Teröre karşı küresel savaş sırasında, Birleşik Devletler ordusundaki bir grup astsubay ve astsubay benzersiz bir eğitim etkinliğine katıldı. Hepsi farklı uzmanlıklara sahip çeşitli rütbelerden askerler, rütbelerinden ve diğer tanımlayıcı işaretlerden arındırıldıkları uzak bir yerde toplandılar. Kıyafet değiştirdiler, yeni isimler aldılar ve günlük yaşamlarının ritmini değiştirdiler. Ve oradan, kendi kuvvetlerine karşı simüle edilmiş bir saldırı planlamaya başladılar.
Terörizm Araştırma Merkezi tarafından yürütülen “Ayna Görüntüsü” adı verilen sürekli bir eğitim fırsatı olan tatbikat, kırmızı ekip oluşturma adı verilen daha büyük bir felsefenin parçasıdır. Simülasyon, katılımcıların yatkınlıklarını ve örgütsel zayıflıklarını keşfetmelerine yardımcı oldu. Rutinleri değiştirmek, düşman motivasyonlarını daha iyi anlamalarına ve olası isyan saldırılarını tahmin etmelerine yardımcı oldu. Ayrıca önyargıların ve beklentilerin gerçekliğe nasıl müdahale ettiğini de ortaya çıkardı.
İş dünyasında, siber güvenlik uzmanları, bir şey olmadan önce kuruluşlarının savunmasını test etmek için kırmızı takım oluşturmayı kullanır. Ancak diğer gruplar, bir kriz karşısında dayanıklılığı, kör noktaları ve sürekliliği test etmek için bu kavramı kullanabilir.
Kuruluşlar, riski bütünsel olarak yönetmek için geniş ölçekte kırmızı ekip oluşturma egzersizleri yapmalıdır. Buradaki fikir, çoklu stratejik seçeneklere dayalı potansiyel sonuçları anlamak, kör noktaları belirlemek için senaryolar kullanmak ve düşmanlar onları istismar etmeden önce zayıflıkları ortadan kaldırmak için tehditleri modellemektir. Hem politika hem de karar vermede değerli bir araçtır.
Red Teaming Egzersizinizden En İyi Şekilde Yararlanın
Kuruluşunuzun kırmızı ekip oluşturmadan en iyi şekilde yararlanmasını sağlamak için gerçekleştirmeniz gereken bazı önlemler şunlardır:
Düşmanın nereye gittiğini sorun. Etkili bir kırmızı ekip tatbikatı, güvenlik sistemlerinizdeki ve süreçlerinizdeki açıkları ortaya çıkarır. Bütün mesele başarısızlıkları bulmaktır. Profesyoneller için bunu kabul etmek ve teşvik etmek her zaman kolay değildir. Ekiplerin tehditleri keşfetmesine ve yerinde savunmaları nasıl aşmaya çalışacaklarına olanak tanıyan bir açıklık ortamını teşvik edin. Sonuç olarak, kırmızı takım oluşturma, zamanı geldiğinde tehdit yanıtını iyileştiren büyüme fırsatları sunar.
Sadece savunmayı değil, yanıtı değerlendirin. Red teaming, bir penetrasyon testinden daha fazlasıdır. Eksiklerinizin nerede olduğunu bilmek çok önemlidir, ancak ekibinizin bir krize nasıl tepki verdiğini bilmek çok daha değerlidir. Savunma, hafifletme ve caydırıcılık esas olmakla birlikte, bazen savunmalar başarısız olur veya planlar ters gider. Savunma veya hafifletme stratejilerinizin başarısız olduğu bir senaryoyu modellemek faydalıdır, böylece şirketiniz gerçek hayatta benzer bir şeye tepki verebilir ve buna hazırlık yapabilir.
Model bilgi akışı. Bir kriz anında kritik bilgiler her zaman doğru kişilere ulaşmaz. Yakın zamanda yapılan bir araştırmaya göre, 2022’de iş sürekliliğini bozan veya zarar veya ölümle sonuçlanan tehditlerin %51’i, tüm fonksiyonların risk istihbaratını paylaşması ve bunu ortak bir yaklaşım ve platformla görüntülemesi durumunda önlenebilirdi.
