Spiller du nogensinde computerspil såsom Halo eller Gears of War? Hvis det er tilfældet, har du helt sikkert lagt mærke til en spiltilstand kaldet Fang flaget der stiller to hold mod hinanden - et, der har ansvaret for at beskytte flaget mod modstandere, der forsøger at stjæle det.
Denne type træning bruges også af organisationer til at måle deres evne til at opdage, reagere på og afbøde et cyberangreb. Faktisk er disse simuleringer nøglen til at lokalisere svagheder i organisationers systemer, mennesker og processer, før angribere udnytter dem. Ved at efterligne realistiske cybertrusler lader disse øvelser sikkerhedsudøvere også finjustere hændelsesprocedurer og styrke deres forsvar mod skiftende sikkerhedsudfordringer.
I denne artikel har vi set på, i brede vendinger, hvordan de to hold afvikler det, og hvilke open source-værktøjer den defensive side kan bruge. Først og fremmest en superhurtig genopfriskning af de to holds roller:
- Det røde hold spiller rollen som angriberen og udnytter taktikker, der afspejler trusselsaktører fra den virkelige verden. Ved at identificere og udnytte sårbarheder, omgå organisationens forsvar og kompromittere dens systemer, giver denne modstridende simulering organisationer uvurderlig indsigt i sprækker i deres cyberrustninger.
- Det blå hold påtager sig i mellemtiden den defensive rolle, da det sigter mod at opdage og modarbejde modstanderens indtrængen. Dette indebærer blandt andet at implementere forskellige cybersikkerhedsværktøjer, holde styr på netværkstrafikken for eventuelle uregelmæssigheder eller mistænkelige mønstre, gennemgå logfiler genereret af forskellige systemer og applikationer, overvåge og indsamle data fra individuelle slutpunkter og hurtigt reagere på tegn på uautoriseret adgang eller mistænkelig adfærd.
Som en sidebemærkning er der også et lilla hold, der er afhængig af en samarbejdstilgang og samler både offensive og defensive aktiviteter. Ved at fremme kommunikation og samarbejde mellem de offensive og defensive hold giver denne fælles indsats organisationer mulighed for at identificere sårbarheder, teste sikkerhedskontroller og forbedre deres overordnede sikkerhedsposition gennem en endnu mere omfattende og samlet tilgang.
Nu, når vi går tilbage til det blå hold, bruger den defensive side en række open source og proprietære værktøjer til at opfylde sin mission. Lad os nu se på nogle få sådanne værktøjer fra den tidligere kategori.
Værktøjer til netværksanalyse
arkime
Designet til effektiv håndtering og analyse af netværkstrafikdata, arkime er et storstilet pakkesøgnings- og opsamlingssystem (PCAP). Den har en intuitiv webgrænseflade til at gennemse, søge efter og eksportere PCAP-filer, mens dens API giver dig mulighed for direkte at downloade og bruge de PCAP- og JSON-formaterede sessionsdata. På den måde giver det mulighed for at integrere dataene med specialiserede trafikregistreringsværktøjer såsom Wireshark under analysefasen.
Arkime er bygget til at blive implementeret på mange systemer på én gang og kan skaleres til at håndtere snesevis af gigabit/sekund af trafik. PCAPs håndtering af store mængder data er baseret på sensorens tilgængelige diskplads og Elasticsearch-klyngens skala. Begge disse funktioner kan skaleres op efter behov og er under administratorens fulde kontrol.
Snøfte
Snøfte er et open source-system til forebyggelse af indtrængen (IPS), der overvåger og analyserer netværkstrafikken for at opdage og forhindre potentielle sikkerhedstrusler. Brugt i vid udstrækning til real-time trafikanalyse og pakkelogning, bruger den en række regler, der hjælper med at definere ondsindet aktivitet på netværket og giver det mulighed for at finde pakker, der matcher en sådan mistænkelig eller ondsindet adfærd og genererer advarsler til administratorer.
Ifølge sin hjemmeside har Snort tre hovedanvendelsessager:
- pakkesporing
- pakkelogning (nyttigt til netværkstrafikfejlretning)
- Network Intrusion Prevention System (IPS)
Til detektering af indtrængen og ondsindet aktivitet på netværket har Snort tre sæt globale regler:
- regler for fællesskabsbrugere: dem, der er tilgængelige for enhver bruger uden omkostninger og registrering.
- regler for registrerede brugere: Ved at registrere sig hos Snort kan brugeren få adgang til et sæt regler, der er optimeret til at identificere meget mere specifikke trusler.
