Giochi mai a giochi per computer come Halo o Gears of War? Se è così, hai sicuramente notato una modalità di gioco chiamata Cattura la bandiera che mette l'una contro l'altra due squadre, una delle quali ha il compito di proteggere la bandiera dagli avversari che tentano di rubarla.
La sezione tipo di esercizio viene utilizzato anche dalle organizzazioni per valutare la loro capacità di rilevare, rispondere e mitigare un attacco informatico. In effetti, queste simulazioni sono fondamentali per individuare i punti deboli nei sistemi, nelle persone e nei processi delle organizzazioni prima che gli aggressori ne approfittino. Emulando minacce informatiche realistiche, questi esercizi consentono ai professionisti della sicurezza di perfezionare le procedure di risposta agli incidenti e di rafforzare le proprie difese contro le sfide alla sicurezza in continua evoluzione.
In questo articolo, esamineremo, in termini generali, come le due squadre si scontrano e quali strumenti open source può utilizzare la parte difensiva. Prima di tutto, un velocissimo ripasso sui ruoli delle due squadre:
- La squadra rossa interpreta il ruolo dell’aggressore e sfrutta tattiche che rispecchiano quelle degli autori di minacce nel mondo reale. Identificando e sfruttando le vulnerabilità, aggirando le difese dell'organizzazione e compromettendone i sistemi, questa simulazione avversaria fornisce alle organizzazioni informazioni inestimabili sulle falle nelle loro armature informatiche.
- La squadra blu, nel frattempo, assume il ruolo difensivo poiché mira a individuare e contrastare le incursioni avversarie. Ciò comporta, tra le altre cose, l'implementazione di vari strumenti di sicurezza informatica, il controllo del traffico di rete per eventuali anomalie o modelli sospetti, la revisione dei registri generati da diversi sistemi e applicazioni, il monitoraggio e la raccolta di dati dai singoli endpoint e la risposta rapida a qualsiasi segnale di accesso non autorizzato. o comportamento sospetto.
Come nota a margine, c'è anche una squadra viola che fa affidamento su un approccio collaborativo e riunisce attività sia offensive che difensive. Promuovendo la comunicazione e la cooperazione tra i team offensivi e difensivi, questo sforzo congiunto consente alle organizzazioni di identificare le vulnerabilità, testare i controlli di sicurezza e migliorare la loro posizione di sicurezza complessiva attraverso un approccio ancora più completo e unificato.
Ora, tornando alla squadra blu, la parte difensiva utilizza una varietà di strumenti proprietari e open source per compiere la propria missione. Diamo ora un'occhiata ad alcuni di questi strumenti della prima categoria.
Strumenti di analisi della rete
arkime
Progettato per gestire e analizzare in modo efficiente i dati del traffico di rete, arkime è un sistema di ricerca e acquisizione di pacchetti su larga scala (PCAP). È dotato di un'interfaccia web intuitiva per la navigazione, la ricerca e l'esportazione di file PCAP mentre la sua API consente di scaricare e utilizzare direttamente i dati della sessione in formato PCAP e JSON. In tal modo, consente di integrare i dati con strumenti specializzati di cattura del traffico come Wireshark durante la fase di analisi.
Arkime è progettato per essere distribuito su più sistemi contemporaneamente e può scalare per gestire decine di gigabit/secondo di traffico. La gestione di grandi quantità di dati da parte di PCAP si basa sullo spazio su disco disponibile del sensore e sulla scala del cluster Elasticsearch. Entrambe queste funzionalità possono essere ampliate secondo necessità e sono sotto il pieno controllo dell'amministratore.
sbuffo
sbuffo è un sistema di prevenzione delle intrusioni (IPS) open source che monitora e analizza il traffico di rete per rilevare e prevenire potenziali minacce alla sicurezza. Ampiamente utilizzato per l'analisi del traffico in tempo reale e la registrazione dei pacchetti, utilizza una serie di regole che aiutano a definire attività dannose sulla rete e consentono di trovare pacchetti che corrispondono a comportamenti sospetti o dannosi e genera avvisi per gli amministratori.
Secondo la sua homepage, Snort ha tre casi d'uso principali:
- tracciamento dei pacchetti
- registrazione dei pacchetti (utile per il debug del traffico di rete)
- Sistema di prevenzione delle intrusioni di rete (IPS)
Per il rilevamento di intrusioni e attività dannose sulla rete, Snort dispone di tre serie di regole globali:
- regole per gli utenti della community: quelle che sono disponibili a qualsiasi utente senza alcun costo e registrazione.
