کتاب Practical Purple Teaming

کتاب Practical Purple Teaming: The Art of Collaborative Defense (تیم بنفش عملی: هنر دفاع مشارکتی) یک راهنمای عملی و آزمایشگاهی برای متخصصان امنیت سایبری است که متدولوژی تیم بنفش (Purple Teaming) را آموزش می‌دهد؛ این متدولوژی تهاجم (Red Team) و دفاع (Blue Team) را با هدف همکاری نزدیک ترکیب می‌کند تا انعطاف‌پذیری سازمان در برابر حملات به طور قابل اندازه‌گیری بهبود یابد.

در ادامه مقدمه‌ای از کتاب Practical Purple Teaming را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Practical Purple Teaming:

بهترین تدابیر دفاعی آن‌هایی هستند که با در نظر گرفتن دشمنان ساخته شده‌اند. برای شناسایی منابعی که مهاجمان ممکن است بخواهند از آن‌ها سوءاستفاده کنند و راه‌هایی که ممکن است این کار را انجام دهند، بسیاری از سازمان‌ها آزمایش‌های تهاجمی انجام می‌دهند؛ اغلب با به‌کارگیری «تیم قرمز» — تیمی که مانند یک مهاجم عمل می‌کند و محدودیت‌های مصنوعی‌ای که می‌تواند کشف آسیب‌پذیری‌های واقعی را مختل کند، اعمال نمی‌نماید.

با این حال، همگام با تکامل میدان امنیت سایبری، روش‌های آزمایشی جدید بیش از پیش مرز بین حمله و دفاع را مبهم کرده‌اند. بسیاری از تعاملات تهاجمی اکنون توازنی برقرار می‌کنند بین اجرای حملات واقع‌گرایانه (تمرکز قرمز) و یاری‌رساندن به مدافعان، که ممکن است به قیمت واقع‌گراییِ حمله (تمرکز آبی) تمام شود. ما چنین تمرین‌های ترکیبی‌ای را «تیم‌بندی بنفش» (purple teaming) می‌نامیم.

یک رویکرد واحد برای تیم‌بندی بنفش که مناسب همه باشد وجود ندارد. در این کتاب خواهید آموخت چگونه ابزار مناسب برای هر کار را انتخاب کنید (و از چه ابزارهایی می‌توانید استفاده کنید). با این حال، برخی فواید در میان همهٔ انواع تیم‌بندی بنفش مشترک‌اند (که در فصل‌های ۳ و ۴ کتاب Practical Purple Teaming عمیق‌تر بررسی خواهیم کرد).

چرا تیم‌بندی بنفش را انتخاب کنیم؟

در تیم‌قرمز کلاسیک، طرف حمله‌کننده بازه‌های زمانی، فعالیت‌ها و اهداف خود را از طرف مدافع مخفی نگه می‌دارد. در یک تمرین تیم‌بندی بنفش، گروه تهاجمی معمولاً این اطلاعات را از پیش به اشتراک می‌گذارد. علاوه بر این، تیم‌های قرمز و آبی اغلب در ارتباط مستقیم (و حتی در یک اتاق) با یکدیگر باقی می‌مانند تا اطمینان حاصل شود که هر طرف پیشرفت طرف دیگر را درک می‌کند. در سرتاسر کتاب معایب و مزایای این رویکرد را پوشش می‌دهیم، اما بیایید دو فایدهٔ اصلی را برجسته کنیم.

کوتاه‌تر شدن حلقهٔ بازخورد

با تأکید بر ارتباط و اشتراک دانش میان مهاجمان و مدافعان، سازمان می‌تواند سریع‌تر تشخیص دهد آیا حملهٔ خاصی موفق بوده و آیا کشف یا جلوگیری شده است یا خیر. این بازخورد فوری می‌تواند به مدافعان امکان دهد تا آزمایش‌هایی برای کاهش تشخیص‌ها یا تغییرات پیکربندی انجام دهند و سپس آن دفاع‌ها را با دورۀ زمانی بسیار کوتاه‌تری نسبت به چرخهٔ زمانی یک تیم قرمزِ سنتی دوباره آزمایش کنند.

