האם אי פעם אתה משחק במשחקי מחשב כמו Halo או Gears of War? אם כן, בהחלט שמתם לב למצב משחק שנקרא לכידת הדגל שמציבה שתי קבוצות זו מול זו - אחת שאחראית על הגנה על הדגל מפני יריבים שמנסים לגנוב אותו.
זֶה סוג התרגיל משמש גם על ידי ארגונים כדי לאמוד את יכולתם לזהות, להגיב ולהפחית מתקפת סייבר. ואכן, סימולציות אלו מהוות מפתח לאיתור חולשות במערכות, באנשים ובתהליכים של ארגונים לפני שתוקפים מנצלים אותן. על ידי חיקוי איומי סייבר מציאותיים, תרגילים אלה מאפשרים למתרגלי אבטחה גם לכוונן את נהלי התגובה לאירועים ולחזק את ההגנה שלהם מפני אתגרי אבטחה מתפתחים.
במאמר זה, בחנו, במילים רחבות, כיצד שתי הקבוצות מוציאות את זה החוצה ובאילו כלים בקוד פתוח הצד ההגנתי עשוי להשתמש. ראשית, רענון סופר מהיר על התפקידים של שתי הקבוצות:
- הצוות האדום ממלא את תפקיד התוקף וממנף טקטיקות המשקפות את אלו של שחקני איום מהעולם האמיתי. על ידי זיהוי וניצול נקודות תורפה, עקיפת ההגנות של הארגון והתפשרות על המערכות שלו, סימולציה יריבות זו מספקת לארגונים תובנות שלא יסולא בפז לגבי החריצים בשריון הסייבר שלהם.
- הקבוצה הכחולה, בינתיים, לוקחת על עצמה את התפקיד ההגנתי כשהיא שואפת לזהות ולסכל את פלישות היריב. זה כולל, בין היתר, פריסת כלי אבטחת סייבר שונים, מעקב אחר תעבורת הרשת עבור חריגות או דפוסים חשודים, סקירת יומנים שנוצרו על ידי מערכות ויישומים שונים, ניטור ואיסוף נתונים מנקודות קצה בודדות, ותגובה מהירה לכל סימן של גישה לא מורשית. או התנהגות חשודה.
כהערה צדדית, יש גם צוות סגול שמסתמך על גישה שיתופית ומפגיש בין פעילויות התקפיות והגנתיות. על ידי טיפוח תקשורת ושיתוף פעולה בין הצוותים ההתקפיים וההגנתיים, מאמץ משותף זה מאפשר לארגונים לזהות נקודות תורפה, לבדוק בקרות אבטחה ולשפר את עמדת האבטחה הכוללת שלהם באמצעות גישה מקיפה ומאוחדת אף יותר.
כעת, אם נחזור לקבוצה הכחולה, הצד ההגנתי משתמש במגוון של כלים בקוד פתוח וכלים קנייניים כדי למלא את משימתו. הבה נסתכל כעת על כמה כלים כאלה מהקטגוריה הקודמת.
כלים לניתוח רשת
ארקימה
עוצב לטיפול וניתוח יעיל של נתוני תעבורת רשת, ארקימה היא מערכת חיפוש ולכידת מנות בקנה מידה גדול (PCAP). הוא כולל ממשק אינטרנט אינטואיטיבי לגלישה, חיפוש וייצוא קבצי PCAP בעוד ה-API שלו מאפשר לך להוריד ולהשתמש ישירות בנתוני הפגישה בפורמט PCAP ו-JSON. בכך, הוא מאפשר לשלב את הנתונים עם כלי לכידת תעבורה מיוחדים כגון Wireshark בשלב הניתוח.
Arkime נבנה לפריסה על מערכות רבות בו-זמנית ויכולה להתרחב כדי להתמודד עם עשרות גיגה-ביט/שנייה של תעבורה. הטיפול של PCAP בכמויות גדולות של נתונים מבוסס על שטח הדיסק הפנוי של החיישן ועל קנה המידה של אשכול Elasticsearch. ניתן להגדיל את שתי התכונות הללו לפי הצורך והן בשליטה מלאה של מנהל המערכת.
