Speel je wel eens computerspellen zoals Halo of Gears of War? Als dat zo is, heb je zeker een spelmodus opgemerkt genaamd Leg de vlag vast waarin twee teams het tegen elkaar opnemen โ รฉรฉn team dat verantwoordelijk is voor het beschermen van de vlag tegen tegenstanders die deze proberen te stelen.
Deze soort oefening wordt ook door organisaties gebruikt om hun vermogen te meten om een โโcyberaanval te detecteren, erop te reageren en deze te beperken. Deze simulaties zijn inderdaad van cruciaal belang voor het opsporen van zwakke punten in de systemen, mensen en processen van organisaties voordat aanvallers er misbruik van maken. Door realistische cyberdreigingen na te bootsen, kunnen beveiligingsprofessionals met deze oefeningen ook de responsprocedures voor incidenten verfijnen en hun verdediging tegen zich ontwikkelende veiligheidsuitdagingen versterken.
In dit artikel hebben we in algemene termen bekeken hoe de twee teams het uitvechten en welke open-sourcetools de defensieve kant kan gebruiken. Allereerst een supersnelle opfrisser over de rollen van de twee teams:
- Het rode team speelt de rol van de aanvaller en maakt gebruik van tactieken die een weerspiegeling zijn van die van echte bedreigingsactoren. Door kwetsbaarheden te identificeren en te exploiteren, de verdediging van de organisatie te omzeilen en haar systemen in gevaar te brengen, biedt deze vijandige simulatie organisaties onschatbare inzichten in de gaten in hun cyberpantsers.
- Het blauwe team neemt ondertussen de verdedigende rol op zich, omdat het de invallen van de tegenstander wil detecteren en dwarsbomen. Dit omvat onder meer het inzetten van verschillende cyberbeveiligingstools, het in de gaten houden van het netwerkverkeer op afwijkingen of verdachte patronen, het beoordelen van logs die door verschillende systemen en applicaties zijn gegenereerd, het monitoren en verzamelen van gegevens van individuele eindpunten, en het snel reageren op tekenen van ongeoorloofde toegang. of verdacht gedrag.
Even terzijde: er is ook een paars team dat vertrouwt op een gezamenlijke aanpak en zowel aanvallende als verdedigende activiteiten samenbrengt. Door de communicatie en samenwerking tussen de offensieve en defensieve teams te bevorderen, stelt deze gezamenlijke inspanning organisaties in staat kwetsbaarheden te identificeren, beveiligingscontroles te testen en hun algehele beveiligingspositie te verbeteren via een nog uitgebreidere en uniformere aanpak.
Terugkomend op het blauwe team: de defensieve kant gebruikt een verscheidenheid aan open-source en eigen tools om zijn missie te vervullen. Laten we nu een paar van dergelijke tools uit de eerste categorie bekijken.
Hulpmiddelen voor netwerkanalyse
arkime
Ontworpen voor het efficiรซnt verwerken en analyseren van netwerkverkeersgegevens, arkime is een grootschalig pakketzoek- en vastlegsysteem (PCAP). Het beschikt over een intuรฏtieve webinterface voor het bladeren, zoeken en exporteren van PCAP-bestanden, terwijl u met de API rechtstreeks de PCAP- en JSON-geformatteerde sessiegegevens kunt downloaden en gebruiken. Door dit te doen, kunnen de gegevens tijdens de analysefase worden geรฏntegreerd met gespecialiseerde tools voor het vastleggen van verkeer, zoals Wireshark.
Arkime is gebouwd om op veel systemen tegelijk te worden ingezet en kan worden geschaald om tientallen gigabits/seconde aan verkeer te verwerken. De verwerking van grote hoeveelheden gegevens door PCAP is gebaseerd op de beschikbare schijfruimte van de sensor en de schaal van het Elasticsearch-cluster. Beide functies kunnen naar behoefte worden opgeschaald en staan โโonder volledige controle van de beheerder.
snuiven
snuiven is een open-source inbraakpreventiesysteem (IPS) dat netwerkverkeer bewaakt en analyseert om potentiรซle veiligheidsbedreigingen te detecteren en te voorkomen. Het wordt veel gebruikt voor realtime verkeersanalyse en pakketregistratie. Het maakt gebruik van een reeks regels die helpen bij het definiรซren van kwaadaardige activiteiten op het netwerk, stelt het in staat pakketten te vinden die overeenkomen met dergelijk verdacht of kwaadaardig gedrag en genereert waarschuwingen voor beheerders.
