Rengini Seç: Blue – Red – Purple Team Nedir?

Siber güvenlik denilince aklınıza ne geliyor? Kapüşonlu bir film karakteri mi yoksa çok daha fazlası mı? Olaylar sadece filmlerde ya da sosyal medyada göründüğünden ibaret değildir. Tek bir kişinin, (büyük) bir kurumun siber güvenlik süreçlerini tek başına yönetmesi pek de ihtimaller dahilinde değildir. Dolayısıyla bu operasyonları yürüten, uzman kişilerden oluşan ekiplerin olması gerekmektedir. “Ekipler” diye belirtiyorum çünkü her ekibin kendi içerisinde farklı alt kırılımları ve niş uzmanlıkları bulunmaktadır.

Özellikle renklerle(mavi, kırmızı, mor) ifade edilen bu birimler, siber güvenlik camiasının temelini betimleyen oluşumlardır. Peki, nedir bu takımlar ve ne iş yaparlar? Gelin birlikte bunların detaylarını inceleyelim.

Blue Team Nedir?

Mavi, sakinliğin ve güvenin rengini temsil eder. Güven kelimesi bizim için anahtar rol oynamaktadır. Kalenizin yalnızca kapıları değil dört bir yanıyla duvarı, malzemesi ve diğer kritik etmenlerinin de sağlam olması gerekir. Blue team’de benzer olgulara odaklanmaktadır. Bir kurumun ağ, sistem, uygulama ve verilerin korumak için “savunma” ilkesine dayanan bir politika yürütürler.

En temel özetiyle görevleri; tehditlerin tespiti, analizi ve bunlara karşı aksiyon alınmasını sağlamaktadırlar. Herkesin zihninde daha net bir görüntünün oluşması adına futbol örneğinden yola çıkmak istiyorum. Blue team ekipleri, bir takımın defansı gibidir. Oyunun gidişatını takip eder, gelebilecek ataklar için önlem alır ve kalesine gol yemekten takımını, kulübünü korur.

Blue Team’in Görev ve Sorumlulukları Nelerdir?

Müstakil bir evin etrafında onlarca koruma, yüksek duvarlar, alarm sistemleri gibi birçok güvenlik bileşeni olduğunu düşünün. Bu eve kötü niyetli bir kişi girmeye cesaret edebilir mi? Cesaret etti diyelim, sonuçları ne olurdu veya hırsızlık yapabilir miydi? Gerçekten çok düşük bir ihtimal… Peki, mavi takımı güçlü olan bir kuruluşun “çok büyük” bir güvenlik zafiyeti yaşama olasılığı nedir dersiniz? Verdiğim örnekteki ile aşağı yukarı benzer bir orandadır diyebiliriz. Peki, blue team’in görev ve sorumlulukları nelerdir? Bunu maddeler halinde sizin için listeledim;

• 7/24 izleme,
• Tehditlerin tespit edilmesi,
• Zafiyetlerin yönetilmesi,
• Olay müdahalesi,
• Güvenlik prosedürlerinin uygulanması,
• Raporlama ve uyumluluk

Şeklinde sıralayabiliriz. Bu ekipler, daha çok SIEM araçlarından logların analizini yapar ve burada tespit ettikleri anomali durumlarının önüne geçmek için aksiyon alır. Bu kimi zaman firewall tarafında bir kural ile kimi zaman endpoint security tarafında yapılacak bir işlem ile bazen de kurum içi personellerin bilinçlendirilmesi için eğitim vererek olabilmektedir.

Red Team Nedir?

