Professional Documents
Culture Documents
Nmnseh
Nmnseh
"لدينا أذنان وفم واحد حتى نتمكن من االستماع ضعف ما نتحدث "
عندما كنت صغيرا ،كنت أظن أنني أعلم كل شيء وكنت أجادل كثيرا ألكون على صواب
حتى عند مواجهة الحقائق التي أظهرت بشكل قاطع أنني كنت مخطئا ،كنت ذلك
الطفل الذي ال يرفع يده ألي سؤال في الفصل الدراسي ولكن هذا السلوك المتمثل
باالعتقاد بأنني كنت أذكى شخص على وجه األرض قد تم سحقه عندما أصبحت بعمر
أكبر وخاصة أثناء دراستي الجامعية وعندما بدأت في أول عمل لي تخلصت من كبريائي
وبدأت بطرح المزيد من األسئلة وبدأت بأخذ مقولة "ال يوجد شيء اسمه سؤال غبي"
على محمل الجد ومنذ ذلك الحين بدأت بطرح األسئلة واألهم من ذلك بدأت باالستماع
إلى ما قاله اآلخرون ،األمر الذي غير حياتي ومسيرة تعليمي وإلى هذا اليوم ما زلت
أقرأ كل ما يمكنني الحصول عليه وأظل قريبا من الخبراء المتقنين لمجاالتهم وحصلت
على معظم اإلجابات على اسئلتي المحيرة من قراءة الكتب وهذا األمر قادني
2 www.cyberpedia.site
في هذه السلسلة الممتعة جدا سألنا عدد من الخبراء في مجال األمن السيبراني أكثر
من عشرين سؤال حول كيفية بدايتهم في هذا المجال وكيف حققوا النجاح وسنشارك
الفريق األحمر:
الفريق األحمر هو تخصص في األمن السيبراني يتم من خالله اختبار اختراق الشبكات
والتطبيقات واألنظمة للعثور على نقاط الضعف والثغرات التي قد تؤدي إلى اختراق
النظام وفي بعض األحيانُ ،يسمح للفرق الحمراء باستغالل األنظمة للتحقق من أن
الثغرة حقيقية ويمكن للفرق الحمراء أيضا تنفيذ هجمات مادية أو حتى القيام بهجمات
الهندسة االجتماعية
الفريق األزرق:
والتطبيقات وأنظمة منع االختراق والتأكد من سرية جميع األصول وسالمتها وتوافرها
في يومنا الحالي تجمع المنظمات بين الفرق الحمراء والزرقاء وأحيانا تستخدم مصطلح
الفريق األرجواني
3 www.cyberpedia.site
لنبدأ مع الخبير األول
Twitter: @marcusjcarey
https://www.linkedin.com/in/marcuscarey/
ماركوس هو خبير في األمن السيبراني ومؤسس لشركة ناشئة لديه خبرة أكثر من
25عاما في العمل بحماية البيانات الحكومية والتجارية الحساسة ،بدأ حياته المهنية
في مجال األمن السيبراني في دراسة علم التشفير في البحرية األمريكية ومن ثم
التقنية متخصص في هذا المجال حتى طردت من العمل واضطررت لتغطية نفقاتي
وحصلت على عمل في شركة استشارية في الساحل الشرقي تقوم باختبار االختراق
وتطوير المنتجات.
تمكنت من اكتساب مهارات الفريق األحمر من خالل العمل في مركز الدفاع ضد
الجريمة اإللكترونية DC3 – Defense Cyber Crime Centerوفي تلك الفترة قمت
بالبحث وبالتدريس وبتطوير مناهج الدورات وتمكنت من الوصول إلى جميع أدوات
الفريق األحمر التي يمكنك تخيلها ،باإلضافة إلى لكل أدوات التحليل الجنائي الرقمي
4 www.cyberpedia.site
الموجودة على هذا الكوكب ،أنا محظوظ للغاية ألنني كنت في تلك المناصب والتي
" في يومنا الحالي تهيمن األدوات مفتوحة المصدر على مساحة الفريق األحمر ،مما
الحظ هو عندما تلتقي االستعدادات بالفرصة المناسبة ،إنه ألمر مزعج أنه تم تسريحي
من عملي ولكن كان من الجيد أنني امتلك مهارات الفريق األحمر لدفع الفواتير.
من غير المألوف أن يبدأ الناس مباشرة في وظائف الفريق األحمر وأفضل طريقة هي
اكتساب المهارات األساسية مثل كيف يعمل اإلنترنت وأنظمة التشغيل وهندسة
البرمجيات والبدء في دور ضمن الفريق األزرق ،في البداية سيسمح لك هذا الدور
ويمكنك التواصل من خالل هذا الدور عبر األحداث المحلية ومؤتمرات األمن السيبراني
اإلقليمية.
