Apa Perbedaan Tim Merah dan Tim Biru dalam Cyber Security

Tim merah dan biru lebih dari sekedar referensi serangan dan defend. Faktanya, tim ini memainkan peran penting dalam bertahan dari serangan dunia maya tingkat lanjut yang mengancam komunikasi bisnis, data klien sensitif , atau rahasia dagang.

Tim merah adalah profesional keamanan ofensif yang ahli dalam sistem menyerang dan membobol pertahanan. Tim biru adalah profesional keamanan defensif yang bertanggung jawab menjaga pertahanan jaringan internal terhadap semua serangan dan ancaman dunia maya. Tim merah mensimulasikan serangan terhadap tim biru untuk menguji efektivitas keamanan jaringan. Latihan tim merah dan biru ini memberikan solusi keamanan holistik yang memastikan pertahanan yang kuat sambil tetap melihat ancaman yang berkembang.

Apa Itu Tim Merah?

Tim merah terdiri dari profesional keamanan yang bertindak sebagai musuh untuk mengatasi kontrol keamanan cyber . Tim merah sering kali terdiri dari peretas etis independen yang mengevaluasi keamanan sistem secara objektif.

Mereka memanfaatkan semua teknik yang tersedia (dibahas di bawah) untuk menemukan kelemahan pada orang, proses, dan teknologi untuk mendapatkan akses tidak sah ke aset. Sebagai hasil dari serangan simulasi ini, tim merah membuat rekomendasi dan rencana tentang cara memperkuat postur keamanan organisasi .

Bagaimana Cara Kerja Tim Merah?

Anda mungkin terkejut mengetahui (seperti saya dulu) bahwa tim merah menghabiskan lebih banyak waktu untuk merencanakan serangan daripada melakukan serangan. Faktanya, tim merah menggunakan sejumlah metode untuk mendapatkan akses ke jaringan.

Social engineering attacks , misalnya, mengandalkan pengintaian dan penelitian untuk mengirimkan phishing kepada target . Demikian juga, sebelum melakukan uji penetrasi, pengendus paket dan penganalisis protokol digunakan untuk memindai jaringan dan mengumpulkan informasi sebanyak mungkin tentang sistem.

Informasi umum yang dikumpulkan selama fase ini meliputi :

  • Mengungkap sistem operasi yang digunakan (Windows, macOS, atau Linux).
  • Mengidentifikasi merek dan model peralatan jaringan (server, firewall, sakelar, router, titik akses, komputer, dll.).
  • Memahami kontrol fisik (pintu, kunci, kamera, petugas keamanan).
  • Mempelajari port apa yang terbuka / tertutup pada firewall untuk mengizinkan / memblokir lalu lintas tertentu.
  • Membuat peta jaringan untuk menentukan host apa yang menjalankan layanan apa bersama dengan kemana lalu lintas dikirim.
Setelah tim merah memiliki gagasan yang lebih lengkap tentang sistem, mereka mengembangkan rencana tindakan yang dirancang untuk menargetkan kerentanan khusus untuk informasi yang mereka kumpulkan di atas.
Misalnya, anggota tim merah mungkin tahu bahwa server menjalankan Microsoft Windows Server 2016 R2 (sistem operasi server) dan bahwa kebijakan domain default mungkin masih digunakan.
Microsoft “mengirimkan” perangkat lunak mereka dalam keadaan default dan menyerahkannya kepada administrator jaringan untuk memperbarui kebijakan, yang disarankan Microsoft Anda lakukan secepat mungkin  untuk memperkuat keamanan jaringan. Jika masih disetel ke status defaultnya, penyerang dapat bekerja untuk membahayakan tindakan keamanan yang dilonggarkan.
Setelah kerentanan diidentifikasi, tim merah mencoba mengeksploitasi kelemahan tersebut untuk mendapatkan akses ke jaringan Anda. Setelah penyerang berada di sistem Anda, tindakan yang biasa dilakukan adalah menggunakan teknik eskalasi hak istimewa , di mana penyerang mencoba mencuri kredensial administrator yang memiliki akses lebih besar / penuh ke tingkat informasi penting tertinggi.
Contoh Latihan Tim Merah
Tim merah menggunakan berbagai metode dan alat untuk mengeksploitasi kelemahan dan kerentanan dalam jaringan. Penting untuk dicatat bahwa tim merah akan menggunakan cara apa pun yang diperlukan, sesuai persyaratan keterlibatan, untuk masuk ke sistem Anda. Bergantung pada kerentanan, mereka dapat menyebarkan malware untuk menginfeksi host atau bahkan melewati kontrol keamanan fisik dengan mengkloning kartu akses.
Contoh latihan tim merah meliputi:
  • Pengujian penetrasi , juga dikenal sebagai peretasan etis, adalah tempat penguji mencoba mendapatkan akses ke sistem, sering kali menggunakan alat perangkat lunak. Misalnya, ‘John the Ripper’ adalah program peretas kata sandi. Itu dapat mendeteksi jenis enkripsi apa yang digunakan, dan mencoba melewatinya.
  • Manipulasi psikologis adalah tempat Tim Merah berusaha membujuk atau mengelabui anggota staf agar mengungkapkan identitasnya atau mengizinkan akses ke area terlarang.
  • Phishing memerlukan pengiriman email yang tampaknya asli yang membujuk anggota staf untuk mengambil tindakan tertentu, seperti masuk ke situs web peretas dan memasukkan kredensial.
  • Alat perangkat lunak komunikasi yang mencegat seperti pengendus paket dan penganalisis protokol dapat digunakan untuk memetakan jaringan, atau membaca pesan yang dikirim dalam teks yang jelas. Tujuan alat ini adalah untuk mendapatkan informasi tentang sistem. Misalnya, jika penyerang mengetahui server berjalan di sistem operasi Microsoft, mereka akan memfokuskan serangannya untuk mengeksploitasi kerentanan Microsoft.
  • Kloning kartu dari kartu keamanan karyawan untuk memberikan akses ke area yang tidak dibatasi, seperti ruang server.