Volgens de startpagina heeft Snort drie belangrijke gebruiksscenario's:
- pakkettracering
- pakketregistratie (handig voor foutopsporing in netwerkverkeer)
- netwerkinbraakpreventiesysteem (IPS)
Voor de detectie van indringers en kwaadaardige activiteiten op het netwerk hanteert Snort drie sets algemene regels:
- regels voor communitygebruikers: regels die voor elke gebruiker beschikbaar zijn, zonder enige kosten en registratie.
- regels voor geregistreerde gebruikers: Door zich bij Snort te registreren, heeft de gebruiker toegang tot een reeks regels die zijn geoptimaliseerd om veel specifiekere bedreigingen te identificeren.
- regels voor abonnees: Deze set regels zorgt niet alleen voor een nauwkeurigere identificatie en optimalisatie van bedreigingen, maar biedt ook de mogelijkheid om bedreigingsupdates te ontvangen.
Hulpmiddelen voor incidentbeheer
De korf
De korf is een schaalbaar responsplatform voor beveiligingsincidenten dat een collaboratieve en aanpasbare ruimte biedt voor incidentafhandeling, onderzoek en responsactiviteiten. Het is nauw geรฏntegreerd met MISP (Malware Information Sharing Platform) en vereenvoudigt de taken van Security Operations Center (SOC's), Computer Security Incident Response Team (CSIRT's), Computer Emergency Response Team (CERT's) en andere beveiligingsprofessionals die te maken krijgen met beveiligingsincidenten die moeten snel worden geanalyseerd en aangepakt. Als zodanig helpt het organisaties bij het effectief beheren en reageren op beveiligingsincidenten
Er zijn drie functies die het zo nuttig maken:
- Samenwerking: Het platform bevordert realtime samenwerking tussen (SOC) en Computer Emergency Response Team (CERT)-analisten. Het vergemakkelijkt de integratie van lopende onderzoeken naar zaken, taken en waarneembare zaken. Leden hebben toegang tot relevante informatie en speciale meldingen voor nieuwe MISP-gebeurtenissen, waarschuwingen, e-mailrapporten en SIEM-integraties verbeteren de communicatie nog verder.
- Uitwerking: De tool vereenvoudigt het aanmaken van cases en bijbehorende taken via een efficiรซnte sjabloonengine. U kunt statistieken en velden aanpassen via een dashboard, en het platform ondersteunt het taggen van essentiรซle bestanden die malware of verdachte gegevens bevatten.
- Performance: Voeg รฉรฉn tot duizenden observaties toe aan elke aangemaakte casus, inclusief de optie om ze rechtstreeks te importeren vanuit een MISP-gebeurtenis of elke waarschuwing die naar het platform wordt verzonden, evenals aanpasbare classificatie en filters.
GRR snelle reactie
GRR snelle reactie is een raamwerk voor incidentrespons dat live forensische analyse op afstand mogelijk maakt. Het verzamelt en analyseert op afstand forensische gegevens van systemen om cyberbeveiligingsonderzoeken en incidentresponsactiviteiten te vergemakkelijken. GRR ondersteunt het verzamelen van verschillende soorten forensische gegevens, waaronder metagegevens van bestandssystemen, geheugeninhoud, registerinformatie en andere artefacten die cruciaal zijn voor incidentanalyse. Het is gebouwd om grootschalige implementaties aan te kunnen, waardoor het bijzonder geschikt is voor bedrijven met diverse en uitgebreide IT-infrastructuren.
Het bestaat uit twee delen, een client en een server.
De GRR-client wordt ingezet op systemen die u wilt onderzoeken. Op elk van deze systemen controleert de GRR-client, zodra deze is geรฏmplementeerd, periodiek de GRR-frontendservers om te verifiรซren of ze werken. Met โwerkenโ bedoelen we het uitvoeren van een specifieke actie: een bestand downloaden, een map opsommen, enz.
De GRR-serverinfrastructuur bestaat uit verschillende componenten (frontends, werknemers, UI-servers, Fleetspeak) en biedt een webgebaseerde GUI en een API-eindpunt waarmee analisten acties op klanten kunnen plannen en de verzamelde gegevens kunnen bekijken en verwerken.
Analyseren van besturingssystemen
HELK
HELK, of The Hunting ELK, is ontworpen om een โโuitgebreide omgeving te bieden voor beveiligingsprofessionals om proactief op jacht te gaan naar bedreigingen, beveiligingsgebeurtenissen te analyseren en op incidenten te reageren. Het maakt gebruik van de kracht van de ELK-stack samen met extra tools om een โโveelzijdig en uitbreidbaar beveiligingsanalyseplatform te creรซren.
