Játszott valaha olyan számítógépes játékokkal, mint a Halo vagy a Gears of War? Ha igen, akkor biztosan észrevett egy játékmódot, az úgynevezett Szerezd meg a zászlót amely két csapatot állít szembe egymással – az egyik, amelyik feladata, hogy megvédje a zászlót az ellenfelektől, akik megpróbálják ellopni.
Ezt gyakorlat típusa a szervezetek arra is használják, hogy felmérjék képességüket a kibertámadások észlelésére, reagálására és enyhítésére. Valójában ezek a szimulációk kulcsfontosságúak a szervezetek rendszereinek, embereinek és folyamatainak gyenge pontjainak azonosításához, mielőtt a támadók kihasználnák azokat. A valósághű kiberfenyegetések emulálásával ezek a gyakorlatok lehetővé teszik a biztonsági szakemberek számára, hogy finomítsák az incidensek válaszadási eljárásait, és megerősítsék védekezésüket a fejlődő biztonsági kihívásokkal szemben.
Ebben a cikkben nagy vonalakban megvizsgáljuk, hogy a két csapat hogyan húzza ki ezt, és mely nyílt forráskódú eszközöket használhatja a védekező oldal. Először is egy szupergyors frissítés a két csapat szerepéről:
- A vörös csapat a támadó szerepét játssza, és olyan taktikát alkalmaz, amely a valós fenyegetés szereplőit tükrözi. A sebezhetőségek azonosításával és kihasználásával, a szervezet védelmének megkerülésével és rendszereinek kompromittálásával ez az ellenséges szimuláció felbecsülhetetlen értékű betekintést nyújt a szervezetek számára kiberpáncéljuk réseibe.
- Eközben a kék csapat átveszi a védekező szerepet, és célja az ellenfél behatolásainak észlelése és meghiúsítása. Ez magában foglalja többek között a különféle kiberbiztonsági eszközök telepítését, a hálózati forgalom nyomon követését az esetleges rendellenességek vagy gyanús minták miatt, a különböző rendszerek és alkalmazások által generált naplók áttekintését, az egyes végpontok megfigyelését és adatgyűjtését, valamint a jogosulatlan hozzáférés jeleire való gyors reagálást. vagy gyanús viselkedés.
Mellékesen megjegyzendő, hogy van egy lila csapat is, amely az együttműködésen alapuló megközelítésre támaszkodik, és egyesíti a támadó és a védekező tevékenységeket. A támadó és védekező csapatok közötti kommunikáció és együttműködés elősegítésével ez a közös erőfeszítés lehetővé teszi a szervezetek számára, hogy azonosítsák a sebezhetőséget, teszteljék a biztonsági ellenőrzéseket, és még átfogóbb és egységesebb megközelítéssel javítsák általános biztonsági helyzetüket.
Most, visszatérve a kék csapathoz, a védekező oldal különféle nyílt forráskódú és szabadalmaztatott eszközöket használ küldetésének teljesítéséhez. Nézzünk most néhány ilyen eszközt az előbbi kategóriából.
Hálózatelemző eszközök
arkime
A hálózati forgalmi adatok hatékony kezelésére és elemzésére tervezték, arkime egy nagyszabású csomagkereső és rögzítő (PCAP) rendszer. Intuitív webes felülettel rendelkezik a PCAP-fájlok böngészéséhez, kereséséhez és exportálásához, míg API-ja lehetővé teszi a PCAP- és JSON-formátumú munkamenetadatok közvetlen letöltését és használatát. Ennek során lehetővé teszi az adatok integrálását speciális forgalomrögzítő eszközökkel, mint például a Wireshark az elemzési szakaszban.
Az Arkime úgy készült, hogy egyszerre több rendszeren is üzembe helyezhető, és több tíz gigabit/másodperc forgalom kezelésére is képes. A nagy mennyiségű adat PCAP általi kezelése az érzékelő szabad lemezterületén és az Elasticsearch klaszter méretén alapul. Mindkét funkció szükség szerint bővíthető, és a rendszergazda teljes ellenőrzése alatt áll.
