Kas olete kunagi mänginud arvutimänge, nagu Halo või Gears of War? Kui jah, siis olete kindlasti märganud mängurežiimi nimega Jäädvusta lipp mis seab vastamisi kaks meeskonda – ühe, kes vastutab lipu kaitsmise eest seda varastada üritavate vastaste eest.
see harjutuse tüüp organisatsioonid kasutavad seda ka selleks, et hinnata oma võimet küberrünnakuid tuvastada, neile reageerida ja neid leevendada. Tõepoolest, need simulatsioonid on võtmetähtsusega organisatsioonide süsteemide, inimeste ja protsesside nõrkuste tuvastamiseks enne, kui ründajad neid ära kasutavad. Realistlikke küberohte jäljendades võimaldavad need harjutused turvatöötajatel täpsustada intsidentidele reageerimise protseduure ja tugevdada oma kaitset arenevate turvaprobleemide vastu.
Selles artiklis vaatleme laias laastus, kuidas kaks meeskonda sellest välja saavad ja milliseid avatud lähtekoodiga tööriistu kaitsepool kasutada võib. Kõigepealt ülikiire värskendus kahe meeskonna rollide kohta:
- Punane meeskond mängib ründaja rolli ja kasutab taktikat, mis peegeldab reaalse maailma ohus osalejate oma. Haavatavuste tuvastamine ja ärakasutamine, organisatsiooni kaitsemehhanismidest mööda minnes ja selle süsteeme ohustades annab see võistlev simulatsioon organisatsioonidele hindamatu ülevaate küberturvise lõhedest.
- Sinine meeskond võtab samal ajal enda kanda kaitserolli, sest selle eesmärk on avastada ja takistada vastase sissetungi. See hõlmab muuhulgas mitmesuguste küberturbe tööriistade juurutamist, võrguliikluse jälgimist anomaaliate või kahtlaste mustrite suhtes, erinevate süsteemide ja rakenduste loodud logide ülevaatamist, üksikute lõpp-punktide jälgimist ja andmete kogumist ning kiiret reageerimist volitamata juurdepääsu tunnustele. või kahtlane käitumine.
Vahemärkusena võib öelda, et seal on ka lilla meeskond, mis tugineb koostööle ja koondab nii ründavaid kui ka kaitsetegevusi. Soodustades sidet ja koostööd ründe- ja kaitsemeeskondade vahel, võimaldab see ühine jõupingutus organisatsioonidel tuvastada haavatavusi, testida turvakontrolle ja parandada oma üldist turvahoiakut veelgi terviklikuma ja ühtsema lähenemisviisi kaudu.
Tulles tagasi sinise meeskonna juurde, kasutab kaitsepool oma missiooni täitmiseks mitmesuguseid avatud lähtekoodiga ja patenteeritud tööriistu. Vaatame nüüd mõnda sellist tööriista eelmisest kategooriast.
Võrgu analüüsi tööriistad
arkime
Loodud võrguliikluse andmete tõhusaks haldamiseks ja analüüsimiseks, arkime on suuremahuline pakettide otsimise ja hõivamise (PCAP) süsteem. Sellel on intuitiivne veebiliides PCAP-failide sirvimiseks, otsimiseks ja eksportimiseks, samas kui selle API võimaldab teil PCAP- ja JSON-vormingus seansiandmeid otse alla laadida ja kasutada. Seda tehes võimaldab see analüüsietapis andmeid integreerida spetsiaalsete liiklushõive tööriistadega, nagu Wireshark.
Arkime on loodud kasutamiseks paljudes süsteemides korraga ja seda saab skaleerida, et käsitleda kümneid gigabitte sekundis liiklust. PCAP-i suurte andmemahtude käsitlemine põhineb anduri vabal kettaruumil ja Elasticsearchi klastri skaalal. Mõlemat funktsiooni saab vastavalt vajadusele suurendada ja need on administraatori täieliku kontrolli all.