5 www.cyberpedia.site
كيف يمكن اكتساب مهارات الفريق األحمر دون الوقوع في مشاكل
قانونية؟
تحتوي على ثغرات أمنية الستخدامها عند محاولة التعلم في المنزل ،يوجد العديد
منها ،كن حذرا عندما تقوم بإعداد بيئة االختبار وتأكد من إعداد كرت الشبكة للنظام
الذي يحوي على ثغرات ليكون خلف NATأو غير متصل باإلنترنت ألن هذا األمر قد
إذا لم يكن لديك إذن من مالكي النظام وقمت باستخدام أدوات االختبار ضد هذا النظام
فمن المحتمل أنك ستنتهك بعض القوانين وإذا كنت تحاول االنضمام إلى للفريق
األحمر فحاول استغالل األنظمة التي تمتلكها فقط أو األنظمة التي لديك إذن كتابي
أعتقد أنه من الطبيعة البشرية أننا نرغب في االختالف عن بعضنا البعض وال سيما في
ما تعلمته هو أن هناك طرقا عديدة لحل المشاكل وفي كثير من األحيان ننتهي بنفس
الحلول لنفس الم شاكل التي نراها وينتهي بنا األمر إلى وجود حلول مختلفة لنفس
األمر وهذا يثبت صحة القول المأثور "ال توجد أفكار جديدة تحت الشمس"
6 www.cyberpedia.site
ما هو األمر الذي ال يفهمه اآلخرون حول التواجد في الفريق األحمر؟
وما أكثر األكاذيب السامة التي سمعتها فيما يتعلق بالفرق الحمراء
هناك صراع طبيعي بين الفريق األحمر والفريق األزرق ناتج عن مزيج من التجارب السيئة
وسوء الفهم.
أعتقد أن األمر السيء يأتي أحيانا من أشخاص يرتكبون أخطاء مدمرة مثل إزالة
السيرفرات أو ترك البرامج الضارة على أجهزة النقاط النهاية والمشكلة هي أن الجميع
يسمع قصص رعب عن الفريق األحمر ولكن ليس هناك الكثير من البيانات التي تدعم
هذا األمر.
بالمؤسسة؟
كيفية بناء وتأمين واختراق أي شيء مسؤول عنه ،رؤيتي المجنونة هي ألن الجميع
معرض للتهديد ولست بحاجة إلى أن يكون لديك فريق أحمر لالستفادة من مهارات
الفريق األحمر ،أنا دائما أقول "القيام بهجمات أكثر من قبل الفريق األحمر يؤدي لقلق
7 www.cyberpedia.site
كيف تفسر قيمة العمل الجماعي للفريق األحمر لعميل أو منظمة
أعتقد أن أفضل طريقة للقيام بذلك هي توضيح حقيقة أنه على الرغم من أن الفريق
األحمر يلعب دورا عدائيا إال أن أهداف الفريق األحمر الداخلية والخارجية تتماشى مع
أننا جميعا نريد حماية البيانات الحساسة واألنظمة الهامة وللحفاظ على الثقة بمرور
الوقت ،يجب أن تتجنب الفرق الحمراء الظهور أمام الفرق الزرقاء أو أصحاب المصلحة
الداخليين وال يمكنك القيام بذلك إال من خالل العمل بشكل وثيق كفريق ،ال يتطلب
مضاد الفيروسات
أوصي بأن تبدأ المنظمة بإدارة نقاط الضعف وإدخال السياسة الخاصة بالحماية
والحوكمة في اللعبة ،أرى عددا كبيرا جدا من المؤسسات التي تجري عمليات "اختبار
االختراق" لالمتثال ،أضع هذه الكلمات بين عالمات االقتباس ألن المؤسسات عادة ما
8 www.cyberpedia.site
ما هو عنصر التحكم األكثر أهمية أو األسهل من حيث التنفيذ والذي
لقد رأيت بنفسي كيف أن هذا األمر يقلل بشكل كبير من الهجمات الناجحة على
الشبكة ،ينطبق هذا التحكم البسيط على المؤسسات من أي حجم ومن السهل تنفيذ
الفرق الوحيد بين الشخص الجيد والشخص السيئ هو أن الشخص الجيد يتبع القواعد،
انتهاك قواعد االتفاقية المسبقة أو ما يعرف باسم قواعد االشتباك rules of
engagementيكسر الثقة بين الفرق وإذا انتهكت قواعد االشتباك فقد تخالف القانون
أيضا.
هذا األمر؟
من أكثر األشياء المحرجة التي فعلتها على اإلطالق فيما يتعلق بالفريق األحمر هو
امتالك ذاكرة USBكان اسم وحدة التخزين الخاصة بها ماركوس كاري واكتشف برنامج
لن أرتكب هذا الخطأ مرة أخرى ،أنا أشارك هذه القصة حتى ال يحدث لك ذلك.
9 www.cyberpedia.site
ما هو أكبر مأزق أخالقي واجهته أثناء عملك على هدف معين؟
والسبب في ذلك أنك قد تسبب ضررا فعليا لألشخاص وسبل عيشهم ويتطلب مني
هذا األمر دائما وجود عدد قليل من المديرين التنفيذيين في النطاق حتى ال تتمكن
اإلدارة من إلقاء اللوم على موظفيها وفي بعض األحيان كنت أخفي هوية الشخص
إذا كنت تعمل مع فريق فإن التواصل واالتصال هي العناصر األكثر أهمية ،قم بتقسيم
العمل وتأكد من توثيق كل ما تفعله ،الثقة مهمة أيضا ،ألنني قد واجهت مواقف
أوصي أيضا باستخدام األدوات التعاونية حتى يتمكن الجميع من رؤية ما يفعله
زمالئهم في الفريق ،الشفافية دائما تفوز باإلضافة ألمر آخر وهو عدم الخوف من
طلب المساعدة فإذا كان زميلك في الفريق خبيرا في أمر معين فما عليك سوى طلب
المساعدة منه.