- regole per utenti registrati: registrandosi su Snort l'utente può accedere a una serie di regole ottimizzate per identificare minacce molto più specifiche.
- regole per gli abbonati: questo insieme di regole non solo consente un'identificazione e un'ottimizzazione più accurate delle minacce, ma offre anche la possibilità di ricevere aggiornamenti sulle minacce.
Strumenti di gestione degli incidenti
L'alveare
L'alveare è una piattaforma scalabile di risposta agli incidenti di sicurezza che fornisce uno spazio collaborativo e personalizzabile per le attività di gestione, indagine e risposta agli incidenti. È strettamente integrato con MISP (Malware Information Sharing Platform) e facilita i compiti del Security Operations Center (SOC), del Computer Security Incident Response Team (CSIRT), del Computer Emergency Response Team (CERT) e di qualsiasi altro professionista della sicurezza che si trova ad affrontare incidenti di sicurezza che devono essere analizzati e risolti rapidamente. In quanto tale, aiuta le organizzazioni a gestire e rispondere in modo efficace agli incidenti di sicurezza
Ci sono tre caratteristiche che lo rendono così utile:
- Collaborazione: La piattaforma promuove la collaborazione in tempo reale tra gli analisti (SOC) e il Computer Emergency Response Team (CERT). Facilita l'integrazione delle indagini in corso in casi, attività e osservabili. I membri possono accedere a informazioni rilevanti e notifiche speciali per nuovi eventi MISP, avvisi, rapporti e-mail e integrazioni SIEM migliorano ulteriormente la comunicazione.
- elaborazione: Lo strumento semplifica la creazione di casi e attività associate attraverso un efficiente motore di modelli. Puoi personalizzare metriche e campi tramite una dashboard e la piattaforma supporta il tagging di file essenziali contenenti malware o dati sospetti.
- Prestazione: aggiungi da uno a migliaia di elementi osservabili a ciascun caso creato, inclusa la possibilità di importarli direttamente da un evento MISP o qualsiasi avviso inviato alla piattaforma, nonché classificazioni e filtri personalizzabili.
Risposta rapida GRR
Risposta rapida GRR è un framework di risposta agli incidenti che consente l'analisi forense remota in tempo reale. Raccoglie e analizza da remoto i dati forensi dai sistemi al fine di facilitare le indagini sulla sicurezza informatica e le attività di risposta agli incidenti. GRR supporta la raccolta di vari tipi di dati forensi, inclusi metadati del file system, contenuto della memoria, informazioni di registro e altri artefatti cruciali per l'analisi degli incidenti. È progettato per gestire implementazioni su larga scala, il che lo rende particolarmente adatto alle aziende con infrastrutture IT estese e diversificate.
È composto da due parti, un client e un server.
Il client GRR viene distribuito sui sistemi che desideri esaminare. Su ciascuno di questi sistemi, una volta distribuito, il client GRR interroga periodicamente i server frontend GRR per verificare se funzionano. Per “lavorare” intendiamo eseguire un'azione specifica: scaricare un file, enumerare una directory, ecc.
L'infrastruttura del server GRR è composta da diversi componenti (frontend, lavoratori, server UI, Fleetspeak) e fornisce una GUI basata sul Web e un endpoint API che consente agli analisti di pianificare azioni sui client e di visualizzare ed elaborare i dati raccolti.
Analisi dei sistemi operativi
AIUTO
AIUTO, o The Hunting ELK, è progettato per fornire un ambiente completo ai professionisti della sicurezza per condurre una caccia proattiva alle minacce, analizzare eventi di sicurezza e rispondere agli incidenti. Sfrutta la potenza dello stack ELK insieme a strumenti aggiuntivi per creare una piattaforma di analisi della sicurezza versatile ed estensibile.
Combina vari strumenti di sicurezza informatica in una piattaforma unificata per la caccia alle minacce e l'analisi della sicurezza. I suoi componenti principali sono Elasticsearch, Logstash e Kibana (stack ELK), ampiamente utilizzati per l'analisi di log e dati. HELK estende lo stack ELK integrando ulteriori strumenti di sicurezza e fonti di dati per migliorare le sue capacità di rilevamento delle minacce e risposta agli incidenti.
Il suo scopo è la ricerca, ma grazie al design flessibile e ai componenti principali, può essere implementato in ambienti più ampi con le giuste configurazioni e un'infrastruttura scalabile.