بهبود پوشش آزمایش

همان‌طور که در کتاب Practical Purple Teaming بررسی خواهیم کرد، تیم‌بندی بنفش به ما امکان می‌دهد تکنیک‌های منفردی را که یک حملهٔ انتها-تا-انتها را می‌سازند، جدا و فهرست کنیم. اکثر سازمان‌ها با طیف وسیعی از تهدیدهای بالقوه روبه‌رو هستند، مانند افراد مخرب داخلی که به دنبال ایجاد اختلال‌اند یا بازیگران دولتی با بودجهٔ زیاد که هدفشان سرقت اسرار شرکت است.

تیم‌بندی بنفش به ما اجازه می‌دهد تا تجزیه کنیم که یک حمله برای این دشمنان چگونه به نظر خواهد رسید و به پرسش‌های ریزتری پاسخ دهیم، مثلاً «در برابر تکنیک‌های معمول فیشینگ بازیگر X چه وضعیتی خواهیم داشت؟» یا به صورت کلی‌تر «اگر بازیگران به شبکهٔ ما دسترسی پیدا کنند، آیا می‌توانیم فرمان‌هایی را که معمولاً برای به‌دست آوردن آگاهی از وضعیت استفاده می‌کنند شناسایی کنیم؟»

چه کسانی باید کتاب Practical Purple Teaming را بخوانند؟

در حالی که مفید است این کتاب را با درک پایه‌ای از آزمایش‌های تهاجمی و حملات سایبری معاصر شروع کنید، برای فهمیدن مطالب پیش‌نیازی لازم نیست. هم حرفه‌ای‌های باتجربهٔ امنیت اطلاعات و هم مبتدیان باید درک جامعی از چگونگی پیاده‌سازی روش‌شناسی‌های تیم‌بندی بنفش به‌دست آورند.

رهبران امنیتی که بر شکل‌دهیِ راهبرد امنیتی متمرکزند، این کتاب را مفید خواهند یافت تا انواع تیم‌های بنفشی را که می‌توانند بهره‌برداری کنند، نتایجی که می‌توانند فراهم کنند و چگونگی بهره‌مندیِ سازمان از آن‌ها را درک کنند. با این حال، من نگارشِ کتاب را با چند گروه در ذهن داشته‌ام:

دانشجویان

اوایل دوران مشاوره‌ام، در جست‌وجوی کتابی بودم که بتواند به عنوان بوت‌کمپی دربارهٔ شبیه‌سازی خصمانه و تیم‌بندی بنفش عمل کند؛ آن را نیافتم و تلاش کرده‌ام همان کتاب را بنویسم. کسانی که امیدوارند وارد حوزهٔ امنیت سایبری شوند می‌توانند از کتاب Practical Purple Teaming برای آشنایی با چارچوب‌های استاندارد صنعت، مانند MITRE ATT&CK، و عناصر پایه‌ای حمله و دفاع استفاده کنند؛ از جمله ابزارهای تهاجمی متداول برای انجام حملات در یک تمرین و منابع رایج لاگ سازمانی که مدافعان ممکن است برای ساخت تشخیص‌ها از آن‌ها استفاده کنند.

پژوهشگران و کارکنان عملی امنیت سایبری

بهترین تمرین‌های تیم‌بندی بنفشی که در آن‌ها شرکت داشته‌ام دو ویژگی مشترک داشتند. اول، ساختار درستِ تمرین برای نتایج مورد نظر انتخاب شده بود؛ دوم، همهٔ طرف‌ها درک روشنی از نحوهٔ کار تمرین و آنچه در بر می‌گرفت داشتند. اگر شغل شما مستلزم مشارکت در هر جنبه‌ای از تیم‌بندی بنفش است، درک نقش‌های دیگر تنها تجربهٔ شما و کیفیت کلی تعامل را بهبود خواهد بخشید.