10 www.cyberpedia.site
ما هو أسلوبك في استخالص المعلومات ودعم الفرق الزرقاء بعد
اكتمال العملية؟
االحتراف هو المفتاح
نظرا ألننا جميعا بشر ،يمكن أن تلعب المشاعر دورا عند استخالص المعلومات للفرق
الزرقاء الداخلية والخارجية ،أخبرهم دائما أنك في نفس الفريق بهدف انجاز المهمة
الكبيرة وإذا قمت بذلك بشكل صحيح فسيكون لديهم خطة مفصلة لكيفية تصحيح أي
مشكالت تم اكتشفتها.
المشكلة ما زالت موجودة ،ال تغضب وحاول التعامل مع هذا الموقف بشكل احترافي
إذا كنت ستنتقل إلى الفريق األزرق فما هي خطوتك األولى للدفاع
الخطوة األولى المتالك القدرة على الدفاع ضد الهجمات هي وضع السياسة واتباعها
أكرر :اتبعها
11 www.cyberpedia.site
ال يطبق الناس السياسات ألنها تبدو مرهقة ،يجب النظر إلى السياسة األمنية مثل
الخريطة ،قد ال تكون في المكان الذي تنص السياسة على وجودك فيه ولكن إذا لم
نصيحتي هي عدم إعادة اختراع العجلة فهناك الكثير من الموارد المتاحة لوصف نقاط
الضعف واالستغالالت ،ال تتردد في الحصول على المحتوى من NIST, CVSS or MITER
ATT & CKواالستشهاد بها كمراجع ألن االستشهاد بهذه المصادر كمراجع يعزز في
المقترحة ،إذا كنت تستخدم هذه الموارد فسيكون من السهل كتابة التقرير ويسهل
كيف تضمن أن تكون نتائجك ذات قيمة لألشخاص الذين يحتاجون إلى
سرد كامل؟
أعتقد أنه من المهم استخدام شيء يخبر كال الجانبين كامل التفاصيل
MITER ATT&CK Frameworkو إطار عمل األمن أنا أحب التعامل مع أمور مثل
12 www.cyberpedia.site
ومن الممكن أن تكون فعاال في مجال األمن السيبراني دون إتقان جميع المهارات
أحاول دائما العثور على بعض األمور التي يجب على المنظمات تطبيقها بشكل صحيح
والحصول على نتائج ملموسة من خاللها مثل تطبيق المصادقة الثنائية وطول كلمة
هناك طريقة أخرى للمساعدة بصفتك عضوا في الفريق األحمر وهي فهم طرق إصالح
المشاكل ،سواء على النظام أو على الشبكة أو في التعليمات البرمجية التي تساعدك
لبناء صداقات وعالقات عديدة ،لقد جلست جنبا إلى جنب مع مديري العديد من
األنظمة لمساعدتهم في كتابة أوامر لتقوية الحماية الخاصة بأنظمتهم وهذا األمر
مهم وخاصة إذا كنت تعمل ضمن فريق أحمر داخل الشركة.
ما هي المهارات الغير تقنية التي تبحث عنها عند تعيين أعضاء
التعاطف ،هو مهارة عظيمة يجب امتالكها عندما تنقل أخبارا سيئة.
بصفتك عضوا في الفريق األحمر سيتعين عليك تقديم بعض األخبار السيئة بين الحين
واآلخر ،ضع نفسك مكان الشخص اآلخر وتعامل مع هذا األمر بعاطفة وحكمة.
13 www.cyberpedia.site
ما الذي يميز العبي الفريق األحمر الجيد ليكونوا قادرين على التعامل
أعتقد أن أعضاء الفريق األحمر الجيدين يدرسون ويعرفون كيف تعمل كل التقنيات
ذكرت التعاطف من قبل كما يمكن لعضو الفريق األحمر الجيد أن يضع نفسه في عقلية
مسؤول النظام أو مهندس الشبكة أو مطور البرامج وأن يحل المشاكل التي يواجهها
ودائما ما يكون العب الفريق األحمر الجيد متعطش لتحسين مهاراته ومساعدة اآلخرين
14 www.cyberpedia.site
الخبير الثاني :David Bell
Twitter: @operant
يشغل ديف حاليا منصب مدير الفريق األحمر لشركة GE – General Electricحيث يقود
العالم وقبل انضمامه إلى هذه الشركة ،أمضى ديف 10سنوات مع الفريق األحمر
للبحرية األمريكية ،حيث خطط وقاد ونفذ العديد من عمليات االختبار ضد جميع فروع
لقد بدأت في عام 2006مع الفريق األحمر للبحرية األمريكية كمقاول وكنت قد أمضيت
وقتها حوالي ستة أشهر في العمل الليلي كمحلل ألنظمة كشف االختراق مع شركة
مقاوالت أخرى وقبل ذلك كنت في الخدمة الفعلية في البحرية ومعظم فترة خدمتي
الشهادات الخاصة باختراق الشبكات وكان ذلك كافيا لدخولي إلى هذا المجال واآلن
15 www.cyberpedia.site
ما هي أفضل طريقة للحصول على عمل ضمن الفريق األحمر؟
هذا السؤال ُيطرح علي بشكل دائم وما زلت أجد صعوبة في اإلجابة عليه.