Snort
Snort on avatud lähtekoodiga sissetungimise ennetamise süsteem (IPS), mis jälgib ja analüüsib võrguliiklust, et avastada ja ennetada võimalikke turvaohtusid. Seda kasutatakse laialdaselt reaalajas liikluse analüüsiks ja pakettide logimiseks ning see kasutab mitmeid reegleid, mis aitavad määratleda pahatahtlikku tegevust võrgus ja võimaldavad leida pakette, mis vastavad sellisele kahtlasele või pahatahtlikule käitumisele, ning genereerib administraatoritele hoiatusi.
Vastavalt oma kodulehele on Snortil kolm peamist kasutusjuhtu:
- pakettide jälgimine
- pakettide logimine (kasulik võrguliikluse silumiseks)
- võrgu sissetungi ennetamise süsteem (IPS)
Sissetungimise ja pahatahtliku tegevuse tuvastamiseks võrgus on Snortil kolm globaalsete reeglite komplekti.
- reeglid kogukonna kasutajatele: need, mis on saadaval kõigile kasutajatele ilma lisatasuta ja registreerimata.
- reeglid registreeritud kasutajatele: Snortis registreerudes pääseb kasutaja juurde reeglistikule, mis on optimeeritud tuvastama palju spetsiifilisemaid ohte.
- reeglid tellijatele: see reeglistik ei võimalda mitte ainult täpsemat ohtude tuvastamist ja optimeerimist, vaid sisaldab ka võimalust saada ohuvärskendusi.
Vahejuhtumite juhtimise tööriistad
Taru
Taru on skaleeritav turvaintsidentidele reageerimise platvorm, mis pakub koostööd ja kohandatavat ruumi intsidentide käsitlemiseks, uurimiseks ja reageerimiseks. See on tihedalt integreeritud MISP-iga (pahavara teabe jagamise platvorm) ja hõlbustab turvaoperatsioonide keskuse (SOC), arvutiturbe intsidentidele reageerimise meeskonna (CSIRT), arvutihädaolukorra reageerimise meeskonna (CERT) ja kõigi teiste turvaspetsialistide ülesandeid, kes seisavad silmitsi turvaintsidentidega. tuleb kiiresti analüüsida ja tegutseda. Sellisena aitab see organisatsioonidel turvaintsidente tõhusalt hallata ja neile reageerida
Selle kasulikuks teevad kolm funktsiooni:
- Koostöö: platvorm edendab reaalajas koostööd (SOC) ja arvutihädaabirühma (CERT) analüütikute vahel. See hõlbustab käimasolevate juurdluste integreerimist juhtumite, ülesannete ja vaadeldavate objektidega. Liikmed pääsevad juurde asjakohasele teabele ja eriteatistele uute MISP-sündmuste, hoiatuste, meiliaruannete ja SIEM-i integratsioonide kohta, mis täiustavad suhtlust veelgi.
- Töötlemine: tööriist lihtsustab juhtumite ja seotud ülesannete loomist tõhusa mallimootori kaudu. Saate kohandada mõõdikuid ja välju armatuurlaua kaudu ning platvorm toetab oluliste pahavara või kahtlaseid andmeid sisaldavate failide märgistamist.
- jõudlus: lisage igale loodud juhtumile üks kuni tuhandeid jälgitavaid andmeid, sealhulgas võimalus importida need otse MISP-sündmusest või platvormile saadetud hoiatustest, samuti kohandatav klassifikatsioon ja filtrid.
GRR kiirreageerimine
GRR kiirreageerimine on juhtumitele reageerimise raamistik, mis võimaldab reaalajas kauganalüüsi teha. See kogub ja analüüsib eemalt süsteemide kohtuekspertiisi andmeid, et hõlbustada küberjulgeoleku uurimist ja intsidentidele reageerimist. GRR toetab erinevat tüüpi kohtuekspertiisi andmete kogumist, sealhulgas failisüsteemi metaandmeid, mälusisu, registriteavet ja muid artefakte, mis on juhtumianalüüsi jaoks üliolulised. See on loodud suuremahuliste juurutuste jaoks, muutes selle eriti sobivaks mitmekesise ja ulatusliku IT-infrastruktuuriga ettevõtetele.
See koosneb kahest osast, kliendist ja serverist.
