راهنمای جامع الزامات و اجرای پروژه‌های تیم قرمز(Red Team)

فهرست مطالب

تیم قرمز چیست و چرا الزامات آن حیاتی است؟

تیم قرمز (Red Team) یک رویکرد پیشرفته در ارزیابی امنیتی است که شبیه‌سازی حملات واقعی و هدفمند توسط متخصصان اخلاقی (Ethical Hackers) را شامل می‌شود. این عملیات، تاب‌آوری سازمان در برابر تهدیدات پیچیده – از حملات سایبری و مهندسی اجتماعی تا نفوذ فیزیکی را می‌سنجد. برخلاف تست نفوذ معمولی (Penetration Testing) که بر فهرست کردن آسیب‌پذیری‌ها تمرکز دارد، تیم قرمز یک شبیه‌سازی تهدید واقعی (Adversary Emulation) است که رفتار مهاجمان پیشرفته (مانند APTها) را بازسازی می‌کند تا نقاط ضعف دفاعی شناسایی شود.

هدف نهایی، تقویت امنیت سازمان است، نه صرفاً شکست دادن تیم آبی (Blue Team) . موفقیت این پروژه‌ها به رعایت دقیق الزامات بستگی دارد، زیرا بدون آن‌ها ریسک‌های قانونی، عملیاتی یا آسیب واقعی افزایش می‌یابد. این مقاله بر اساس استانداردهای بین‌المللی (مانند NIST SP 800-115، MITRE ATT&CK، ISO/IEC 27001)، چارچوب‌های معتبر(TIBER-EU، PTES، OWASP) و الزامات داخلی کشورمان ایران (مرکز افتا، قانون جرایم رایانه‌ای، و استانداردهای ملی مانندINSO 27000 ) تحقیق و تدوین شده است. همچنین تمرکز مقاله بر جنبه‌های عملی، حرفه‌ای و علمی است تا راهنمایی کامل و دقیق باشد.

فاز صفر: هم‌راستایی اهداف و برنامه‌ریزی اولیه

قبل از امضای قرارداد، یک جلسه کلیدی برای هم‌راستایی اهداف (Scoping & Objective Alignment) ضروری است. این فاز تعیین‌کننده موفقیت پروژه است و شامل بررسی دقیق نیازهای سازمان می‌شود:

• اهداف اصلی: آیا تمرکز بر ارزیابی تیم آبی و SOC است؟ کشف مسیرهای نفوذ به دارایی‌های حیاتی(CrownJewels) ؟سنجش آگاهی پرسنل از طریق مهندسی اجتماعی؟ یا رعایت الزامات قانونی مانند PCI-DSS؟
• تمایز با تست نفوذ: تیم قرمز فراتر از لیست آسیب‌پذیری‌ها می‌رود و سناریوهای واقعی حمله را شبیه‌سازی می‌کند، بر اساس مدل‌هایی مانند Cyber Kill Chain یا  MITRE ATT&CK.

این جلسه مبنای استراتژی، ابزارها و قوانین درگیری (RoE) را می‌سازد. بدون آن، پروژه ممکن است با انتظارات سازمان هم‌خوانی نداشته باشد.

سند کلیدی: قوانین درگیری (Rules of Engagement – RoE)

RoE  سند اساسی پروژه است که مرزها، مجوزها و محدودیت‌ها را تعریف می‌کند. این سند باید توسط هر دو طرف امضا شود تا از سردرگمی یا ریسک‌های ناخواسته جلوگیری شود. اجزای اصلی آن عبارتند از:

• محدوده و اهداف (Scope & Objectives) : شبکه‌ها، اپلیکیشن‌ها، دامنه‌های URL/IP، و بخش‌های فیزیکی مجاز؛ همراه با off-limits (مانند سیستم‌های تولیدی حساس).
• محدودیت‌ها و ممنوعیت‌ها: ممنوعیت حملات مخرب )مانند DoS، تخریب داده(، و فهرست اقدامات مجاز/غیرمجاز )مانند zero-day exploits یا فیشینگ داخلی.(
• زمان‌بندی :(Time-Boxing) پنجره زمانی دقیق برای عملیات، با امکان تمدید کتبی.
• مجوزها و هماهنگی: تایید مدیران ارشد، روش‌های ارتباطی اضطراری، و فرآیند deconfliction (تشخیص حمله تست از واقعی، مانند کد خاص در user-agent).
• کارت خروج از زندان (Get Out of Jail Free Card) : نامه رسمی روی سربرگ سازمان با امضای مدیرعامل، برای جلوگیری از مسائل قانونی یا درگیری با حراست.
• اصول ایمنی : تأکید بر عدم آسیب (Primum non nocere)، و توقف فوری در صورت کشف حمله واقعی.

در استانداردهایی مانند TIBER-EU، RoE شامل مسئولیت‌های دوطرفه و پروتکل‌های توقف (stop buttons) است. در داخل کشور ما، این سند باید با قانون جرایم رایانه‌ای (ماده ۲۵-۳۲) هم‌خوانی داشته باشد تا فعالیت‌ها جرم‌انگاری نشود .

