Purple Team yəni Bənövşəyi Komanda - kibertəhlükəsizlik sahəsində qırmızı komanda (hücum edən) və mavi komanda (müdafiə edən) arasında əməkdaşlıq və birgə fəaliyyət metodologiyasını təmsil edən konsepsiya və yanaşmadır. Bənövşəyi komanda ənənəvi qarşıdurma formatından fərqli olaraq, hücum və müdafiə komandalarının birgə işləməsini təşviq edərək təşkilatın kibertəhlükəsizlik qabiliyyətlərini maksimal dərəcədə təkmilləşdirməyi hədəfləyir. Bu yanaşma adını qırmızı və mavi rənglərin qarışığından - bənövşəyi rəngdən alır və simvolik olaraq iki komandanın vəhdətini və əməkdaşlığını ifadə edir.

Konsepsiyanın Mənşəyi və Təkamülü

Bənövşəyi komanda konsepsiyası kibertəhlükəsizlik sahəsində nisbətən yeni, lakin sürətlə populyarlaşan yanaşmadır. Ənənəvi qırmızı komanda və mavi komanda metodologiyaları təşkilatlara əhəmiyyətli dəyər gətirməsinə baxmayaraq, bir sıra məhdudiyyətlərə malik idi:

Ənənəvi Qırmızı Komanda Əməliyyatlarının Məhdudiyyətləri:

• Qırmızı komanda əməliyyatları adətən izolyasiya edilmiş şəkildə həyata keçirilirdi
• Mavi komanda yalnız əməliyyat başa çatdıqdan sonra nəticələr haqqında məlumat əldə edirdi
• Aşkar edilmiş zəifliklərin real vaxtda necə istismar edildiyini görmək imkanı məhdud idi
• Əməliyyat zamanı əldə edilən biliklərin təcili transferi mümkün deyildi
• Bəzi hallarda iki komanda arasında rəqabət mühiti yaranırdı

Bu məhdudiyyətləri aradan qaldırmaq və hər iki komandanın güclü tərəflərini birləşdirmək məqsədilə bənövşəyi komanda yanaşması formalaşdı. İlk dəfə 2000-ci illərin sonunda və 2010-cu illərin əvvəllərində kibertəhlükəsizlik icmasında müzakirə edilməyə başlanan bu konsepsiya, getdikcə daha çox təşkilat tərəfindən qəbul edildi və standart praktikaya çevrildi.

Fundamental Prinsiplər və Fəlsəfə

Bənövşəyi komanda yanaşması bir neçə fundamental prinsipə əsaslanır:

1. Əməkdaşlıq Qarşıdurma Deyil

Bənövşəyi komanda fəlsəfəsinin mərkəzində "us versus them" (biz onlara qarşı) mentalitetindən "us together" (biz birlikdə) mentalitetinə keçid durur. Qırmızı və mavi komandalar düşmən deyil, ortaq məqsəd - təşkilatın təhlükəsizliyini gücləndirmək üçün çalışan tərəfdaşlardır.

2. Davamlı Təkmilləşdirmə

Bənövşəyi komanda tək əməliyyat deyil, davamlı prosesdir. Məqsəd bir dəfə test keçirmək yox, müdafiə qabiliyyətlərini davamlı olaraq qiymətləndirmək və təkmilləşdirməkdir.

3. Şəffaflıq və Açıq Kommunikasiya

Bənövşəyi komanda əməliyyatları zamanı qırmızı komanda öz metodlarını, alətlərini və texnikalarını mavi komanda ilə açıq şəkildə paylaşır. Bu şəffaflıq hər iki tərəfin öyrənməsini və inkişafını sürətləndirir.

4. Real Vaxt Rəy və Düzəliş

Ənənəvi qırmızı komanda əməliyyatlarından fərqli olaraq, bənövşəyi komanda formatında müdafiə sistemlərinin zəif tərəfləri real vaxtda müəyyən edilir və düzəldilir.