GRR-i klient on juurutatud süsteemides, mida soovite uurida. Kõigis nendes süsteemides küsitleb GRR-i klient pärast juurutamist perioodiliselt GRR-i esiservereid, et kontrollida, kas need töötavad. "Töötamise" all peame silmas konkreetse toimingu sooritamist: faili allalaadimist, kataloogi loetlemist jne.
GRR-i serveri infrastruktuur koosneb mitmest komponendist (liidesed, töötajad, kasutajaliidese serverid, Fleetspeak) ning pakub veebipõhist GUI-d ja API lõpp-punkti, mis võimaldab analüütikutel ajastada klientidega seotud toiminguid ning vaadata ja töödelda kogutud andmeid.
Operatsioonisüsteemide analüüsimine
HELK
HELK, ehk The Hunting ELK, on loodud selleks, et pakkuda turvaprofessionaalidele terviklikku keskkonda ennetava ohujahi läbiviimiseks, turvasündmuste analüüsimiseks ja intsidentidele reageerimiseks. See kasutab ELK virna võimsust koos lisatööriistadega, et luua mitmekülgne ja laiendatav turbeanalüüsi platvorm.
See ühendab erinevad küberturbe tööriistad ühtseks platvormiks ohtude otsimiseks ja turvaanalüüsiks. Selle peamised komponendid on Elasticsearch, Logstash ja Kibana (ELK virn), mida kasutatakse laialdaselt logide ja andmete analüüsimiseks. HELK laiendab ELK pinu, integreerides täiendavaid turbetööriistu ja andmeallikaid, et täiustada oma võimalusi ohtude tuvastamiseks ja intsidentidele reageerimiseks.
Selle eesmärk on teadusuuringud, kuid paindliku disaini ja põhikomponentide tõttu saab seda õigete konfiguratsioonide ja skaleeritava infrastruktuuriga kasutada suuremates keskkondades.
Lenduvus
. Volatiilsuse raamistik on tööriistade ja teekide kogum digitaalsete artefaktide eraldamiseks, nagu arvasite, süsteemi lenduvast mälust (RAM). Seetõttu kasutatakse seda laialdaselt digitaalses kohtuekspertiisis ja intsidentidele reageerimisel, et analüüsida ohustatud süsteemide mälupilte ja saada väärtuslikku teavet käimasolevate või möödunud turvaintsidentide kohta.
Kuna see on platvormist sõltumatu, toetab see mitmesuguste operatsioonisüsteemide, sealhulgas Windowsi, Linuxi ja macOS-i, mälutõmmiseid. Tõepoolest, Volatility saab analüüsida ka virtualiseeritud keskkondadest, näiteks VMware'i või VirtualBoxi loodud, pärinevaid mälupilte ja anda seeläbi ülevaate nii füüsilisest kui ka virtuaalsest süsteemi olekust.
Volatiilsusel on pistikprogrammipõhine arhitektuur – see on varustatud rikkaliku sisseehitatud pistikprogrammide komplektiga, mis katavad laia valikut kohtuekspertiisi analüüse, kuid võimaldavad kasutajatel kohandatud pistikprogrammide lisamisega selle funktsionaalsust laiendada.
Järeldus
Nii et see on olemas. On ütlematagi selge, et sinise/punase meeskonna harjutused on organisatsiooni kaitsevõime hindamiseks hädavajalikud ning sellisena olulised tugeva ja tõhusa turvastrateegia jaoks. Selle harjutuse jooksul kogutud rikkalik teave annab organisatsioonidele tervikliku ülevaate nende turvapositsioonist ja võimaldab neil hinnata oma turvaprotokollide tõhusust.
Lisaks mängivad sinised meeskonnad võtmerolli küberturvalisuse järgimises ja reguleerimises, mis on eriti oluline rangelt reguleeritud tööstusharudes, nagu tervishoid ja rahandus. Sinise/punase meeskonna harjutused pakuvad ka turvatöötajatele realistlikke koolitusstsenaariume ja see praktiline kogemus aitab neil lihvida oma oskusi tegelikele intsidentidele reageerimisel.
Millisesse meeskonda sa registreerud?