ليس هناك "طريقة صحيحة" لتصبح عضوا في الفريق األحمر ،لقد عملت مع رجل ذكي
جدا وقد قاد الجرافات في وقت من األوقات ،أشير لهذا األمر إلظهار أن القدرة على
التفكير كمهاجم هي أمر بالغ األهمية وهذا األمر ال يمكن تعليمه ،يمكننا تعليم
المهارات التقنية ولكن العقلية تأتي من الفطرة ،إذا كان لدى شخص ما العقلية
الصحيحة فإن نصيحتي هي متابعة التدريب والحصول على الشهادات والمشاركة في
مسابقات CTF – Capture The Flagكل هذه األمور تشير إلى أن المرشح ملتزم
وسيواصل العمل وتعطيني فكرة عن كيفية أداء المرشح كجزء من الفريق وأقترح أيضا
البدء بوظائف أخرى في مجال األمن السيبراني مثل تحليل الهجمات أو التعامل
ال ينبغي أن يكون هذا األمر مشكلة بعد اآلن وخاصة بعد توفر الكثير من فرص التدريب
توفر المنصات السحابية بيئات تعلم فعالة وغير مكلفة من الناحية المادية ولهذا
السبب لم نعد بحاجة إلى شراء معدات قديمة لبناء مختبر منزلي.
16 www.cyberpedia.site
لماذا ال نتفق على ما هو الفريق األحمر؟
كوني قادم من مجتمع الفريق األحمر العسكري األمريكي فلدي وجهة نظر قوية جدا
حول إساءة استخدام هذا المصطلح وغيره من المصطلحات ذات الجذور العسكرية.
من المغري إلقاء اللوم على التسويق الصناعي في هذا األمر ولكنها في الحقيقة
مشكلة مجتمعية ،اختبار االختراق هو نظام منفصل عن الفريق األحمر ،كما أن هناك
فرق كبير بين الفرق الحمراء الداخلية والفرق الحمراء االستشارية و يمكن أن تتسبب
هذه االختالفات في إرباك العمالء الذين يريدون فقط أفضل أمر وفق الميزانية
المتوفرة لديهم.
ما أكثر األكاذيب السامة التي سمعتها فيما يتعلق بالفرق الحمراء
قد تكون عمليات الفريق األحمر مملة نوعا ما إلنه عمل تحليلي مفصل ولكنه أيضا
يرى معظم الناس النقاط البارزة فقط في استخالص المعلومات ألن لديهم مفاهيم
17 www.cyberpedia.site
متى يجب تقديم فريق أحمر رسمي إلى برنامج الحماية في
المؤسسة؟
غالبا ما أخبر الناس أنهم ال يحتاجون إلى مشاركة الفريق األحمر حتى يتمكنوا من فهم
هذا العمل وبمجرد أن تشعر المنظمة أنها تتفهم جميع التهديدات ولديها تعامل جيد
مع األمور فقد حان الوقت لفريق أحمر جيد لتحدي هذه االفتراضات.
ال أستطيع أن أؤكد هذا بما فيه الكفاية ،يتعين على الفريق األحمر فهم ما يهاجمونه
في سياق العمل الذي يدعمونه ولهذا السبب يجب فهم طبيعة األعمال وإظهار هذا
الفهم سيقطع شوطا طويال نحو بناء الثقة والشراكة الحقيقية مع العميل.
على الرغم من أن هذا األمر يعتبر وظيفة حماية مهمة ،إال أنني نادرا ما أرى أنها تتم
بشكل صحيح وخاصة إذا كانت المؤسسة ال تحتفظ بجرد دقيق لألصول فكيف يمكن أن
18 www.cyberpedia.site
هل سبق لك أن أوصيت بعدم القيام بمشاركة الفريق األحمر؟
لقد اكتشفت أنه بينما يطلب العديد من العمالء مشاركة الفريق األحمر فإنهم غالبا
ما يبحثون (دون قصد) عن اختبار تطبيق ويب أو شكل آخر من اختبار االختراق محدود
النطاق وفي هذه الحاالت أقوم بتوجيههم لفريق آخر يمكنه تلبية احتياجاتهم بشكل
أفضل
قد يرى البعض هذا األمر على أنه "خسارة عمل" ولكنني أرى أنه بناء للثقة مع العمالء.
نادرا ما تحتاج أجهزة النقاط النهاية إلى القدرة على التواصل مع بعضها البعض عبر
الشبكة ويجب أن يؤدي حظر هذا النوع من حركة البيانات أو مراقبته إلى قطع شوط
طويل نحو الحد من الحركة الجانبية للمهاجم للتوسع في الهجوم والوصول ألجهزة
ضع في اعتبارك أن المهاجم يسعى وراء البيانات الموجودة في قاعدة البيانات وما
إلى ذلك ويستخدم ما يسمى بالحركة الجانبية للوصول لهذه األنظمة الخاصة بقواعد
البيانات والحصول على األذونات أو الصالحيات الالزمة لذلك ولهذا السبب عندما أقلل
من هذه الحركة قدر اإلمكان فإني أمنع المهاجمين من القيام بذلك.