5. Bilik Transferi

Bənövşəyi komanda təkcə zəiflikləri tapmaq deyil, həm də bilik və bacarıqların iki komanda arasında transferini təmin etmək məqsədi daşıyır.

Əsas Məqsədlər və Faydalar

Təşkilat üçün Faydalar

1. Müdafiə Qabiliyyətinin Sürətli Yaxşılaşdırılması Bənövşəyi komanda yanaşması müdafiə boşluqlarının daha tez müəyyən edilməsini və aradan qaldırılmasını təmin edir. Ənənəvi qırmızı komanda əməliyyatında həftələr və ya aylar ərzində aşkar edilən problemlər bənövşəyi komanda sessiyaları zamanı günlər və ya həftələr ərzində həll edilə bilər.

2. Təhlükəsizlik Sistemlərinin Optimallaşdırılması Mavi komanda öz aşkarlama qaydalarını, SIEM korrelyasiyalarını, EDR konfiqurasiyalarını və digər təhlükəsizlik alətlərini real hücum ssenarilərinə əsasən fine-tune edə bilir. Bu, yalan pozitiv xəbərdarlıqların azalmasına və həqiqi təhdidlərin daha effektiv aşkarlanmasına gətirib çıxarır.

3. SOC Analitiklərinin Bacarıqlarının İnkişafı Bənövşəyi komanda təlimləri SOC analitiklərinin praktiki bacarıqlarını əhəmiyyətli dərəcədə artırır. Onlar real hücum texnikalarını canlı olaraq görür və onlara necə cavab verməli olduqlarını öyrənirlər.

4. Təhdid Kəşfiyyatının Praktiki Tətbiqi Təhdid kəşfiyyatı məlumatları (threat intelligence) nəzəri bilikdən praktiki müdafiəyə çevrilir. Qırmızı komanda real dünya təhdid aktorlarının TTP-lərini (Tactics, Techniques, and Procedures) simulyasiya edir, mavi komanda isə bu TTP-lərə qarşı müdafiə strategiyalarını işləyib hazırlayır.

5. ROI və Dəyər Nümayişi Bənövşəyi komanda təşkilata təhlükəsizlik investisiyalarının əsl dəyərini göstərir. Hansı alətlərin effektiv işlədiyini, hansıların təkmilləşdirməyə ehtiyacı olduğunu və harada əlavə investisiya lazım olduğunu müəyyən etmək mümkün olur.

6. Proaktiv Təhlükəsizlik Mövqeyi Bənövşəyi komanda təşkilatı reaktiv müdafiədən proaktiv müdafiəyə keçməyə kömək edir. Təşkilat real hücum baş verməmişdən əvvəl hazırlaşır.

Qırmızı Komanda üçün Faydalar

1. Daha Realist Əməliyyatlar Qırmızı komanda mavi komandanın real qabiliyyətləri və prosedurları haqqında daha yaxşı anlayış əldə edir, bu da daha realist və əhəmiyyətli test ssenariləri yaratmağa imkan verir.

2. Bilik Paylaşımı Platforması Qırmızı komanda üzvləri öz biliklərini və təcrübələrini paylaşmaq imkanı əldə edirlər, bu da onların professional inkişafına töhfə verir.

3. Əməliyyat Effektivliyinin Artması Mavi komanda ilə əməkdaşlıq qırmızı komandanın əməliyyatlarını daha strukturlaşdırılmış və məqsədyönlü etməyə kömək edir.

Mavi Komanda üçün Faydalar

1. Praktiki Öyrənmə Təcrübəsi SOC analitikləri kitablardan və kurslardan öyrəndiklərini real praktikada görür və tətbiq edirlər.

2. Özünə İnam və Hazırlıq Simulyasiya edilmiş hücumlarla müntəzəm məşq real hadisə zamanı komandanın özünə inamını və effektivliyini artırır.

3. Boşluqların Müəyyənləşdirilməsi Prosedurların, alətlərin və prosesin zəif tərəflərini real vaxtda müəyyən etmək imkanı.

