Siber güvenlik endüstrisi asimetriktir, yani çoğu durumda bir saldırgan, bir güvenlik uzmanından daha iyi bir konumda olabilir. Saldırıya uğrayan tarafın 7/24 etkili tetikte her zaman hazır olması gerekir ancak saldırganın yalnızca bir kez etkili olması durumunda görevini başarmış sayılır. Ayrıca saldırgan, saldırının aktifleşitirilme aşamasından önce kurbanını derinlemesine inceleme fırsatına sahipken, karşı taraf bu saldırı sırasında davetsiz misafirleri incelemeye başlar.
Bu yüzden bilgi güvenliği endüstrisi süreçleri savunma ve saldırı olmak üzere iki kısma ayrılmıştır.
Teknik açıdan son nokta, bir güvenlik analistinin çalışmasına gerçek bir meydan okunmasını gerektiriyor. Kırmızı Takım‘ın görevi, kurumsal altyapının zafiyetleri göstermek ve herkese her şeyin ne kadar kötü durumda olduğunu kanıtlamaktan ibaret değildir. Mevcut süreçleri değerlendirmek ve Mavi takım olarak adlandırılan savunmaya bunları iyileştirmesi konusunda yardımcı olmak için yapıcı bir önlem olarak güvenlik analizini sağlamaktır.
Bilgi güvenliği süreçlerinin henüz yeterince olgunlaşmadığı veya bütçelerin güvenlik görevlilerinin kadrolarının düzenlenmesine izin vermediği birçok organizasyonda, güvenlik değerlendirme görevleri Mavi Takım uzmanları tarafından çözülür. Ancak sadece büyük şirketlerde hücum önlemleri Kırmızı Takım’lara yönlendirilmiş vaziyettedir. Özellikle bu ayrım, işletmelerin bilgi güvenliği bütçelerini verimli bir şekilde tahmin etmelerine olanak tanır.
“Sızma testi, bilgi sistemlerinin pasif güvenliğinin bir değerlendirmesidir, Red Teaming, aktif güvenliğin bir değerlendirmesidir.”
Red Teaming ve sızma testinin siber saldırılar için benzer araçlar kullanmasına rağmen, her iki yöntemin hedefleri ve sonuçları çok farklıdır. Red Teaming’in ana görevi, kuruluşun APT (Advanced Persistent Threat – Gelişmiş Kalıcı Tehdit, hedefli siber saldırı) dahil olmak üzere karmaşık siber saldırıları algılama ve bunlara yanıt verme becerisini test etmek ve güçlendirmektir. Red Teaming gerçekleştirerek ve kontrollü saldırılara müdahale etme pratiği yaparak, iç güvenlik ekibi bir saldırının ilk aşamalarında (hatta buna hazırlık aşamasında) gerçek saldırganları durdurmak ve işletmeye maddi ve itibari zarar verilmesini önlemek için önceden fark edilmeyen tehditleri tespit etme becerilerini geliştirmektir.
Saldırıların tahmin edilemezliği
Ağ ortamındaki ani değişiklikler (ve dolayısıyla yeni saldırı vektörlerinin ortaya çıkması) düzenli kontroller sırasında ortaya çıktığında, BT ve bilgi güvenliği yine de değişikliklerin kontrol edilebilirliği konusunda hemfikir olduğunda, yeni sızma testleri ve uygulama analizleri gittikçe aynı düzeyde yada daha az bulgu verdiğinde ve bilgi güvenliği departmanı çalışanları, güvenlik değerlendirmeleri çerçevesinde etkilerin tümünü veya neredeyse tamamını kaydeder. Bu saatten sonra değerlendirme ekibi güvenlik açıklarını aramadan hedeflenen saldırıları simüle etmeye geçiyor, daha fazla sosyal mühendislik etkisi, teknik önlemler, testler yapılmaya başlanıyor.
Red Teaming formatındaki araştırmalar birbirini takip eden birkaç aşamaya bölünebilir, bunlardan en önemlileri kesinlikle Tehdit İstihbarat senaryolarının detaylandırılması ve bunların uygulanması, yani Red Team / Kırmızı Takım uygulamasındaki gerçek aktif test aşamasına geçilmesidir.
Başlangıçtan itibaren, proje görevinin, ortaya çıkabilecek zafiyetlerle yönetimi korkutmak değil, karmaşık siber saldırıları tespit etme ve bunlara yanıt verme becerisindeki sorunlu noktaları ortaklaşa çözmek olduğu fikri unutulmamalıdır.