اگر شما در حال تعیین محدوده یا برنامه‌ریزی یک تمرین مشارکتی هستید، روش‌شناسی‌های تشریح‌شده در این کتاب نیز اطمینان می‌دهند که رویکرد درست را برای کار انتخاب کرده‌اید.

مدیران و رهبران امنیت سایبری

در حالی که آزمایش‌های تهاجمی برای ارزیابی امنیت یک سازمان و برجسته کردن حوزه‌های نیازمند بهبود بسیار مفیدند، مدیران باید بفهمند کدام روش‌شناسی برای نیازهای آن‌ها بهترین است تا بیشترین بازگشت سرمایه را از تیم‌های داخلی یا فروشندگان بیرونی به‌دست آورند. اگر در موقعیتی هستید که می‌توانید همکاری میان تیم‌های تهاجمی و مدافعی را تسهیل کنید، این کتاب مکانیزم‌های روشنی برای نیل به این هدف ارائه می‌دهد.

فنی‌کاران آی‌تی و مدیران سیستم

مهاجمان ممکن است انواع پلتفرم‌ها و سرویس‌ها را برای نیل به اهداف خود هدف بگیرند، بسیاری از آن‌ها ممکن است توسط شما مدیریت یا نظارت شوند. در حالی که این کتاب برای ارائهٔ یک چک‌لیست از تکنیک‌های حملهٔ معاصر نوشته نشده، بینش‌هایی دربارهٔ چگونگی وقوع این حملات و نحوهٔ کاستن از این خطرات برای مدافعان فراهم می‌آورد. شما خروجی‌های چنین تمرین‌هایی را بررسی خواهید کرد و در نظر خواهید گرفت چگونه آن‌ها را به‌کار ببرید تا سطح حملهٔ خود را کاهش دهید.

چه چیزهایی در این کتاب می‌یابید

برنامه‌ریزی، اجرا و گزارش‌دهی مؤثر دربارهٔ یک تمرین تیم‌بندی بنفش نیازمند درک قدرتمندی از موضوعات نظری و مهارت‌های عملی متعدد است. برای پوشش این مبانی، این کتاب به سه بخش تقسیم شده است.

بخش اول: چگونه تیم‌بندی بنفش کار می‌کند

ما نظریهٔ بنیادین پشت تیم‌بندی بنفش را پوشش می‌دهیم، از جمله چارچوب‌های شناخته‌شده که به عنوان زبان مشترکِ حمله و دفاع در امنیت سایبری عمل می‌کنند، و همچنین روش‌شناسی‌های خاص تیم‌بندی بنفش.

فصل ۱ کتاب Practical Purple Teaming: مبانی تیم‌بندی بنفش — تعریف تیم‌بندی بنفش، تفاوت آن با سایر اشکال رایج تست‌های فنی، و دو روش محبوب: تیم‌بندی بنفش اتمی و مبتنی بر سناریو. مراحل لازم برای ایجاد یک تیم بنفش در سازمان شما را بررسی می‌کند. همچنین ملاحظات فنی مانند در دسترس‌ بودن محیط‌های آزمایشی، ابزارهای تهاجمی و ردیابی تمرین را تشریح می‌کند.

فصل ۲ کتاب Practical Purple Teaming: چارچوب‌های تهاجمی و دفاعی — چارچوب‌های موردِ پذیرش صنعت را پوشش می‌دهد که به متخصصان امنیت وسیله‌ای برای درک فعالیت‌های دشمنان و چگونگی شبیه‌سازی، تشخیص و گزارش آن‌ها می‌دهد. دربارهٔ چند چارچوب از جمله MITRE ATT&CK، زنجیرهٔ کشتار سایبری (Cyber Kill Chain) و هرم درد (Pyramid of Pain) خواهید آموخت.