4. Yeni Texnikaların Öyrənilməsi Qırmızı komandadan yeni hücum texnikaları və müdafiə strategiyaları öyrənmək.

Bənövşəyi Komanda Əməliyyatlarının Növləri

1. Purple Team Exercise (Bənövşəyi Komanda Təlimi)

Bu, ən strukturlaşdırılmış və məqsədyönlü bənövşəyi komanda formatıdır. Adətən bir və ya bir neçə gün davam edən intensiv sessiyadır.

Struktur:

• Planlaşdırma Mərhələsi: Hər iki komanda birgə olaraq əməliyyatın məqsədlərini, əhatə dairəsini və uğur meyarlarını müəyyən edir
• Hücum Mərhələsi: Qırmızı komanda konkret TTP-ni həyata keçirir
• Müşahidə və Analiz: Mavi komanda real vaxtda aşkarlama cəhdləri aparır
• Müzakirə və Analiz: Hər hücum ssenarisindan sonra iki komanda nəticələri müzakirə edir
• Düzəliş və Təkrar Test: Müdafiə təkmilləşdirilir və yenidən yoxlanılır
• Sənədləşdirmə: Bütün tapıntılar, öyrənilən dərslər və təkmilləşdirmə planı sənədləşdirilir

Fokus Sahələri:

• Konkret təhdid aktoru və ya hücum kampaniyasının simulyasiyası
• Müəyyən MITRE ATT&CK texnikalarının test edilməsi
• Konkret təhlükəsizlik alətinin və ya strategiyasının qiymətləndirilməsi
• Hadisə cavab prosedurlarının test edilməsi

2. Purple Team Assessment (Bənövşəyi Komanda Qiymətləndirməsi)

Bu format daha uzunmüddətli və hərtərəflidir, adətən bir neçə həftə davam edir.

Xüsusiyyətləri:

• Təşkilatın bütün təhlükəsizlik mövqeyinin kompleks qiymətləndirilməsi
• Çoxsaylı hücum vektorlarının və müdafiə mexanizmlərinin test edilməsi
• Ətraflı gap analizi və təkmilləşdirmə roadmap-ının hazırlanması
• İdarəetmə üçün risk əsaslı hesabatlar

3. Continuous Purple Teaming (Davamlı Bənövşəyi Komanda)

Bu, bənövşəyi komanda prinsiplərinin təşkilatın gündəlik təhlükəsizlik əməliyyatlarına inteqrasiyasıdır.

Tətbiq Forması:

• Mütəmadi kiçik həcmli bənövşəyi sessiyalar (həftəlik və ya aylıq)
• Qırmızı və mavi komanda üzvlərinin birgə rotasiyası
• Yeni təhdid kəşfiyyatının dərhal test edilməsi
• Davamlı öyrənmə və təkmilləşdirmə mədəniyyəti

4. Tabletop Purple Team (Masa Üstü Bənövşəyi Təlim)

Bu format fiziki hücum simulyasiyası olmadan, diskussiya və ssenari əsasında keçirilir.

Xüsusiyyətləri:

• Az resurs tələb edir
• Böyük qrupların iştirakına imkan verir
• Strateji və taktiki qərarların qəbul edilməsinə fokuslanır
• İdarəetmə və rəhbərliyin cəlb edilməsi üçün əlverişlidir

Metodologiya və İcra Prosesi

Planlaşdırma və Hazırlıq Mərhələsi

1. Məqsəd Müəyyənləşdirmə Bənövşəyi komanda əməliyyatı başlamazdan əvvəl aydın məqsədlər müəyyən edilməlidir:

• Hansı təhdid ssenariləri test ediləcək?
• Hansı təhlükəsizlik nəzarətləri qiymətləndiriləcək?
• Hansı bacarıqlar inkişaf etdiriləcək?
• Hansı qiymətləndirmə meyarları istifadə ediləcək?