Apa Itu Tim Biru?

Tim biru terdiri dari profesional keamanan yang memiliki pandangan luar dalam terhadap organisasi. Tugas mereka adalah melindungi aset penting organisasi dari segala jenis ancaman.
Mereka sangat menyadari tujuan bisnis dan strategi keamanan organisasi. Oleh karena itu, tugas mereka adalah memperkuat dinding kastil sehingga tidak ada penyusup yang dapat membahayakan pertahanan.

Bagaimana Cara Kerja Tim Biru?

Tim biru pertama-tama mengumpulkan data, mendokumentasikan dengan tepat apa yang perlu dilindungi, dan melakukan penilaian risiko . Mereka kemudian memperketat akses ke sistem dengan berbagai cara, termasuk memperkenalkan kebijakan kata sandi yang lebih kuat dan mendidik staf untuk memastikan mereka memahami dan mematuhi prosedur keamanan.
Alat pemantauan sering ditempatkan, memungkinkan informasi mengenai akses ke sistem untuk dicatat dan diperiksa untuk aktivitas yang tidak biasa. Tim biru akan melakukan pemeriksaan rutin pada sistem, misalnya, audit DNS, pemindaian kerentanan jaringan internal atau eksternal, dan mengambil sampel lalu lintas jaringan untuk dianalisis.
Tim biru harus menetapkan langkah-langkah keamanan di sekitar aset utama suatu organisasi. Mereka memulai rencana pertahanan mereka dengan mengidentifikasi aset penting, mendokumentasikan pentingnya aset tersebut bagi bisnis dan apa dampak dari ketiadaan aset tersebut.
Tim biru kemudian melakukan penilaian risiko dengan mengidentifikasi ancaman terhadap setiap aset dan kelemahan yang dapat dieksploitasi oleh ancaman tersebut. Dengan mengevaluasi risiko dan memprioritaskannya, tim biru mengembangkan rencana tindakan untuk menerapkan kontrol yang dapat menurunkan dampak atau kemungkinan ancaman terwujud terhadap aset.
Keterlibatan manajemen senior sangat penting pada tahap ini karena hanya mereka yang dapat memutuskan untuk menerima risiko atau menerapkan pengendalian yang meringankan terhadapnya. Pemilihan kontrol sering kali didasarkan pada analisis biaya-manfaat untuk memastikan kontrol keamanan memberikan nilai maksimum bagi bisnis.
Misalnya, tim biru dapat mengidentifikasi bahwa jaringan perusahaan rentan terhadap serangan DDoS (penolakan layanan terdistribusi). Serangan ini mengurangi ketersediaan jaringan untuk pengguna yang sah dengan mengirimkan permintaan lalu lintas yang tidak lengkap ke server. Setiap permintaan ini membutuhkan sumber daya untuk melakukan suatu tindakan, itulah sebabnya serangan itu sangat melumpuhkan jaringan.
Tim kemudian menghitung kerugian jika ancaman terjadi. Berdasarkan analisis biaya-manfaat dan menyelaraskan dengan tujuan bisnis, tim biru akan mempertimbangkan untuk memasang sistem deteksi dan pencegahan intrusi untuk meminimalkan risiko serangan DDoS.
Contoh Latihan Tim Biru
Tim biru menggunakan berbagai metode dan alat sebagai tindakan balasan untuk melindungi jaringan dari serangan dunia maya. Bergantung pada situasinya, tim biru dapat menentukan bahwa firewall tambahan perlu dipasang untuk memblokir akses ke jaringan internal. Atau, risiko terhadap serangan manipulasi psikologis sangat penting sehingga memerlukan biaya penerapan pelatihan kesadaran keamanan di seluruh perusahaan.
Contoh latihan tim biru meliputi:
  • Melakukan audit DNS (server nama domain) untuk mencegah serangan phishing, menghindari masalah DNS basi, menghindari waktu henti dari penghapusan catatan DNS, dan mencegah / mengurangi DNS dan serangan web.
  • Melakukan analisis jejak digital untuk melacak aktivitas pengguna dan mengidentifikasi setiap tanda tangan yang diketahui yang mungkin mengindikasikan pelanggaran keamanan.
  • Menginstal perangkat lunak keamanan titik akhir pada perangkat eksternal seperti laptop dan smartphone.
  • Memastikan kontrol akses firewall dikonfigurasi dengan benar dan perangkat lunak antivirus selalu diperbarui
  • Menerapkan perangkat lunak IDS dan IPS  sebagai kontrol keamanan detektif dan preventif.
  • Menerapkan solusi SIEM untuk mencatat dan menelan aktivitas jaringan.
  • Menganalisis log dan memori untuk mengambil aktivitas yang tidak biasa pada sistem, dan mengidentifikasi serta menunjukkan serangan.
  • Memisahkan jaringan dan memastikannya dikonfigurasi dengan benar.
  • Menggunakan perangkat lunak pemindaian kerentanan secara teratur.
  • Mengamankan sistem dengan menggunakan perangkat lunak antivirus atau anti-malware.
  • Menanamkan keamanan dalam proses.
 