Volatilità
I Quadro di volatilità è una raccolta di strumenti e librerie per l'estrazione di artefatti digitali, come potete immaginare, dalla memoria volatile (RAM) di un sistema. È quindi ampiamente utilizzato nell'analisi forense digitale e nella risposta agli incidenti per analizzare i dump della memoria da sistemi compromessi ed estrarre informazioni preziose relative a incidenti di sicurezza in corso o passati.
Poiché è indipendente dalla piattaforma, supporta dump della memoria da una varietà di sistemi operativi, inclusi Windows, Linux e macOS. Infatti, Volatility può anche analizzare i dump della memoria da ambienti virtualizzati, come quelli creati da VMware o VirtualBox, e quindi fornire approfondimenti sugli stati del sistema fisico e virtuale.
Volatility ha un'architettura basata su plugin: viene fornito con un ricco set di plugin integrati che coprono un'ampia gamma di analisi forensi, ma consente anche agli utenti di estendere le sue funzionalità aggiungendo plugin personalizzati.
Conclusione
Così il gioco è fatto. Inutile dire che le esercitazioni della squadra blu/rossa sono essenziali per valutare la preparazione delle difese di un'organizzazione e come tali sono vitali per una strategia di sicurezza solida ed efficace. La ricchezza di informazioni raccolte durante questo esercizio fornisce alle organizzazioni una visione olistica del loro livello di sicurezza e consente loro di valutare l’efficacia dei loro protocolli di sicurezza.
Inoltre, i team blu svolgono un ruolo chiave nella conformità e nella regolamentazione della sicurezza informatica, che è particolarmente fondamentale nei settori altamente regolamentati, come quello sanitario e finanziario. Le esercitazioni del team blu/rosso forniscono inoltre scenari di formazione realistici per i professionisti della sicurezza e questa esperienza pratica li aiuta ad affinare le proprie competenze nella risposta effettiva agli incidenti.
A quale squadra ti iscriverai?
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :ha
- :È
- :non
- $ SU
- 22
- 36
- a
- capacità
- accesso
- preciso
- Action
- azioni
- attività
- attività
- attori
- presenti
- aggiungere
- l'aggiunta di
- aggiunta
- aggiuntivo
- amministratori
- Vantaggio
- contraddittorio
- contro
- mira
- Mettere in guardia
- Avvisi
- consente
- lungo
- anche
- tra
- importi
- an
- .
- Gli analisti
- analitica
- analizzare
- analizzato
- analisi
- l'analisi
- ed
- anomalie
- in qualsiasi
- ovunque
- api
- applicazioni
- approccio
- architettura
- SONO
- articolo
- AS
- valutare
- valutare
- associato
- At
- aggressore
- tentativo
- disponibile
- precedente
- basato
- BE
- Manzo
- prima
- comportamento
- fra
- Blu
- entrambi
- Porta
- ampio
- navigazione
- costruito
- incassato
- ma
- by
- detto
- Materiale
- funzionalità
- catturare
- Custodie
- casi
- Categoria
- centro
- sfide
- carica
- classificazione
- cliente
- clienti
- Cluster
- collaborazione
- collaborativo
- Raccolta
- collezione
- combina
- viene
- Comunicazione
- comunità
- conformità
- componenti
- globale
- Compromissione
- compromettendo
- computer
- Computer Security
- Segui il codice di Condotta
- consiste
- contenuto
- di controllo
- controlli
- cooperazione
- Nucleo
- Costo
- coprire
- creare
- creato
- creazione
- critico
- cruciale
- costume
- personalizzabile
- personalizzare
- Attacco informatico
- Cybersecurity
- minacce informatiche
- cruscotto
- dati
- analisi dei dati
- difese
- difensiva
- definire
- decisamente
- schierato
- distribuzione
- implementazioni
- Design
- progettato
- individuare
- rivelazione
- diverso
- digitale
- direttamente
- elenco
- paesaggio differenziato
- fare
- scaricare
- dovuto
- Duca
- durante
- ogni
- Facilita
- Efficace
- efficacia
- efficiente
- in modo efficiente
- sforzo
- emergenza
- Abilita
- endpoint
- motore
- accrescere
- aziende
- Ambiente
- ambienti
- particolarmente
- essential
- eccetera
- Anche
- Evento
- eventi
- EVER
- evoluzione
- esecuzione
- Esercitare
- esperienza
- sfruttando
- esportazione
- estendere
- si estende
- estensivo
- estratto
- estrazione
- Faccia
- facilitare
- facilita
- falso
- Caratteristiche
- pochi
- campi
- Compila il
- File
- filtri
- finanziare
- Trovare
- Nome
- flessibile
- Nel
- Legale
- forense
- Ex
- promozione
- Contesto
- da
- Frontend
- fine frontale
- Adempiere
- pieno
- funzionalità
- ulteriormente
- gioco
- Giochi
- valutare
- ingranaggi
- generato
- genera
- globali
- va
- andando
- indovinato
- maniglia
- Manovrabilità
- mani su
- Avere
- assistenza sanitaria
- Aiuto
- aiuta
- vivamente
- olistica
- homepage
- Come
- HTML
- HTTPS
- Caccia
- Identificazione
- identificare
- identificazione
- if
- Immagine
- importare
- competenze
- in
- incidente
- risposta agli incidenti
- Compreso
- infatti
- individuale
- industrie
- informazioni
- Infrastruttura
- infrastruttura
- intuizioni
- integrato
- Integrazione
- integrazione
- integrazioni
- Interfaccia
- ai miglioramenti
- intuitivo
- indagare
- indagine
- Indagini
- comporta
- IT
- SUO
- giunto
- conservazione
- Le
- grandi
- larga scala
- superiore, se assunto singolarmente.
