Red Team Nedir? Mavi Takımdan Farkları Nelerdir?

Bu yazı da, Red Team’in rolü, mavi takımla ilişkisi ve kurumsal güvenlikteki yeri üzerine odaklanacağız. Siber güvenlik dünyasında “Red Team” ve “Blue Team” kavramlarının derinliği çoğu zaman göz ardı edilir. Red Team, APT( Advanced Persistent Threat ) dediğimiz tehdit gruplarının kulllandığı TTPs( Tactics, Techniques and Procedures ), taklit edilerek sistemdeki açıklıkları ortaya çıkarmak ve savunma tarafını sınamak için gerçek saldırı simülasyonlarını simüle eden ekip olarak adlandırabiliriz. TTPs, MITRE ATT&ACK Framework olarak adlandırılır. Blue Team ise, sistemlerin savunma mekanizmasının gücünü arttırmak, sistemi savunmak ve kırmızı takımdan gelen geribildirime göre savunmayı güçlendiren ekip olarak tanımlayabiliriz. Bu sürecin amacı, mavi takımın ve altyapı teknolojisinin dayanıklılığını ölçmektir. Bu süreç, savunma mekanizmalarının nerelerde geliştirilmesi gerektiğini söyler.Sızma testinden farkı, tüm organizasyonun güvenliğini hedef alır.

Red Team Metodolojisi

Red Team metodolojileri altı ana madde de sıralayabiliriz.

• Keşif ( Reconnaissance ): Red team operasyonu’nun ilk ve en önemli adımıdır. Bu adımda hedef hakkında olabildiğince bilgi toplanılmaya çalışılır. Edinilen bilgiler, operasyonun nasıl ilerleyeceğini belirleyebilecek güce sahiptir.

• Silahlanma ( Weaponization ): Bu adımda, hedefin üzerinde kullanılmak üzere araçlar ve payloadlar hazırlanır. Bu adımın amacı, hedefte kullanılmak üzere saldırı vektörleri hazırlamaktır.

• Gönderim ( Delivery ): Gönderim aşaması, silahlanma adımında hazırladığımız saldırı vektörlerini, hedefe ulaştırma yöntemlerini içerir. Hedefle ilk teması içerir.

• İstismar ( Exploitation ): Hedefe ulaştırdığımız saldırı vektörlerini başarıyla çalıştırarak, hedefe ilk erişim sağladığımız aşamadır. Bu aşamada, çoğunlukla hedefte düşük yetkilerle kontrol sağlarız.

• Komuta ve Kontrol ( Command & Control ): Hedefte başarıyla çalıştırdığımız payloadların komuta ve kontrol sunucuları ile etkileşime geçtiği aşamadır.

• Hedefe İlerleme ( Actions on Objective ): Bu aşama, artık kurum tarafından belirlenmiş hedeflere, operasyonel görevler yapılarak başarı kriterlerine (Domain Admin Ele Geçirme, Hassas Veriye Erişim) ulaşılması hedeflenir.237

Blue Team

Blue Team, gerçek saldırganlara ve kırmızı takım’a karşı sistemi savunan ekip olarak adlandırabiliriz. Görevleri arasında olay tespiti, olay müdahale ve tehdit istihbaratı vardır.

Red Team ve Blue Team Arasındaki Farklar

Red Team

• Gerçek saldırganları taklit ederek, sistemdeki zaafiyetleri ortaya çıkarmak.

• Kurumun savunmasını geçmeye çalışmak.

• Metasploit ve payload gibi araçları kullanırlar.

Blue Team

• Olay inceleme ve tehdit istihbaratından elde ettikleri bilgilerle, savunmayı güçlendirmeye çalışırlar.

• Red Team ve gerçek saldırganlardan gelen saldırıları tespit edip engellerler.

• SIEM ve IDS/IPS gibi araçları kullanırlar.

Purple Team

Bu takımın önemi, kırmızı takım ve mavi takımla koordinasyon içinde olmasıdır. İki takımın çıktılarını analiz edip daha güçlü savunma mekanizmaları geliştirir. Saldırı senaryoları ve savunma mekanizmaları, eşzamanlı olarak geliştirilir. Purple team faaliyetleri, bu yüzden canlı olarak gerçekleştirilir.

Red Team Etkinliğinin Kurumlara Katkısı

• Güvenlik duvarıyla tespit edilemeyen gizli ve gelişmiş güvenlik açıklarına karşı kurumun ne kadar dayanıklı olduğunu test eder.

• Zayıflıkları belirlemek için, MITTRE ATT&CK gibi çerçeveleri kullanarak, sistemi ve altyapıyı test eder.

• Sosyal mühendislik ve zayıf parola politikaları gibi açıkları da ortaya çıkarır.

• Red Team, kriz zamanında kimin nasıl hareket ettiğiyle süreçleri de test eder.

• Çalışanları ve departmanları, sosyal mühendislik gibi saldırılara daha bilinçli kılar.