آیا تا به حال بازی های رایانه ای مانند Halo یا Gears of War انجام می دهید؟ اگر چنین است، قطعا متوجه یک حالت بازی به نام شده اید پرچم رو بگیر که دو تیم را در برابر یکدیگر قرار می دهد - یکی که مسئول محافظت از پرچم در برابر دشمنانی است که قصد سرقت آن را دارند.
این نوع ورزش همچنین توسط سازمان ها برای سنجش توانایی آنها در شناسایی، پاسخ به و کاهش یک حمله سایبری استفاده می شود. در واقع، این شبیهسازیها برای شناسایی نقاط ضعف در سیستمها، افراد و فرآیندهای سازمانها قبل از اینکه مهاجمان از آنها سوء استفاده کنند، کلیدی هستند. این تمرینها با تقلید از تهدیدات سایبری واقع بینانه، به پزشکان امنیتی اجازه میدهد تا رویههای واکنش به حادثه را نیز دقیقتر کنند و دفاع خود را در برابر چالشهای امنیتی در حال تحول تقویت کنند.
در این مقاله، به طور کلی به این موضوع پرداختهایم که چگونه این دو تیم از آن استفاده میکنند و طرف دفاعی از کدام ابزار منبع باز استفاده میکند. اول از همه، یک تجدید فوق العاده سریع در مورد نقش های دو تیم:
- تیم قرمز نقش مهاجم را بازی میکند و از تاکتیکهایی استفاده میکند که منعکسکننده تاکتیکهای بازیگران تهدید در دنیای واقعی است. این شبیهسازی متخاصم با شناسایی و بهرهبرداری از آسیبپذیریها، دور زدن سیستمهای دفاعی سازمان و به خطر انداختن سیستمهای آن، بینشهای گرانقیمتی را به سازمانها در مورد قطعات موجود در زرههای سایبری خود ارائه میدهد.
- در این میان تیم آبی نقش دفاعی را بر عهده می گیرد زیرا هدف آن شناسایی و خنثی کردن تهاجمات حریف است. این کار شامل استقرار ابزارهای مختلف امنیت سایبری، بررسی ترافیک شبکه برای هرگونه ناهنجاری یا الگوهای مشکوک، بررسی گزارشهای تولید شده توسط سیستمها و برنامههای مختلف، نظارت و جمعآوری دادهها از نقاط پایانی فردی، و واکنش سریع به هرگونه نشانهای از دسترسی غیرمجاز است. یا رفتار مشکوک
به عنوان نکته جانبی، یک تیم بنفش نیز وجود دارد که بر رویکردی مشترک تکیه دارد و فعالیتهای تهاجمی و تدافعی را با هم ترکیب میکند. با تقویت ارتباط و همکاری بین تیمهای تهاجمی و دفاعی، این تلاش مشترک به سازمانها اجازه میدهد تا آسیبپذیریها را شناسایی کنند، کنترلهای امنیتی را آزمایش کنند و وضعیت امنیتی کلی خود را از طریق رویکردی جامعتر و یکپارچهتر بهبود بخشند.
حالا با بازگشت به تیم آبی، تیم دفاعی از ابزارهای متن باز و اختصاصی متنوعی برای انجام ماموریت خود استفاده می کند. اکنون به چند ابزار از این دست از دسته قبلی نگاه می کنیم.
ابزارهای تحلیل شبکه
آرکیمه
طراحی شده برای مدیریت و تجزیه و تحلیل موثر داده های ترافیک شبکه، آرکیمه یک سیستم جستجو و ضبط بسته در مقیاس بزرگ (PCAP) است. این دارای یک رابط وب بصری برای مرور، جستجو و صادرات فایلهای PCAP است، در حالی که API آن به شما امکان میدهد مستقیماً دادههای جلسه با فرمت PCAP و JSON را دانلود و استفاده کنید. با انجام این کار، امکان ادغام داده ها با ابزارهای تخصصی ضبط ترافیک مانند Wireshark را در مرحله تجزیه و تحلیل فراهم می کند.
Arkime طوری ساخته شده است که بر روی بسیاری از سیستم ها به طور همزمان مستقر شود و می تواند به اندازه ده ها گیگابیت در ثانیه ترافیک را مدیریت کند. مدیریت PCAP با مقادیر زیادی داده بر اساس فضای دیسک موجود حسگر و مقیاس خوشه Elasticsearch است. هر دوی این ویژگیها را میتوان در صورت نیاز بزرگتر کرد و تحت کنترل کامل مدیر است.
