הקדמה
צוות אדום הוא מתודה לביקורת החוסן של גוף מאובטח, אשר מתקיימת ברמה הגבוהה ביותר של דימוי המציאות, במטרה לחקות תרחיש תקיפה מוחשי.
הצוות האדום הוא קבוצה אשר מדמה כוח תקיפה נגד כוח הגנה (הצוות הכחול). תפקיד הצוות האדום הוא לתכנן וליישם תוכנית תקיפה נגד הגוף המאובטח, ובכך להאיר את החולשות, התורפות והפרצות של הצד המגן. במהלך התהליך, הצוות האדום אוסף את הממצאים והרשמים אשר יהיו חומר הגלם של הדו"ח הסופי אשר יוגש הלאה.
גורם המטה ו/או המנחה (הצוות הסגול) מקבל לידיו את הממצאים ומתרגם אותם ללקחים, מסקנות והמלצות לצורך למידה, שיפור וחיזוק של כוח ההגנה.
הצוות האדום נדרש להיות ורסטילי וגמיש, ולהחליף צורות וכיסויים בהתאם לאופי הגוף המאובטח אותו הוא תוקף. לצורך ההמחשה, בתקיפה של בנק, חבר הצוות האדום יכול להיות בכיסוי של לקוח אמיד שמבקש לפתוח חשבון או בכיסוי של קבצן בקרן הרחוב.
תהליך היישום של הצוות האדום
- שלב 1: הגדרת המשימה.
הצוות האדום נדרש להתייחס למגוון המטרות של הגוף המאובטח. כל יעד הגנה של הצוות הכחול הוא יעד תקיפה פוטנציאלי של הצוות האדום.
המטרה יכולה להיות ממוקדת או נרחבת – אישיות, שרת מחשבים, שרשרת אספקה וכו'. הצוות האדום נדרש למפות את יעדי ההגנה ולראות בהם בנק מטרות.
- שלב 2: איסוף אינפורמציה ממקורות גלויים.
מפות נגישות, אתרי אינטרנט, רשתות חברתיות, אייטמים בתקשורת וכד'. המטרה היא למקסם ולמצות את כל חומר הגלם הניתן לאיסוף מהמקורות הגלויים, זאת כדי להרכיב תמונה שלמה ומדויקת של המטרה.
בימינו, רשת האינטרנט מוצפת בכמות אינסופית של חומרים נגישים, וניתן להפיק אינפורמציה רבה ככל שמתמידים בחיפוש. בשלב זה, הצוות האדום נדרש לגבש תיק שטח ותוכנית ראשונית בטרם היציאה הראשונה לשטח.
- שלב 3: איסוף אינפורמציה בשטח.
בשלב זה, הצוות האדום נדרש לאמת או להזים את האינפורמציה אותה אסף מהמקורות הגלויים בשלב הקודם, ואף להוסיף לה אינפורמציה חדשה בזמן אמת. בכך, הצוות האדום מאשרר ומחזק את תיק השטח ואת התוכנית הראשונית.
ניתן לקיים את האיסוף דרך תצפיות רחוקות וקרובות, ואף דרך כניסה בכיסוי. הצוות האדום מתרשם באופן ישיר הן מרמת האבטחה של המטרה, והן מגורמים סביבתיים רלוונטיים, לרבות כוחות אבטחה נוספים באזור.
איסוף האינפורמציה בשטח גם חושף משתנים נוספים כגון הבדלים בין יום לבין לילה, בין זמנים בהם האתר פתוח או סגור, נקודות שהייה אפשריות, איתור נקודות צילום או האזנה, סיפורי כיסוי אפשריים וכו'.
- שלב 4: פעילות בשטח.
בשונה מהשלב הקודם המתרכז בדרכים לאיסוף האינפורמציה בשטח, שלב זה מציג את הפרקטיקה ואת הקשיים (אמיתיים ומדומים) איתם הצוות האדום נדרש להתמודד.
הצוות האדום נחשף להתנהלות ולתפקוד הצוות הכחול וסביבתו. כוח האבטחה במקום וכוחות נוספים רלוונטיים באזור, מצלמות, גלאים, גורמים סביבתיים והתפיסה שלהם את המרחב והשגרה בו וכו'. בנוסף, הצוות האדום נדרש להבין כיצד נתפסת התנהלותו שלו אשר חורגת מאותה שגרה ויש בה כדי להחשיד ולחשוף אותו. בהקשר זה, מוכרת התקרית של 'השכנה השוויצרית'.