Horkant
Horkant egy nyílt forráskódú behatolásgátló rendszer (IPS), amely figyeli és elemzi a hálózati forgalmat a potenciális biztonsági fenyegetések észlelése és megelőzése érdekében. Széles körben használják valós idejű forgalomelemzéshez és csomagnaplózáshoz, és egy sor szabályt használnak, amelyek segítenek meghatározni a rosszindulatú tevékenységeket a hálózaton, és lehetővé teszik az ilyen gyanús vagy rosszindulatú viselkedésnek megfelelő csomagok megtalálását, és figyelmeztetéseket generál a rendszergazdák számára.
Honlapja szerint a Snortnak három fő felhasználási esete van:
- csomagkövetés
- csomagnaplózás (a hálózati forgalom hibakereséséhez hasznos)
- hálózati behatolásgátló rendszer (IPS)
A hálózaton történő behatolások és rosszindulatú tevékenységek észlelésére a Snort három globális szabálykészlettel rendelkezik:
- közösségi felhasználókra vonatkozó szabályok: azok, amelyek minden felhasználó számára elérhetőek minden költség és regisztráció nélkül.
- szabályok a regisztrált felhasználók számára: A Snort-on való regisztrációval a felhasználó hozzáférhet a sokkal specifikusabb fenyegetések azonosítására optimalizált szabályokhoz.
- előfizetőkre vonatkozó szabályok: Ez a szabálykészlet nem csak a fenyegetés pontosabb azonosítását és optimalizálását teszi lehetővé, hanem a fenyegetésfrissítések fogadásának lehetőségével is rendelkezik.
Eseménykezelési eszközök
A kaptár
A kaptár egy méretezhető biztonsági incidens-reagálási platform, amely együttműködő és testreszabható teret biztosít az incidenskezeléshez, kivizsgáláshoz és reagálási tevékenységekhez. Szorosan integrálva van a MISP-vel (Malware Information Sharing Platform), és megkönnyíti a Security Operations Center (SOC), a Computer Security Incident Response Team (CSIRT), a Computer Emergency Response Team (CERT) és minden más biztonsági szakember feladatait, akik olyan biztonsági incidensekkel szembesülnek. elemezni kell, és gyorsan kell cselekedni. Mint ilyen, segít a szervezeteknek hatékonyan kezelni és reagálni a biztonsági incidensekre
Három olyan funkció teszi igazán hasznossá:
- Együttműködés: A platform elősegíti a valós idejű együttműködést a (SOC) és a Computer Emergency Response Team (CERT) elemzői között. Megkönnyíti a folyamatban lévő nyomozások integrálását az esetekre, feladatokra és megfigyelhető adatokra. A tagok hozzáférhetnek a releváns információkhoz, és az új MISP-eseményekről szóló speciális értesítések, riasztások, e-mail-jelentések és SIEM-integrációk tovább javítják a kommunikációt.
- Kidolgozás: Az eszköz leegyszerűsíti az esetek és a kapcsolódó feladatok létrehozását egy hatékony sablonmotor révén. Egy irányítópulton keresztül testreszabhatja a mutatókat és a mezőket, és a platform támogatja a rosszindulatú programokat vagy gyanús adatokat tartalmazó alapvető fájlok címkézését.
- teljesítmény: Egytől több ezer megfigyelhető adat hozzáadása minden létrehozott esethez, beleértve a közvetlenül a MISP-eseményből vagy a platformra küldött riasztások importálásának lehetőségét, valamint a testreszabható osztályozást és szűrőket.
GRR gyors reagálás
GRR gyors reagálás egy eseményreagálási keretrendszer, amely lehetővé teszi az élő távoli kriminalisztikai elemzést. Távolról gyűjti és elemzi a kriminalisztikai adatokat a rendszerekből, hogy megkönnyítse a kiberbiztonsági vizsgálatokat és az incidensekre reagáló tevékenységeket. A GRR támogatja a különféle típusú kriminalisztikai adatok gyűjtését, beleértve a fájlrendszer metaadatait, a memóriatartalmat, a rendszerleíró adatbázis-információkat és más, az incidensek elemzéséhez döntő fontosságú műtermékeket. A nagy léptékű telepítések kezelésére készült, így különösen alkalmas a változatos és kiterjedt IT-infrastruktúrával rendelkező vállalkozások számára.
