الإجابة المباشرة
فريق Blue team يدافع - يراقب ويكتشف ويستجيب للهجمات على أنظمة المنظمة. فريق Red team يهاجم - محاكاة المهاجمين الحقيقيين، بإذن صريح، للعثور على نقاط الضعف قبل أن يكتشفها المهاجمون الفعليون. إنهما جانبان لنفس الوظيفة (جعل المنظمة أكثر أمانًا) يتم الاقتراب منهما من اتجاهات معاكسة، وينبغي على معظم الأشخاص الذين يدخلون المجال أن يبدأوا في blue team، لأن هناك الكثير من الوظائف على مستوى الدخول في هذا الجانب فعليًا.
أسمع هذا السؤال باستمرار من الطلاب الذين شاهدوا محتوى penetration testing على الإنترنت وافترضوا أن ذلك هو "الأمن السيبراني الحقيقي" بينما العمل الدفاعي هو شيء ثانوي بطريقة ما. الأمر ليس كذلك. أدوار blue team مثل SOC analyst تفوق بكثير أدوار red team في سوق العمل البريطاني، خاصة على مستوى الدخول، وغالبًا ما تكون خبرة blue team هي ما يجعلك محترمًا للعمل في red team لاحقًا على أي حال.
مقارنة جنبًا إلى جنب
| Blue Team | Red Team | |
|---|---|---|
| النشاط الأساسي | مراقبة واكتشاف واستجابة ودفاع | محاكاة الهجمات والعثور على الضعف والإبلاغ عنه |
| دور الدخول النموذجي | SOC Analyst (Tier 1) | نادرًا ما يكون على مستوى الدخول - عادة ما يتطلب خبرة سابقة في تكنولوجيا المعلومات/الأمن |
| أدوات العمل اليومي | SIEM, EDR, ticketing systems | Penetration testing frameworks, exploit tools, reporting |
| الشهادات الشائعة | CompTIA Security+, BTL1 | OSCP, CREST, CHECK (UK-specific scheme) |
| حجم الوظائف على مستوى الدخول في المملكة المتحدة | مرتفع | منخفض - معظم أدوار red team تتطلب سنتين فأكثر من الخبرة السابقة |
| نمط العمل النموذجي | غالبًا يشمل التغطية بنظام الورديات/الدوام لمراكز SOC على مدار 24/7 | قائم على المشاريع، من مشروع إلى آخر |
ما أقوله لطلابي
كل طالب تقريبًا يأتي إلي ويريد "الدخول إلى المجال" يقصد فعلًا العمل في red team، وتقريبًا لا أحد منهم يمكنه الحصول على عرض عمل مباشرة فيه. هناك عدد قليل جدًا من أدوار red team على مستوى الدخول الحقيقي في المملكة المتحدة - معظم وظائف penetration testing تتوقع أن تكون لديك بالفعل فهم للشبكات والأنظمة، وغالبًا ما يكون لديك خبرة سابقة في blue team أو في تكنولوجيا المعلومات بشكل عام، وذلك لأنك تحتاج إلى معرفة ما يبدو عليه "الطبيعي" و"الآمن" قبل أن تتمكن من مهاجمته بنجاح.
نصيحتي الصادقة: ابدأ بـ blue team. احصل على دور SOC analyst (انظر كيف تصبح SOC analyst في المملكة المتحدة)، اقضِ سنة أو سنتين في فهم حقيقي لكيفية عمل الشبكات والسجلات والكشف من الجانب الدفاعي، ثم انتقل إلى العمل في red team إذا ظل يستهويك بعد أن تعرف واقع الاثنين. الكثيرون من أفضل penetration testers أعرفهم بدأوا بالفعل بهذه الطريقة. الذهاب مباشرة لمحتوى red team بدون هذا الأساس عادة ما يعني الكثير من الدورات المكلفة وعدم وجود عروض عمل، لأن أصحاب العمل يمكنهم التمييز بين شخص شاهد مقاطع فيديو عن الاختراق وشخص يفهم فعلًا كيف تعمل الأنظمة.