19 www.cyberpedia.site
لماذا تعتقد أنه من المهم االلتزام باتفاقية حدود االختبار؟
Engagementلتحديد كيفية إجراء المهمة المطوبة تحديد نطاقها وبمن يجب االتصال
تعتبر قواعد االشتباك ROEشبكة األمان األساسية لكل من الفريق األحمر والعميل
وإذا انحرف الفريق األحمر عن هذه القواعد فقد تتعطل األنظمة أو يمكن إنشاء
ظروف أخرى غير آمنة ومع ذلك ،يمكن أن تحدث الحوادث (بالفعل تحدث) لذا فإن قواعد
االشتباك الجيدة ستحدد عمليات اإلبالغ عن تلك الحوادث وسيكون الفريق األحمر صادقا
لم أقم مطلقا بعمليات اختبار اختراق و لكنني كنت جزءا من العديد من مشاركات
الفريق األحمر بما في ذلك عمليات استغالل للشبكات السلكية والالسلكية وحتى
إحدى قصصي المفضلة هي عندما تم ضبطي أنا وزميلي في الفريق أثناء محاولة
إقناع بعض األفراد العسكريين بالسماح لنا بتوصيل محرك أقراص USBصغير ،سمع
ضابط رفيع المستوى المحادثة من الغرفة المجاورة واندفع على الفور لمواجهتنا وكان
يرتجف من الغضب
20 www.cyberpedia.site
وأخبرنا:
"الفريق األحمر فعل هذا بي العام الماضي ولن تفعل ذلك مرة أخرى!"
لم يكن لدي أي فكرة عما كان يتحدث عنه ولكنني كنت أعلم أن لدي خيارين :إما أن
أتراجع وأعترف بأنني تم اإلمساك بي أو يمكنني الحفاظ على هذه الشخصية والتفاعل
بنفس الطريقة التي قد يتخذها أي شخص آخر في هذا الموقف ،اخترت الخيار الثاني
وبدأت في الصراخ بأنني ال أقبل هذه االتهامات وأنني كنت أحاول القيام بعملي
فقط.
أخذنا هذا الضابط إلى مسؤول األمن الخاص به و أخبره أن بطاقات التعريف (المزورة
في الواقع) تبدو طبيعية بالنسبة لهم و بينما غادر الضابط األول الغرفة السترداد
مفتاح التشفير لهاتفه (حتى يتمكن من االتصال بـ "رئيسي") أوضحت لضابط األمن أن
ما هو أكبر مأزق أخالقي واجهته أثناء عملك على هدف معين؟
أن ُيطلب منك "استهداف" أفراد معينين ،هذا أمر مخيف بعض الشيء.
أفضل عدم القيام بذلك وسأجادل دائما ضد هذا األمر ،ليس لدي مشكلة في
استهداف أدوار أو مناصب معينة داخل المنظمة ومع ذلك ،طالما أن هناك نموذجا
أحد األمثلة عندما طُ لب مني إلقاء نظرة على صفحات وملفات وسائل التواصل
االجتماعي للمديرين التنفيذيين وعائالتهم وهنا يجب أن تكون الضوابط الدقيقة في
مكانها وأن ُيمنح اإلذن الصريح قبل أن أقوم بمهام مثل هذه.
21 www.cyberpedia.site
كيف يعمل أعضاء الفريق األحمر معا إلنجاز المهمة؟
غالبا ما تكون القدرة على العمل كفريق متماسك هي ما يميز الفرق عالية الفعالية
عن الفرق األخرى ويجب أن يكون كل عضو في الفريق مهم وماهر وموهوب ولكن ال
يوجد عضو في الفريق يتمتع بمهارات عالية بحيث يمكنه من خاللها إكمال العمل بدون
التوثيق التفصيلي له أهمية قصوى أثناء عمل الفريق األحمر ،يدفع العميل مقابل
اكتمال العملية؟
يجب أن تكون عملية استخالص المعلومات مخصصة للجمهور دائما ويجب أن يحصل
المدافعون على تقرير تقني متعمق يرشدهم خالل مسار الهجوم من البداية إلى
النهاية ويجب تحديد وقت كافي لألسئلة ويجب أن يكون الفريق األحمر مستعدا ألي
تقارير متابعة لألشخاص الرئيسيين الذين لم يتمكنوا من الحضور لسبب ما ،كما أشجع
الفرق على أن تكون متاحة إلجراء اختبارات مصغرة أو أشكال أخرى من الدعم لتمكين
22 www.cyberpedia.site
إذا كنت ستنتقل إلى الفريق األزرق فما هي خطوتك األولى للدفاع
ستكون خطوتي األولى هي فهم مصادر البيانات المتاحة والتأكد من أنها في
متناول المدافعين ،لقد اشتكى العديد من المدافعين من التحميل الزائد للبيانات ولكن
في كل عملية شاركت فيها ظهر نوع من النقاط العمياء وكلما زادت البيانات المتاحة
إلتزم بالحقائق وارسم صورة واضحة لمسار الهجوم وال تستخدم المصطلحات المعقدة
التقرير هو المنتج الذي تقدمه وهذا هو ما يدفع الزبون من أجله وال يوجد شيء آخر
مهم غيره ،لذا عليك القيام بذلك بشكل صحيح في كل مرة وإذا كانت هناك أسئلة
إضافية بعد المتابعة فأجب عنها بسرعة وبدقة وقم بتدوينها في تقريرك التالي.
23 www.cyberpedia.site
كيف تضمن أن تكون نتائج برنامجك ذات قيمة لألشخاص الذين
سيختلف هذا األمر مع كل مؤسسة ولكن الطريقة الجيدة للبدء هي تحديد العمالء
يختلف العمالء عن أصحاب المصلحة ويصبح هذا التمييز مهما عند محاولة تحديد
األولويات للعمل والتقارير وبمجرد تحديد العمالء وأصحاب المصلحة الحقيقيين يجب أن
تبدأ قيادة الفريق األحمر في تكييف اتصاالتهم مع هؤالء األفراد ويجب أن تكون
يتطلب هذا األمر تعلم وفهم األعمال وفهم كيف تتناسب التكنولوجيا التي قام
فريقك بتقييمها للتو مع تلك العمليات وبالتالي تأثير إجراءات فريقك على العمل ككل.