Varsayımlarınızı test edin. Birçok savunma önlemi, risk ve olasılıkları hakkında bir dizi varsayım üzerine kuruludur. Ancak çalışmamız, hangi olayların iş sürekliliğini tehdit ettiği konusunda şirket ve departmanlar arasındaki anlaşmazlığı ortaya koyuyor. Ekipler aynı fikirde olmadığında güvenlik açıklarının ortaya çıkma olasılığı daha yüksektir. Bu gibi durumlarda, insanlar sorunları görmezden gelir veya bir başkasının bir sorunu çözeceğini varsayar. Kırmızı ekip oluşturma, sorumluluk ve risklerin nasıl tartılacağı hakkındaki soruları netleştirir.
Süreçlerinizi test edin. Red teaming, fiziksel savunmaları ve siber güvenliği test etmek için kullanılabilir, ancak aynı zamanda süreçleri değerlendirmek için de yararlı bir araçtır. Güvenlikte, aşırı derecede karmaşık veya kötü tanımlanmış bir süreç, yetersiz bariyerler veya kameralar kadar zararlı olabilir. Masaüstü tatbikatları veya savaş oyunları, kuruluşları süreçlerinde ne kadar iyi çalıştıklarını görmeye zorlar.
Alternatif gelecekleri keşfedin. Yapısal analitik teknikler, iş kuruluşlarının ve güvenlik uzmanlarının kararları için alternatif gelecekleri tahmin etme hayal gücünü kullanmalarına yardımcı olur. Bu tür bir alıştırma, tahminde bulunmakla ilgili değil, organizasyonu ve geleceğe yönelik olasılıkları etkileyen birçok değişkeni anlamak için kişinin eleştirel zihniyetini genişletmekle ilgilidir. Bu kırmızı ekip yaklaşımı, seçimlerin karmaşıklığını ve bunların şirket veya güvenlik üzerindeki etkilerini fark ederek kuruluşlara karar vermede kullanılan içgörüleri sunar.
Bütüncül Bir Bakış Açısı Benimseyin
Kırmızı takım kavramı, şeytanın avukatının Katolik Kilisesi ofisine dayanmaktadır, ancak Sovyet niyetlerini ve yeteneklerini değerlendirmek için büyük ölçüde genişletilmiştir. Adını buradan almıştır: Soğuk Savaş sırasında ABD’nin düşmanı Kızıllar olarak da bilinen Sovyetler Birliği idi. Son zamanlarda, siber güvenlik ekipleri, sistemlerindeki zayıflıkları ortaya çıkarmak ve tehditlerin açığa çıkmasını önlemek için kırmızı takım oluşturmayı benimsedi.
Gerçek şu ki, işletmeler davalardan, aktivistlerden, içeriden gelen tehditlerden ve hatta işyeri şiddetinden çok çeşitli tehditlerle karşı karşıyadır. Yine de günümüzde kırmızı ekip oluşturmaya yönelik neredeyse her Google arama sonucu siber güvenlikle ilgilidir. Sonuç olarak, çok az kişi kriz planlarının güncel olup olmadığını veya bir krizin kendilerini ve ekiplerini nasıl test edeceğini biliyor.
Red teaming, ekipleri pratik kurumsal risk azaltma yazılımı ve tüm tehdit ortamı genelinde diğer araçlarla donatan bütünsel, çok disiplinli bir çabadır. En azından, risk odaklı ekipler bunu çok çeşitli tehdit aktörlerine karşı savunmaları test etmek ve önyargılar ve varsayımlardan etkilenen görünmeyen güvenlik açıklarını belirlemek için kullanabilir.
Ancak asıl değeri, kuruluşların krizlere ve öngörülemeyen olaylara hazırlanma yöntemlerini nasıl şekillendirdiğidir. Kırmızı ekip oluşturma, kuruluşunuzun baskı altında nasıl performans göstereceğine dair bir pencere açarak, onu gerçek ve potansiyel riskleri tanımak ve ölçmek için değerli bir egzersiz haline getirir.
En önemlisi, kırmızı takım bir zihniyettir, sadece bir takım araçlar veya hücuma güvenlik koyma değildir. Kırmızı takımlar, diğer insanların statükoya meydan okumayacağını isteyerek söyleyen odadaki muhaliflerdir. Kırmızı ekip oluşturmanın özü budur ve herhangi bir güvenlik uzmanı, kuruluşlarındaki sorunları değerlendirmek, başarısızlığı önlemek veya güvenlik açıklarını azaltmak için bu tutumu benimseyebilir. Kırmızı bir takım üyesinin zihniyeti, organizasyonları daha iyiye doğru şekillendiren şeydir.