حملات سایبری هیچگاه متوقف نخواهد شد و همیشه این ادامه دار خواهد بود و شرکت ها و سازمان ها همواره با تهدیدات بالقوه ای مواجه هستند هکرها، کرکرها ،گروه های APT و گنگ های باج افزاری روش های مختلفی برای تست امنیت و بالا بردن آن وجود دارد یکی از تمرین های کارساز و دوره ای که باعث افزایش امنیت سازمان ها و تقویت تیم های قرز و آبی می شود تمرین های تیم بنفش می باشد.

 

یکی از فریمورک های اجرایی تمرین های تیم بنفش مربوط به شرکت scythe می باشد که از 4 قسمت تشکیل شده است.

https://github.com/scythe-io/purple-team-exercise-framework

 

cyber threat intelligence

preparation

exercise execution

lessons learned

 

لیست برخی از ابزارهای تیم بنفش:

  1.  KnowBe4
  2. Ansible
  3. Carbon Black
  4. Chef
  5. Cisco Firepower Management Center
  6. Cobalt Strike
  7. CodePipeline
  8. CrowdStrike
  9. Cuckoo Sandbox
  10. Cymulate
  11. Demisto
  12. Elastic ML
  13. Elastic Security
  14. ELK Stack
  15. Empire
  16. Fortinet FortiManager
  17. GitLab
  18. Grafana
  19. Graylog
  20. IBM
  21. IBM QRadar
  22. IBM Resilient
  23. incident response playbooks
  24. Jenkins
  25. Jira
  26. Joe Sandbox
  27. Kibana
  28. Metasploit
  29. Microsoft Azure Machine Learning
  30. MISP
  31. Moloch
  32. Nagios
  33. OpenCTI
  34. Palo Alto Networks Panorama
  35. PlexTrac
  36. Prometheus
  37. Proofpoint Security Awareness Training
  38. Puppet
  39. Purplestrike
  40. QRadar
  41. Qualys Vulnerability Management
  42. Rapid7 InsightVM
  43. RSA Archer
  44. SafeBreach
  45. SentinelOne
  46. Slack
  47. SolarWinds empower teams
  48. SonarQube
  49. Splunk
  50. Splunk Enterprise
  51. Splunk Machine Learning Toolkit
  52. Splunk Phantom
  53. Sqreen
  54. STIX/TAXII
  55. Suricata
  56. Tenable Nessus
  57. ThreatConnect
  58. VirusTotal
  59. Wireshark

 

جواب های پیشنهادی

https://github.com/soheilsec/Purple-Team-Interview

شخصی که در تیم بنفش فعالیت میکند باید دانش در تیم های قرمز آبی و بنفش داشته باشد لذا سوالاتی که عموما در مصاحبه ها به آن پرداخته می شود امکان دارد در این 3 حوزه باشد که در زیر 3 بخش سعی شده از هم جدا شود و نمونه سوالات آورده شود.

سوالات مصاحبه تیم بنفش سطح متوسط:

سوالات تیم قرمز

  1. آیا می توانید مراحلی را که برای انجام تست نفوذ در شبکه انجام می دهید توضیح دهید؟
  2. انواع مختلف رویکردهای تست نفوذ (جعبه سیاه، جعبه سفید، جعبه خاکستری) و چه زمانی از چه روشی استفاده می کنید؟
  3. چگونه آسیب پذیری های کشف شده در طول تست نفوذ را اولویت بندی می کنید؟
  4. آیا می توانید مثالی از روش ابتکاری که در طول تست نفوذ از یک کنترل امنیتی دور زده اید را ارائه دهید؟
  5. مهندسی اجتماعی چیست و چگونه ازش در تست نفوذ استفاده می کنید؟
  6. مفهوم post exploit را  توضیح دهید. هکر بعد از اکسپلویت چه کارهایی می کند؟
  7. اگر در طول تست نفوذ به آسیب پذیری 0day برخورد کنید چی کار میکنید؟

سوالات تیم آبی

  1. تفاوت IDS و IPS چیست؟ چگونه به امنیت شبکه کمک می کنند؟
  2. مفهوم «defense in depth» را توضیح دهید و نمونه هایی از لایه های مختلف دفاعی ارائه دهید.
  3. چگونه دسترسی های غیرمجاز یا فعالیت های مشکوک را در یک شبکه نظارت و شناسایی می کنید؟
  4. آیا می توانید هدف و عملکرد سیستم های اطلاعات امنیتی و مدیریت رویداد (SIEM) را توضیح دهید؟
  5. چارچوب MITER ATT&CK چیست و چگونه می تواند برای یک تیم آبی مفید باشد؟
  6. واکنش شما به حادثه یا IR چگونه است؟ ما را در مراحلی که در هنگام نقض امنیتی انجام می دهید راهنمایی کنید.
  7. وضعیتی را توصیف کنید که در آن مجبور بودید هشدارهای امنیتی را تنظیم کنید تا false positive را کاهش دهید.