غالبا ما ُيطلب من الفرق الحمراء تقديم توصيات لتحسين الحماية واألمان ،تقدم الفرق
الحمراء نظرة سريعة على بيئة العمل و من المحتمل أال يكون لدى الفرق الحمراء أي
فكرة عن سبب ظهور البيئة بالشكل الذي تبدو عليه ولكن من شبه المؤكد أنه تم
اتخاذ قرارات في مرحلة ما لسبب خاص بالعمل بهدف تصميم وبناء البيئة بهذه
الطريقة المعينة.
24 www.cyberpedia.site
تتمثل إحدى الطرق الفعالة أخذ تلك األمور في االعتبار ويجب أن يجلس الفريق األحمر
مع الفرق المسؤولة عن تنفيذ اإلصالحات والسير في مسار الهجوم من البداية إلى
النهاية ،يساعد هذا األمر مسؤولي الشبكة في إلقاء نظرة خاطفة على عقل
المهاجم ،كما يساعد الفريق األحمر على فهم التحديات التي يواجهها أصحاب الشبكة
وبعد ذلك ،يمكن إجراء عصف ذهني لعمليات التخفيف المحتملة ووضعها على رأس
الجدول مما يؤدي إلى الحصول توصيات عالية الجودة يمكن تنفيذها بالفعل ويمكن
للفريق األ حمر العودة في وقت الحق وإعادة اختبار البيئة لمعرفة ما إذا كانت
ما هي المهارات الغير تقنية التي تبحث عنها عند تعيين أحد أعضاء
عندما أتحدث إلى المرشحين أقوم بالبحث عن المواقف اإليجابية والدوافع الداخلية
القوية وغالبا ما يجد العاملون في الفريق األحمر أنفسهم غارقين في عمليات التحليل
والتي يمكن أن تحدد نتائجها نجاح عملهم ،لذلك من المهم أن يكون المرشحون
قادرين على تحفيز أنفسهم على االستمرار وعدم تضيع الهدف وعدم الشكوى من
أنهم "ال يقومون بأشياء رائعة" عادة ما يكون عمل الفريق األحمر ممال جدا ،باستثناء
لحظات األدرينالين العالي عند الحصول على النتائج الرائعة ،لذلك يحتاج المرشحون إلى
إعطاء االنطباع بأن لديهم الصبر والتصميم على إنجاز المهام المطلوبة.
25 www.cyberpedia.site
ما الذي يميز العبي الفريق األحمر الجيد عندما يتعاملون مع مشكلة
أعضاء الفريق األحمر الجيدون قادرون على التفكير والتخطيط والتصرف كمهاجم
وغالبا ما ُيشار إلى هذه القدرة على أنها عقلية المهاجم ،لكنها تتعلق بأسلوب حياة
أكثر من كونها مجرد شيء يمكن تشغيله أو إيقاف تشغيله حسب الحاجة ،على سبيل
المثال :بمجرد أن يتم تدريب فريق العمل األحمر الجيد وإجراء عمليات اختراق مادية فإن
هؤالء العناصر سيقومن بشكل اعتيادي وبدون وعي برصد كل مبنى يدخلونه و
سيقومون وبشكل تلقائي بتدوين موقع وزاوية الكاميرات ومكان عناصر األمن ونوع
وحالة األقف ال على األبواب والنوافذ وما إلى ذلك ،كل هذه األمور تتم دون التفكير
في األمر وينطبق الشيء نفسه على أعضاء الفريق األحمر أثناء العمل على لوحة
المفاتيح ،سيطورون قدرة فطرية على الشعور بنقاط الضعف والثغرات ويفهمون
بشكل حدسي ليس فقط كيفية استغاللها ولكن ما إذا كان ينبغي عليهم استغاللها
يصعب تحديد هذه الجودة في المرشحين بل ويصعب التعبير عنها بالكلمات ومع ذلك،
فقد رأيت نتائج جيدة عند قيام المرشحين بإظهار مواهبهم في تحديات المهارات
تخبرنا الطريقة التي يتعامل بها المرشح مع المشاكل في بيئة افتراضية عالية الضغط
عما إذا كانت عقلية المهاجم موجودة بالكامل لديه أو تحتاج إلى تطوير أو ببساطة غير
26 www.cyberpedia.site
موجودة ،ال يمكن ألي شخص أن يفكر بهذه الطريقة وال يمكن للجميع أن يكونوا في
الفريق األحمر.
ال بأس بذلك ،لقد رأيت أشخاصا أذكياء جدا يكافحون مع هذا الجانب ولكن بعد ذلك
27 www.cyberpedia.site
الخبير الثالث :Paul Brager
Twitter: @ProfBrager
نظرا لكونه قائدا فكريا وخبيرا في مجتمع األمن السيبراني ألكثر من 25عاما ،يتمتع
بول بخبرة عميقة في تقييم البنية التحتية الحيوية ألصول المصانع (األنظمة الصناعية)
وأجهزة انترنت األشياء IoTوتأمينها والدفاع عنها ويسعى بصفته متحدثا وباحثا
شغوفا إلى المضي قدما في األمور الخاصة بحماية أنظمة التحكم الصناعية – ICS
المقابالت والمنشورات والندوات عبر اإلنترنت والتي قدمت إرشادات ونظرة ثاقبة حول
لدى بول شغف بتوجيه األشخاص الذين يتطلعون إلى المساهمة في تقدم الصناعة
بدايات فريقي األحمر (مثل معظم التجارب في هذا المجال) جاءت من الضرورة.