Kırmızı heyecanın ve ihtirasın rengidir. Buradan yola çıkarak Red Team ekiplerinin neler yaptığını yorumlayabilir misiniz? Hadi futbol örneğinden devam edelim. Takım dizilişinde forvet, santrafor ve kanat tarafında yer aldıklarını söyleyebilirim. Kırmızı takım personelleri, daha ofansif bir yaklaşımla kötü niyetli kişilerden önce kurum içerisindeki zafiyetleri tarar ve tespit eder. Bulunan bu zafiyetlerin giderilmesi için ilgili ekiplere bilgilendirme yapar. Yani evet, siber güvenlik denilince ilk akla gelen konulardan biri olan sızma testi uygulamalarını bu ekipler gerçekleştirmektedir. Tabii ki görev tanımı yalnızca bunun özelinde de değildir.

Red Team’in Görev ve Sorumlulukları Nelerdir?

Blue Team tarafında verdiğim korunaklı ev örneğini hatırlayalım. Bu ev her ne kadar korunaklı da olsa içeriye girmenin bir yolu her zaman vardır. Özellikle duyguları olan ve bunların manipüle edilmesi daha kolay olan “insan” faktörü hususunda. Korumalardan bir veya birkaçını ekarte ederek içeriye sızmak ihtimaller dahilindedir. Öyleyse bu korumaları bilinçlendirerek bu gibi sosyal mühendislik ataklarının önüne geçilmesi gerekmektedir. Böylece verilerimizin koruma altında kalmasının sürekliliğini sağlayabiliriz. Şimdi, red team’in görev ve sorumluluklarını ele almanın zamanı geldi.

• Pentest(sızma testi) çalışmalarının gerçekleştirilmesi,
• Sosyal mühendislik uygulamalarının yapılması,
• Zararlı yazılım geliştirme(böylece kurumun olası bir malware karşısındaki dayanıklılığı ölçülür),
• Fiziksel güvenlik tarafındaki testler(bunlar da sızma testinin bir parçasıdır, korunaklı ev örneği aklınızın bir kenarında bulunsun),
• İhlal raporlama

Bu çalışmaları yürüten ekiplerdir. Siber dünyada heyecan arayanların adresi de diyebiliriz :).

Purple Team Nedir?

Mavi ve kırmızı rengi karıştırdığınızda ortaya hangi renk çıkar? Evet, doğru tespit; mor. Purple team ekipleri, hem blue hem de red team’in entegrasyonu sonucu ortaya çıkmıştır. Buradaki yaklaşım defansif ve ofansif kontrollerin empozesi şeklindedir. Bir nevi (defansif/ofansif)orta saha mevkisi gibi düşünebilirsiniz.

Purple Team’in Görev ve Sorumlulukları Nelerdir?

Her iki ekipten de yetkinliklerin ve dolayısıyla görev-sorumlulukların kesiştiği bir birimdir. Ayrıca blue ve red team arasında köprü görevini de üstlenmektedir. Dolayısıyla işbirliği içerisinde yürütülen süreçlerle kurum içerisindeki siber güvenlik mekanizması çok daha kuvvetli olmaktadır.

• Savunma ve atak çalışmalarının entegresi,
• Sürekli iyileştirme çalışmaları, optimizasyon,
• Eğitim ve farkındalık,
• Üst düzey verimli operasyonlar

Purple team’in görev ve sorumlulukları arasındadır. Aynı zamanda bu takım, her iki ekibin yönettiği ürün yelpazesine de hakim olduğundan ve kullandığından bu takımlarda çalışmış personellerin yetkinliği çok daha fazla olmaktadır. Kısa sürede yüksek tecrübe olarak düşünebilirsiniz.

Peki, sizin kurumunuzda hangi ekipler var? Siber güvenlik çatısı altında belirli bir organizasyon söz konusu mu yoksa kara düzen bir oluşum mu mevcut? Ayrıca eğer siber güvenlik alanında çalışmak istiyorsanız hangi takımda olmayı tercih ederdiniz? Konuyla alakalı sorularınızı ve görüşlerinizi yorumlar kısmından paylaşabilirsiniz. Bir sonraki içerikte görüşmek dileğiyle. Sağlıkla ve güvenle kalın.