گروه های تهدیدهای پیشرفته پایدار Advanced Persistent threat در سرتاسر دنیا قرار دارند و هر کدام از آن ها دارای یک سری ویژگی های خاص هستند و هدف های منحصر به فردی را دارا می باشند بعضی از آنها به دنبال جاسوسی از دولت ها بعضی دیگر از موسسات مالی و بعضی از آنها صرفا به دنبال خرابکاری هستند. وظیفه اصلی تیم قرمز یا رد تیم اجرای تمرین های Red Teaming هست تمرین هایی که در واقع به شبیه سازی  حملات این گروه ها می پردازند و میزان هوشیار بودن IR سازمان ها را ارزیابی می کنند.

پیاده سازی رد تیم را می توان توسط فریم ورک های مختلف انجام داد دو تا از معروف ترین آن ها MITRE Attack و Cyber Kill Chain می باشد. اقداماتی که کلیه گروه های APT انجام می دهند را می توان در 14 مرحله MITRE Attack گنجاند. این 14 مرحله در واقع 14 تاکتیک اصلی زنجیره گروه های هکری دولتی هستند. و هر تاکتیک شامل تکنیک های مختلفی است که توسط این گروه ها ابداع شده و بعد از مدتی کارشناسان امنیت کالبدشکافی یا همان DFIR ها شناسایی و در قالب MITRE ATTACK TTP جمع آوری شده تا سازمان ها بتوانند اقدامات امنیتی مناسبی جهت جلوگیری از آن ها انجام دهند.

تمرین های Red Teaming شامل

Enterprise Matrix

https://attack.mitre.org/matrices/enterprise/

 

شامل TTP (تاکتیک، تکنیک و روش های) کلیه پلتفرم های زیر می شود:

Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Network, Containers.

 

و همچنین Mobile MAtrix که شامل TTP (تاکتیک، تکنیک و روش های) پلتفرم های  iOS و Android می شود

https://attack.mitre.org/matrices/mobile/

 

و همچنین ICS Matrix  که شامل TTP ( تاکتیک، تکنیک و روش های) شبکه های صنعتی می باشد.

https://attack.mitre.org/matrices/ics/

 

فریم ورک های Red Teaming :

MITRE Attack

  1. Reconnaissance
  2. Resource Development
  3. Initial Access
  4. Execution
  5. Persistence
  6. Privilege Escalation
  7. Defense evasion
  8. Credential Access
  9. Discovery
  10. Lateral Movement
  11. Collection
  12. C2
  13. Exfiltration
  14. Impact

 

Cyber Kill chain

  1. Reconnaissance
  2. Weaponization
  3. Delivery
  4. Exploitation
  5. Installation
  6. C2
  7. Action on objectives

برای شبیه سازی حملات APT گروه ها با توجه به نوع گروه ها از ابزارهای مختلفی استفاده می شود که شامل C2 سرورها و اکسپلویت ها یا حتی LOLBINS ها می باشد لیست اکثر این ابزارها:

https://attack.mitre.org/software/

در اکثر مصاحبه از مهم ترین ابزارها نیز سوال می شود که برخی از آن ها در زیر لیست شده است

برخی از ابزارهای Red Teaming :

 

  1. Cobalt Strike
  2. Metasploit Framework
  3. Powersploit
  4. Empire
  5. Social Engineering Toolkit
  6. Havoc
  7. Covenant
  8. Mythic
  9. BloodHound
  10. CrackMapExec
  11. Responder
  12. Impacket
  13. MITMf
  14. BeEF
  15. Maltego
  16. evilginx2
  17. gophish

 

برای دسترسی به پاسخ ها به ریپو زیر مراجعه فرمایید :

https://github.com/soheilsec/RedTeam-Interview

 

سوالات مصاحبه ردتیم سطح متوسط:

 

  1. هدف اصلی Red Teaming چیست و چه تفاوتی با تست نفوذ دارد؟

 

  1. مراحل Red Teaming را نام ببرید.

 

  1. چگونه اهداف را اولویت بندی می کنید و مهم ترین دارایی ها را برای ارزیابی در طول عملیات تیم قرمز انتخاب می کنید؟

 

  1. برخی از تکنیک های رایج مهندسی اجتماعی که در Red Teaming استفاده می شود، چیست و چگونه می توان از آنها جلوگیری کرد؟

 

  1. مفهوم Lateral Movement و اهمیت آن را در عملیات تیم قرمز توضیح دهید.

 

  1. چگونه در حین انجام فعالیت های تیم قرمز، پنهان کاری را حفظ می کنید و از شناسایی اجتناب می کنید؟

 

  1. چند روش برای privilege escalation در یک سیستم در معرض خطر در طی ارزیابی تیم قرمز چیست؟

 

  1. امنیت یک شبکه بی سیم را به عنوان بخشی از تعامل تیم قرمز چگونه ارزیابی می کنید؟

 

  1. آیا می توانید مفهوم pivoting در Red Teaming و نحوه استفاده از آن برای گسترش دسترسی در یک شبکه هدف را توضیح دهید؟

 

  1. تفاوت های کلیدی بین عملیات تیم قرمز و تیم آبی چیست؟

 

  1. ابزارها و روش هایی را که برای انجام شناسایی در طی ارزیابی تیم قرمز استفاده می کنید، شرح دهید.

 

  1. وقتی با کنترل‌های امنیتی غیرمنتظره‌ای در طول یک درگیری با تیم قرمز مواجه می‌شوید، چگونه با موقعیت‌هایی برخورد می‌کنید؟

 

  1. توضیح دهید که چگونه یک کمپین فیشینگ را به عنوان بخشی از تمرین تیم قرمز انجام می دهید.