خرگوش
خرگوش یک سیستم پیشگیری از نفوذ منبع باز (IPS) است که ترافیک شبکه را برای شناسایی و جلوگیری از تهدیدات امنیتی بالقوه نظارت و تجزیه و تحلیل می کند. به طور گسترده برای تجزیه و تحلیل ترافیک بلادرنگ و ثبت بسته ها استفاده می شود، از یک سری قوانین استفاده می کند که به تعریف فعالیت های مخرب در شبکه کمک می کند و به آن امکان می دهد بسته هایی را پیدا کند که با چنین رفتارهای مشکوک یا مخرب مطابقت دارند و هشدارهایی را برای مدیران ایجاد می کند.
طبق صفحه اصلی خود، Snort دارای سه مورد استفاده اصلی است:
- ردیابی بسته ها
- ثبت بسته (مفید برای اشکال زدایی ترافیک شبکه)
- سیستم پیشگیری از نفوذ شبکه (IPS)
برای تشخیص نفوذ و فعالیت های مخرب در شبکه، Snort دارای سه مجموعه قوانین جهانی است:
- قوانین برای کاربران جامعه: آنهایی که بدون هیچ هزینه و ثبت نام در دسترس هر کاربری است.
- قوانین برای کاربران ثبت شده: با ثبت نام در Snort، کاربر می تواند به مجموعه ای از قوانین بهینه شده برای شناسایی تهدیدهای بسیار خاص دسترسی داشته باشد.
- قوانین برای مشترکین: این مجموعه قوانین نه تنها امکان شناسایی و بهینه سازی دقیق تر تهدید را فراهم می کند، بلکه قابلیت دریافت به روز رسانی تهدید را نیز دارد.
ابزارهای مدیریت حوادث
کندو
کندو یک پلت فرم پاسخ به حوادث امنیتی مقیاس پذیر است که یک فضای مشترک و قابل تنظیم برای رسیدگی به حادثه، بررسی و فعالیت های پاسخ را فراهم می کند. این به شدت با MISP (پلتفرم به اشتراک گذاری اطلاعات بدافزار) ادغام شده است و وظایف مرکز عملیات امنیتی (SOC)، تیم پاسخگویی به حوادث امنیت رایانه (CSIRTs)، تیم واکنش اضطراری رایانه (CERT) و هر متخصص امنیتی دیگری که با حوادث امنیتی مواجه می شود را آسان می کند. نیاز به تجزیه و تحلیل و اقدام به سرعت. به این ترتیب، به سازمان ها کمک می کند تا حوادث امنیتی را به طور موثر مدیریت کرده و به آنها پاسخ دهند
سه ویژگی وجود دارد که آن را بسیار مفید می کند:
- همکاری: این پلتفرم همکاری بلادرنگ را بین (SOC) و تحلیلگران تیم واکنش اضطراری رایانه ای (CERT) ترویج می کند. این امر ادغام تحقیقات در حال انجام در مورد موارد، وظایف و موارد قابل مشاهده را تسهیل می کند. اعضا میتوانند به اطلاعات مربوطه دسترسی داشته باشند و اعلانهای ویژه برای رویدادهای جدید MISP، هشدارها، گزارشهای ایمیل، و ادغامهای SIEM ارتباطات را بیشتر تقویت کنند.
- پیچیدگی: این ابزار ایجاد موارد و وظایف مرتبط را از طریق یک موتور قالب کارآمد ساده می کند. میتوانید معیارها و فیلدها را از طریق داشبورد شخصیسازی کنید، و پلتفرم از برچسبگذاری فایلهای ضروری حاوی بدافزار یا دادههای مشکوک پشتیبانی میکند.
- عملکرد: از یک تا هزاران مورد قابل مشاهده را به هر مورد ایجاد شده اضافه کنید، از جمله گزینه وارد کردن مستقیم آنها از یک رویداد MISP یا هر هشدار ارسال شده به پلتفرم، و همچنین طبقه بندی و فیلترهای قابل تنظیم.
واکنش سریع GRR
واکنش سریع GRR یک چارچوب پاسخ حادثه است که تجزیه و تحلیل قانونی از راه دور زنده را امکان پذیر می کند. از راه دور داده های پزشکی قانونی را از سیستم ها جمع آوری و تجزیه و تحلیل می کند تا تحقیقات امنیت سایبری و فعالیت های واکنش به حادثه را تسهیل کند. GRR از مجموعهای از انواع مختلف دادههای پزشکی قانونی، از جمله ابردادههای سیستم فایل، محتوای حافظه، اطلاعات رجیستری و سایر مصنوعاتی که برای تجزیه و تحلیل رویداد حیاتی هستند، پشتیبانی میکند. این برای مدیریت استقرار در مقیاس بزرگ ساخته شده است، و آن را به ویژه برای شرکت هایی با زیرساخت های متنوع و گسترده فناوری اطلاعات مناسب می کند.