2. Əhatə Dairəsi (Scope) Müəyyənləşdirmə

• Hansı sistemlər, şəbəkə seqmentləri, tətbiqlər daxil olacaq?
• İstifadəçi qrupları test ediləcəkmi (sosial mühendislik)?
• Fiziki təhlükəsizlik daxil olacaqmı?
• Hansı saatlar və günlər əməliyyat aparılacaq?

3. Rules of Engagement (Əlaqə Qaydaları)

• Qadağan edilən hərəkətlər və sistemlər
• Eskalasiya prosedurları
• Kommunikasiya kanalları və məsul şəxslər
• Təcili vəziyyət protokolları

4. Komanda Seçimi və Rol Təyini

• Qırmızı komanda liderləri və operatorları
• Mavi komanda liderləri və analitikləri
• Fasilitator və ya koordinator (tərəfsiz şəxs)
• Müşahidəçilər və qeyd aparanlar

5. Alət və İnfrastruktur Hazırlığı

• Test mühiti və ya istehsal mühitinin hazırlanması
• Lazımi təhlükəsizlik alətlərinin aktivləşdirilməsi və konfiqurasiyası
• Qeyd və monitorinq sistemlərinin yoxlanılması
• Kommunikasiya platformalarının qurulması (Slack, Microsoft Teams və s.)

İcra Mərhələsi

1. Kick-off Görüşü Bütün iştirakçılar toplaşır və aşağıdakılar müzakirə edilir:

• Əməliyyatın məqsədləri və əhatə dairəsi xatırladılır
• Timeline və gözlənilən nəticələr
• Kommunikasiya protokolları
• Uğur meyarları

2. Hücum Ssenarisi Həyata Keçirilməsi

Qırmızı Komandanın Fəaliyyətləri:

• Planlaşdırılmış TTP-ni icra edir
• Real vaxtda məlumat paylaşımı (bəzi bənövşəyi formatlarında)
• Müşahidə və qeydlərin aparılması
• Mavi komandanın cavablarının izlənməsi

Mavi Komandanın Fəaliyyətləri:

• Aktiv monitorinq və aşkarlama cəhdləri
• Xəbərdarlıqların təhlili və validasiyası
• Hadisə cavab prosedurlarının icra edilməsi
• Aşkarlama və cavab zamanlarının qeydə alınması

Koordinator/Fasilitatorun Rolu:

• Hər iki komanda arasında məlumat mübadiləsi
• Zaman çərçivəsinin və qaydalara riayətin təmin edilməsi
• Obyektiv müşahidə və qeyd aparılması
• Texniki problemlərin həlli

3. Real Vaxt Analiz və Müzakirələr

Hər hücum addımından və ya ssenaridan sonra:

• Immediate Debrief: Qısa müzakirə - nə baş verdi, nə aşkarlandı, nə qaçırıldı
• Gap Analizi: Niyə müəyyən şeylər aşkarlanmadı?
• Brainstorming: Necə yaxşılaşdırmaq olar?
• Düzəliş Planlaması: Hansı dəyişikliklər dərhal tətbiq edilə bilər?

4. Dəyişikliklərin Tətbiqi və Yenidən Test

Bu, bənövşəyi komandanın ən dəyərli aspektlərindən biridir:

• Aşkarlama qaydalarının düzəldilməsi
• SIEM korrelyasiyalarının əlavə edilməsi
• Əksik qeydlərin (log) aktivləşdirilməsi
• Prosedur dəyişiklikləri
• Yenidən eyni hücumun icra edilməsi və təkmilləşmənin yoxlanılması

Post-Exercise Fəaliyyətləri

1. Hərtərəfli Debriefing Sessiyası

• Bütün əməliyyatın ümumi nəticələrinin müzakirəsi
• Uğurlu müdafiələrin və uğursuzluqların analizi
• Gözlənilməz tapıntılar və dərslər
• Komanda dinamikası və əməkdaşlıq keyfiyyəti

2. Gap və Boşluq Analizi

• Texnoloji boşluqlar: hansı alətlər və ya qabiliyyətlər çatışmır?
• Proses boşluqları: hansı prosedurlar mövcud deyil və ya zəifdir?
• İnsan boşluqları: hansı bacarıq və biliklərdə çatışmazlıq var?
• Məlumat boşluqları: hansı visibility və ya məlumat mənbələri çatışmır?