Két részből áll, egy kliensből és egy szerverből.
A GRR-ügyfél a vizsgálni kívánt rendszereken van telepítve. Ezeken a rendszereken a telepítést követően a GRR-ügyfél rendszeresen lekérdezi a GRR előtér-kiszolgálóit, hogy ellenőrizze, működnek-e. A „munka” alatt egy adott művelet végrehajtását értjük: fájl letöltése, könyvtár felsorolása stb.
A GRR szerverinfrastruktúra több összetevőből áll (frontendek, dolgozók, felhasználói felület szerverek, Fleetspeak), és egy webalapú grafikus felhasználói felületet és egy API végpontot biztosít, amely lehetővé teszi az elemzők számára, hogy ütemezzenek műveleteket az ügyfeleken, valamint megtekintsék és feldolgozzák az összegyűjtött adatokat.
Operációs rendszerek elemzése
HELK
HELK, vagy a The Hunting ELK célja, hogy átfogó környezetet biztosítson a biztonsági szakemberek számára a proaktív fenyegetésvadászathoz, a biztonsági események elemzéséhez és az incidensekre való reagáláshoz. Kiaknázza az ELK-verem erejét és további eszközöket egy sokoldalú és bővíthető biztonsági elemzési platform létrehozásához.
A különféle kiberbiztonsági eszközöket egyesíti a fenyegetésvadászat és a biztonsági elemzés egységes platformjává. Elsődleges összetevői az Elasticsearch, a Logstash és a Kibana (ELK verem), amelyeket széles körben használnak napló- és adatelemzésre. A HELK bővíti az ELK-vermet további biztonsági eszközök és adatforrások integrálásával, hogy javítsa a fenyegetésészlelési és incidensreakciós képességeit.
Célja kutatási célú, de rugalmas kialakításának és alapkomponenseinek köszönhetően megfelelő konfigurációkkal és skálázható infrastruktúrával nagyobb környezetekben is bevethető.
Illékonyság
A Volatilitási keretrendszer egy olyan eszközök és könyvtárak gyűjteménye, amelyek segítségével digitális műtermékeket kinyerhetünk, ahogy sejti, a rendszer illékony memóriájából (RAM). Ezért széles körben használják a digitális kriminalisztika és incidensreagálás terén, hogy elemezze a feltört rendszerek memóriakiírásait, és értékes információkat nyerjen ki a folyamatban lévő vagy múltbeli biztonsági incidensekkel kapcsolatban.
Mivel platformfüggetlen, támogatja a memória kiíratását számos operációs rendszerből, beleértve a Windowst, a Linuxot és a macOS-t. Valójában a Volatility képes elemezni a virtualizált környezetekből származó memóriakiíratásokat is, például a VMware vagy a VirtualBox által létrehozottakat, és így betekintést nyújt mind a fizikai, mind a virtuális rendszerállapotokba.
A Volatilitás beépülő modul-alapú architektúrával rendelkezik – beépített bővítmények gazdag készletével érkezik, amelyek lefedik a törvényszéki elemzések széles skáláját, de lehetővé teszik a felhasználók számára, hogy egyéni bővítmények hozzáadásával bővítsék a funkcióit.
Következtetés
Szóval megvan. Magától értetődik, hogy a kék/piros csapatgyakorlatok elengedhetetlenek a szervezet védekezésének felkészültségének felméréséhez, és mint ilyenek, elengedhetetlenek egy robusztus és hatékony biztonsági stratégiához. A gyakorlat során összegyűjtött rengeteg információ holisztikus képet ad a szervezeteknek biztonsági helyzetükről, és lehetővé teszi számukra, hogy felmérjék biztonsági protokolljaik hatékonyságát.
Ezenkívül a kék csapatok kulcsszerepet játszanak a kiberbiztonsági megfelelésben és szabályozásban, ami különösen kritikus a szigorúan szabályozott iparágakban, például az egészségügyben és a pénzügyekben. A kék/piros csapatgyakorlatok valósághű képzési forgatókönyveket is kínálnak a biztonsági szakemberek számára, és ez a gyakorlati tapasztalat segíti őket abban, hogy tökéletesítsék készségeiket a tényleges eseményekre való reagálásban.