Windows 95نعم عندما كنت أعمل في شركة كانت تستخدم نظام التشغيل
Windows 95ال تستغرب كان هذا األمر في منتصف التسعينيات وأثناء عملي كنت
بحاجة إلى بعض المهارات لتنفيذ األعمال المطلوبة مني وبدأت اتعلم بعض تقنيات
االختراق الخاصة بأنظمة التشغيل وعندها كنت بحاجة إلى بعض المعرفة بنظام Linux
وإلى معرفة كيفية عمل األقراص والتقسيمات داخل نظام Windowsوكنت أمضي
ساعات طويلة في بناء (وإعادة بناء) البرامج الخاصة بعمليات نظام التشغيل Windows
28 www.cyberpedia.site
95وبالفعل تمكنت بنجاح من الوصول إلى آلية عمل Windows 95واستعادة الكود
هذا األمر يعتمد على السؤال التالي :ما هو عمل الفريق األحمر ؟
اختبار االختراق بشكل كامل؟ اختبار االختراق ضد فئات معينة من األصول وبعبارة أخرى
أفضل طريقة للحصول على وظيفة في الفريق األحمر هي أن تفهم أوال ما الذي
األمر وبالتأكيد فإن الخبرة هي المفتاح هنا ولكن ليس بشكل دائم ففي بعض
في يومنا الحالي من السهل اكتساب مهارات الفريق األحمر دون الوقوع في مشاكل
قانونية ،العديد من األدوات التي نحتاجها هي مفتوحة المصدر ويمكن الحصول عليها
بسهولة وينطبق هذا األمر أيضا على الوصول إلى العديد من أنظمة التشغيل التي
قد تكون أهدافا محتملة ،لقد فتح عالم المحاكاة االفتراضية الباب أمام إنشاء مختبرات
افتراضية يمكن تدميرها وإعادة بنائها دون أي تأثير على أي شخص آخر غيرك بالطبع
29 www.cyberpedia.site
و باإلضافة إلى ذلك ،هناك العديد من المنصات القابلة لالختراق المتاحة الختبار
كما هو الحال مع العديد من األمور في مجال األمن السيبراني ،هناك دائما اعتقاد
ضمني عند مناقشة ما هو الفريق األحمر ،يعتقد البعض أن الفريق األحمر هو مجرد
فريق للهجوم ويعتقد البعض اآلخر أن الفريق األحمر هو أكثر قوة ومنهجية من ذلك
بكثير وبالنسبة لي أعتقد أن هذا األمر يعتمد في النهاية على منظور الجمهور
بالنسبة ألولئك الذين يعملون في بيئة الشركات ،يعطي الفريق األحمر اسما أكثر أناقة
الختبار االختراق لغرض غير ضار وهو يولد إحساسا بالبنية والمنهجية التي تعزز القدرات
ما أكثر األكاذيب السامة التي سمعتها فيما يتعلق بالفرق الحمراء
التواجد في فريق أحمر ال يجعل الشخص شريرا أو ضارا وبدال من ذلك ،فإن ما يثيرهم
في مجال األمن السيبراني يميل إلى أن يكون امتالك القدرات الهجومية.
يعد البحث عن نقاط الضعف القابلة لالستغالل واكتشافها أمرا شاقا ومضنيا والقدرة
على القيام بذلك وتوضيح النتائج بطريقة قابلة للفهم يعد فنا أكثر من كونه علما.
30 www.cyberpedia.site
أكثر األكاذيب السامة التي سمعتها حتى اآلن هي أن متخصصي األمن السيبراني
يتناسبون تماما مع واحدة من ثالث مجموعات :الفريق األحمر والفريق األزرق والفريق
األرجواني ،يعطي هذا األمر تصورا بأن محترفي األمن السيبراني هم مترابطون وهذا
يجب أن يفهم أعضاء الفريق األحمر كيف يمكن إحباط محاوالت االختراق أو اكتشافها
وأن يتوصلوا إلى تدابير مضادة لتقليل احتمالية حدوث ذلك ويجب أن يفهم أعضاء
الفريق األزرق لحد ما ،طريقة تفكير المهاجمين واألسلوب المتبع والتقنيات
معظم متخصصي األمن السيبراني هم ظالل من اللون األرجواني ،حيث يكون اللون
متى يجب تقديم فريق أحمر رسمي إلى برنامج الحماية للمؤسسة؟
يمكن إدخال فريق أحمر رسمي في برنامج الحماية في أي وقت ،تعتمد قيمة وفائدة
القيام بذلك إلى حد كبير على ما يمكن اكتسابه من تمارين الفريق األحمر فإذا كان
القصد هو فهم سطح التهديد وإلى أي درجة يكون البرنامج (أو جزء من البرنامج)
ضعيفا فمن المعقول إشراك خدمات الفريق األحمر في وقت مبكر من مرحلة تطوير
البرنامج كأداة لوضع إطار أفضل للمخاطر الكلية وبالمثل ،يمكن أن تكون مشاركة
الفريق األحمر الرسمي جزءا من استراتيجية الحماية الشاملة ودورة الحياة إلعادة تقييم
31 www.cyberpedia.site
كيف تفسر قيمة العمل الجماعي للفريق األحمر لعميل أو منظمة
قد يكون الضغط من أجل تكوين فرق حمراء داخل المؤسسة أمرا صعبا وخاصة إذا لم
ينضج برنامج الحماية في المؤسسة بعد تقييم الضعف أو إدارة الثغرات األمنية.