3. Təkmilləşdirmə Roadmap-ının Hazırlanması

Prioritetlərə əsasən təkmilləşdirmə planı:

• Qısa müddət (0-30 gün): Dərhal tətbiq edilə bilən düzəlişlər
• Konfiqurasiya dəyişikləri
• Yeni aşkarlama qaydaları
• Prosedur yeniləmələri
• Orta müddət (1-3 ay): Orta dərəcəli sərmayə tələb edən təkmilləşdirmələr
• Əlavə log mənbələrinin inteqrasiyası
• Alət optimizasiyası
• Təlim proqramları
• Uzun müddət (3-12 ay): Əhəmiyyətli investisiya və ya struktur dəyişikliyi tələb edən təkmilləşdirmələr
• Yeni təhlükəsizlik alətlərinin alınması
• Arxitektura dəyişiklikləri
• Komanda genişləndirməsi

4. Ətraflı Hesabat

Hesabat aşağıdakıları əhatə etməlidir:

• İcra Xülasəsi: İdarəetmə üçün yüksək səviyyəli icmal
• Metodologiya: Əməliyyatın necə aparıldığı
• Test Edilən Ssenarilər: Hər ssenari üçün ətraflı təsvir
• Tapıntılar: Texniki tapıntılar, boşluqlar, zəifliklər
• Müdafiə Effektivliyi: Aşkarlama və cavab performansı
• Tövsiyələr: Prioritetləşdirilmiş təkmilləşdirmə tövsiyələri
• Əlavələr: Texniki detallar, log nümunələri, timeline-lar

5. Lessons Learned və Bilik İdarəetməsi

• Əldə edilmiş biliklərin sənədləşdirilməsi
• Playbook və prosedurların yenilənməsi
• Daxili wiki və ya bilik bazasına əlavələr
• Gələcək təlimlər üçün ssenari kitabxanasının yaradılması

Tətbiq Çərçivələri və Standartlar

MITRE ATT&CK Framework İnteqrasiyası

MITRE ATT&CK bənövşəyi komanda əməliyyatları üçün ümumi dil və çərçivə təqdim edir:

Planlaşdırma Mərhələsində:

• Test ediləcək taktika və texnikaların seçilməsi
• Təşkilata ən uyğun təhdid modellərinin müəyyən edilməsi
• Əməliyyatın ATT&CK Navigator ilə vizuallaşdırılması

İcra Mərhələsində:

• Hər hücum addımının ATT&CK texnikası ilə etiketlənməsi
• Aşkarlama qabiliyyətinin ATT&CK texnikalarına əsasən ölçülməsi
• Coverage gap-lərin müəyyən edilməsi

Analiz Mərhələsində:

• Hansı texnikaların aşkarlandığı və hansılarının qaçırıldığının qiymətləndirilməsi
• Detection maturity-nin texnika bazasında ölçülməsi
• Prioritet texnikaların müəyyən edilməsi

Cyber Kill Chain Modelindən İstifadə

Lockheed Martin tərəfindən hazırlanmış Cyber Kill Chain modeli bənövşəyi komanda əməliyyatlarını strukturlaşdırmaq üçün faydalıdır:

1. Reconnaissance: Kəşfiyyat məlumatlarının toplanması
2. Weaponization: Hücum alətlərinin hazırlanması
3. Delivery: Hədəfə çatdırılma
4. Exploitation: İstismar
5. Installation: Quraşdırılma və möhkəmlənmə
6. Command & Control: İdarəetmə kanalının yaradılması
7. Actions on Objectives: Son məqsədə çatma

Bənövşəyi komanda hər mərhələdə müdafiə qabiliyyətini test edir.

