Purple Teaming: সাইবার আক্রমণ প্রতিরোধে রেড ও ব্লু টিমের সমন্বিত সিকিউরিটি প্র্যাকটিস!

Purple Teaming মূলত একটি সহযোগিতামূলক সিকিউরিটি অনুশীলন, যেখানে Red এবং Blue টিম একই টেবিলে বসে নির্দিষ্ট অ্যাটাক টেকনিকের বিরুদ্ধে প্রতিষ্ঠানের প্রতিরক্ষা ক্ষমতা পরিমাপ ও উন্নত করে। এটি একটি স্বতন্ত্র টিম নয়, বরং একটি কার্যকরী মডেল।

Red, Blue, এবং Purple-এর পার্থক্য

Red Team: প্রকৃত আক্রমণকারীর মতো আচরণ করে। লক্ষ্য — দুর্বলতা শনাক্ত করা, বাস্তবিক ক্ষতির অনুকরণ করা, এবং প্রতিষ্ঠানের পরিপক্কতা পরিমাপ করা। সাধারণত স্টিলদি, লং-টার্ম এনগেজমেন্ট।

Blue Team: SOC অ্যানালিস্ট, ইনসিডেন্ট রেসপন্ডার, থ্রেট হান্টার — যারা প্রতিদিনের ডিফেন্স পরিচালনা করেন। SIEM, EDR, এবং অন্যান্য টুল মনিটর করেন।

Purple Team: একটি প্রক্রিয়া বা ফ্রেমওয়ার্ক যেখানে Red এবং Blue একসাথে নির্দিষ্ট TTP (Tactics, Techniques, Procedures) পরীক্ষা করে। ডিটেকশন গ্যাপ চিহ্নিত করে এবং তাৎক্ষণিক উন্নতির পরিকল্পনা করে।

MITRE ATT&CK-এর ভূমিকা

Purple Teaming-এর ভিত্তি হলো MITRE ATT&CK ফ্রেমওয়ার্ক। এটি প্রায় ৬০০+ অ্যাটাক টেকনিকের একটি গ্রন্থি, যা ১৪টি ট্যাকটিকে বিভক্ত (Initial Access, Execution, Persistence, ইত্যাদি)। Purple Team নির্দিষ্ট টেকনিক বেছে নেয়, সেটি এমুলেট করে, এবং প্রতিটি ধাপে ডিটেকশন/রেসপন্স মূল্যায়ন করে।

একটি সফল Purple Team এনগেজমেন্ট সাধারণত কয়েকটি ধাপে সংগঠিত হয়।

ধাপ ১: পরিকল্পনা এবং স্কোপিং

প্রথমে সিদ্ধান্ত নিতে হয় কোন থ্রেট গ্রুপের অনুকরণ করা হবে। উদাহরণস্বরূপ, একটি ফাইনান্সিয়াল প্রতিষ্ঠান FIN7 বা Lazarus-এর TTP নির্বাচন করতে পারে। MITRE ATT&CK Navigator-এ সেই গ্রুপের ম্যাট্রিক্স লোড করে কভারেজ ম্যাপ করা হয়।

ধাপ ২: হাইপোথিসিস তৈরি

প্রতিটি টেকনিকের জন্য একটি হাইপোথিসিস: "যদি T1059.001 (PowerShell Execution) সংঘটিত হয়, আমাদের EDR এটি 2 মিনিটের মধ্যে অ্যালার্ট জেনারেট করবে।"

ধাপ ৩: এমুলেশন এক্সিকিউশন

Red Team একটি নিয়ন্ত্রিত পরিবেশে টেকনিক এক্সিকিউট করে। Atomic Red Team, Caldera, বা Cobalt Strike-এর মতো টুল ব্যবহৃত হয়।

# Atomic Red Team - T1059.001 example
Invoke-AtomicTest T1059.001 -TestNumbers 1

এই কমান্ড একটি নিরাপদ, ডকুমেন্টেড PowerShell বিহেভিয়ার এক্সিকিউট করে যা একটি নির্দিষ্ট ATT&CK সাব-টেকনিক প্রতিনিধিত্ব করে।

