مقدمة عن الفريق الأزرق - الجزء الأول | Intro To Blue Team

لنقوم بتبسيط الأمور قليلا بمثال :

إن افترضنا أن هناك فريقين يلعبون كرة القدم وهي اللعبة الأكثر شيوعا الآن ، فريق R  وهو الفريق الأحمر يتكون من لاعبي الهجوم الذين مهمتهم هي تسجيل الأهداف وإيجاد الثغرات الدفاعية في الفريق الآخر ، وهناك الفريق B وهو الفريق الأزرق الذي مهمته أن يمنع لاعبي الفريق R من إيجاد الثغرات الدفاعية ومنعهم من التسجيل .

ذلك المثال قد بسط مهمة الفريق B وإن لم تستطع فهم ذلك المثال بشكل كامل ابقي معي .

حتى نفهم مهمة الفريق الأزرق بشكل موضح، لنتعرف أولا عن مجالته وتخصصات العمل به:

1. soc
2. Monitoring
3. Incident Response
4. Digital Forensics
5. Malware Analysis
6. Threat Intelligence
7. Threat Hunting
8. Secure Network Design

ننتقل لشرح بعض أشهر تلك المجالات وسنترك باقي المجالات لمقالات أخرى :

1- مجال الـ soc

هي اختصار لـ (security operations center) وهو الشخص الذي تراه يجلس أمام عدد من الشاشات يراقب عمليات التسجيل ويعمل وسط فريق مهمتهم منع حدوث أي خلل في سيستم الشركة أو تعرض الداتا الخاصة بالشركة للخطر وينقسم العاملون هنا تحت ثلاث مسميات أو تخصصات .  

soc t1 (level 1 )

مهمة العامل بهذا التخصص أن يقوم بمراقبة ال alerts (التنبيهات أو التحذيرات) والاطلاع على عمليات تسجيل الدخول (logs) ومراقبة ال events (الأحداث) تكوين وإعداد (Configure and manage) الأدوات الخاصة بالحماية والعمل مع فريق soc t2 (Incident Response) وتبليغه بالأحداث المشكوك فيها أو عمليات تسجيل الدخول الغير مصرح بها وذلك ينقلنا إلى التخصص التالي.

soc t2 (Incident Response)

قبل أن أقوم بشرح لك ماذا يعني ال IR دعني أعطيك مثال أولا حتى تتضح الأمور لك :

 أظن أن الكثير منا قد شاهد مسلسل Mr:Robot ، في الحلقات الأولة من الموسم الأول نرى المؤسسة قد تعرضت للهجوم من أحد فرق ال Hackers التي تسمي نفسها(fucksociety) ونري جيدون قد طلب المساعدة السريعة من إليوت أن يسافر معه لكي يوقف الهجوم الذي يحصل عليهم الآن ومعرفة من المتسبب به وكيف حدث هذا الهجوم .

حسنا إن وظيفة ال IR تشبه الذي قام به إليوت فهو مسؤول عن الاحتواء والتصدي ومحاولة التعافي (Recovery) من الهجوم والرد عليه ووضع خطة تسمى (IR Plane) للتصدي للحوادث والتي تحتوي على بعض الخطوات التي ذكرناها فوق مثل :

• الاستعداد (Preparation)
• التصدي والتحليل (Detection & Analysis)
• الاحتواء والتعافي (Containment, Eradication & Recovery)
• ما بعد الحادث أو بمعنى آخر الرد على الحادث (Post-Incident Activity)  

وسوف نشرح كل خطوة من خطوات ال (IR Plane) بالتفصيل في المقالات القادمة .

مجال الـ soc t3 (Threat Hunter)

قبل أن نقوم بشرح ما هو الـ TH عليك أن تفهم أنه من أهم الأدوار داخل منظمة الـ soc ويحتاج إلى أن يكون الشخص على قدر عالي من المعرفة بمجالات الـ blue team & Red team إلا أن الـ TH هو كيفية أو نهج استباقي للكشف عن التهديدات المتقدمة أو الحديثة (advanced threats)، التي استطاعت أن تتجاوز أجهزة الحماية أو لم يتم ملاحظتها من قبل الطبقات الأخرى داخل منظمة ال soc.

تعد عملية البحث عن التهديدات عملية تحليل أمان متقدمة تستفيد من المعرفة العميقة بشبكة أو مؤسسة للقبض على المهاجمين .

2- مجال الـ Digital Forensics

الطب الشرعي هو العملية الفنية لاستعادة أو جمع الأدلة التي سيتم استخدامها في التحقيق. فيما يتعلق بالعمليات الأمنية ، غالبًا ما يرتبط هذا الانضباط بمراقبة الموظفين للحفاظ على وضعية أمنية مشددة ، والمساعدة في الاستجابة للحوادث للكشف عن تفاصيل كيفية حدوث حل وسط وأي إجراءات لاحقة (تُعرف باسم DFIR) .

يغطي هذا المجال مجموعة من (forensic artifacts) مثل أجهزة الكمبيوتر وأجهزة الوسائط والهواتف الذكية للتحقيق في حادث. يساعد هذا الحقل متخصصي الأمن في تحديد (footprints left) التي تركها المهاجم عند وقوع حادث أمني ، واستخدامها لتحديد مدى الاختراق في بيئة ما، وإعادة البيئة إلى الحالة التي كانت عليها قبل وقوع الحادث .

لنبسط الأمر بمثال :

 إذا افترضنا أنه حدثت جريمة قتل في مكان ما ولكن لا أحد يعلم من هو القاتل أو كيفية حدثت عملية القتل ، لذلك تستعين الشرطة بالمحققين الذين يقومون بالكشف عن الأدلة التي قد تؤدي إلى الوصول إلى القاتل الحقيقي وكشف سبب حدوث الجريمة ، كذلك هي مهمة المحقق الجنائي الرقمي أن يكشف عن الأدلة التي استطاع منفذ الخطر أو التهديد (Threat Actor) اختراق المؤسسة بها وتنفيذ الهجوم وكيف اخترقها ومتى تم ذلك الهجوم ومن هو هذا الشخص الذي قام بهذا الهجوم .

إلى هنا نكون قد انتهينا من الجزء الأول من مقالتنا، سوف تجد مقالة أخرى تتحدث عن بعض أدوات الـ DF إذا أردت التعمق أكثر إن أحسنت فمن الله، وإن أسأت فمن نفسي والشيطان .