Apa Manfaat Tim Merah Dan Biru?

Menerapkan strategi tim merah dan biru memungkinkan organisasi memperoleh keuntungan dari dua pendekatan dan rangkaian keterampilan yang sama sekali berbeda. Ini juga membawa sejumlah daya saing ke dalam tugas, yang mendorong kinerja tinggi dari kedua tim.
Tim merah sangat berharga karena dapat mengidentifikasi kerentanan, tetapi hanya dapat menyoroti status sistem saat ini. Di sisi lain, tim biru berharga karena memberikan perlindungan jangka panjang dengan memastikan pertahanan tetap kuat, dan dengan pemantauan sistem secara konstan.
Keuntungan utama, bagaimanapun, adalah peningkatan berkelanjutan dalam postur keamanan organisasi dengan menemukan celah dan kemudian mengisi celah tersebut dengan kontrol yang sesuai.

Bagaimana Tim Merah dan Biru Bekerja Sama?

 
Komunikasi antara kedua tim adalah faktor terpenting dalam keberhasilan latihan tim merah dan biru.
Tim biru harus selalu mengikuti perkembangan teknologi baru untuk meningkatkan keamanan dan harus membagikan temuan ini dengan tim merah. Demikian pula, tim merah harus selalu waspada terhadap ancaman baru dan teknik penetrasi yang digunakan oleh peretas dan memberi saran kepada tim biru tentang teknik pencegahan.
Tergantung pada tujuan tes Anda akan tergantung pada apakah tim merah memberi tahu tim biru tentang tes yang direncanakan. Misalnya, jika tujuannya adalah untuk menyimulasikan skenario respons nyata terhadap ancaman yang “sah”, Anda tidak perlu memberi tahu tim biru tentang pengujian tersebut.
Peringatannya adalah bahwa seseorang dalam manajemen harus mengetahui tes tersebut, biasanya pemimpin tim biru. Ini memastikan skenario respons masih diuji, tetapi dengan kontrol yang lebih ketat ketika / jika situasinya meningkat.
Ketika tes selesai, kedua tim mengumpulkan informasi dan melaporkan temuan mereka. Tim merah memberi saran kepada tim biru jika mereka berhasil menembus pertahanan, dan memberikan saran tentang bagaimana memblokir upaya serupa dalam skenario nyata. Demikian pula, tim biru harus memberi tahu tim merah apakah prosedur pemantauan mereka mendeteksi percobaan serangan atau tidak.
Kedua tim kemudian harus bekerja sama untuk merencanakan, mengembangkan, dan menerapkan kontrol keamanan yang lebih kuat sesuai kebutuhan.

Apa Itu Tim Ungu?

Meski tim merah dan tim biru memiliki tujuan yang sama, mereka seringkali tidak selaras secara politik. Misalnya, tim merah yang melaporkan kerentanan dipuji atas pekerjaan yang dilakukan dengan baik. Oleh karena itu, mereka tidak diberi insentif untuk membantu tim biru memperkuat keamanan mereka dengan berbagi informasi tentang bagaimana mereka melewati keamanan mereka.
Juga tidak ada gunanya dalam tes tim merah “menang” jika Anda tidak berbagi informasi itu dengan tim biru. Ingat, tujuan utama latihan tim merah dan biru adalah untuk memperkuat postur keamanan organisasi secara keseluruhan.
Di situlah konsep tim ungu diterapkan. Tim ungu belum tentu tim yang berdiri sendiri, meski bisa saja. Tujuan tim ungu adalah menyatukan tim merah dan biru sambil mendorong mereka untuk bekerja sebagai tim untuk berbagi wawasan dan menciptakan umpan balik yang kuat.
Manajemen harus memastikan bahwa tim merah dan biru bekerja sama dan saling memberi informasi. Kerjasama yang ditingkatkan antara kedua tim melalui berbagi sumber daya, pelaporan dan berbagi pengetahuan yang tepat sangat penting untuk peningkatan berkelanjutan dari program keamanan.

Leave a Comment