از دو بخش کلاینت و سرور تشکیل شده است.
مشتری GRR روی سیستم هایی که می خواهید بررسی کنید مستقر می شود. در هر یک از این سیستم ها، پس از استقرار، مشتری GRR به طور دوره ای از سرورهای frontend GRR نظرسنجی می کند تا بررسی کند که آیا کار می کنند یا خیر. منظور ما از "کار کردن" اجرای یک عمل خاص است: دانلود یک فایل، شمارش دایرکتوری و غیره.
زیرساخت سرور GRR از چندین مؤلفه (فرانتاند، کارگران، سرورهای رابط کاربری، Fleetspeak) تشکیل شده است و یک رابط کاربری گرافیکی مبتنی بر وب و یک نقطه پایانی API را ارائه میکند که به تحلیلگران اجازه میدهد تا اقدامات روی مشتریان را زمانبندی کنند و دادههای جمعآوریشده را مشاهده و پردازش کنند.
تجزیه و تحلیل سیستم عامل ها
HELK
HELK، یا The Hunting ELK، برای ارائه یک محیط جامع برای متخصصان امنیتی برای انجام شکار تهدیدهای پیشگیرانه، تجزیه و تحلیل رویدادهای امنیتی و واکنش به حوادث طراحی شده است. از قدرت پشته ELK همراه با ابزارهای اضافی برای ایجاد یک پلتفرم تجزیه و تحلیل امنیتی همه کاره و قابل توسعه استفاده می کند.
این ابزارهای مختلف امنیت سایبری را در یک پلت فرم یکپارچه برای شکار تهدید و تجزیه و تحلیل امنیتی ترکیب می کند. اجزای اصلی آن Elasticsearch، Logstash، و Kibana (پشته ELK) هستند که به طور گسترده برای تجزیه و تحلیل گزارش و داده ها استفاده می شوند. HELK پشته ELK را با ادغام ابزارهای امنیتی اضافی و منابع داده گسترش می دهد تا قابلیت های خود را برای تشخیص تهدید و پاسخ به حادثه افزایش دهد.
هدف آن تحقیق است، اما به دلیل طراحی انعطافپذیر و اجزای اصلی، میتوان آن را در محیطهای بزرگتر با تنظیمات مناسب و زیرساخت مقیاسپذیر مستقر کرد.
نوسانات
La چارچوب نوسانات مجموعه ای از ابزارها و کتابخانه ها برای استخراج مصنوعات دیجیتال از حافظه فرار (RAM) یک سیستم است. بنابراین، به طور گسترده ای در پزشکی قانونی دیجیتال و پاسخ به حوادث برای تجزیه و تحلیل تخلیه حافظه از سیستم های در معرض خطر و استخراج اطلاعات ارزشمند مربوط به حوادث امنیتی جاری یا گذشته استفاده می شود.
از آنجایی که مستقل از پلتفرم است، از تخلیه حافظه از سیستم عامل های مختلف، از جمله ویندوز، لینوکس و macOS پشتیبانی می کند. در واقع، Volatility همچنین میتواند تخلیههای حافظه را از محیطهای مجازی، مانند محیطهایی که توسط VMware یا VirtualBox ایجاد شدهاند، تجزیه و تحلیل کند و بنابراین بینشهایی را در مورد وضعیت فیزیکی و مجازی سیستم ارائه دهد.
Volatility دارای یک معماری مبتنی بر پلاگین است – دارای مجموعه ای غنی از افزونه های داخلی است که طیف گسترده ای از تحلیل های پزشکی قانونی را پوشش می دهد، اما همچنین به کاربران اجازه می دهد تا عملکرد آن را با افزودن افزونه های سفارشی گسترش دهند.
نتیجه
خب! حالا شما مالک آن هستید. ناگفته نماند که تمرینات تیم آبی/قرمز برای ارزیابی آمادگی دفاعی سازمان ضروری است و به همین دلیل برای یک استراتژی امنیتی قوی و موثر حیاتی است. انبوهی از اطلاعات جمعآوریشده در طول این تمرین، دیدی جامع از وضعیت امنیتی خود به سازمانها ارائه میدهد و به آنها اجازه میدهد تا اثربخشی پروتکلهای امنیتی خود را ارزیابی کنند.