נְחִירָה
נְחִירָה היא מערכת קוד פתוח למניעת חדירות (IPS) המנטרת ומנתחת את תעבורת הרשת כדי לזהות ולמנוע איומי אבטחה פוטנציאליים. בשימוש נרחב לניתוח תעבורה בזמן אמת ולרישום מנות, הוא משתמש בסדרה של כללים המסייעים להגדיר פעילות זדונית ברשת ומאפשר לה למצוא מנות התואמות התנהגות חשודה או זדונית שכזו ומייצר התראות למנהלי מערכת.
לפי דף הבית שלו, ל-Snort יש שלושה מקרי שימוש עיקריים:
- מעקב אחר מנות
- רישום מנות (שימושי עבור ניפוי באגים בתעבורת רשת)
- מערכת למניעת חדירת רשת (IPS)
לזיהוי של חדירות ופעילות זדונית ברשת, ל-Snort יש שלוש מערכות כללים גלובליות:
- כללים למשתמשי הקהילה: אלה הזמינים לכל משתמש ללא כל עלות והרשמה.
- כללים למשתמשים רשומים: על ידי הרשמה ל-Snort המשתמש יכול לגשת למערכת כללים מותאמת לזיהוי איומים הרבה יותר ספציפיים.
- כללים למנויים: מערכת כללים זו מאפשרת לא רק זיהוי ואופטימיזציה של איומים מדויקים יותר, אלא גם מגיעה עם היכולת לקבל עדכוני איומים.
כלים לניהול אירועים
הכוורת
הכוורת היא פלטפורמת תגובה לאירועי אבטחה ניתנת להרחבה המספקת מרחב שיתופי וניתן להתאמה אישית לטיפול באירועים, חקירה ותגובה. זה משולב היטב עם MISP (פלטפורמת שיתוף מידע זדוני) ומקל על המשימות של מרכז תפעול האבטחה (SOCs), צוות תגובת תקריות אבטחת מחשבים (CSIRTs), צוות חירום מחשבים (CERTs) וכל מקצוען אבטחה אחר המתמודד עם אירועי אבטחה. צריך לנתח ולפעול במהירות. ככזה, הוא עוזר לארגונים לנהל ולהגיב לאירועי אבטחה ביעילות
ישנן שלוש תכונות שהופכות אותו לכל כך שימושי:
- שיתוף פעולה: הפלטפורמה מקדמת שיתוף פעולה בזמן אמת בין (SOC) ואנליסטים של צוות חירום ממוחשב (CERT). זה מקל על השילוב של חקירות מתמשכות בתיקים, משימות ותצפית. חברים יכולים לגשת למידע רלוונטי ולהתראות מיוחדות על אירועי MISP חדשים, התראות, דוחות דואר אלקטרוני ושילובי SIEM משפרים עוד יותר את התקשורת.
- שִׁכלוּל: הכלי מפשט את היצירה של מקרים ומשימות נלוות באמצעות מנוע תבניות יעיל. אתה יכול להתאים אישית מדדים ושדות באמצעות לוח מחוונים, והפלטפורמה תומכת בתיוג של קבצים חיוניים המכילים תוכנות זדוניות או נתונים חשודים.
- ביצוע: הוסף כל מקום בין אחד לאלפי נצפים לכל מקרה שנוצר, כולל אפשרות לייבא אותם ישירות מאירוע MISP או כל התראה שנשלחה לפלטפורמה, כמו גם סיווג ופילטרים הניתנים להתאמה אישית.
תגובה מהירה של GRR
תגובה מהירה של GRR היא מסגרת תגובה לאירועים המאפשרת ניתוח פורנזי חי מרחוק. הוא אוסף ומנתח נתונים פורנזיים ממערכות מרחוק על מנת להקל על חקירות אבטחת סייבר ופעילויות תגובה לאירועים. GRR תומך באיסוף סוגים שונים של נתונים פורנזיים, כולל מטא נתונים של מערכת קבצים, תוכן זיכרון, מידע רישום וחפצים אחרים החיוניים לניתוח תקריות. הוא נבנה להתמודד עם פריסות בקנה מידה גדול, מה שהופך אותו למתאים במיוחד לארגונים עם תשתיות IT מגוונות ונרחבות.
זה מורכב משני חלקים, לקוח ושרת.