الزامات و تعهدات طرفین

پروژه‌های تیم قرمز نیازمند تعامل شفاف و تعهد دوطرفه است. مسئولیت‌ها بر اساس چارچوب‌هایی مانند CREST و NIST 800-53  تقسیم می‌شوند.

تعهدات کارفرما (سازمان سفارش‌دهنده)

کارفرما نقش حمایتی کلیدی دارد و باید مقدمات را در زمینه امن‌سازی زیرساخت فراهم کند:

• الزامات قانونی: امضای SOW (Statement of Work) برای اهداف، محدوده و هزینه‌ها؛ NDA برای عدم افشا؛ و مجوزهای قانونی برای کاهش ریسک‌های حقوقی.
• اطلاعات و دسترسی‌ها: نقشه معماری شبکه، فهرست سرورها/دارایی‌ها، نتایج تست‌های قبلی، و دسترسی‌های اولیه  (مانند حساب‌های کم‌دسترسی یا VPN )
• پشتیبانی عملی: معرفی POC (نقاط تماس فنی، اجرایی و قانونی – 7/24 در دسترس)؛ فضای کاری امن برای تست فیزیکی (با برق و اتصال شبکه)؛ و اطلاع‌رسانی محدود داخلی برای حفظ واقع‌گرایی.
• آمادگی داخلی: آماده‌سازی تیم آبی برای پاسخ و threat intelligence سازمانی برای واقعی‌تر کردن شبیه‌سازی.
• ریسک‌های خاص: هماهنگی با مراجع مانند پلیس فتا یا شورای عالی فضای مجازی برای پروژه‌های حساس.

کارفرما باید بودجه جانبی (مانند ابزارهای سفارشی یا هزینه‌های فیزیکی) را تأمین کند و safe harbor (پوشش ریسک) را فراهم آورد.

تعهدات پیمانکار (تیم قرمز)

پیمانکار باید با تخصص و اخلاق حرفه‌ای عمل کند:

•  تیم و تخصص: متخصصان با گواهی‌های معتبر (مانندOSCP, CEH, CRTO, PWK ) و مهارت در دامنه‌های متنوع (شبکه، وب، social engineering, physical).
• برنامه‌ریزی: تهیه  test plan، attack plan بر اساس  MITRE ATT&CKو شبیه‌سازی TTPs واقعی.
• عملیات ایمن: رعایت اخلاقی (عدم آسیب، ابزارهای غیرمخرب)، ثبت کامل لاگ‌ها (با timestamps وPoC) و گزارش میانی برای یافته‌های مهم.
• قانونی و بیمه: رعایت حریم خصوصی (مانند GDPR یا قوانین داخلی کشور)، بیمه مسئولیت حرفه‌ای و توقف در موارد اضطراری.
• پاکسازی: حذف کامل آثار (backdoors, accounts) و اثبات آن در گزارش.

پیمانکار باید به اصول علمی مانند OSSTMM پایبند باشد و در پروژه‌های پیشرفته،  AI را برای evasion یا behavioral analysis  ادغام کند.

چیزهایی که کارفرما باید فراهم کند

برای اجرای موفق، کارفرما باید موارد زیر را در اختیار قرار دهد:

• اطلاعات فنی: طرح شبکه، IP ranges، domain lists، سیاست‌های امنیتی، و لیست اپلیکیشن‌های حیاتی.
• دسترسی‌ها: permissions اولیه، sandbox environments، یا physical access با .escort 
• هماهنگی:  POCها، threat intelligence و مجوزهای داخلی (مانند افتا).
• لجستیک: فضای کار، بودجه برای ابزارها (مانند bad USB) و لیست third-party vendors برای ارزیابی ریسک supply chain.

بدون موارد فوق، پروژه ناقص خواهد بود، همان‌طور که در راهنماهای FedRAMP تأکید شده.

مستندات تحویلی

مستندات خروجی کلیدی برای پیگیری و یادگیری هستند:

• پیش از شروع: Test Plan (اهداف، فازها، منابع)، RoE  امضا‌شده، NDA.
• میانی: گزارش‌های وضعیت دوره‌ای (برای پروژه‌های طولانی).
• نهایی: Red Team Report جامع، transparency report (اثبات پاکسازی)، lessons learned، و IOCs.
• تکمیلی: debrief session برای ارائه نتایج.

گزارش‌نویسی: ساختار، مدل و فرم

یک گزارش خوب باید برای مخاطبان مختلف (از مدیران ارشد تا کارشناسان فنی) قابل استفاده باشد. 

بخش ۱: خلاصه مدیریتی (Executive Summary) - برای مدیرعامل و هیئت مدیره

• زبان ساده و غیرفنی : اینجا باید از ریسک و تاثیر کسب‌وکاری حرف زده شود، نه اکسپلویت و شل‌کد! 
• اصل مطلب در یک صفحه:  به طور خلاصه به هدف تست، میزان موفقیت تیم قرمز، ریسک‌های کلیدی و توصیه‌های استراتژیک پرداخته شود. 
• مثال: "تیم ما توانست ظرف ۴۸ ساعت با یک حمله فیشینگ، به اطلاعات مالی شرکت دسترسی پیدا کند که می‌تواند منجر به خسارت مالی و اعتباری قابل توجهی شود. توصیه می‌شود احراز هویت چندعاملی (MFA) برای تمام مدیران فعال گردد." 