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :on
- :on
- :mitte
- $ UP
- 22
- 36
- a
- võime
- juurdepääs
- täpne
- tegevus
- meetmete
- tegevus
- tegevus
- osalejad
- tegelik
- lisama
- lisades
- lisamine
- Täiendavad lisad
- administraatorid
- ADEelis
- võistlev
- vastu
- Eesmärgid
- Häire
- Märguanded
- võimaldab
- mööda
- Ka
- vahel
- summad
- an
- analüüs
- Analüütikud
- analytics
- analüüsima
- analüüsitud
- analüüse
- analüüsides
- ja
- kõrvalekalded
- mistahes
- kuskil
- API
- rakendused
- lähenemine
- arhitektuur
- OLEME
- artikkel
- AS
- hinnata
- Hindamine
- seotud
- At
- ründaja
- katse
- saadaval
- tagasi
- põhineb
- BE
- Veiseliha
- enne
- käitumine
- vahel
- sinine
- mõlemad
- Toob
- lai
- Sirvimine
- ehitatud
- sisseehitatud
- kuid
- by
- kutsutud
- CAN
- võimeid
- lüüa
- juhul
- juhtudel
- Kategooria
- keskus
- väljakutseid
- tasu
- klassifikatsioon
- klient
- kliendid
- Cluster
- koostöö
- koostööl
- Kollektsioneerimine
- kogumine
- ühendab
- tuleb
- KOMMUNIKATSIOON
- kogukond
- Vastavus
- komponendid
- terviklik
- Kompromissitud
- kompromiteeriv
- arvuti
- Arvuti turvalisus
- Läbi viima
- koosneb
- sisu
- kontrollida
- kontrolli
- koostöö
- tuum
- Maksma
- cover
- looma
- loodud
- loomine
- kriitiline
- otsustav
- tava
- kohandatav
- kohandada
- Küberrünnak
- Küberturvalisus
- küberohud
- armatuurlaud
- andmed
- andmete analüüs
- Kaitsemeetmed
- kaitsev
- määratlema
- kindlasti
- lähetatud
- juurutamine
- kasutuselevõtt
- Disain
- kavandatud
- avastama
- Detection
- erinev
- digitaalne
- otse
- kataloog
- mitu
- teeme
- lae alla
- kaks
- Hertsog
- ajal
- iga
- Lihtne
- Tõhus
- tõhusus
- tõhus
- tõhusalt
- jõupingutusi
- avarii
- võimaldab
- Lõpp-punkt
- Mootor
- suurendama
- ettevõtete
- keskkond
- keskkondades
- eriti
- oluline
- jms
- Isegi
- sündmus
- sündmused
- KUNAGI
- areneb
- hukkamine
- Teostama
- kogemus
- ära kasutades
- eksportimine
- laiendama
- laieneb
- ulatuslik
- väljavõte
- kaevandamine
- nägu
- hõlbustada
- hõlbustab
- vale
- FUNKTSIOONID
- vähe
- Valdkonnad
- fail
- Faile
- Filtrid
- rahastama
- leidma
- esimene
- paindlik
- eest
- Kohtuekspertiisi
- kohtumeditsiini
- endine
- edendamine
- Raamistik
- Alates
- Frontend
- esiots
- Täida
- täis
- funktsionaalsus
- edasi
- mäng
- Mängud
- gabariit
- käiku
- loodud
- genereerib
- Globaalne
- Goes
- läheb
- arvas ära
- käepide
- Käsitsemine
- käed-
- Olema
- tervishoid
- aitama
- aitab
- kõrgelt
- terviklikku
- kodulehe
- Kuidas
- HTML
- HTTPS
- Jaht
- Identifitseerimine
- identifitseerima
- identifitseerimiseks
- if
- pilt
- import
- parandama
- in
- juhtum
- intsidentidele reageerimine
- Kaasa arvatud
- tõepoolest
- eraldi
- tööstusharudes
- info
- Infrastruktuur
- infrastruktuur
- teadmisi
- integreeritud
- Integreerimine
- integratsioon
- integratsioon
- Interface
- sisse
- intuitiivne
- uurima
- uurimine
- Uuringud
- hõlmab
- IT
- ITS
- ühine
- pidamine
- Võti
- suur
- suuremahuline
- suurem
- laskma
- võimendab
- raamatukogud
- Linux
- elama
- logi
- metsaraie
- Vaata
- MacOS
- põhiline
- tegema
- Tegemine
- pahatahtlik
- malware
- juhtima
- juhtimine
- palju
- Vastama
- mai..