ধাপ ৪: ডিটেকশন ভেরিফিকেশন

Blue Team তাদের টুলিংয়ে (Splunk, Elastic, Sentinel, CrowdStrike) চেক করে কী লগ হয়েছে, কোন অ্যালার্ট তৈরি হয়েছে, এবং কত দ্রুত।

ধাপ ৫: গ্যাপ অ্যানালিসিস

যদি টেকনিকটি ডিটেক্ট না হয়, তবে কারণ বিশ্লেষণ করা হয় — লগিং পর্যাপ্ত নয়? রুল লেখা হয়নি? টিউনিং প্রয়োজন? এই গ্যাপ ডকুমেন্ট করা হয়।

ধাপ ৬: উন্নতি এবং পুনরায় টেস্টিং

প্রতিটি গ্যাপের জন্য সমাধান প্রয়োগ করা হয় — নতুন Sigma রুল, ইডিআর কাস্টম ডিটেকশন, লগ সোর্স যোগ করা। তারপর একই টেকনিক পুনরায় এমুলেট করে নিশ্চিত করা হয় যে ডিটেকশন কাজ করছে।

Cobalt Strike Beacon ডিটেকশন

ধরা যাক একটি প্রতিষ্ঠান Cobalt Strike-এর Beacon C2 ডিটেক্ট করার ক্ষমতা যাচাই করতে চায়।

# Purple Team Test Plan
test_plan = {
    "technique": "T1071.001 - Application Layer Protocol: Web Protocols",
    "tool": "Cobalt Strike Beacon (HTTP)",
    "hypothesis": "Network IDS should detect default Beacon profile",
    "expected_detection": ["URI pattern matching", "JA3 fingerprint"],
    "test_environment": "Isolated lab with production-like monitoring"
}

Red Team একটি Cobalt Strike Beacon ডিপ্লয় করে। Blue Team Suricata, Zeek, এবং SIEM-এ দেখে কী ধরা পড়ছে। যদি default profile ধরা পড়ে কিন্তু কাস্টম Malleable C2 profile না পড়ে, তাহলে রুল আপডেট করতে হবে।

Lateral Movement Simulation

T1021.002 (SMB/Windows Admin Shares) এমুলেট করতে Red Team psexec বা PowerShell remoting ব্যবহার করে। Blue Team Windows Event ID 4624 (Logon Type 3), 5140 (Share Access), এবং 4688 (Process Creation) মনিটর করে।

Persistence Verification

T1547.001 (Registry Run Keys) — Red Team একটি registry এন্ট্রি যোগ করে। Blue Team Sysmon Event ID 13 দেখে এবং নিশ্চিত করে যে অ্যালার্ট কাজ করছে।

ভূমিকা ও দায়িত্ব

Purple Team Lead: এনগেজমেন্ট কোঅর্ডিনেট করেন, রিপোর্ট প্রস্তুত করেন।

Red Operators: TTP এক্সিকিউট করেন, পেলোড তৈরি করেন।

Blue Analysts: ডিটেকশন পর্যবেক্ষণ করেন, রুল লেখেন।

Detection Engineers: কাস্টম ডিটেকশন রুল ডেভেলপ করেন।

Threat Intelligence: কোন থ্রেট গ্রুপ অনুকরণ করতে হবে তা পরামর্শ দেন।

টুলিং

বিনামূল্যে এবং কমার্শিয়াল উভয় টুল ব্যবহার করা যায়:

• Atomic Red Team: MITRE ATT&CK-ভিত্তিক অ্যাটোমিক টেস্ট
• Caldera: MITRE-এর অটোমেটেড অ্যাডভার্সারি এমুলেশন প্ল্যাটফর্ম
• AttackIQ, SafeBreach, Cymulate: BAS (Breach and Attack Simulation) প্ল্যাটফর্ম
• VECTR: Purple Team এক্সারসাইজ ট্র্যাকিং
• Sigma: ক্রস-প্ল্যাটফর্ম ডিটেকশন রুল ফরম্যাট