- regler for abonnenter: Dette sæt regler giver ikke kun mulighed for mere nøjagtig trusselsidentifikation og optimering, men kommer også med muligheden for at modtage trusselsopdateringer.
Hændelsesstyringsværktøjer
Hive
Hive er en skalerbar sikkerhedshændelsesvarsplatform, der giver et samarbejdende og tilpasseligt rum til hændelseshåndtering, undersøgelse og reaktionsaktiviteter. Det er tæt integreret med MISP (Malware Information Sharing Platform) og letter opgaverne for Security Operations Center (SOC'er), Computer Security Incident Response Team (CSIRT'er), Computer Emergency Response Team (CERT'er) og andre sikkerhedsprofessionelle, der står over for sikkerhedshændelser, som skal analyseres og handles hurtigt. Som sådan hjælper det organisationer med at administrere og reagere effektivt på sikkerhedshændelser
Der er tre funktioner, der gør det så nyttigt:
- Samarbejde: Platformen fremmer samarbejde i realtid mellem (SOC) og Computer Emergency Response Team (CERT) analytikere. Det letter integrationen af igangværende undersøgelser i sager, opgaver og observerbare. Medlemmer kan få adgang til relevant information og særlige meddelelser om nye MISP-begivenheder, advarsler, e-mail-rapporter og SIEM-integrationer forbedrer kommunikationen yderligere.
- Uddybning: Værktøjet forenkler oprettelsen af sager og tilknyttede opgaver gennem en effektiv skabelonmotor. Du kan tilpasse metrics og felter via et dashboard, og platformen understøtter tagging af vigtige filer, der indeholder malware eller mistænkelige data.
- Performance (Præstation): Tilføj alt fra én til tusindvis af observerbare til hver oprettet sag, inklusive muligheden for at importere dem direkte fra en MISP-begivenhed eller en hvilken som helst advarsel sendt til platformen, samt tilpasselig klassificering og filtre.
GRR hurtig respons
GRR hurtig respons er en hændelsesreaktionsramme, der muliggør live fjernforensisk analyse. Den fjernindsamler og analyserer retsmedicinske data fra systemer for at lette cybersikkerhedsundersøgelser og hændelsesresponsaktiviteter. GRR understøtter indsamling af forskellige typer retsmedicinske data, herunder filsystemmetadata, hukommelsesindhold, registeroplysninger og andre artefakter, der er afgørende for hændelsesanalyse. Det er bygget til at håndtere store udrulninger, hvilket gør det særligt velegnet til virksomheder med forskelligartede og omfattende it-infrastrukturer.
Den består af to dele, en klient og en server.
GRR-klienten er installeret på systemer, som du ønsker at undersøge. På hvert af disse systemer, når først de er installeret, spørger GRR-klienten regelmæssigt GRR-frontend-serverne for at verificere, om de fungerer. Med "arbejde" mener vi at udføre en bestemt handling: download en fil, opregn en mappe osv.
GRR-serverinfrastrukturen består af flere komponenter (frontends, arbejdere, UI-servere, Fleetspeak) og giver en webbaseret GUI og et API-slutpunkt, der giver analytikere mulighed for at planlægge handlinger på klienter og se og behandle de indsamlede data.
Analyse af styresystemer
HELK
HELK, eller The Hunting ELK, er designet til at give et omfattende miljø for sikkerhedsprofessionelle til at udføre proaktiv trusselsjagt, analysere sikkerhedshændelser og reagere på hændelser. Det udnytter kraften i ELK-stakken sammen med yderligere værktøjer til at skabe en alsidig og udvidelig sikkerhedsanalyseplatform.
Den kombinerer forskellige cybersikkerhedsværktøjer til en samlet platform til trusselsjagt og sikkerhedsanalyse. Dens primære komponenter er Elasticsearch, Logstash og Kibana (ELK stack), som er meget brugt til log- og dataanalyse. HELK udvider ELK-stakken ved at integrere yderligere sikkerhedsværktøjer og datakilder for at forbedre dens muligheder for trusselsdetektion og hændelsesrespons.
Dets formål er forskning, men på grund af dets fleksible design og kernekomponenter kan det implementeres i større miljøer med de rigtige konfigurationer og skalerbar infrastruktur.
Volatilitet
Ramme for volatilitet er en samling værktøjer og biblioteker til udvinding af digitale artefakter fra, du gættede det, den flygtige hukommelse (RAM) i et system. Det er derfor meget udbredt i digital efterforskning og hændelsesvar til at analysere hukommelsesdumps fra kompromitterede systemer og udtrække værdifuld information relateret til igangværende eller tidligere sikkerhedshændelser.