- keskmine
- Vahepeal
- liikmed
- Mälu
- Metaandmed
- Meetrika
- peegel
- missioon
- Leevendada
- viis
- järelevalve
- monitorid
- rohkem
- palju
- Vajadus
- vaja
- võrk
- võrguliiklus
- Uus
- meeles
- teated
- nüüd
- of
- maha
- solvav
- on
- kunagi
- ONE
- jätkuv
- ainult
- avatud
- avatud lähtekoodiga
- tegutsevad
- operatsioonisüsteemid
- Operations
- optimeerimine
- optimeeritud
- valik
- or
- et
- organisatsioonid
- Muu
- välja
- üldine
- paketid
- eriti
- osad
- minevik
- mustrid
- Inimesed
- kohta
- füüsiline
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängima
- mängib
- pluginad
- küsitlused
- positsioon
- potentsiaal
- võim
- vältida
- Ennetamine
- hindamatu
- esmane
- Proaktiivne
- menetlused
- protsess
- Protsessid
- spetsialistid
- edendab
- varaline
- kaitsta
- protokollid
- anda
- annab
- eesmärk
- kiiresti
- RAM
- valik
- kiire
- päris maailm
- reaalajas
- realistlik
- saama
- Red
- registreeritud
- registreerimine
- Registreerimine
- registri
- reguleeritud
- reguleeritud tööstusharud
- Määrus
- seotud
- asjakohane
- kauge
- kaugelt
- Aruanded
- teadustöö
- Reageerida
- vastates
- vastus
- läbivaatamine
- Rikas
- õige
- jõuline
- Roll
- rollid
- eeskirjade
- ütlus
- skaalautuvia
- Skaala
- skaleeritud
- stsenaariumid
- ajakava
- Otsing
- otsimine
- turvalisus
- Turvalisus sündmused
- Turvaohud
- Saadetud
- Seeria
- server
- Serverid
- istung
- komplekt
- Komplektid
- mitu
- jagamine
- külg
- kirjutama
- Märgid
- lihtsustab
- simuleerimine
- simulatsioonid
- oskused
- So
- allikas
- Allikad
- Ruum
- eriline
- spetsialiseeritud
- konkreetse
- Kestab
- Stage
- Ühendriigid
- Strateegia
- Abonentide
- selline
- sobiv
- Toetab
- kahtlane
- kiiresti
- süsteem
- süsteemid
- taktika
- Võtma
- võtab
- ülesanded
- meeskond
- meeskonnad
- šabloon
- kümneid
- tingimused
- test
- et
- .
- oma
- Neile
- Seal.
- seetõttu
- Need
- nad
- asjad
- see
- need
- tuhandeid
- oht
- ohus osalejad
- ähvardused
- kolm
- Läbi
- läbi kogu
- nurjata
- tihedalt
- Kapslid
- et
- kokku
- tööriist
- töövahendid
- liiklus
- koolitus
- kaks
- liigid
- ui
- volitamata
- all
- ühtne
- Uudised
- peale
- kasutama
- Kasutatud
- kasulik
- Kasutaja
- Kasutajad
- kasutusalad
- väärtuslik
- sort
- eri
- kontrollima
- mitmekülgne
- kaudu
- vaade
- virtuaalne
- tähtis
- vmware
- Voolav
- Lenduvus
- Haavatavused
- tahan
- sõda
- we
- nõrkused
- Jõukus
- web
- Veebipõhine
- Hästi
- mis
- kuigi
- WHO
- lai
- Lai valik
- laialdaselt
- laius
- will
- aknad
- koos
- ilma
- töötajate
- töö
- sa
- Sinu
- sephyrnet