 

سوالات تیم بنفش:

  1. هدف اصلی یک تیم بنفش در زمینه امنیت سایبری چیست؟
  2. چگونه ارتباط موثری بین اعضای تیم قرمز و آبی برقرار می کنید تا امنیت کلی را بهبود ببخشید؟
  3. یک حادثه اخیر امنیت سایبری که در حرفه خود با آن مواجه شده اید و اینکه چگونه اصول تیم بنفش را برای جلوگیری از آن در آینده به کار می گیرید، شرح دهید.
  4. آیا می توانید مفهوم “security hygiene” را توضیح دهید و نمونه هایی از اقداماتی که به آن کمک می کند ارائه دهید؟
  5. تمرینات تیم بنفش چگونه می تواند به شناسایی شکاف ها و بهبود وضعیت امنیتی سازمان کمک کند؟
  6. در مورد اهمیت Threat intelligence TI در فعالیت های تیم قرمز و آبی بحث کنید.
  7. فکر می‌کنید مهم‌ترین چالش امنیت سایبری که امروزه سازمان‌ها با آن مواجه هستند، چیست و چگونه با استفاده از استراتژی‌های تیم بنفش به آن رسیدگی می‌کنید؟

 

سوالات مصاحبه تیم بنفش سطح حرفه ای:

سوالات تیم قرمز:

  1. آیا می توانید در مورد یکی از پروژه پیچیده تان صحبت کنید که در آن با چالش های مهمی در طول آزمون نفوذ مواجه شدید؟ چگونه بر آنها غلبه کردید؟
  2. روش خود را برای ایجاد اکسپلویت های سفارشی برای آسیب پذیری های جدید توضیح دهید. از چه ابزار و تکنیک هایی استفاده می کنید؟
  3. روش خود را برای شبیه سازی تهدیدات پایدار پیشرفته (APTs) در طی ارزیابی های تیم Red توضیح دهید.
  4. چگونه با آخرین تکنیک ها و ابزارهای حمله آشنا می شوید؟ آیا می توانید نمونه هایی از موارد اخیر را که در ارزیابی های خود گنجانده اید، ارائه دهید؟
  5. فرآیند انجام تست نفوذ فیزیکی را شرح دهید. چه ملاحظاتی برای این نوع تعامل منحصر به فرد است؟
  6. در سناریویی که شامل یک شبکه بسیار ایمن و تقسیم‌بندی شده است، چگونه lateral movement و exfiltration در طول تیم قرمز انجام می دهید؟
  7. موقعیتی را توصیف کنید که در آن با اعضای تیم آبی برای ارائه بینش و بهبود استراتژی های دفاعی آنها همکاری کرده اید.

سوالات تیم آبی:

  1. چگونه تقسیم بندی شبکه موثر را برای کاهش lateral movement توسط مهاجمان طراحی و اجرا می کنید؟
  2. آیا می توانید در مورد تجربه خود با استفاده از فناوری های deception   برای شناسایی و پاسخ به مهاجمان صحبت کنید؟
  3. رویکرد خود را برای ایجاد و incident response playbooks برای انواع مختلف حوادث امنیتی شرح دهید.
  4. در یک محیط مبتنی بر ابر، چگونه می‌توانید از وجود نظارت و کنترل‌های امنیتی مناسب در سرویس‌های مختلف اطمینان حاصل کنید؟
  5. چه استراتژی هایی را برای شناسایی و پاسخگویی موثر به تهدیدات داخلی به کار گرفته اید؟
  6. چگونه روابط قوی با ذینفعان کلیدی در سراسر سازمان ایجاد و حفظ می کنید تا از همسویی مناسب اهداف امنیتی اطمینان حاصل کنید؟
  7. روند خود را برای ارزیابی و انتخاب ابزارها و toolkit  تیم آبی توضیح دهید.

 

سوالات تیم بنفش :

  1. سناریوی اخیری را شرح دهید که در آن تمرین تیم بنفش را برای ارزیابی توانایی سازمان برای شناسایی، پاسخگویی و بازیابی از یک حمله سایبری شبیه سازی شده هماهنگ کرده اید.
  2. چگونه از منظر تیم بنفش به مدیریت آسیب‌پذیری و اصلاح آسیب‌پذیری می‌پردازید، که شکاف بین تیم‌های قرمز و آبی را پر می‌کند؟
  3. آیا می توانید مثالی از موقعیتی ارائه دهید که در آن آسیب پذیری کنترل امنیتی حیاتی را از طریق ارزیابی تیم بنفش شناسایی کرده اید؟ چگونه تلاش های اصلاحی را هدایت کردید؟
  4. استراتژی خود را برای انتقال مؤثر بینش ها و توصیه های فنی به رهبری اجرایی و ذینفعان غیر فنی توضیح دهید.
  5. در یک چشم انداز تهدید که به سرعت در حال تحول است، چگونه می توانید اطمینان حاصل کنید که استراتژی های تیم بنفش خود در طول زمان مرتبط و سازگار باقی می مانند؟
  6. درباره تجربه خود در مورد threat hunting  و نقش آن در فعالیت های تیم بنفش بحث کنید.
  7. چگونه به توسعه حرفه ای و مربیگری اعضای جوان در تیم بنفش کمک می کنید؟