Da det er platformsuafhængigt, understøtter det hukommelsesdumps fra en række forskellige operativsystemer, herunder Windows, Linux og macOS. Faktisk kan Volatility også analysere hukommelsesdumps fra virtualiserede miljøer, såsom dem, der er oprettet af VMware eller VirtualBox, og dermed give indsigt i både fysiske og virtuelle systemtilstande.
Volatility har en plugin-baseret arkitektur – den kommer med et rigt sæt indbyggede plugins, der dækker en bred vifte af retsmedicinske analyser, men som også giver brugerne mulighed for at udvide dens funktionalitet ved at tilføje brugerdefinerede plugins.
Konklusion
Så der har du det. Det siger sig selv, at blå/røde holdøvelser er afgørende for at vurdere beredskabet af en organisations forsvar og som sådan er afgørende for en robust og effektiv sikkerhedsstrategi. Det væld af oplysninger, der indsamles gennem denne øvelse, giver organisationer et holistisk syn på deres sikkerhedsposition og giver dem mulighed for at vurdere effektiviteten af deres sikkerhedsprotokoller.
Derudover spiller blå teams en nøglerolle i compliance og regulering af cybersikkerhed, hvilket er særligt vigtigt i stærkt regulerede brancher, såsom sundhedspleje og finans. De blå/røde holdøvelser giver også realistiske træningsscenarier for sikkerhedsprofessionelle, og denne praktiske oplevelse hjælper dem med at finpudse deres færdigheder i egentlig hændelsesreaktion.
Hvilket hold vil du tilmelde dig?
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :har
- :er
- :ikke
- $OP
- 22
- 36
- a
- evne
- adgang
- præcis
- Handling
- aktioner
- aktiviteter
- aktivitet
- aktører
- faktiske
- tilføje
- tilføje
- Desuden
- Yderligere
- administratorer
- Fordel
- kontradiktorisk
- mod
- målsætninger
- Alert
- Advarsler
- tillader
- sammen
- også
- blandt
- beløb
- an
- analyse
- Analytikere
- analytics
- analysere
- analyseret
- analyser
- analysere
- ,
- abnormaliteter
- enhver
- overalt
- api
- applikationer
- tilgang
- arkitektur
- ER
- artikel
- AS
- vurdere
- Vurdering
- forbundet
- At
- Angriberen
- forsøg
- til rådighed
- tilbage
- baseret
- BE
- Oksekød
- før
- adfærd
- mellem
- Blå
- både
- Bringer
- bred
- Browsing
- bygget
- indbygget
- men
- by
- kaldet
- CAN
- kapaciteter
- fange
- tilfælde
- tilfælde
- Boligtype
- center
- udfordringer
- afgift
- klassificering
- kunde
- kunder
- Cluster
- samarbejde
- kollaborativ
- Indsamling
- samling
- kombinerer
- kommer
- Kommunikation
- samfund
- Compliance
- komponenter
- omfattende
- Kompromitteret
- at gå på kompromis
- computer
- Computersikkerhed
- Adfærd
- består
- indhold
- kontrol
- kontrol
- samarbejde
- Core
- Koste
- dæksel
- skabe
- oprettet
- skabelse
- kritisk
- afgørende
- skik
- tilpasses
- tilpasse
- Cyber angreb
- Cybersecurity
- cybertrusler
- instrumentbræt
- data
- dataanalyse
- forsvar
- defensiv
- definere
- definitivt
- indsat
- implementering
- implementeringer
- Design
- konstrueret
- opdage
- Detektion
- forskellige
- digital
- direkte
- Vejviser
- forskelligartede
- gør
- downloade
- grund
- Duke
- i løbet af
- hver
- Letter
- Effektiv
- effektivitet
- effektiv
- effektivt
- indsats
- nødsituation
- muliggør
- Endpoint
- Engine (Motor)
- forbedre
- virksomheder
- Miljø
- miljøer
- især
- væsentlig
- etc.
