיומים השונים. ארגונים נדרשים להתמודד עם איומי סייבר מתוחכמים שמתפתחים ומשתנים באופן תדיר. לכן נדרש מערך הגנה דינמי ויעיל. אחת השיטות המובילות לשיפור מערך האבטחה היא באמצעות צוותי BLUE TEAM וצוותי RED TEAM. צוותים אלה מדמים בין היתר מצבי אמת של תקיפה וכך מאפשרים לארגון לזהות ולתקן פרצות אבטחה עוד לפני שמתרחשת תקיפה בפועל.
תפקידי צוות BLUE TEAM
צוות BLUE TEAM מהווה את קו ההגנה הראשון. הצוות מורכב ממומחי אבטחת מידע מנוסים. הוא אחראי על ההגנה האקטיבית של מערכות הארגון מסביב לשעון. שירותי חברת אבטחת מידע בתחום זה משלבים מגוון פעולות הגנה, פיקוח מתמיד של התעבורה ברשת, זיהוי סימנים חשודים בזמן אמת, הפעלת פרוטוקולים של תגובה במקרה של זיהוי איום. הצוות מפעיל מערכות הגנה משולבות כמו חומות אש, ומערכות נוספות לזיהוי התנהגות חריגה של משתמשים.
העבודה של צוות ההגנה מתמקדת בבניית שכבות הגנה טובות ככל האפשר. הם אחראים על יישום נהלי אבטחת מידע, פיתוח מדיניות הרשאות מתאימה לכל המשתמשים, ביצוע עדכוני אבטחה קבועים למערכות השונות. חלק משמעותי מעבודת הצוות משלב פיתוח והעברת הדרכה לעובדי הארגון. הם מלמדים על זיהוי איומים, התנהלות ברשת בבטחה, התמודדות עם ניסיונות הנדסה חברתית ופישינג. תפקיד נוסף של הצוות הוא ניתוח ולמידה מתוך אירועי אבטחה לטובת הפקת לקחים. כל ניסיון תקיפה או אירוע חריג נרשם ונלמד. המטרה היא לזהות נקודות תורפה וגם בחינת אפקטיביות התגובה. המידע משמש לשיפור מתמיד של מערך ההגנה, עדכון נהלים, והתאמות אבטחה חשובות.
התפקיד של red team וחשיבותו
צוות red team פועל כיחידת מובחרת של תוקפים. תפקיד הצוות לשחק בתפקיד התוקפים האמיתיים, במטרה לאתר פרצות במערך האבטחה. הצוות עורך תרגילי תקיפה בדרכים מתוחכמות על מערכות הארגון. הוא מיישם טכניקות הדומות לאלו המשמשות האקרים אמיתיים. התקיפות מתוכננות בקפידה ומבוצעות באופן מבוקר. מטרת הצוות היא לבדוק את עמידות מערכות האבטחה בתנאי אמת וכן לזהות נקודות תורפה (כדי לסגור אותן) לפני שתוקפים אמיתיים משתמשים בהן.
הצוות יכול להפעיל מגוון של שיטות תקיפה, גם ברובד הטכני וגם בשיטות הנדסה חברתית. חברי הצוות בודקים מקרוב כל נקודת כניסה אפשרית לארגון, רשתות תקשורת, דואר אלקטרוני, אפליקציות ארגוניות, שירותי ענן ועוד. הצוות משתמש בכלי תקיפה קיימים ולפי הצורך גם מפתח שיטות חדשות. עליו לנסות לעקוף את מנגנוני ההגנה בדרכים כמה שיותר מתוחכמות. הכל נעשה כמובן מבלי שיגרם נזק בלתי הפיך למערכות הארגון.
בסיום כל תקיפה מדומה הצוות מסכם מסמך שמטרתו להציג את החולשות והכשלים שהתגלו. זו דרך מעולה לזיהוי נקודות הכשל במערך ההגנה. הדוח מפרט על כל פרצת אבטחה שנמצאה, מהי רמת הסיכון וכן והמלצות לתיקון המצב. ההמלצות יכולים לשלב בין נהלים טכניים לבין עדכון בנהלים והצעות לשיפור בהדרכות העובדים. הממצאים מועברים לצוות הכחול, לצורך יישום השיפורים הנדרשים.
תיאום בין הצוות הכחול לצוות האדום
חשוב להדגיש את חשיבות התיאום ושיתוף הפעולה בין שני הצוותים. הצוותים לרוב יקיימו ישיבות קבועות ובהם יוצגו ממצאים, אירועים חריגים, הצעות לשיפורים במערך ההגנה. בפגישות אלו נסקרים דו”חות התקיפה של הצוות האדום ודנים על אירועי אבטחה בולטים מהארץ או מהעולם. שיתוף הפעולה ההדוק מאפשר לקבל תמונת מצב מלאה יותר, לגבי מצב האבטחה בארגון וזיהוי של נקודות תורפה וכשלים אפשריים כדי לבצע את התיקון.