فصل ۳ کتاب Practical Purple Teaming: روش‌شناسی اتمی — روش‌شناسی اتمی تیم‌بندی بنفش را عمیقاً بررسی می‌کند. ورودی‌هایی که می‌توانند یک تمرین را آگاه سازند، فرآیند تولید موارد آزمایشی، و نقاط دادهٔ کلیدی که باید در حین تست ثبت شوند را توضیح می‌دهد. همچنین کاربردهای نتایج اتمی را از جمله بنچمارک عملکرد دفاعی و ارزیابی ابزارها مورد بحث قرار می‌دهد.

فصل ۴ کتاب Practical Purple Teaming: روش‌شناسی مبتنی بر سناریو — به تیم‌بندی بنفش مبتنی بر سناریو می‌پردازد، مزایای آن و تفاوتش با تست اتمی را شرح می‌دهد. فرآیند ایجاد و اجرای سناریوهای ارزشمند را قدم‌به‌قدم بررسی می‌کند و بحث می‌کند که چگونه نتایج تمرین می‌تواند به بهبودهای سازمانی بیانجامد.

بخش دوم: آزمایشگاه شبیه‌سازی حمله و تشخیص

با مبانی نظری در دست، به مراحل عملیِ استقرار یک محیط آزمایشی، اجرای انواع ابزارهای شبیه‌سازی برای انجام تکنیک‌های تهاجمی و توسعهٔ تشخیص‌ها برای شناسایی این فعالیت می‌پردازیم.

فصل ۵ کتاب Practical Purple Teaming: راه‌اندازی محیط — مراحل استقرار «Attack Range» از اسپلانک، پروژه‌ای متن‌باز که محیطی برای انجام ایمن فعالیت‌های شبیه‌سازی و توسعهٔ تشخیص‌ها برای تکنیک‌های تهاجمی فراهم می‌آورد را گام‌به‌گام شرح می‌دهد.

فصل ۶ کتاب Practical Purple Teaming: جمع‌آوری تِلمانتِری — منابع لاگ ضروری برای توسعهٔ تشخیص از جمله لاگ‌های رویداد ویندوز، لاگ‌گذاری PowerShell و Sysmon را بررسی می‌کند. فیلدهای خاص در هر منبع لاگ که مدافعان می‌توانند برای عملیاتی‌سازیِ تشخیص‌ها استفاده کنند را تشریح می‌کند.

فصل ۷: ترافیک شبکه، ردیابی رویداد و اسکن حافظه — به بررسی بیشتر منابع لاگ می‌پردازد و راه‌اندازی و استفاده از طیفی از ابزارهای محورِ endpoint و شبکه را از جمله Event Tracing for Windows، اسکن YARA و Zeek را گام‌به‌گام شرح می‌دهد.

فصل ۸: «زندگی از طریق منابعِ قانونیِ سیستم» با Atomic Red Team — اجرای یک سناریوی حملهٔ انتها-تا-انتها را آغاز می‌کند که در سه فصل بعد کتاب Practical Purple Teaming ادامه می‌یابد. به حملاتی می‌پردازد که از باینری‌های بومی ویندوز و PowerShell برای اجرای کد و فعالیت‌های کشف استفاده می‌کنند. همچنین چارچوب Atomic Red Team شرکت Red Canary را معرفی می‌کند و مفاهیمِ تشخیص و پیشگیری شامل روابط والد-فرزند و کنترل برنامه‌ها را برای دفاع در برابر چنین حملاتی پوشش می‌دهد.