לקוח GRR נפרס על מערכות שאתה רוצה לחקור. בכל אחת מהמערכות הללו, לאחר הפריסה, לקוח GRR בודק מעת לעת את שרתי החזית של GRR כדי לוודא שהם פועלים. ב"עבודה", אנו מתכוונים לביצוע פעולה ספציפית: הורדת קובץ, ספירת ספרייה וכו'.
תשתית השרתים של GRR מורכבת ממספר רכיבים (חזיתות, עובדים, שרתי ממשק משתמש, Fleetspeak) ומספקת GUI מבוסס אינטרנט ונקודת קצה API המאפשרת לאנליסטים לתזמן פעולות על לקוחות ולהציג ולעבד את הנתונים שנאספו.
ניתוח מערכות הפעלה
HELK
HELK, או The Hunting ELK, נועד לספק סביבה מקיפה לאנשי מקצוע באבטחה לביצוע ציד איומים יזום, לנתח אירועי אבטחה ולהגיב לאירועים. הוא ממנף את הכוח של מחסנית ה-ELK יחד עם כלים נוספים ליצירת פלטפורמת ניתוח אבטחה רב-תכליתית וניתנת להרחבה.
הוא משלב כלי אבטחת סייבר שונים לפלטפורמה מאוחדת לציד איומים וניתוח אבטחה. המרכיבים העיקריים שלו הם Elasticsearch, Logstash ו-Kibana (ELK stack), שנמצאים בשימוש נרחב לניתוח יומנים ונתונים. HELK מרחיב את מחסנית ה-ELK על ידי שילוב כלי אבטחה ומקורות נתונים נוספים כדי לשפר את היכולות שלה לזיהוי איומים ותגובה לאירועים.
מטרתו היא למחקר, אך בשל העיצוב הגמיש ורכיבי הליבה שלו, ניתן לפרוס אותו בסביבות גדולות יותר עם התצורות הנכונות ותשתית ניתנת להרחבה.
נדיפות
השמיים מסגרת תנודתיות הוא אוסף של כלים וספריות לחילוץ חפצים דיגיטליים, ניחשתם נכון, הזיכרון הנדיף (RAM) של מערכת. לפיכך, הוא נמצא בשימוש נרחב בזיהוי פלילי דיגיטלי ובתגובה לאירועים כדי לנתח מזימות זיכרון ממערכות שנפגעו ולחלץ מידע בעל ערך הקשור לאירועי אבטחה מתמשכים או בעבר.
מכיוון שהוא בלתי תלוי בפלטפורמה, הוא תומך ב-dump זיכרון ממגוון מערכות הפעלה, כולל Windows, Linux ו-macOS. ואכן, Volatility יכולה גם לנתח מזימות זיכרון מסביבות וירטואליות, כגון אלו שנוצרו על ידי VMware או VirtualBox, וכך לספק תובנות לגבי מצבי מערכת פיזיים וירטואליים כאחד.
ל-Vatility יש ארכיטקטורה מבוססת תוספים - הוא מגיע עם סט עשיר של תוספים מובנים המכסים מגוון רחב של ניתוחים משפטיים, אך גם מאפשר למשתמשים להרחיב את הפונקציונליות שלו על ידי הוספת תוספים מותאמים אישית.
סיכום
אז הנה לך. מובן מאליו שתרגילי צוות כחול/אדום חיוניים להערכת מוכנות ההגנות של הארגון וככאלה חיוניים לאסטרטגיית אבטחה חזקה ויעילה. שפע המידע שנאסף במהלך התרגיל הזה מספק לארגונים ראייה הוליסטית של מצב האבטחה שלהם ומאפשר להם להעריך את האפקטיביות של פרוטוקולי האבטחה שלהם.
בנוסף, צוותים כחולים ממלאים תפקיד מפתח בתאימות ורגולציה לאבטחת סייבר, דבר שהוא קריטי במיוחד בתעשיות בפיקוח גבוה, כמו בריאות ופיננסים. תרגילי הצוות הכחול/אדום מספקים גם תרחישי אימון מציאותיים לאנשי מקצוע בתחום האבטחה, והחוויה המעשית הזו עוזרת להם לחדד את כישוריהם בתגובה בפועל לאירועים.
לאיזו קבוצה תירשם?
