Kırmızı ekibin parçası olarak çalıştığım gerçeklere dürüst bir yansıma
Kurumsal kırmızı ekip pozisyonunda güvenlik mühendisi olarak çalışıyorum. Çoğu insanın hayal ettiği şey “sistemleri gösterişli şekillerde hackleyen insanlar” dır, ancak bir şirket içinde çalışmanın gerçekliği çok daha karmaşıktır. Kurumsal bir kırmızı takım gerçekten kırmızı bir takım olarak çalışabilir mi? Künt olmak için öyle düşünmüyorum. Bugün, kırmızı, mavi ve mor takımlar ve beraberinde gelen mücadeleler arasındaki ilişki hakkındaki düşüncelerimi paylaşmak istiyorum.
Kırmızı, mavi, mor
Kırmızı, mavi ve mor, siber güvenlikte kullanılan en yaygın kategorilerdir. Penetrasyon testi veya hücum operasyonları yapan takımlara kırmızı takımlar denir. Sert veya dahili izleme gibi savunmadan sorumlu departmanlara mavi ekipler denir. Bu ikisi yakından işbirliği yaptığında, sonuç mor bir ekip kavramıdır. Bazıları ayrıca diğer güvenlik işlevlerini tanımlamak için bu fikri sarı, yeşil veya turuncu ekiplere genişletiyor.
Kırmızı bir takıma aitim, ancak bir şirketin sınırları dahilinde, gerçekten “kırmızı” bir şekilde çalışmak kolay değil.
Şirkette kırmızı takım
Bir şirkette bir güvenlik ekibine sahip olmanın amacı nihayetinde güvenliği güçlendirmektir. Doğal olarak, bu mavi hedeflere yaslanma eğilimindedir. Saldırgan teknikler kullandığımızda bile, sonuç daha mor görünüyor, hatta çivitçiye daha yakın görünüyor.
Örneğin, bir güvenlik açığı bulsak bile, sadece “bu sömürülebilir” ile bitmez. Raporlar yazmalıyız, hizmete göre uyarlanmış hafifletmeler önermeliyiz ve hatta mimari ayarlamaları tartışmalıyız. Çok geçmeden, bu çalışma saf bir kırmızı takımcıdan ziyade genel bir güvenlik mühendisine daha yakın hissediyor. Bu yüzden kurumsal bir ortamda gerçekten saf bir kırmızı takımın sürdürülmesinin zor olduğunu düşünüyorum.
Kırmızıdan çivitçiye
Becerilerimiz kırmızı olabilir, ancak çevre bizi mora ve nihayetinde indigo’ya iter. Kırmızı ekip üyeleri – OFFUSIVE GÜVENLİK MÜHENDİSLERİ – bu gerçeklikle karşı karşıya. Sadece uyum sağlarsak, yavaş yavaş daha mavi oluruz, ancak dengeyi korumak mümkündür. Kişisel düzeyde, bu, saldırgan becerilerle dokunmayı kaybetmekten kaçınmak için sürekli olarak araştırmak ve çalışmak anlamına gelir. Örgütsel veya kültürel düzeyde, daha gerçekten “kırmızı” iş yapma fırsatları yaratmak anlamına gelir.
Son zamanlarda, Kore’deki çeşitli güvenlik olayları nedeniyle, kırmızı takımlar daha fazla tanınıyor. Bazı şirketler gerçek kırmızı takım işlevlerine adanmış pozisyonlar bile oluşturuyor. Bunu olumlu bir işaret olarak görüyorum.
Mor Gitmek mi?
Varsayılan olarak, bir şirket içindeki güvenlik mühendisleri kaçınılmaz olarak mavi takım tarafına doğru eğilir. Bu durumda, mor hedeflemek genellikle Indigo’ya daha ileri gitmek gibi hissettirir. Bu yüzden “gerçekten mor bir takım üyesi olmak için, önce kırmızıya daha derine inmelisin.” Sağlam kırmızı temel, uygun bir mor denge yaratmanın tek yoludur.
Bu alanda 10 yıldan fazla bir süre sonra, işimin saldırgan tarafının her yıl yavaş yavaş küçüldüğünü hissediyorum. Tabii ki, güvenlik açıkları bulma yeteneğim ve penetrasyon becerilerim daha önce de iyileşti – ama yine de bir şey eksik hissediyor.
Yıl sonuna kadar yapacak çok şeyim var (elbette çoğunlukla kalkınma çalışmaları), ama bu düşünceler muhtemelen benimle kalacak. Basit bir cevap yok, ama benim için bir şeye geliyor: asla kırmızı bırakma.
Gemini tarafından kırmızı, mavi, mor