Melyik csapatba jelentkeznél?
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :van
- :is
- :nem
- $ UP
- 22
- 36
- a
- képesség
- hozzáférés
- pontos
- Akció
- cselekvések
- tevékenységek
- tevékenység
- szereplők
- tényleges
- hozzá
- hozzáadásával
- mellett
- További
- adminisztrátorok
- Előny
- ellenséges
- ellen
- célok
- Éber
- Figyelmeztetések
- lehetővé teszi, hogy
- mentén
- Is
- között
- Összegek
- an
- elemzés
- Az elemzők
- analitika
- elemez
- elemzett
- elemzések
- elemzése
- és a
- anomáliák
- bármilyen
- bárhol
- api
- alkalmazások
- megközelítés
- építészet
- VANNAK
- cikkben
- AS
- értékeli
- értékelése
- társult
- At
- támadó
- kísérlet
- elérhető
- vissza
- alapján
- BE
- Marhahús
- előtt
- viselkedés
- között
- Kék
- mindkét
- Bring
- széles
- Legelészés
- épült
- beépített
- de
- by
- hívott
- TUD
- képességek
- elfog
- eset
- esetek
- Kategória
- Központ
- kihívások
- díj
- besorolás
- vásárló
- ügyfél részére
- Fürt
- együttműködés
- kollaboratív
- Gyűjtő
- gyűjtemény
- kombájnok
- jön
- közlés
- közösség
- teljesítés
- alkatrészek
- átfogó
- Veszélyeztetett
- veszélyeztetése
- számítógép
- Számítógép biztonság
- Magatartás
- áll
- tartalom
- ellenőrzés
- ellenőrzések
- együttműködés
- Mag
- Költség
- terjed
- teremt
- készítette
- teremtés
- kritikai
- kritikus
- szokás
- szabható
- testre
- cyberattack
- Kiberbiztonság
- kiberfenyegetések
- műszerfal
- dátum
- adatelemzés
- védések
- védekező
- meghatározott
- minden bizonnyal
- telepített
- bevezetéséhez
- bevetések
- Design
- tervezett
- kimutatására
- Érzékelés
- különböző
- digitális
- közvetlenül
- könyvtár
- számos
- Ennek
- letöltés
- két
- Herceg
- alatt
- minden
- Megkönnyíti
- Hatékony
- hatékonyság
- hatékony
- eredményesen
- erőfeszítés
- vészhelyzet
- lehetővé teszi
- Endpoint
- Motor
- növelése
- Vállalatok
- Környezet
- környezetek
- különösen
- alapvető
- stb.
- Még
- esemény
- események
- EVER
- fejlődik
- végrehajtó
- Gyakorol
- tapasztalat
- kiaknázása
- exportáló
- terjed
- nyúlik
- kiterjedt
- kivonat
- kitermelés
- Arc
- megkönnyítése
- megkönnyíti
- hamis
- Jellemzők
- kevés
- Fields
- filé
- Fájlok
- Szűrők
- finanszíroz
- Találjon
- vezetéknév
- rugalmas
- A
- Törvényszéki
- kriminalisztika
- Korábbi
- elősegítése
- Keretrendszer
- ból ből
- frontend
- frontendek
- eleget tesz
- Tele
- funkcionalitás
- további
- játék
- Games
- nyomtáv
- fogaskerekek
- generált
- generál
- Globális
- Goes
- megy
- kitalálta
- fogantyú
- Kezelés
- hands-on
- Legyen
- egészségügyi
- segít
- segít
- nagyon
- holisztikus
- honlapja
- Hogyan
- HTML
- HTTPS
- Vadászat
- Azonosítás
- azonosítani
- azonosító
- if
- kép
- importál
- javul
- in
- incidens
- eseményre adott válasz
- Beleértve
- valóban
- egyéni
- iparágak
- információ
- Infrastruktúra
- infrastruktúrák
- meglátások
- integrált
- integrálása
- integráció
- integrációk
- Felület
- bele
- intuitív
- vizsgálja
- vizsgálat
- Laboratóriumi vizsgálatok eredményei
- jár
- IT
- ITS
- közös
- tartás
- Kulcs
- nagy
- nagyarányú
- nagyobb
- hadd
- kihasználja
- könyvtárak
- linux
- él
- log
- fakitermelés
- néz
- MacOS
- Fő
- csinál
- Gyártás
- rosszindulatú
- malware
- kezelése
- vezetés
- sok
- Mérkőzés
- Lehet..