ক্যাডেন্স

বিভিন্ন প্রতিষ্ঠানে বিভিন্ন ক্যাডেন্স কাজ করে। কেউ ত্রৈমাসিক ছোট এক্সারসাইজ চালায়, কেউ মাসিক টেকনিক-নির্দিষ্ট সেশন, আর কেউ বার্ষিক বড় এনগেজমেন্ট। আদর্শভাবে, একটি কন্টিনিউয়াস Purple Team প্রোগ্রাম যেখানে নিয়মিত BAS রান হয় এবং ত্রৈমাসিক ম্যানুয়াল এক্সারসাইজ।

রাজনৈতিক বাধা

কখনো কখনো Blue Team মনে করে Red Team তাদের ব্যর্থতা প্রকাশ করতে চায়, এবং বিপরীতে। Purple Teaming-এর মূল মন্ত্র হলো "Win together, lose together"। ব্যর্থতা ব্যক্তিগত নয়, প্রক্রিয়ার।

স্কোপ ক্রিপ

একটি এনগেজমেন্টে অনেক টেকনিক পরীক্ষা করার চেষ্টা একে অকার্যকর করে। প্রতিটি সেশনে ৫-১০টি নির্দিষ্ট টেকনিক যথেষ্ট।

মেট্রিক্স ও পরিমাপ

কী পরিমাপ করবেন? কয়েকটি প্রধান মেট্রিক:

• Detection Coverage: কত শতাংশ এমুলেটেড টেকনিক ডিটেক্ট হয়েছে
• Mean Time to Detect (MTTD): গড়ে কত সময়ে ডিটেক্ট হয়েছে
• Mean Time to Respond (MTTR): ডিটেকশনের পর রেসপন্সে কত সময়
• False Positive Rate: রুল কতটা সঠিক

টুলিং খরচ

কমার্শিয়াল BAS প্ল্যাটফর্ম ব্যয়বহুল হতে পারে। ছোট প্রতিষ্ঠানের জন্য Atomic Red Team এবং Caldera ভালো ওপেন-সোর্স বিকল্প।

প্রথমত, পরিষ্কার রুলস অফ এনগেজমেন্ট (ROE) তৈরি করুন। কোন সিস্টেম পরীক্ষা করা যাবে, কোনগুলো না, ক্ষতির সীমা কী — সব স্পষ্ট।

দ্বিতীয়ত, ডকুমেন্টেশন। প্রতিটি এক্সারসাইজের পরে রিপোর্ট তৈরি করুন — কী পরীক্ষা হয়েছে, কী ধরা পড়েছে, কী গ্যাপ পাওয়া গেছে, কী কর্মপরিকল্পনা।

তৃতীয়ত, থ্রেট ইন্টেলিজেন্স ইন্টিগ্রেশন। শিল্পে প্রাসঙ্গিক থ্রেট অ্যাক্টর এবং তাদের TTP-এর উপর ভিত্তি করে এক্সারসাইজ ডিজাইন করুন।

চতুর্থত, স্বয়ংক্রিয়করণ। CI/CD-এর মতো ডিটেকশন পাইপলাইনে স্বয়ংক্রিয় BAS রান করুন। প্রতিটি নতুন EDR পলিসি বা SIEM রুলের পর বিদ্যমান টেস্ট রিগ্রেস করুন।

পঞ্চমত, এক্সিকিউটিভ বায়-ইন। Purple Team প্রোগ্রামের সাফল্য নির্ভর করে নেতৃত্বের সমর্থনের উপর। নিয়মিত মেট্রিক্স এক্সিকিউটিভদের দেখান — প্রতিরক্ষা পরিপক্কতা কীভাবে উন্নত হচ্ছে।

ষষ্ঠত, ক্রস-ট্রেনিং। Red এবং Blue উভয়ের জন্য একে অপরের শিল্পকর্ম শিখা মূল্যবান। Red Team-এর সদস্যরা SIEM রুল লিখতে শিখলে আরও ভালো ডিটেকশন বাইপাস ডিজাইন করতে পারেন; Blue Team-এর সদস্যরা আক্রমণ কৌশল শিখলে রুল আরও কার্যকর হয়।