Red Team VS Blue Team VS Purple Team?

Red Team, Blue Team หรือ Purple Team เป็นหนึ่งในตำแหน่งที่ต้องการมากที่สุดในอุตสาหกรรมด้าน Cyber security แต่ไม่ว่าจะอยู่ในบทบาทใดก็ตาม พวกเขาก็พร้อมรับมือกับภัยคุกคามทางไซเบอร์ที่เกิดขึ้นด้วยวิธีต่าง ๆ ไม่ว่าจะเป็นการจำลองการโจมตีเข้ามายังระบบที่มีระบบป้องกัน หรือการปกป้ององค์กรจากการโจมตีต่างๆ และการตอบสนองต่อการโจมตีในด้านเชิงกลยุทธ์ให้ทันท่วงที ซึ่งจะเกิดขึ้นเฉพาะกับผู้เชี่ยวชาญที่ผ่านการฝึกอบรมมาเป็นอย่างดีเท่านั้นที่สามารถคงอยู่ในตำแหน่งที่ท้าทายเหล่านี้ได้

ซึ่งสีต่างๆ ที่ถูกกำหนดขึ้นมาเปรียบเสมือนการแบ่งฝ่ายของการแข่งขัน โดยจะแทนมุมที่เป็นฝ่ายบุกรุก (Offensive)  ด้วยสีแดง (Red Team)แทนมุมที่เป็นตั้งรับ (Defensive) ด้วยสีน้ำเงิน (Blue Team) ส่วนทีมสีม่วง (Purple Team) คือ ทีมที่อยู่ตรงกลางระหว่างสีแดงและน้ำเงิน

ดังนั้น บทความนี้จะช่วยอธิบายเกี่ยวกับความสามารถเฉพาะทางของแต่ละทีม พร้อมคำแนะนำเพิ่มเติมอีกเล็กน้อย

Red Team คืออะไร?

ทีมสีแดง (Red Team) มีภารกิจ คือ โจมตีและพยายามทำลายการป้องกันของทีมสีน้ำเงิน (Blue Team) โดยมีหลักการและจรรยาบรรณของการโจมตี ที่จะต้องได้รับอนุญาตให้ละเมิดเพื่อเข้าสู่ระบบอย่างถูกกฎหมาย และมีจริยธรรม โดยตามหลักการแล้ว ทีมสีแดงจะไม่ทราบถึงกลไกการป้องกันขององค์กรที่สีน้ำเงินสร้างขึ้น ดังนั้น บ่อยครั้งที่ทีมสีแดงจะเป็นการจัดจ้าง  บริการจากบริษัทภายนอก หรือบุคคลที่มีความสามารถตามมาตรฐานสากลเป็นผู้ดำเนินการ ซึ่งอาจจะพิจารณาจากใบรับรอง (Certificate) ที่เป็นที่นิยม เช่น OSCP, GWAPT, GPEN เป็นต้น

ซึ่งทีมสีแดง (Red Team) จะใช้เทคนิคการโจมตีทางไซเบอร์ในโลกความเป็นจริงที่มีการโจมตีและเหล่า Hacker ใช้งานอยู่ตั้งแต่อดีตจนถึงปัจจุบัน เพื่อใช้หาจุดอ่อนตั้งแต่เครื่องของบุคลากรในองค์กร กระบวนการ และเทคโนโลยีของบริษัทฯ ที่มีการใช้งาน โดยทีมสีแดง (Red Team) จะพยายามหลีกเลี่ยงกลไกการป้องกันที่ทีมสีน้ำเงิน (Blue Team) สร้างขึ้น โดยมีเป้าหมายเพื่อแทรกซึมเข้าไปยังระบบเครือข่ายองค์กร และจำลองการขโมยข้อมูล โดยจะพยายามทำให้ทีมสีน้ำเงิน (Blue Team) สังเกตเห็นได้น้อยที่สุด หรือไม่สามารถเห็นได้เลยถ้าเป็นไปได้

เทคนิคการโจมตีทั่วไปของทีมสีแดง (Red Team) ได้แก่:

  • Penetration Testing
  • Phishing
  • Social Engineering and Other Forms of Credential Theft Mechanisms
  • Port scanning
  • Vulnerability Scanning

นอกเหนือจากการใช้เทคนิคทั่วไปของแฮกเกอร์แล้ว สมาชิกในทีมสีแดง (Red Team) ยังมีการใช้เครื่องมือที่ออกแบบและสร้างขึ้นมาเอง เพื่อให้ตัวเองเข้าสู่ระบบเครือข่ายของเป้าหมาย และมักจะยกระดับสิทธิของตนเองแก่บริษัทฯ  เป้าหมายได้สำเร็จ