- jelent
- Közben
- Partnerek
- Memory design
- Metaadatok
- Metrics
- tükör
- Küldetés
- Enyhít
- Mód
- ellenőrzés
- monitorok
- több
- sok
- Szükség
- szükséges
- hálózat
- hálózati forgalom
- Új
- megjegyezni
- értesítések
- Most
- of
- kedvezmény
- támadó
- on
- egyszer
- ONE
- folyamatban lévő
- csak
- nyitva
- nyílt forráskódú
- üzemeltetési
- operációs rendszer
- Művelet
- optimalizálás
- optimalizált
- opció
- or
- érdekében
- szervezetek
- Más
- ki
- átfogó
- csomagok
- különösen
- alkatrészek
- múlt
- minták
- Emberek (People)
- mert
- fizikai
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- játszik
- Plugins
- közvélemény-kutatások
- pozíció
- potenciális
- hatalom
- megakadályozása
- Megelőzés
- megfizethetetlen
- elsődleges
- proaktív
- eljárások
- folyamat
- Folyamatok
- tehetséges alkalmazottal
- elősegíti
- szabadalmazott
- védelme
- protokollok
- ad
- biztosít
- cél
- gyorsan
- RAM
- hatótávolság
- gyors
- való Világ
- real-time
- valószerű
- kap
- Piros
- nyilvántartott
- regisztráció
- Bejegyzés
- iktató hivatal
- szabályozott
- szabályozott iparágak
- Szabályozás
- összefüggő
- távoli
- távolról
- Jelentések
- kutatás
- Reagálni
- válaszol
- válasz
- felülvizsgálata
- Gazdag
- jobb
- erős
- Szerep
- szerepek
- szabályok
- mondás
- skálázható
- Skála
- pikkelyes
- forgatókönyvek
- menetrend
- Keresés
- keres
- biztonság
- Biztonsági események
- Biztonsági fenyegetések
- küldött
- Series of
- szerver
- Szerverek
- ülés
- készlet
- Szettek
- számos
- megosztás
- oldal
- <p></p>
- Jelek
- egyszerűsíti
- tettetés
- szimulációk
- készségek
- So
- forrás
- Források
- Hely
- speciális
- specializált
- különleges
- verem
- Színpad
- Államok
- Stratégia
- előfizetőknek
- ilyen
- megfelelő
- Támogatja
- gyanús
- gyorsan
- rendszer
- Systems
- taktika
- Vesz
- tart
- feladatok
- csapat
- csapat
- sablon
- tíz
- feltételek
- teszt
- hogy
- A
- azok
- Őket
- Ott.
- ebből adódóan
- Ezek
- ők
- dolgok
- ezt
- azok
- ezer
- fenyegetés
- fenyegetés szereplői
- fenyegetések
- három
- Keresztül
- egész
- keresztben
- szorosan
- Cím
- nak nek
- együtt
- szerszám
- szerszámok
- forgalom
- Képzések
- kettő
- típusok
- ui
- jogtalan
- alatt
- egységes
- Frissítés
- upon
- használ
- használt
- hasznos
- használó
- Felhasználók
- használ
- Értékes
- fajta
- különféle
- ellenőrzése
- sokoldalú
- keresztül
- Megnézem
- Tényleges
- fontos
- vmware
- illó
- Illékonyság
- sérülékenységek
- akar
- háború
- we
- gyengeségek
- Vagyon
- háló
- web-alapú
- JÓL
- ami
- míg
- WHO
- széles
- Széleskörű
- széles körben
- szélesség
- lesz
- ablakok
- val vel
- nélkül
- dolgozók
- dolgozó
- te
- A te
- zephyrnet