- Endog
- begivenhed
- begivenheder
- NOGENSINDE
- udviklende
- udførelse
- Dyrke motion
- erfaring
- udnytte
- eksport
- udvide
- udvider
- omfattende
- ekstrakt
- udvinding
- Ansigtet
- lette
- letter
- falsk
- Funktionalitet
- få
- Fields
- File (Felt)
- Filer
- Filtre
- finansiere
- Finde
- Fornavn
- fleksibel
- Til
- Forensic
- retsvidenskab
- Tidligere
- fremme
- Framework
- fra
- frontend
- forenden
- Opfylde
- fuld
- funktionalitet
- yderligere
- spil
- Spil
- Målestok
- gear
- genereret
- genererer
- Global
- Goes
- gå
- gættet
- håndtere
- Håndtering
- hands-on
- Have
- sundhedspleje
- hjælpe
- hjælper
- stærkt
- holistisk
- hjemmeside
- Hvordan
- HTML
- HTTPS
- Jagt
- Identifikation
- identificere
- identificere
- if
- billede
- importere
- Forbedre
- in
- hændelse
- hændelsesrespons
- Herunder
- faktisk
- individuel
- industrier
- oplysninger
- Infrastruktur
- infrastruktur
- indsigt
- integreret
- Integration
- integration
- integrationer
- grænseflade
- ind
- intuitiv
- undersøge
- undersøgelse
- Undersøgelser
- involverer
- IT
- ITS
- fælles
- holde
- Nøgle
- stor
- storstilet
- større
- lad
- Udnytter
- biblioteker
- linux
- leve
- log
- logning
- Se
- MacOS
- Main
- lave
- Making
- ondsindet
- malware
- administrere
- ledelse
- mange
- Match
- Kan..
- betyde
- I mellemtiden
- Medlemmer
- Hukommelse
- Metadata
- Metrics
- spejl
- Mission
- afbøde
- tilstand
- overvågning
- skærme
- mere
- meget
- Behov
- behov
- netværk
- netværkstrafik
- Ny
- Bemærk
- meddelelser
- nu
- of
- off
- offensiv
- on
- engang
- ONE
- igangværende
- kun
- åbent
- open source
- drift
- operativsystemer
- Produktion
- optimering
- optimeret
- Option
- or
- ordrer
- organisationer
- Andet
- ud
- samlet
- pakker
- især
- dele
- forbi
- mønstre
- Mennesker
- per
- fysisk
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- spiller
- Plugins
- afstemninger
- position
- potentiale
- magt
- forhindre
- Forebyggelse
- uvurderlig
- primære
- Proaktiv
- procedurer
- behandle
- Processer
- professionelle partnere
- fremmer
- proprietære
- beskyttelse
- protokoller
- give
- giver
- formål
- hurtigt
- RAM
- rækkevidde
- hurtige
- virkelige verden
- realtid
- realistisk
- modtage
- Rød
- registreret
- registrering
- Registrering
- register
- reguleret
- regulerede brancher
- Regulering
- relaterede
- relevant
- fjern
- fjernadgang
- Rapporter
- forskning
- Svar
- reagere
- svar
- gennemgå
- Rich
- højre
- robust
- roller
- roller
- regler
- siger
- skalerbar
- Scale
- skaleret
- scenarier
- planlægge
- Søg
- søgning
- sikkerhed
- Sikkerhed begivenheder
- Sikkerhedsrisici
- sendt
- Series
- server
- Servere
- Session
- sæt
- sæt
- flere
- deling
- side
- underskrive
- Skilte
- forenkler
- simulation
- simuleringer
- færdigheder
- So
- Kilde
- Kilder
- Space
- særligt
- specialiserede
- specifikke
- stable
- Stage
- Stater
- Strategi
- abonnenter
- sådan
- egnede
- Understøtter
- mistænksom
- hurtigt
- systemet
- Systemer
- taktik
- Tag
- tager
- opgaver
- hold
- hold
- skabelon
- tiere
- vilkår
- prøve
- at
- deres
- Them
- Der.
- derfor
- Disse
- de
- ting
- denne
- dem
- tusinder
- trussel
- trusselsaktører
- trusler
- tre
- Gennem
- hele
- toften
- stramt
- Titel
- til
- sammen
- værktøj
- værktøjer
- Trafik
- Kurser
- to
- typer
- ui
- uberettiget
- under
- forenet
- opdateringer
- på
- brug
- anvendte
- nyttigt
- Bruger
- brugere
- bruger
- Værdifuld
- række
- forskellige
- verificere
- alsidige
- via
- Specifikation
- Virtual
- afgørende
- vmware
- flygtige
- Volatilitet
- Sårbarheder
- ønsker
- krig
- we
- svagheder
- Rigdom
- web
- web-baseret
- GODT
- som
- mens
- WHO
- bred
- Bred rækkevidde
- bredt
- bredde
- vilje
- vinduer
- med
- uden
- arbejdere
- arbejder
- Du
- Din
- zephyrnet