علاوه بر این، تیمهای آبی نقش کلیدی در انطباق و مقررات امنیت سایبری ایفا میکنند، که بهویژه در صنایع بسیار تحت نظارت، مانند مراقبتهای بهداشتی و مالی، حیاتی است. تمرینات تیم آبی/قرمز همچنین سناریوهای آموزشی واقع بینانه را برای متخصصان امنیتی فراهم می کند و این تجربه عملی به آنها کمک می کند تا مهارت های خود را در واکنش واقعی به حادثه افزایش دهند.
در کدام تیم ثبت نام می کنید؟
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- : دارد
- :است
- :نه
- $UP
- 22
- 36
- a
- توانایی
- دسترسی
- دقیق
- عمل
- اقدامات
- فعالیت ها
- فعالیت
- بازیگران
- واقعی
- اضافه کردن
- اضافه کردن
- اضافه
- اضافی
- مدیران
- مزیت - فایده - سود - منفعت
- دشمن
- در برابر
- اهداف
- هوشیار
- تصویر، موسیقی
- اجازه می دهد تا
- در امتداد
- همچنین
- در میان
- مقدار
- an
- تحلیل
- تحلیلگران
- علم تجزیه و تحلیل
- تحلیل
- تجزیه و تحلیل
- تجزیه و تحلیل
- تجزیه و تحلیل
- و
- اختلالات
- هر
- هر جا
- API
- برنامه های کاربردی
- روش
- معماری
- هستند
- مقاله
- AS
- ارزیابی کنید
- ارزیابی
- مرتبط است
- At
- مهاجم
- کوشش
- در دسترس
- به عقب
- مستقر
- BE
- گوشت گاو
- قبل از
- رفتار
- میان
- آبی
- هر دو
- به ارمغان می آورد
- پهن
- مرور
- ساخته
- ساخته شده در
- اما
- by
- نام
- CAN
- قابلیت های
- گرفتن
- مورد
- موارد
- دسته بندی
- مرکز
- چالش ها
- بار
- طبقه بندی
- مشتری
- مشتریان
- خوشه
- همکاری
- مشترک
- جمع آوری
- مجموعه
- ترکیب
- می آید
- ارتباط
- انجمن
- انطباق
- اجزاء
- جامع
- در معرض خطر
- مصالحه
- کامپیوتر
- امنیت رایانه
- رفتار
- تشکیل شده است
- محتوا
- کنترل
- گروه شاهد
- همکاری
- هسته
- هزینه
- پوشش
- ایجاد
- ایجاد شده
- ایجاد
- بحرانی
- بسیار سخت
- سفارشی
- سفارشی
- سفارشی
- حمله سایبری
- امنیت سایبری
- آزارهای سایبری
- داشبورد
- داده ها
- تحلیل داده ها
- دفاع
- دفاعی
- تعريف كردن
- قطعا
- مستقر
- استقرار
- اعزام ها
- طرح
- طراحی
- تشخیص
- کشف
- مختلف
- دیجیتال
- مستقیما
- فهرست راهنما
- مختلف
- عمل
- دانلود
- دو
- دوک
- در طی
- هر
- سهولت
- موثر
- اثر
- موثر
- موثر
- تلاش
- پست الکترونیک
- اورژانس
- را قادر می سازد
- نقطه پایانی
- موتور
- بالا بردن
- شرکت
- محیط
- محیط
- به خصوص
- ضروری است
- و غیره
- حتی
- واقعه
- حوادث
- تا کنون
- در حال تحول
- اجرا کردن
- ورزش
- تجربه
- بهره برداری از
- صادرات
- گسترش
- گسترش می یابد
- وسیع
- عصاره
- استخراج
- چهره
- تسهیل کردن
- تسهیل می کند
- غلط
- امکانات
- کمی از
- زمینه
- پرونده
- فایل ها
- فیلترها برای تصفیه آب
- سرمایه گذاری
- پیدا کردن
- نام خانوادگی
- قابل انعطاف
- برای
- پزشک قانونی
- پزشکی قانونی
- سابق
- پرورش دادن
- چارچوب
- از جانب
- ظاهر
- قسمت جلویی
- تکمیل کنید
- کامل
- قابلیت
- بیشتر
- بازی
- بازیها
- اندازه گیری
- چرخ دنده ها
- تولید
- تولید می کند
- جهانی
- می رود
- رفتن
- حدس زده
- دسته
- اداره
- دست
- آیا
- بهداشت و درمان
- کمک
- کمک می کند
- خیلی
- جامع
- صفحه خانگی
- چگونه
- HTML
- HTTPS
- صید
- شناسایی
- شناسایی
- شناسایی
- if
- تصویر
- واردات
- بهبود
- in
- حادثه
- پاسخ حادثه
- از جمله
- در واقع
- فرد
- لوازم
- اطلاعات
- شالوده
- شالوده
- بینش
- یکپارچه
- ادغام
- ادغام
- یکپارچگی
- رابط
- به
- حسی
- بررسی
- تحقیق
- تحقیقات
- شامل
- IT
- ITS
- مشترک
- نگهداری
- کلید
- بزرگ
- در مقیاس بزرگ
- بزرگتر
- اجازه
- اهرم ها
- کتابخانه ها
- لینوکس
- زنده
- ورود به سیستم
- ورود به سیستم
- نگاه کنيد
- MacOS در
- اصلی
- ساخت
- ساخت
- مخرب
- نرم افزارهای مخرب
- مدیریت
- مدیریت
- بسیاری
- مسابقه
- ممکن است..