أي واحد يجب أن تختار فعلًا؟ فحص سريع لنفسك
- هل تستمتع بالتحقيق والتعرف على الأنماط أكثر من بناء/كسر الأشياء؟ → Blue team.
- هل أنت مرتاح للعمل الثقيل على الإجراءات، أحيانًا ما يكون متكررًا، في مقابل توفر الوظائف؟ → Blue team.
- هل لديك بالفعل خبرة قوية في تكنولوجيا المعلومات/الشبكات وتريد التخصص في الاختبار الهجومي؟ → Red team خطوة واقعية التالية، وليس الخطوة الأولى.
- هل أنت منجذب إلى red team بحتة من محتوى الاختراق على الإنترنت، بدون خبرة في تكنولوجيا المعلومات حتى الآن؟ → ابدأ بـ blue team أولًا وقم ببناء الأساسيات.
- هل تريد أوسع نطاق من فرص العمل على مستوى الدخول الآن؟ → Blue team، بدون شك.
هناك أيضًا "purple team" وسط متزايد الأهمية - أشخاص يعملون عبر كلا الجانبين، يعيدون نتائج red team إلى قواعد الكشف في blue team - لكن هذا دور تنمو فيه من خلال الخبرة في أحد الجانبين أولًا، وليس نقطة انطلاق.
كيف تبدو الأدوار بالفعل أسبوعًا تلو الآخر
عمل Blue team (SOC analyst) مغطى بالتفصيل في ماذا يفعل SOC analyst - بشكل عام، فحص التنبيهات والتحقيق في السجلات والتوثيق، غالبًا مع تغطية الورديات. عمل Red team قائم على المشاريع: قد تستمر المشاركة لمدة أسبوع إلى أربعة أسابيع، وتتضمن التنسيق مع العميل والاختبار النشط (غالبًا العمل خارج التعاون الطبيعي مع فريق الأمن الخاص بالهدف، بالتصميم)، وتنتهي بتقرير مفصل وأحيانًا عرض تقديمي للنتائج. إنه أقل روتينية من عمل SOC، لكن أقل قابلية للتنبؤ بكثير من حيث عبء العمل والسفر.
إذا كنت تريد مساعدة في معرفة أي جانب يناسب أسلوب عملك وخلفيتك فعلًا قبل أن تلتزم وقتًا بالدراسة، تحقق من التسعير وسنناقشها بشكل صحيح.
الأسئلة الشائعة
أي منهما يدفع أكثر، blue team أم red team؟
أدوار red team/penetration testing الكبيرة يمكن أن تدفع أكثر من الأدوار المعادلة في blue team، جزئيًا لتعكس مجموعة المواهب الأصغر والشهادات المتخصصة مثل OSCP. على مستوى الدخول الفجوة أقل وضوحًا، وdrill team لديها أدوار متاحة أكثر بكثير.
هل يمكنني الذهاب مباشرة إلى red team كأول وظيفة؟
نادر جدًا في المملكة المتحدة. معظم الاستقطاب الأمني على مستوى الدخول هو blue team (SOC analyst)، ومعظم أدوار penetration testing تتوقع خبرة سابقة في تكنولوجيا المعلومات أو الأمن أولًا.
ما هو purple team؟
إنه أسلوب عمل بدلًا من عنوان وظيفة منفصل في معظم الشركات - فريق blue و red يتعاونان، مع نتائج red team التي توجه مباشرة قواعد الكشف في blue team. عادة ما تنتقل إلى عمل purple team بعد الخبرة في أحد الجانبين.
هل أحتاج إلى شهادات مختلفة لكل مسار؟
بشكل عام نعم. مسارات blue team غالبًا ما تبدأ مع Security+ وأدوات مثل SIEM؛ مسارات red team تميل نحو شهادات مثل OSCP لاحقًا في المسيرة الوظيفية، عادة بعد أساسيات blue team أو تكنولوجيا المعلومات العامة في المكان.