- שלב 5: ניתוח הממצאים והצפה של דפ"אות (דרכי פעולה אפשריות)
בשלב זה, הצוות האדום מתכנס כדי לפרוס את כל האינפורמציה שאסף בשלבים הקודמים, כל חומר הגלם, ומנתח אותה כדי לאתר את החולשות, התורפות, הפרצות, ומנגד החוזקות, של הצוות הכחול. בהמשך, הצוות האדום מייצר רשימה של דפ"אות אשר מהן תיבחר הטובה ביותר בהתייחס למטרה.
- שלב 6: דפ"ן (דרך פעולה נבחרת)
אחרי גיבוש המסקנה, הצוות האדום בוחר את הדרך הטובה ביותר לממש את התקיפה נגד הצוות הכחול. דרך זו תהיה הדרך בה קיימת סבירות גבוהה להצלחה, תוך שמירה של זהות וביטחון התוקף, תוך אפשרות מילוט מהירה ונקייה.
- שלב 7: ביצוע התקיפה.
בשלב זה, הצוות האדום נדרש לקיים שני תנאים הכרחיים:
הפללה – הנקודה בזמן שבה מתממשות ההנחות היסודיות שהן בסיס תוכנית התקיפה. צבר הנתונים בזמן אמת שמלמדים אודות התזמון הנכון לתקיפה. האור הירוק.
הפעלה – מימוש התקיפה בהתאם לדפ"ן.
סיכום
הצוות האדום הוא כלי מצוין אשר משרת מטרות רבות:
- בחינה של תוכנית האבטחה הקיימת, לרבות הנהלים, וההתאמה שלהם לאיומים.
- זיהוי חולשות, תורפות, פרצות וחוזקות, הן ברמת ההנחיה והן ברמת היישום.
- שיקוף ראיית התוקף. שימוש בתרחיש מציאותי כפי שאותר ונותח בשטח.
- שיקוף התנהלות ותפקוד הצוות הכחול בזמן נתון.
- חיזוק ותחזוק רמת הדריכות של הצוות הכחול.
- כלי לשיפור מתמיד של הצוות הכחול.
מנהלי ביטחון וארגונים אשר יאמצו את המתודה של צוות אדום, גם בתדירות של אחת לתקופה, יוכלו לקבל זווית ראייה חיצונית ומשוב ריאליסטי אודות מערך האבטחה שלהם. מהבחינה הזו, מוטב לחוות תקיפה בתנאים מבוקרים, בתרגיל, מאשר לחוות תקיפה של אויב זדוני בזמן אמת.
ניתן לקיים תרגיל צוות אדום גם ברמה הפנים ארגונית וגם בגיוס חברה חיצונית המתמחה בכך.
הדגמה
איסוף אינפורמציה ממקורות מדוממים (חומרים אמיתיים): בניית תיק שטח לצורך תקיפה של אישיות מאובטחת במהלך כנס אשר מתוכנן להתקיים בחודש מרץ 2021 במרכז הקונגרסים של לוס אנג'לס.
משה רונן | מנהל ביטחון ראשי, קבוצת אסם-נסטלה
צוות אדום הינו קונספט הכרחי לבדוק באמת מה מצב הבטחון בחברה או גוף כלשהו. צוות כזה חייב להיות מורכב מאנשים שעבדו כתוקפים. מגן ותוקף זה DNA שונה, עד הפוך לגמרי. אנשים מעולים עם ניסיון רב באבטחה חושבים כשוטרים, צוות אדם צריך להיות מושתת על אנשים שיכולים לחשוב כגנבים ויש להם ניסיון כזה. לא פשוט לאתר כאלה אבל כאשר מבצעים בדיקות עם צוות אדום עם רקע אדום, התוצאות שונות.
אחד התבחינים לדעת האם הצוות האדום באמת עם רקע אדום היא דרך הפעולה: אם משתמשים בהרבה תפאורה ופירוטכניקה (ג'יימס בונד) זה לא מדמה מציאות. צוות אדום מקצועי באמת משתמש בעיקר ביכולת אישית, מניפולציות והנדסה אזרחית.
אותו הדבר גם בעולמות הסיבר.
טל שר-אל | מייסד ומנכ"ל, Graphenway
משה,
אני מסכים שאיש אבטחה ללא הכשרה מתאימה אינו יכול להיות צוות אדום. מדובר בהכשרה ברמות שונות החל משלב איסוף האינפורמציה ממקורות גלויים, בניית "תיק שטח" מבוסס המידע הנ"ל ובהמשך פעילות איסוף המידע בשטח וכן הלאה…
אולם בשעה שיש תוקף שהוכשר לכך, והינו בעל רקע אבטחתי, הדבר נותן "יתרון טכני" לצוות האדום מאחר ואיש צוות זה יידע ל"תרגם" מקצת הפעולות של הצוות המגן.