فصل ۹: شناسایی فعال دایرکتوریِ اکتیو با MITRE Caldera — سناریوی شبیه‌سازی را با انجام شناسایی در یک محیط Active Directory پیش می‌برد. یک ابزار شبیه‌ساز دیگر، MITRE Caldera، را برای پیکربندی و اجرای این تکنیک‌ها بررسی می‌کند. سپس توسعهٔ تشخیص برای آرگومان‌های خط فرمان مشخص، هشداردهی مبتنی بر آستانه برای فعالیت‌های بازکاوی، و کوئری‌های برجستهٔ LDAP را مورد بحث قرار می‌دهد.

فصل ۱۰ کتاب Practical Purple Teaming: تسخیر دامنه با Mythic — چارچوب فرمان‌وکنترل Mythic را برای تکمیل سناریوی شبیه‌سازی و به دست آوردن تسلط بر دامنهٔ Active Directory معرفی می‌کند. تکنیک‌هایی مانند دستکاری توکن، تزریق فرایند و حملات DCSync را بررسی می‌کند و سپس توسعهٔ تشخیص برای ترافیک غیرطبیعی را کاوش می‌نماید.

بخش سوم: سازماندهی یک تمرین

در بخش نهایی کتاب Practical Purple Teaming، به روش‌هایی می‌پردازیم که چگونه تمرین‌ها را به‌طور مؤثر پیگیری و گزارش کنیم و تابع یا ساختار تیم‌بندی بنفشی را ایجاد کنیم که بهترین خدمت را به نیازهای سازمان شما نماید.

فصل ۱۱ کتاب Practical Purple Teaming: گزارش‌دهی و پیگیری — روش‌های جمع‌آوری داده در طول تمرین‌های تیم‌بندی بنفش را بررسی می‌کند. اطلاعاتی را که برای هر دو تیم تهاجمی و دفاعی مفید است، با استفاده از ابزارهایی مانند Security Risk Advisors VECTR و نیز صفحات گسترده و نرم‌افزارهای تیکتینگ برجسته می‌سازد.

فصل ۱۲ کتاب Practical Purple Teaming: پیاده‌سازیِ یک تابع تیم‌بندی بنفش — بر ملاحظات برنامه‌ریزی، کارگاه‌ها و مصاحبه‌های تکمیلی و فرایندهای گسترده‌تری که به شما کمک می‌کنند تیم‌بندی بنفش را در سازمان‌تان یکپارچه کنید و به‌طور مداوم تمرین‌هایی به‌وجود آورید که مرتبط‌ترین و قابل اقدام‌ترین نتایج را تولید می‌کنند، تمرکز دارد.

سرفصل‌های کتاب Practical Purple Teaming:

• Cover Page
• Title Page
• Copyright Page
• About the Author
• About the Technical Reviewer
• BRIEF CONTENTS
• CONTENTS IN DETAIL
• ACKNOWLEDGMENTS
• INTRODUCTION
• PART I HOW PURPLE TEAMING WORKS
  • 1 THE BASICS OF PURPLE TEAMING
  • 2 OFFENSIVE AND DEFENSIVE FRAMEWORKS
  • 3 THE ATOMIC METHODOLOGY
  • 4 THE SCENARIO-BASED METHODOLOGY
• PART II ATTACK EMULATION AND DETECTION LAB
  • 5 ENVIRONMENT SETUP
  • 6 COLLECTING TELEMETRY
  • 7 NETWORK TRAFFIC, EVENT TRACING, AND MEMORY SCANNING
  • 8 LIVING OFF THE LAND WITH ATOMIC RED TEAM
  • 9 ACTIVE DIRECTORY RECON WITH MITRE CALDERA
  • 10 DOMAIN COMPROMISE WITH MYTHIC
• PART III ORGANIZING AN EXERCISE
  • 11 REPORTING AND TRACKING
  • 12 IMPLEMENTING A PURPLE TEAMING FUNCTION
• APPENDIX: SUPPLEMENTAL TABLES
• INDEX

جهت دانلود کتاب Practical Purple Teaming می‌توانید پس از پرداخت، دریافت کنید.