หลังจากทีมสีแดง (Red Team) หากดำเนินการเสร็จเรียบร้อยแล้ว ทีมสีแดง (Red Team) จะต้องเขียนรายงานหลังการโจมตี รวมถึงรายละเอียดเกี่ยวกับเทคนิคที่ใช้ ช่องทาง หรือเวกเตอร์ที่ใช้ในการเข้าถึงเป้าหมาย และแสดงผลลัพธ์ที่ประสบความสำเร็จ และไม่สำเร็จในแต่ละการทดสอบ ในรายงานจะต้องรวบรวมคำแนะนำที่เกี่ยวข้องกับการแก้ไขช่องโหว่ที่พบ และวิธีการเสริมความปลอดภัยให้กับองค์กร เพื่อให้มั่นใจว่าระบบการป้องกันมีมาตรฐาน และสามารถรองรับภัยคุกคามที่อาจเกิดขึ้นในอนาคต โดยรายงานเหล่านี้จะช่วยให้ทีมสีน้ำเงิน (Blue Team) รับรู้และเข้าใจถึงช่องโหว่   ที่เกิดขึ้น ว่าอยู่ที่ไหนบ้าง? การป้องกันล้มเหลวได้อย่างไร? และจุดใดที่ต้องเพิ่มความเข้มงวดในการรักษาความปลอดภัยต่อไป

Blue Team คืออะไร?

ทีมสีน้ำเงิน (Blue Team) มีหน้าที่รับผิดชอบในการวิเคราะห์ระบบขององค์กรอย่างสม่ำเสมอ เพื่อปกป้องทรัพย์สินทางระบบดิจิทัล ไม่ว่าจะเป็น Computer, Server, Document, Data ขององค์กรอย่างเหมาะสม ระบุจุดอ่อน และประเมินประสิทธิภาพของเครื่องมือป้องกันภัยคุกคามทางไซเบอร์ และนโยบายด้านความปลอดภัยด้านไซเบอร์ขององค์กร

หน้าที่หรืองานที่ทีมสีน้ำเงิน (Blue Team) รับผิดชอบ ได้แก่:

  • เฝ้าระวังและตรวจสอบเครือข่าย ระบบ และอุปกรณ์ขององค์กร
  • การตรวจจับ บรรเทาภัยที่เกิดขึ้นกับระบบเครือข่าย,คอมพิวเตอร์ และกำจัดภัยคุกคามและการโจมตีทางไซเบอร์
  • การรวบรวมการรับส่งข้อมูลเครือข่ายและข้อมูลทางนิติวิทยาศาสตร์เพื่อนำไปพิสูจน์เมื่อต้องการหาสาเหตุเชิงลึก
  • ดำเนินการวิเคราะห์ข้อมูล
  • ดำเนินการสแกนช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอก
  • การประเมินความเสี่ยงทางไซเบอร์

และทีมสีน้ำเงิน (Blue Team) ยังต้องดูแลไปถึงเรื่องการอัปเดตซอฟต์แวร์ ฮาร์ดแวร์ และนโยบายความปลอดภัยทางไซเบอร์ เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นในอนาคตอีกด้วย

สิ่งที่ทีมสีน้ำเงิน (Blue Team) ควรทำเพิ่มเติม ได้แก่:

  • สร้าง กำหนดค่า และบังคับใช้ระบบไฟร์วอลล์
  • ตั้งค่าและควบคุมการเข้าถึงอุปกรณ์และผู้ใช้งาน โดยปกติแล้วมักใช้หลักการของ Least Privilege คือ ให้สิทธิ์น้อยที่สุดก่อนเสมอ
  • ปรับปรุงการผลิตซอฟต์แวร์ระดับองค์กรและระบบรักษาความปลอดภัยให้ได้รับการอัปเดตล่าสุดอยู่เสมอ
  • ติดตั้งระบบตรวจจับและป้องกันภัย คือ ระบบ IDS/IPS และระบบ Response
  • แบ่งโซนการทำงานของ Network เพื่อป้องกันการเข้าถึงที่ง่ายเกินไป
  • หมั่นศึกษาลักษณะโจมตีทางไซเบอร์ เพื่อนำมาประยุกต์ใช้ในการป้องกันองค์กร
  • ทำการทดสอบประเภท DDoS Attack
  • พัฒนานโยบายการตอบสนอง และการแก้ไขปัญหาทางไซเบอร์เพื่อให้แน่ใจว่าระบบจะสามารถกลับคืนสู่สถานะ       การทำงานปกติอย่างปลอดภัยและรวดเร็ว หลังจากเหตุการณ์ไม่คาดคิดเกิดขึ้น (Incident)