بخش ۲: روایت حمله (Attack Narrative) - برای مدیران فنی و تیم آبی

داستان تعریف کنید:   این بخش باید مثل یک رمان جاسوسی جذاب، قدم به قدم، از اولین مرحله (جمع‌آوری اطلاعات) تا آخرین مرحله (رسیدن به هدف) را تعریف کند. 

• مستند و بصری : از اسکرین‌شات‌ها، خروجی ابزارها و یکTimeline  برای نمایش مراحل حمله استفاده شود.
• نگاشت به :MITRE ATT&CK هر تکنیکی که استفاده شد را به ID مربوطه در فریمورک ATT&CK مپ کنیم. این کار به گزارش اعتبار بین‌المللی می‌بخشد. 

بخش ۳: یافته‌های فنی و آسیب‌پذیری‌ها (Technical Findings) - برای متخصصان فنی

جزئیات کامل:  هر آسیب‌پذیری باید به طور جداگانه با جزئیات زیر فهرست شود: 

• عنوان و سطح ریسک:  با استفاده از استاندارد CVSS  (مثلاً بحرانی، بالا، متوسط). 
• شرح و اثبات مفهوم :(PoC) توضیح فنی آسیب‌پذیری همراه با کامندها، اسکریپت‌ها و شواهد لازم برای بازتولید حمله. 
• تاثیر :(Impact) این آسیب‌پذیری چه خطری برای کسب‌وکار دارد؟ 

بخش ۴: توصیه‌ها و راه‌حل‌ها  (Recommendations)

• عملیاتی و اولویت‌بندی شده:  برای هر یافته، راه‌حل‌های دقیق، عملی و اولویت‌بندی شده (فوری، کوتاه‌مدت، بلندمدت) ارائه شود.
• فقط نگویید "آپدیت کنید"؛ بگویید "کدام پچ را نصب کنند" یا "کدام خط از کد را چگونه تغییر دهند". 

بخش ۵: تحلیل عملکرد تیم آبی  - (Blue Team Performance) اختیاری ولی فوق‌العاده ارزشمند

• این بخش برگ برندست.
• تشخیص و پاسخ: آیا تیم آبی شما را شناسایی کرد؟ چقدر طول کشید واکنش نشان دهند؟ واکنش‌شان موثر بود؟ 
• توصیه‌ها برای بهبود: پیشنهادهای مشخص برای بهبود ابزارهای SIEM, EDR و فرآیندهای تیم آبی ارائه شود.

پیوست‌ها :(Appendices) 

شامل لاگ‌های کامل، خروجی ابزارها، اسکریپت‌های سفارشی، و لیست نشانه‌های نفوذ(Indicators of Compromise - IOCs ).

فرم : از Markdown/Word برای readability استفاده شود، با visuals (attack paths, charts) ، و tone انسانی (داستان‌وار). بخش "What Didn’t Work" برای یافته‌های منفی اضافه شود تا عمق تست نشان داده شود.

استانداردهای مرتبط

• داخلی ایران: افتا-۱۴۰۰ برای ارزیابی، ISIRI 13128  (معادلISO 27001)، الزامات شاپرک/بانک مرکزی برای تست سالانه.
• خارجی/بین‌المللی: NIST 800-53 (رد تیم پیشرفته)، TIBER-EU (۱۰-۱۲ هفته برای مالی)، DORA/SAMA برای رگولاتوری.
• حرفه‌ای/علمی: PTES/OSSTMM برای متدولوژی، OWASP  برای وب،  SANS برای  TTPs و ادغام AI/MITRE ATLAS  برای آینده‌نگری (مانندquantum-resistant tests )

نکات طلایی

• Purple Teaming : کارگاه مشترک با تیم آبی برای تکرار حمله و یادگیری.
• Third-Party Risk : تست مسیرهای نفوذ از طریق تأمین‌کنندگان.
• فضای خاکستری: پروتکل برای چالش‌های اخلاقی (مانند کشف محتوای غیرقانونی).
• Debriefing : جلسه ارائه برای انتقال دانش.
• Continuous Red Teaming : تکرار پروژه برای بهبود مستمر.

جمع‌بندی

پروژه‌های تیم قرمز با تعامل شفاف، تعهد اخلاقی و رعایت استانداردها، امنیت سازمان را تقویت می‌کنند. کارفرما باید حمایت کند و پیمانکار با تمرکز بر بهبود، عمل کند. RoE و گزارش نهایی کلیدی‌ترین عناصر هستند و اجرای موفق آن‌ها سازمان را برای تهدیدات آینده آماده می‌ کند.

اگر به دنبال اجرای یک پروژه تیم قرمز استاندارد و موثر هستید، همین امروز با کارشناسان شرکت امنیت اطلاعات امن‌افزار گستر آپادانا تماس بگیرید تا متناسب با نیاز سازمانتان، برنامه‌ای دقیق و حرفه‌ای طراحی و اجرا شود.