باإلضافة إلى ذلك ،إذا لم تستثمر المنظمة بشكل كافي في الضوابط أو الموارد فقد
يكشف الفريق األحمر عن نقاط الضعف التي لم ُتدرج في الميزانية والتي ال توجد
كان نهجي دائما هو تأطير فكرة الفريق األحمر كوظيفة إلدارة المخاطر أو التخفيف
منها ،يسمح العمل الجماعي للفريق األحمر للمؤسسة بالعثور على ثغرات قد تكون
مع العدد الهائل من المنتجات والخدمات والقدرات األمنية المتوفرة في السوق ،يجب
أن تدعم جميعها مفهومين رئيسيين :الكشف واالستجابة ومع ذلك ،فإن العديد من
المؤسسات األمنية ليست مجهزة بالموظفين بشكل مناسب الستهالك جميع البيانات
أدوات اكتشاف التهديدات تقدم فائدة أقل من المتوقع منها ألنها ال تزال تتطلب
ارتباطا بالبيئة التشغيلية ،األمر الذي يتطلب ضمنيا كوادر بشرية ،حتى مع األتمتة
والتنسيق بين جدران الحماية و أنظمة كشف ومنع االختراق IDS / IPSوأنظمة إدارة
32 www.cyberpedia.site
األحداث األمنية SIEMفإن االستفادة من معلومات التهديد بشكل صحيح يتطلب موارد
في حياتي االستشارية ،أوصي عموما بعدم العمل الكامل للفريق األحمر إذا كان هناك
عدم نضج كبير واضح في برنامج أمان المنظمة أو إذا تعذر تسوية قواعد االشتباك
إلجراء عمل الفريق األحمر بأمان ،ما تم التوصية به في الماضي هو نهج أكثر تدريجيا،
يتبع نطاقا محدودا من األهداف ثم يتوسع تدريجيا مع زيادة النضج األمني للمؤسسة.
يمكن أن يكون التدريب على الوعي األمني أحد أسهل وأهم عناصر التحكم التي تعزز
المدار والمشهد
يمكن أن يكون سلوك المستخدم هو الفرق بين مشهد التهديد ُ
الجامح وفي كثير من الحاالت ،سيرى المستخدم النهائي الحوادث قبل الحماية ،لذا
وباإلضافة إلى ذلك يمكن االستفادة من بعض ضوابط الحماية المعتمدة على خدمات
الحوسبة السحابية لتعويض التكاليف العالية للبنية التحتية ،إذا كان ذلك يمثل عائقا،
33 www.cyberpedia.site
هذا األمر مفيد للشركات الصغيرة والمتوسطة الحجم ذات الموظفين أو الميزانيات
المحدودة.
يتم وضع اتفاقية االختبار أو ما يعرف باسم قواعد االشتباك كعالمات خارجية ألي فريق
أحمر أو ألي عملية اختبار اختراق إلنها توفر بشكل أساسي الغطاء العلوي لألنشطة
التي قد تسبب ضررا أو انقطاعا عن الخدمة ،حتى لو كان ذلك بشكل غير مقصود
وباإلضافة إلى ذلك ،يمكن أن تكون قواعد االشتباك هي بطاقة "الخروج من السجن"
في حالة حدوث شيء ما بشكل جانبي وقد يؤدي االنحراف عن هذه القواعد إلى
تعرضك لقضايا المسؤولية القانونية وقد يكون هذا األمر مدمرا لحياتك المهنية.
الموقف؟
كان لدي تجربة سابقة عند القيام باختبار اختراق بشكل مادي ألحد العمالء وأهمل
الراعي إخطار أمن الموقع عن تواجدي وبعد الوصول إلى المرفق من خالل باب مفتوح،
كنت أسير عبر المنشأة بقبعة صلبة ألبدو على أنني عامل إصالح وقد تم القبض عليه
من قبل أمن الموقع والشرطة المحلية ومما زاد الطين بلة ،أن جهة االتصال الخاصة
بي لم تكن متاحة عندما اتصلوا لتأكيد أنني مصرح لي بإجراء اختبار االختراق وبعد
ما هو أكبر مأزق أخالقي واجهته أثناء عمليك على هدف معين؟
34 www.cyberpedia.site
أكبر مأزق أخالقي واجهته هو التعثر في ذاكرة التخزين المؤقت للحساب أو السجالت
المالية أو معلومات تحديد الهوية الشخصية في مكان ال ينبغي أن يكونوا فيه وتم
إعالمي من قبل الراعي بعدم الكشف عن التفاصيل لألفراد المتأثرين حتى اكتمال
بالنسبة لي ،هناك بعض االكتشافات التي تحظى باألولوية وتحتاج إلى اتخاذ إجراء
بشأنها على الفور وال سيما عندما يتعلق األمر بمعلومات التعريف الشخصية أو
المعلومات المالية وفي هذه الحالة ،كان الراعي يحاول إثبات نقطة لعضو آخر في
35 www.cyberpedia.site