ทีมสีน้ำเงิน (Blue Team) ยังมีบทบาทสำคัญในการประเมิน และแก้ไขจุดอ่อนในระดับบุคคล การติดตามข่าวสารฟิชชิ่งและกลโกงของการหลอกลวงในสังคมโซเชียลล่าสุด อีกหนึ่งสิ่งที่จำเป็นสำหรับทีมสีน้ำเงิน (Blue Team) คือ การจัดฝึกอบรมการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ ( Awareness Training /CyberDrill Excercise ) อย่างมีประสิทธิภาพ

ซึ่งทีมสีน้ำเงิน (Blue Team) จะแจ้งให้ผู้บริหารระดับสูงทราบเมื่อพบความเสี่ยง เพื่อประเมินว่าควรยอมรับในความเสี่ยงที่จะเกิดขึ้นหรือไม่ หรือจำเป็นต้องมีนโยบายหรือการควบคุมใหม่ เพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นในอนาคต

เช่นเดียวกับทีมสีแดง (Red Team) หลังจากการฝึกซ้อมเสร็จสิ้น ทีมสีน้ำเงิน (Blue Team) จะต้องรวบรวมหลักฐาน บันทึกการกระทำ และข้อมูลต่างๆ เพื่อเขียนรายงานเกี่ยวกับประสบการณ์ และการวิเคราะห์ข้อมูล


Purple Team คืออะไร?

การเรียกทีมสีม่วง (Purple Team) ว่า “ทีม” อาจจะทำให้เข้าใจผิดเล็กน้อย จริงๆ แล้วทีมสีม่วง (Purple Team) ไม่ใช่ทีมแยก แต่เป็นทีมผสมระหว่างสมาชิกในทีมสีน้ำเงิน (Blue Team) และสีแดง (Red Team) นั่นเอง

แม้ว่าทีมสีแดง (Red Team) และสีน้ำเงิน (Blue Team) มีเป้าหมายเดียวกันในการปรับปรุงความปลอดภัยขององค์กร แต่บ่อยครั้งที่ทั้งสองทีมไม่เต็มใจที่จะเปิดเผย "ความลับ" ของตน ด้วยเหตุผลหลายๆ ประการ บางครั้งทีมสีแดง (Red Team) จะไม่เปิดเผยวิธีการที่ใช้ในการแทรกซึมเข้าสู่ระบบ ในขณะที่ทีมสีน้ำเงิน (Blue Team) จะไม่บอกว่าการโจมตีของทีมสีแดงถูกตรวจจับหรือไม่? และป้องกันได้อย่างไร?

แต่อย่างไรก็ตาม การแบ่งปันความลับเหล่านี้ถือเป็นสิ่งสำคัญในการเสริมสร้างมาตรการรักษาความปลอดภัยของบริษัทฯหรือองค์กร คุณค่าของทีมสีแดง (Red Team) และสีน้ำเงิน (Blue Team) จะสูญเปล่า หากพวกเขาไม่เปิดเผยข้อมูลการวิจัย และรายงานของพวกเขาออกมาให้ทั้ง 2 ทีมได้รับรู้

นี่คือจุดที่ทีมสีม่วง (Purple Team) จะก้าวเข้ามา สมาชิกในทีมสีม่วง (Purple Team) จะรับสมาชิกทีมสีแดง (Red Team) และสมาชิกทีมสีน้ำเงิน (Blue Team) เข้ามาเพื่อทำงานร่วมกันและแบ่งปันข้อมูลเชิงลึกเกี่ยวกับข้อมูล การรายงาน และความรู้ของพวกเขา ในการทำเช่นนี้ ทีมสีม่วง (Purple Team) ควรมุ่งเน้นไปที่การส่งเสริมการสื่อสาร และการทำงานร่วมกันระหว่างทีมสีแดง (Red Team) และสีน้ำเงิน (Blue Team)

No items found.
No items found.

December 21, 2023

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Recent Event

X-Web Penetration Testing คืออะไร? ประโยชน์ ประเภท และวิธีการทำ

ในปัจจุบันอินเทอร์เน็ตมีบทบาทสำคัญต่อการดำเนินธุรกิจและชีวิตประจำวัน ผู้คนส่วนมากใช้เว็บไซต์เป็นช่องทางในการค้นหาสินค้า หรือบริการต่างๆ ซึ่งแน่นอนหลายองค์กรต้องมีการปรับเปลี่ยนวิธีการนำเสนอสินค้าและบริการของตัวเอง เพื่อมาตอบโจทย์ความต้องการของลูกค้ามาก

Read More

Red Team VS Blue Team VS Purple Team?

Read More

VA, Pentest, Health Check แล้วบริการไหนเหมาะสำหรับองค์กรของคุณ? วันนี้เรามีคำตอบมาให้

Read More