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 22
- 36
- a
- יכולת
- גישה
- מדויק
- פעולה
- פעולות
- פעילויות
- פעילות
- שחקנים
- ממשי
- להוסיף
- מוסיף
- תוספת
- נוסף
- מנהלים
- יתרון
- -
- נגד
- מטרות
- ערני
- התראות
- מאפשר
- לאורך
- גם
- בין
- כמויות
- an
- אנליזה
- אנליסטים
- ניתוח
- לנתח
- מְנוּתָח
- ניתוחים
- ניתוח
- ו
- חריגויות
- כל
- בְּכָל מָקוֹם
- API
- יישומים
- גישה
- ארכיטקטורה
- ARE
- מאמר
- AS
- לְהַעֲרִיך
- הערכה
- המשויך
- At
- תוקף
- ניסיון
- זמין
- בחזרה
- מבוסס
- BE
- בשר בקר
- לפני
- התנהגות
- בֵּין
- כָּחוֹל
- שניהם
- מביא
- רחב
- דפדוף
- נבנה
- מובנה
- אבל
- by
- נקרא
- CAN
- יכולות
- ללכוד
- מקרה
- מקרים
- קטגוריה
- מרכז
- האתגרים
- תשלום
- מיון
- לקוחות
- לקוחות
- אשכול
- שיתוף פעולה
- שיתוף פעולה
- איסוף
- אוסף
- משלב
- מגיע
- תקשורת
- קהילה
- הענות
- רכיבים
- מַקִיף
- התפשר
- מתפשר
- המחשב
- אבטחת מחשב
- לנהל
- מורכב
- תוכן
- לִשְׁלוֹט
- בקרות
- שיתוף פעולה
- ליבה
- עלות
- לכסות
- לִיצוֹר
- נוצר
- יצירה
- קריטי
- מכריע
- מנהג
- להתאמה אישית
- אישית
- התקפת סייבר
- אבטחת סייבר
- איומי סייבר
- לוח מחוונים
- נתונים
- ניתוח נתונים
- הגנות
- הגנתי
- לְהַגדִיר
- בהחלט
- פרס
- פריסה
- פריסות
- עיצוב
- מעוצב
- לאתר
- איתור
- אחר
- דיגיטלי
- ישירות
- בספרייה
- שונה
- עושה
- להורדה
- ראוי
- דוכס
- בְּמַהֲלָך
- כל אחד
- קלות
- אפקטיבי
- יְעִילוּת
- יעיל
- יעילות
- מאמץ
- אמייל
- חירום
- מאפשר
- נקודת קצה
- מנוע
- להגביר את
- חברות
- סביבה
- סביבות
- במיוחד
- חיוני
- וכו '
- אֲפִילוּ
- אירוע
- אירועים
- אי פעם
- מתפתח
- מבצע
- תרגיל
- ניסיון
- מנצל
- ייצוא
- להאריך
- משתרע
- נרחב
- תמצית
- הוֹצָאָה
- פָּנִים
- לְהַקֵל
- מקל
- שקר
- תכונות
- מעטים
- שדות
- שלח
- קבצים
- מסננים
- לממן
- ראשון
- גמיש
- בעד
- משפטי
- זיהוי פלילי
- לשעבר
- טיפוח
- מסגרת
- החל מ-
- ממשק
- חזיתי
- הגשמה
- מלא
- פונקציונלי
- נוסף
- מִשְׂחָק
- משחקים
- מד
- הילוכים
- נוצר
- מייצר
- גלוֹבָּלִי
- Goes
- הולך
- ניחש
- לטפל
- טיפול
- ידות על
- יש
- בריאות
- לעזור
- עוזר
- מאוד
- הוליסטית
- דף הבית
- איך
- HTML
- HTTPS
- ציד
- הזדהות
- לזהות
- זיהוי
- if
- תמונה
- לייבא
- לשפר
- in
- תקרית
- תגובה לאירוע
- כולל
- אכן
- בנפרד
- תעשיות
- מידע
- תשתית
- תשתית
- תובנות
- משולב
- שילוב
- השתלבות
- ואינטגרציות
- מִמְשָׁק
- אל תוך
- אינטואיטיבי
- לחקור
- חקירה
- חקירות
- כרוך
- IT
- שֶׁלָה
- משותף
- שמירה
- מפתח
- גָדוֹל
- בקנה מידה גדול
- גדול יותר
- לתת
- מנופים
- ספריות
- לינוקס
- לחיות
- היכנס
- רישום
- נראה
- MacOS
- ראשי
- לעשות
- עשייה
- זדוני
- תוכנות זדוניות
- לנהל
- ניהול
- רב
- להתאים
- מאי..