NIST Cybersecurity Framework Alignment

NIST CSF-in beş əsas funksiyası bənövşəyi komanda əməliyyatlarına strukturlaşdırılmış yanaşma təqdim edir:

• Identify (Müəyyənləşdirmə): Aktivlərin, zəifliklərin müəyyənləşdirilməsi
• Protect (Qoruma): Qoruyucu nəzarətlərin test edilməsi
• Detect (Aşkarlama): Aşkarlama qabiliyyətinin qiymətləndirilməsi
• Respond (Cavab): Hadisə cavab effektivliyinin ölçülməsi
• Recover (Bərpa): Bərpa proseslərinin yoxlanılması

Praktiki Tətbiq Ssenariləri

Ssenari 1: Ransomware Hücumu Simulyasiyası

Məqsəd: Təşkilatın ransomware hücumuna qarşı hazırlığını qiymətləndirmək

Qırmızı Komanda Fəaliyyətləri:

1. Phishing e-poçtu vasitəsilə ilkin giriş (T1566 - Phishing)
2. Makro-aktivləşdirilmiş sənəd vasitəsilə kod icrası (T1204 - User Execution)
3. PowerShell vasitəsilə post-exploitation (T1059.001 - PowerShell)
4. Credential dumping (T1003 - OS Credential Dumping)
5. Lateral movement domain administrator hesabı ilə (T1021 - Remote Services)
6. Data discovery və exfiltration (T1083, T1041)
7. Ransomware simulyasiyası (şifrələmə olmadan, yalnız simulyasiya)

Mavi Komanda Fokus Sahələri:

• E-poçt təhlükəsizlik gateway-in phishing aşkarlaması
• Endpoint protection makro icrasını blok edə bildimi?
• EDR şübhəli PowerShell fəaliyyətini aşkar etdimi?
• SIEM credential dumping əlamətlərini gördümü?
• Network segmentation lateral movement-i məhdudlaşdırdımı?
• DLP data exfiltration-u dayandırdımı?
• Backup sistemləri təhlükəsizdirmi və işlək vəziyyətdədir?

Uğur Meyarları:

• İlkin phishing aşkar edilmə dərəcəsi
• Credential dumping-ə qədər vaxt
• Lateral movement aşkarlama müddəti
• Hadisə cavab aktivləşmə vaxtı
• Tam recovery müddəti (simulyasiya edilmiş)

Ssenari 2: Insider Threat (Daxili Təhlükə) Simulyasiyası

Məqsəd: Daxili təhdidlərin aşkarlanması və cavab qabiliyyətinin test edilməsi

Qırmızı Komanda Fəaliyyətləri:

1. Legitimləşdirilmiş istifadəçi hesabından atipik fəaliyyət
2. Həssas məlumatlara qeyri-adi giriş
3. Məlumatların xarici storage-a köçürülməsi
4. İş saatları xaricində şübhəli fəaliyyət
5. Logların silinməsi cəhdi

Mavi Komanda Fokus Sahələri:

• UEBA (User and Entity Behavior Analytics) anomaliya aşkarlaması
• DLP siyasətlərinin effektivliyi
• Access control və least privilege prinsipinin tətbiqi
• Audit logging-in mövcudluğu və bütövlüyü
• İnsan analitiklərin anomaliyaları tapmaq qabiliyyəti

Ssenari 3: Supply Chain Attack (Təchizat Zənciri Hücumu)

Məqsəd: Üçüncü tərəf təchizatçılar vasitəsilə hücumların qarşısının alınması

Qırmızı Komanda Fəaliyyətləri:

1. Kompromit edilmiş vendor hesabından giriş
2. Legitim yeniləmə mexanizmi vasitəsilə zərərli kod yerləşdirilməsi
3. Trusted relationship-dən istifadə edərək lateral movement

Mavi Komanda Fokus Sahələri:

• Vendor risk management prosesləri
• Üçüncü tərəf girişlərinin monitorinqi
• Software supply chain security (kod imzaları, integrity check)
• Vendor şəbəkə seqmentasiyası