- lasciare
- leveraggi
- biblioteche
- linux
- vivere
- ceppo
- registrazione
- Guarda
- macos
- Principale
- make
- Fare
- maligno
- il malware
- gestire
- gestione
- molti
- partita
- Maggio..
- significare
- Nel frattempo
- Utenti
- Memorie
- Metadati
- Metrica
- specchio
- Missione
- Ridurre la perdita dienergia con una
- Moda
- monitoraggio
- monitor
- Scopri di più
- molti
- Bisogno
- di applicazione
- Rete
- traffico di rete
- New
- Nota
- notifiche
- adesso
- of
- MENO
- offensivo
- on
- una volta
- ONE
- in corso
- esclusivamente
- aprire
- open source
- operativo
- sistemi operativi
- Operazioni
- ottimizzazione
- ottimizzati
- Opzione
- or
- minimo
- organizzazioni
- Altro
- su
- complessivo
- pacchetti
- particolarmente
- Ricambi
- passato
- modelli
- Persone
- per
- Fisico
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- gioca
- i plugin
- sondaggi
- posizione
- potenziale
- energia
- prevenire
- Frodi
- inestimabile
- primario
- Proactive
- procedure
- processi
- i processi
- Scelto dai professionisti
- promuove
- proprio
- proteggere
- protocolli
- fornire
- fornisce
- scopo
- rapidamente
- RAM
- gamma
- veloce
- mondo reale
- tempo reale
- realistico
- ricevere
- Rosso
- registrato
- registrazione
- Iscrizione
- registro
- regolamentati
- industrie regolamentate
- Regolamento
- relazionato
- pertinente
- a distanza
- da remoto
- Report
- riparazioni
- Rispondere
- risponde
- risposta
- revisione
- Ricco
- destra
- robusto
- Ruolo
- ruoli
- norme
- detto
- scalabile
- Scala
- scalato
- Scenari
- programma
- Cerca
- ricerca
- problemi di
- eventi di sicurezza
- Minacce alla sicurezza
- inviato
- Serie
- server
- Server
- Sessione
- set
- Set
- alcuni
- compartecipazione
- lato
- segno
- Segni
- semplifica
- simulazione
- simulazioni
- abilità
- So
- Fonte
- fonti
- lo spazio
- la nostra speciale
- specializzata
- specifico
- pila
- Stage
- stati
- Strategia
- iscritti
- tale
- adatto
- supporti
- sospettoso
- rapidamente
- sistema
- SISTEMI DI TRATTAMENTO
- tattica
- Fai
- prende
- task
- team
- le squadre
- modello
- decine
- condizioni
- test
- che
- I
- loro
- Li
- Là.
- perciò
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cose
- questo
- quelli
- migliaia
- minaccia
- attori della minaccia
- minacce
- tre
- Attraverso
- per tutto
- contrastare
- strettamente
- Titolo
- a
- insieme
- strumenti
- traffico
- Training
- seconda
- Tipi di
- ui
- non autorizzato
- per
- unificato
- Aggiornamenti
- su
- uso
- utilizzato
- utile
- Utente
- utenti
- usa
- Prezioso
- varietà
- vario
- verificare
- versatile
- via
- Visualizza
- virtuale
- importantissima
- vmware
- volatile
- Volatilità
- vulnerabilità
- volere
- guerra
- we
- debolezza
- Ricchezza
- sito web
- Web-basata
- WELL
- quale
- while
- OMS
- largo
- Vasta gamma
- ampiamente
- larghezza
- volere
- finestre
- con
- senza
- lavoratori
- lavoro
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro