¿Alguna vez has jugado juegos de computadora como Halo o Gears of War? Si es así, definitivamente habrás notado un modo de juego llamado Captura la Bandera que enfrenta a dos equipos entre sí, uno que se encarga de proteger la bandera de los adversarios que intentan robarla.
Este tipo de ejercicio Las organizaciones también lo utilizan para medir su capacidad para detectar, responder y mitigar un ciberataque. De hecho, estas simulaciones son clave para identificar debilidades en los sistemas, personas y procesos de las organizaciones antes de que los atacantes se aprovechen de ellas. Al emular amenazas cibernéticas realistas, estos ejercicios permiten a los profesionales de la seguridad también afinar los procedimientos de respuesta a incidentes y reforzar sus defensas contra los desafíos de seguridad en evolución.
En este artículo, analizamos, en términos generales, cómo se enfrentan los dos equipos y qué herramientas de código abierto puede utilizar el lado defensivo. En primer lugar, un repaso súper rápido sobre los roles de los dos equipos:
- El equipo rojo desempeña el papel del atacante y aprovecha tácticas que reflejan las de los actores de amenazas del mundo real. Al identificar y explotar vulnerabilidades, eludir las defensas de la organización y comprometer sus sistemas, esta simulación adversaria proporciona a las organizaciones información invaluable sobre las grietas en sus armaduras cibernéticas.
- El equipo azul, por su parte, asume el rol defensivo ya que tiene como objetivo detectar y frustrar las incursiones del rival. Esto implica, entre otras cosas, implementar varias herramientas de ciberseguridad, controlar el tráfico de la red en busca de anomalías o patrones sospechosos, revisar los registros generados por diferentes sistemas y aplicaciones, monitorear y recopilar datos de puntos finales individuales y responder rápidamente a cualquier señal de acceso no autorizado. o comportamiento sospechoso.
Como nota al margen, también hay un equipo morado que se basa en un enfoque colaborativo y reúne actividades tanto ofensivas como defensivas. Al fomentar la comunicación y la cooperación entre los equipos ofensivos y defensivos, este esfuerzo conjunto permite a las organizaciones identificar vulnerabilidades, probar controles de seguridad y mejorar su postura general de seguridad a través de un enfoque aún más integral y unificado.
Ahora, volviendo al equipo azul, el lado defensivo utiliza una variedad de herramientas patentadas y de código abierto para cumplir su misión. Veamos ahora algunas de estas herramientas de la categoría anterior.
Herramientas de análisis de red
arkime
Diseñado para manejar y analizar de manera eficiente los datos del tráfico de la red, arkime Es un sistema de búsqueda y captura de paquetes a gran escala (PCAP). Cuenta con una interfaz web intuitiva para explorar, buscar y exportar archivos PCAP, mientras que su API le permite descargar y utilizar directamente los datos de sesión con formato PCAP y JSON. Al hacerlo, permite integrar los datos con herramientas especializadas en captura de tráfico como Wireshark durante la etapa de análisis.
Arkime está diseñado para implementarse en muchos sistemas a la vez y puede escalarse para manejar decenas de gigabits/segundo de tráfico. El manejo de grandes cantidades de datos por parte de PCAP se basa en el espacio en disco disponible del sensor y la escala del clúster de Elasticsearch. Ambas funciones se pueden ampliar según sea necesario y están bajo el control total del administrador.
Bufido
Bufido es un sistema de prevención de intrusiones (IPS) de código abierto que monitorea y analiza el tráfico de la red para detectar y prevenir posibles amenazas a la seguridad. Utilizado ampliamente para análisis de tráfico en tiempo real y registro de paquetes, utiliza una serie de reglas que ayudan a definir la actividad maliciosa en la red y le permite encontrar paquetes que coincidan con dicho comportamiento sospechoso o malicioso y genera alertas para los administradores.
Según su página de inicio, Snort tiene tres casos de uso principales:
- rastreo de paquetes
- registro de paquetes (útil para depurar el tráfico de red)
- Sistema de prevención de intrusiones de red (IPS)
Para la detección de intrusiones y actividad maliciosa en la red, Snort cuenta con tres conjuntos de reglas globales:
- Reglas para usuarios comunitarios: aquellas que están disponibles para cualquier usuario sin ningún coste ni registro.
- Reglas para usuarios registrados: Al registrarse en Snort el usuario puede acceder a un conjunto de reglas optimizadas para identificar amenazas mucho más específicas.
- reglas para suscriptores: este conjunto de reglas no solo permite una identificación y optimización de amenazas más precisas, sino que también incluye la capacidad de recibir actualizaciones de amenazas.
Herramientas de gestión de incidentes
La colmena
La colmena es una plataforma escalable de respuesta a incidentes de seguridad que proporciona un espacio colaborativo y personalizable para actividades de respuesta, investigación y manejo de incidentes. Está estrechamente integrado con MISP (Plataforma de intercambio de información sobre malware) y facilita las tareas del Centro de operaciones de seguridad (SOC), el Equipo de respuesta a incidentes de seguridad informática (CSIRT), el Equipo de respuesta a emergencias informáticas (CERT) y cualquier otro profesional de seguridad que se enfrente a incidentes de seguridad que Es necesario analizarlos y actuar con rapidez. Como tal, ayuda a las organizaciones a gestionar y responder a incidentes de seguridad de forma eficaz.
Hay tres características que lo hacen tan útil:
- Colaboración: La plataforma promueve la colaboración en tiempo real entre analistas (SOC) y del Equipo de Respuesta a Emergencias Informáticas (CERT). Facilita la integración de investigaciones en curso en casos, tareas y observables. Los miembros pueden acceder a información relevante y notificaciones especiales para nuevos eventos MISP, alertas, informes por correo electrónico e integraciones SIEM que mejoran aún más la comunicación.
- elaboración: La herramienta simplifica la creación de casos y tareas asociadas a través de un motor de plantillas eficiente. Puede personalizar métricas y campos a través de un panel, y la plataforma admite el etiquetado de archivos esenciales que contienen malware o datos sospechosos.
- Rendimiento: agregue desde uno hasta miles de observables a cada caso creado, incluida la opción de importarlos directamente desde un evento MISP o cualquier alerta enviada a la plataforma, así como clasificación y filtros personalizables.
Respuesta rápida de GRR
Respuesta rápida de GRR es un marco de respuesta a incidentes que permite el análisis forense remoto en vivo. Recopila y analiza de forma remota datos forenses de los sistemas para facilitar las investigaciones de ciberseguridad y las actividades de respuesta a incidentes. GRR admite la recopilación de varios tipos de datos forenses, incluidos metadatos del sistema de archivos, contenido de la memoria, información de registro y otros artefactos que son cruciales para el análisis de incidentes. Está diseñado para manejar implementaciones a gran escala, lo que lo hace particularmente adecuado para empresas con infraestructuras de TI diversas y extensas.
Consta de dos partes, un cliente y un servidor.
El cliente GRR se implementa en los sistemas que desea investigar. En cada uno de estos sistemas, una vez implementado, el cliente GRR sondea periódicamente los servidores frontend de GRR para verificar si están funcionando. Por “trabajar” nos referimos a ejecutar una acción específica: descargar un archivo, enumerar un directorio, etc.
La infraestructura del servidor GRR consta de varios componentes (frontends, trabajadores, servidores UI, Fleetspeak) y proporciona una GUI basada en web y un punto final API que permite a los analistas programar acciones en los clientes y ver y procesar los datos recopilados.
Analizando sistemas operativos
AYUDAR
AYUDAR, o The Hunting ELK, está diseñado para proporcionar un entorno integral para que los profesionales de la seguridad realicen una búsqueda proactiva de amenazas, analicen eventos de seguridad y respondan a incidentes. Aprovecha el poder de la pila ELK junto con herramientas adicionales para crear una plataforma de análisis de seguridad versátil y extensible.
Combina varias herramientas de ciberseguridad en una plataforma unificada para la búsqueda de amenazas y análisis de seguridad. Sus componentes principales son Elasticsearch, Logstash y Kibana (pila ELK), que se utilizan ampliamente para el análisis de registros y datos. HELK amplía la pila de ELK integrando herramientas de seguridad y fuentes de datos adicionales para mejorar sus capacidades de detección de amenazas y respuesta a incidentes.
Su propósito es la investigación, pero debido a su diseño flexible y componentes centrales, se puede implementar en entornos más grandes con las configuraciones adecuadas y la infraestructura escalable.
Volatilidad
La Marco de volatilidad es una colección de herramientas y bibliotecas para la extracción de artefactos digitales de, como habrás adivinado, la memoria volátil (RAM) de un sistema. Por lo tanto, se utiliza ampliamente en análisis forense digital y respuesta a incidentes para analizar volcados de memoria de sistemas comprometidos y extraer información valiosa relacionada con incidentes de seguridad pasados o en curso.
Como es independiente de la plataforma, admite volcados de memoria de una variedad de sistemas operativos, incluidos Windows, Linux y macOS. De hecho, Volatility también puede analizar volcados de memoria de entornos virtualizados, como los creados por VMware o VirtualBox, y así proporcionar información sobre los estados del sistema tanto físico como virtual.
Volatility tiene una arquitectura basada en complementos: viene con un rico conjunto de complementos integrados que cubren una amplia gama de análisis forense, pero también permite a los usuarios ampliar su funcionalidad agregando complementos personalizados.
Conclusión
Ahí lo tienes. No hace falta decir que los ejercicios del equipo azul/rojo son esenciales para evaluar la preparación de las defensas de una organización y, como tales, son vitales para una estrategia de seguridad sólida y eficaz. La gran cantidad de información recopilada a lo largo de este ejercicio proporciona a las organizaciones una visión holística de su postura de seguridad y les permite evaluar la eficacia de sus protocolos de seguridad.
Además, los equipos azules desempeñan un papel clave en el cumplimiento y la regulación de la ciberseguridad, lo cual es especialmente crítico en industrias altamente reguladas, como la atención médica y las finanzas. Los ejercicios del equipo azul/rojo también brindan escenarios de capacitación realistas para los profesionales de la seguridad, y esta experiencia práctica les ayuda a perfeccionar sus habilidades en la respuesta a incidentes reales.
¿A qué equipo te apuntarás?
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :posee
- :es
- :no
- $ UP
- 22
- 36
- a
- capacidad
- de la máquina
- preciso
- la columna Acción
- acciones
- actividades
- actividad
- los actores
- real
- add
- la adición de
- adición
- Adicionales
- administradores
- Ventaja
- adversario
- en contra
- paquete de capacitación DWoVH
- Alertar
- Alertas
- permite
- a lo largo de
- también
- entre
- cantidades
- an
- análisis
- Analistas
- Analytics
- analizar
- analizo
- análisis
- el análisis de
- y
- anomalías
- cualquier
- dondequiera
- abejas
- aplicaciones
- enfoque
- arquitectura
- somos
- artículo
- AS
- evaluar
- Evaluación
- asociado
- At
- agresor
- intento
- Hoy Disponibles
- Atrás
- basado
- BE
- Vaca
- antes
- comportamiento
- entre
- Azul
- ambas
- Trae
- general
- Navegador
- construido
- incorporado
- pero
- by
- , que son
- PUEDEN
- capacidades
- capturar
- case
- cases
- Categoría
- Reubicación
- retos
- CHARGE
- clasificación
- cliente
- clientes
- Médico
- colaboración
- colaboración
- El cobro
- --
- combina
- proviene
- Comunicación
- vibrante e inclusiva
- compliance
- componentes
- exhaustivo
- Comprometida
- comprometer
- computadora
- Seguridad Informática
- Conducir
- consiste
- contenido
- control
- controles
- cooperación
- Core
- Cost
- Protectora
- Para crear
- creado
- creación
- crítico
- crucial
- personalizado
- personalizable
- personalizan
- Ataque cibernetico
- La Ciberseguridad
- ciberamenazas
- página de información de sus operaciones
- datos
- análisis de los datos
- defensas
- defensiva
- definir
- que probar definitivamente
- desplegado
- Desplegando
- Despliegues
- Diseño
- diseñado
- detectar
- Detección
- una experiencia diferente
- digital
- directamente
- directorio
- diverso
- "Hacer"
- descargar
- dos
- Duque
- durante
- cada una
- Facilita
- Eficaz
- eficacia
- eficiente
- eficiente.
- esfuerzo
- Emergencia Dental
- permite
- Punto final
- Motor
- mejorar
- empresas
- Entorno
- ambientes
- especialmente
- esencial
- etc.
- Incluso
- Evento
- Eventos
- NUNCA
- evolución
- ejecución
- Haz ejercicio
- experience
- explotando
- exportar
- ampliar
- Se extiende
- en los detalles
- extraerlos
- Extracción
- Cara
- facilitar
- facilita
- false
- Caracteristicas
- pocos
- Terrenos
- Archive
- archivos
- filtros
- financiar
- Encuentre
- Nombre
- flexible
- Entrevistas
- forense
- Ex
- el fomento de
- Marco conceptual
- Desde
- Frontend
- frente termina
- Cumplir
- ser completados
- a la fatiga
- promover
- juego
- Juegos
- calibre
- engranajes
- generado
- genera
- Buscar
- Va
- va
- adivinado
- encargarse de
- Manejo
- emprendedor
- Tienen
- la salud
- ayuda
- ayuda
- altamente
- holístico
- página principal
- Cómo
- HTML
- HTTPS
- Caza
- Identificación
- Identifique
- identificar
- if
- imagen
- importar
- mejorar
- in
- incidente
- respuesta al incidente
- Incluye
- en efecto
- INSTRUMENTO individual
- industrias
- información
- EN LA MINA
- infraestructura
- Insights
- COMPLETAMENTE
- Integración
- integración
- integraciones
- Interfaz
- dentro
- intuitivo
- investigar
- investigación
- Investigaciones
- implica
- IT
- SUS
- articulación
- acuerdo
- Clave
- large
- Gran escala
- mayores
- dejar
- apalancamientos
- bibliotecas
- Linux
- para vivir
- log
- registro
- Mira
- macos
- Inicio
- para lograr
- Realizar
- malicioso
- el malware
- gestionan
- Management
- muchos
- Match
- Puede..
- personalizado
- Mientras tanto
- Miembros
- Salud Cerebral
- metadatos
- Métrica
- espejo
- misión
- Mitigar las
- Moda
- monitoreo
- monitores
- más,
- mucho más
- ¿ Necesita ayuda
- del sistema,
- tráfico de red
- Nuevo
- nota
- notificaciones
- ahora
- of
- off
- ofensiva
- on
- una vez
- ONE
- en marcha
- , solamente
- habiertos
- de código abierto
- funcionamiento
- sistemas operativos
- Operaciones
- optimización
- optimizado
- Optión
- or
- solicite
- para las fiestas.
- Otro
- salir
- total
- paquetes
- particularmente
- partes
- pasado
- .
- Personas
- para
- los libros físicos
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Jugar
- juega
- plugins
- sondeos
- posición
- posible
- industria
- evitar
- Prevención
- no tiene precio
- primario
- Proactiva
- procedimientos
- en costes
- profesionales
- promueve
- propietario
- protector
- protocolos
- proporcionar
- proporciona un
- propósito
- con rapidez
- RAM
- distancia
- rápido
- mundo real
- en tiempo real
- realista
- recepción
- Rojo
- registrado
- registrarse
- Registro
- registro
- regulados
- industrias reguladas
- Regulación
- relacionado
- sanaciones
- de forma remota
- Informes
- la investigación
- Responder
- responder
- respuesta
- la revisión
- Rico
- Derecho
- robusto
- Función
- También soy miembro del cuerpo docente de World Extreme Medicine (WEM) y embajadora europea de igualdad para The Transformational Travel Council (TTC). En mi tiempo libre, soy una incansable aventurera, escaladora, patrona de día, buceadora y defensora de la igualdad de género en el deporte y la aventura. En XNUMX, fundé Almas Libres, una ONG nacida para involucrar, educar y empoderar a mujeres y niñas a través del deporte urbano, la cultura y la tecnología.
- reglas
- decir
- escalable
- Escala
- escamoso
- escenarios
- programa
- Buscar
- búsqueda
- EN LINEA
- Los eventos de seguridad
- Las amenazas de seguridad
- expedido
- Serie
- servidor
- Servidores
- Sesión
- set
- Sets
- Varios
- compartir
- lado
- firmar
- Letreros y Pancartas
- simplifica
- simulación
- simulaciones
- habilidades
- So
- Fuente
- Fuentes
- Espacio
- especial
- especializado
- soluciones y
- montón
- Etapa
- Zonas
- Estrategia
- suscriptores
- tal
- adecuado
- soportes
- suspicaz
- rápidamente
- te
- Todas las funciones a su disposición
- táctica
- ¡Prepárate!
- toma
- tareas
- equipo
- equipos
- plantilla
- tener
- términos
- test
- esa
- La
- su
- Les
- Ahí.
- por lo tanto
- Estas
- ellos
- cosas
- así
- aquellos
- miles
- amenaza
- actores de amenaza
- amenazas
- Tres
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a lo largo de
- frustrar
- fuertemente
- Título
- a
- juntos
- del IRS
- tráfico
- Formación
- dos
- tipos
- ui
- no autorizado
- bajo
- unificado
- Actualizaciones
- a
- utilizan el
- usado
- eficiente
- Usuario
- usuarios
- usos
- Valioso
- variedad
- diversos
- verificar
- versátil
- vía
- Ver
- Virtual
- vital
- vmware
- volátiles
- Volatilidad
- Vulnerabilidades
- quieres
- guerra
- we
- debilidades
- Gestión de Patrimonio
- web
- Basado en la Web
- WELL
- que
- mientras
- QUIENES
- amplio
- Amplia gama
- extensamente
- anchura
- seguirá
- ventanas
- sin
- los trabajadores.
- trabajando
- Usted
- tú
- zephyrnet