Red Team , Blue Team คืออะไร ในมุมมองของ CyberSecurity
เมื่อเราพูดถึงเรื่อง Information Security เรามักจะนึกถึงการป้องกัน โดยเรามีแนวโน้มที่จะพิจารณาในมุมของ Protection (ป้องกัน) , Damage Control (ควบคุมความเสียหาย) , reaction (การตอบโต้)
อย่างไรก็ดีการเอามุมมองของผู้โจมตีมาปรับใช้กับการป้องกันนั้นจะสามารถช่วยให้ธุรกิจสามารถปกป้องตัวเองได้อย่างมีประสิทธิภาพมากยิ่งขึ้นภายใต้ภัยคุกคามที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา
ในทางการทหารจะทำการจัดกลุ่มคนที่มีทักษะสูง (Red Team) และให้ทำตัวเป็นเหมือนข้าศึกที่จะบุกเข้ามาในแนวป้องกัน โดยทั่วไปแล้ว Red Team จะใช้ประสบการณ์และความสามารถส่วนตัวในการหาแนวทางที่เป็นไปได้ในการที่จะโจมตีและบุกทะลวงแนวป้องกันอย่างมีประสิทธิภาพ โดยกระบวนการนี้ก็จะคล้ายๆการซ้อมรบนั่นแหละ
คราวนี้มาที่ Blue Team กันบ้าง , สมาชิกของ Blue Team จะได้รับการฝึกฝนทักษะการตรวจจับ (Detect) เพื่อที่จะประเมินและปิดจุดอ่อนที่คาดว่าทาง Red Team อาจจะใช้ในการบุก
แนวคิดทั้งหมดนี้ได้ถูกนำมาประยุกต์ใช้กับ CyberSecurity ในกรณีนี้ Red Team ก็คือการทำ Penetration tests ซึ่งผลการทดสอบจะใช้ประเมินความน่าเชื่อถือของระบบ, ความสามารถในการป้องกันของระบบ , และระดับของความปลอดภัย
โดยทั่วไปแล้วนั้น Red Team จะได้รับภารกิจที่เฉพาะเจาะจงอย่างเช่น ให้ประเมินความเป็นไปได้ในการเข้าถึงข้อมูลลับที่ถูกเก็บไว้ในระบบฐานข้อมูลในขณะเดียวกันนั้น Blue Team ก็จะเป็นผู้รับผิดชอบในการป้องกัน โดย Red Team จะคาดการณ์จุดอ่อนและระบุแนวทางในการทำลายแนวป้องกัน โดยอาศัยช่องโหว่ในองค์ประกอบของ People , Process , Technology ซึ่งโดยทั่วไปแล้วถ้าโจมตีสำเร็จก็จะเขียนแนวทางดำเนินการที่ใช้ไว้ให้ด้วย เพื่อที่จะได้เอาไปใช้ในการพัฒนาวิธีการป้องกันของ Blue Team
สำหรับ Blue Team ก็จะดำเนินการตามขั้นตอนปกติเช่น การตรวจ SEIM (Security Information and Event Management) , การรวบรวมข้อมูลภัยคุกคาม , การวิเคราะห์พฤติกรรมการเคลื่อนย้ายของข้อมูลในระบบ เพื่อเฝ้าระวังการดำเนินการของผู้บุกรุก (ในที่นี้คือ Red Team )
ซึ่ง Red Team เองก็จะก็ต้องตระหนักถึงศักยภาพ TTP (Tactics , Techniques , Procedures) ของ Blue Team ด้วย