 

  1. چگونه آسیب‌پذیری‌ها را در برنامه‌های وب در طول ارزیابی Red Team شناسایی و از آن‌ها بهره‌برداری می‌کنید؟

 

  1. چند تکنیک رایج برای فرار از راه حل های امنیتی (Defense Evasion)  محصولات مثل EDR XDR و Anti Virus چیست را نام ببرید؟

 

  1. آیا می توانید زمانی را توضیح دهید که در طی یک درگیری با تیم قرمز با یک سناریوی چالش برانگیز مواجه شدید و چگونه بر آن غلبه کردید؟

 

  1. چگونه یافته های خود را گزارش می کنید و تأثیر ارزیابی تیم قرمز خود را به ذینفعان منتقل می کنید؟

 

  1. برخی از ملاحظات و دستورالعمل های اخلاقی که باید در طول عملیات تیم قرمز رعایت شود چیست؟

 

  1. چگونه با جدیدترین ابزارها و تکنیک های Red Teaming آشنا می شوید؟

 

  1. آیا می توانید تجربه خود را در همکاری با تیم های آبی و اینکه چگونه روی رویکرد تیم قرمز شما تاثیر گذاشته است به اشتراک بگذارید؟

 

سوالات مصاحبه ردتیم سطح حرفه ای:

  1. آیا می توانید یک تعامل بسیار موفق تیم قرمز که رهبری کردید و استراتژی هایی که برای دستیابی به اهداف خود به کار گرفته اید را توضیح دهید؟

 

  1. چگونه اطمینان می‌دهید که عملیات تیم قرمز با اهداف و اولویت‌های تجاری هماهنگ است و چگونه تأثیر آن‌ها را بر سازمان اندازه‌گیری می‌کنید؟

 

  1. به‌عنوان یک رهبر ارشد تیم قرمز، چگونه می‌توانید اعضای تیم با تجربه کمتر را راهنمایی و پرورش دهید تا مهارت‌ها و قابلیت‌های آن‌ها را افزایش دهید؟

 

  1. چگونه می‌توانید درک عمیقی از آخرین Threat Actor ها ، تکنیک‌ها و روندهای تهدید برای انطباق و اصلاح روش‌های تیم قرمز خود داشته باشید؟

 

  1. رویکرد خود را برای طراحی ابزارها و تکنیک های سفارشی برای تعاملات تیم قرمز که برای محیط های هدف خاص طراحی شده اند به اشتراک بگذارید.

 

  1. در ارزیابی تیم قرمز در مقیاس بزرگ، چگونه تیم های متعددی را برای به حداکثر رساندن اثربخشی و پوشش سازماندهی و مدیریت می کنید؟

 

  1. به عنوان یک رهبر ارشد، چگونه به طور موثر یافته های فنی و توصیه های استراتژیک را به ذینفعان سطح اجرایی منتقل می کنید؟

 

  1. چگونه اطمینان حاصل می کنید که عملیات تیم قرمز شما با دستورالعمل های قانونی و اخلاقی مربوطه مطابقت دارد؟

 

  1. در زمینه Red Teaming، امنیت محیط های ابری را چگونه ارزیابی می کنید و چالش های منحصر به فردی که ممکن است با آن مواجه شوید چیست؟

 

  1. توضیح دهید که چگونه از هوش تهدید استفاده می کنید تا تعاملات تیم قرمز خود را افزایش دهید و آنها را واقعی تر و موثرتر کنید.

 

  1. آیا می‌توانید نقش مدل‌سازی تهدید در Red Teaming و چگونگی تأثیر آن بر برنامه‌ریزی و اجرای ارزیابی‌ها را مورد بحث قرار دهید؟
  2. به عنوان یک رهبر ارشد تیم قرمز، چگونه همکاری و ارتباط موثر بین تیم های قرمز و تیم های آبی را تقویت می کنید؟

 

  1. ارزیابی امنیت دستگاه‌های اینترنت اشیاء (IoT) و ادغام ارزیابی‌های امنیتی اینترنت اشیا در تعاملات تیم قرمز چگونه است؟

 

  1. تجربه خود را در انجام تمرینات تیم قرمز که شامل مولفه های امنیتی فیزیکی، مانند تست نفوذ در محل و مهندسی اجتماعی است، به اشتراک بگذارید.

 

  1. در سناریویی که ارزیابی تیم قرمز توسط تیم آبی تشخیص داده می شود، چه مراحلی را برای چرخاندن و حفظ جایگاه خود در شبکه هدف انجام می دهید؟

 

  1. چگونه اطمینان حاصل می کنید که گزارش های تیم قرمز توصیه های عملی و اولویت بندی شده ای را برای بهبود وضعیت امنیتی سازمان ارائه می دهند؟

 

 

  1. اهمیت تیم قرمز را در محیط DevSecOps و نحوه ادغام ارزیابی های Red Team را در چرخه عمر توسعه نرم افزار شرح دهید.

 

  1. روش خود را برای ارزیابی امنیتی سازمان در برابر تهدیدات پایدار پیشرفته (APTs) در طول یک تعامل با تیم قرمز به اشتراک بگذارید.

 

  1. به عنوان یک رهبر ارشد تیم قرمز، چگونه با شرایطی برخورد می کنید که در آن مقاومت قابل توجه از سوی ذینفعان داخلی مانع از فرآیند ارزیابی می شود؟

 

  1. چگونه خلاقیت و نوآوری را در تیم قرمز خود حفظ می کنید و اطمینان حاصل می کنید که همیشه یک قدم جلوتر از TA ها هستید؟