- متوسط
- در ضمن
- اعضا
- حافظه
- متاداده
- متریک
- آینه
- ماموریت
- کاهش
- حالت
- نظارت بر
- مانیتور
- بیش
- بسیار
- نیاز
- ضروری
- شبکه
- ترافیک شبکه
- جدید
- توجه داشته باشید
- اطلاعیه ها
- اکنون
- of
- خاموش
- توهین آمیز
- on
- یک بار
- ONE
- مداوم
- فقط
- باز کن
- منبع باز
- عملیاتی
- سیستم های عامل
- عملیات
- بهینه سازی
- بهینه
- گزینه
- or
- سفارش
- سازمان های
- دیگر
- خارج
- به طور کلی
- بسته
- ویژه
- بخش
- گذشته
- الگوهای
- مردم
- برای
- فیزیکی
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- نقش
- پلاگین ها
- نظرسنجی ها
- موقعیت
- پتانسیل
- قدرت
- جلوگیری از
- پیشگیری
- بی بها
- اصلی
- بلادرنگ
- روش
- روند
- فرآیندهای
- حرفه ای
- ترویج می کند
- اختصاصی
- حفاظت
- پروتکل
- ارائه
- فراهم می کند
- هدف
- به سرعت
- رم
- محدوده
- سریع
- دنیای واقعی
- زمان واقعی
- واقع بینانه
- گرفتن
- قرمز
- ثبت نام
- ثبت نام
- ثبت
- رجیستری
- تنظیم
- صنایع تنظیم شده
- تنظیم
- مربوط
- مربوط
- دور
- از راه دور
- گزارش ها
- تحقیق
- پاسخ
- پاسخ دادن
- پاسخ
- بازبینی
- غنی
- راست
- تنومند
- نقش
- نقش
- قوانین
- گفته
- مقیاس پذیر
- مقیاس
- مقیاس پذیر
- سناریوها
- برنامه
- جستجو
- جستجو
- تیم امنیت لاتاری
- رویدادهای امنیتی
- تهدیدات امنیتی
- فرستاده
- سلسله
- سرور
- سرور
- جلسه
- تنظیم
- مجموعه
- چند
- اشتراک
- طرف
- امضاء
- نشانه ها
- ساده می کند
- شبیه سازی
- شبیه سازی
- مهارت ها
- So
- منبع
- منابع
- فضا
- ویژه
- تخصصی
- خاص
- پشته
- صحنه
- ایالات
- استراتژی
- مشترکین
- چنین
- مناسب
- پشتیبانی از
- مشکوک
- به سرعت
- سیستم
- سیستم های
- تاکتیک
- گرفتن
- طول می کشد
- وظایف
- تیم
- تیم ها
- قالب
- ده ها
- قوانین و مقررات
- آزمون
- که
- La
- شان
- آنها
- آنجا.
- از این رو
- اینها
- آنها
- اشیاء
- این
- کسانی که
- هزاران نفر
- تهدید
- بازیگران تهدید
- تهدید
- سه
- از طریق
- سراسر
- خنثی کردن
- محکم
- عنوان
- به
- با هم
- ابزار
- ابزار
- ترافیک
- آموزش
- دو
- انواع
- ui
- غیر مجاز
- زیر
- یکپارچه
- به روز رسانی
- بر
- استفاده کنید
- استفاده
- مفید
- کاربر
- کاربران
- استفاده
- ارزشمند
- تنوع
- مختلف
- بررسی
- همه کاره
- از طريق
- چشم انداز
- مجازی
- حیاتی
- آموزش VMware
- فرار
- نوسانات
- آسیب پذیری ها
- می خواهم
- جنگ
- we
- نقاط ضعف
- ثروت
- وب
- مبتنی بر وب
- خوب
- که
- در حین
- WHO
- وسیع
- دامنه گسترده
- به طور گسترده ای
- عرض
- اراده
- پنجره
- با
- بدون
- کارگران
- کارگر
- شما
- شما
- زفیرنت