- אומר
- בינתיים
- להרשם/להתחבר
- זכרון
- מידע נוסף
- מדדים
- ראי
- משימה
- להקל
- מצב
- ניטור
- צגים
- יותר
- הרבה
- צורך
- נחוץ
- רשת
- תנועת רשת
- חדש
- הערות
- הודעות
- עַכשָׁיו
- of
- כבוי
- מתקפה
- on
- פעם
- ONE
- מתמשך
- רק
- לפתוח
- קוד פתוח
- פועל
- מערכות הפעלה
- תפעול
- אופטימיזציה
- אופטימיזציה
- אפשרות
- or
- להזמין
- ארגונים
- אחר
- הַחוּצָה
- מקיף
- מנות
- במיוחד
- חלקים
- עבר
- דפוסי
- אֲנָשִׁים
- עבור
- גופני
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- משחק
- תוספים
- סקרים
- עמדה
- פוטנציאל
- כּוֹחַ
- למנוע
- מניעה
- לֹא יְסוּלֵא בְּפָּז
- יְסוֹדִי
- פרואקטיבי
- נהלים
- תהליך
- תהליכים
- אנשי מקצוע
- מקדם
- קניינית
- אבטחה
- פרוטוקולים
- לספק
- מספק
- מטרה
- מהירות
- RAM
- רכס
- מהיר
- עולם אמיתי
- זמן אמת
- מציאותי
- לקבל
- Red
- רשום
- רישום
- הַרשָׁמָה
- רישום
- מוסדר
- תעשיות מוסדרות
- תקנה
- קָשׁוּר
- רלוונטי
- מרחוק
- מרחוק
- דוחות לדוגמא
- מחקר
- להגיב
- להגיב
- תגובה
- ביקורת
- עשיר
- תקין
- חָסוֹן
- תפקיד
- תפקידים
- כללי
- אמר
- להרחבה
- סולם
- סולם
- תרחישים
- לוח זמנים
- חיפוש
- חיפוש
- אבטחה
- אירועי אבטחה
- איומים ביטחוניים
- נשלח
- סדרה
- שרת
- שרתים
- מושב
- סט
- סטים
- כמה
- שיתוף
- צד
- סִימָן
- שלטים
- מפשט
- הדמיה
- סימולציות
- מיומנויות
- So
- מָקוֹר
- מקורות
- מֶרחָב
- מיוחד
- מיוחד
- ספציפי
- לערום
- התמחות
- הברית
- אִסטרָטֶגִיָה
- מנוי
- כזה
- מַתְאִים
- תומך
- חשוד
- במהירות
- מערכת
- מערכות
- טקטיקה
- לקחת
- לוקח
- משימות
- נבחרת
- צוותי
- תבנית
- עשרות
- מונחים
- מבחן
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- לכן
- אלה
- הֵם
- דברים
- זֶה
- אלה
- אלפים
- איום
- איום שחקנים
- איומים
- שְׁלוֹשָׁה
- דרך
- בכל
- לְסַכֵּל
- בחוזקה
- כותרת
- ל
- יַחַד
- כלי
- כלים
- תְנוּעָה
- הדרכה
- שתיים
- סוגים
- ui
- לא מורשה
- תחת
- מאוחד
- עדכונים
- על
- להשתמש
- מְשׁוּמָשׁ
- מועיל
- משתמש
- משתמשים
- שימושים
- בעל ערך
- מגוון
- שונים
- לאמת
- רב צדדי
- באמצעות
- לצפיה
- וירטואלי
- חיוני
- VMware
- נדיף
- נדיפות
- פגיעויות
- רוצה
- מִלחָמָה
- we
- חולשות
- עושר
- אינטרנט
- המבוסס על האינטרנט
- טוֹב
- אשר
- בזמן
- מי
- רָחָב
- טווח רחב
- באופן נרחב
- רוחב
- יצטרך
- חלונות
- עם
- לְלֹא
- עובדים
- עובד
- אתה
- זפירנט