Het combineert verschillende cyberbeveiligingstools tot een verenigd platform voor het opsporen van bedreigingen en beveiligingsanalyses. De belangrijkste componenten zijn Elasticsearch, Logstash en Kibana (ELK-stack), die veel worden gebruikt voor log- en gegevensanalyse. HELK breidt de ELK-stack uit door aanvullende beveiligingstools en gegevensbronnen te integreren om de mogelijkheden voor bedreigingsdetectie en incidentrespons te verbeteren.
Het doel is voor onderzoek, maar vanwege het flexibele ontwerp en de kerncomponenten kan het worden ingezet in grotere omgevingen met de juiste configuraties en schaalbare infrastructuur.
Volatiliteit
De Volatiliteitskader is een verzameling tools en bibliotheken voor het extraheren van digitale artefacten uit, je raadt het al, het vluchtige geheugen (RAM) van een systeem. Het wordt daarom veel gebruikt in digitaal forensisch onderzoek en incidentrespons om geheugendumps van gecompromitteerde systemen te analyseren en waardevolle informatie te extraheren met betrekking tot lopende of vroegere beveiligingsincidenten.
Omdat het platformonafhankelijk is, ondersteunt het geheugendumps van verschillende besturingssystemen, waaronder Windows, Linux en macOS. Volatility kan inderdaad ook geheugendumps analyseren uit gevirtualiseerde omgevingen, zoals die gemaakt door VMware of VirtualBox, en zo inzicht geven in zowel fysieke als virtuele systeemstatussen.
Volatility heeft een op plug-ins gebaseerde architectuur: het wordt geleverd met een rijke reeks ingebouwde plug-ins die een breed scala aan forensische analyses bestrijken, maar stelt gebruikers ook in staat de functionaliteit uit te breiden door aangepaste plug-ins toe te voegen.
Conclusie
Dus daar heb je het. Het spreekt voor zich dat blauw/rode teamoefeningen essentieel zijn voor het beoordelen van de paraatheid van de verdedigingsmechanismen van een organisatie en als zodanig van vitaal belang zijn voor een robuuste en effectieve beveiligingsstrategie. De schat aan informatie die tijdens deze oefening wordt verzameld, biedt organisaties een holistisch beeld van hun beveiligingssituatie en stelt hen in staat de effectiviteit van hun beveiligingsprotocollen te beoordelen.
Bovendien spelen blauwe teams een sleutelrol bij de naleving en regelgeving op het gebied van cyberbeveiliging, wat vooral van cruciaal belang is in sterk gereguleerde sectoren, zoals de gezondheidszorg en de financiรซle sector. De blauw/rode teamoefeningen bieden ook realistische trainingsscenario's voor beveiligingsprofessionals, en deze praktijkervaring helpt hen hun vaardigheden op het gebied van daadwerkelijke incidentrespons aan te scherpen.
Voor welk team schrijf jij je in?
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- : heeft
- :is
- :niet
- $UP
- 22
- 36
- a
- vermogen
- toegang
- accuraat
- Actie
- acties
- activiteiten
- activiteit
- actoren
- daadwerkelijk
- toevoegen
- toe te voegen
- toevoeging
- Extra
- beheerders
- Voordeel
- tegenstander
- tegen
- wil
- Alarm
- Alerts
- toestaat
- langs
- ook
- onder
- hoeveelheden
- an
- analyse
- analisten
- analytics
- analyseren
- geanalyseerd
- analyseert
- het analyseren van
- en
- anomalieรซn
- elke
- overal
- api
- toepassingen
- nadering
- architectuur
- ZIJN
- dit artikel
- AS
- schatten
- Het beoordelen
- geassocieerd
- At
- aanvaller
- poging
- Beschikbaar
- terug
- gebaseerde
- BE
- Rundvlees
- vaardigheden
- gedrag
- tussen
- Blauw
- zowel
- Brengt
- breed
- Bladeren
- bebouwd
- ingebouwd
- maar
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- CAN
- mogelijkheden
- vangen
- geval
- gevallen
- Categorie
- Centreren
- uitdagingen
- lading
- classificatie
- klant
- klanten
- TROS
- samenwerking
- samenwerkend
- Het verzamelen van
- Collectie
- combines
- komt
- Communicatie
- gemeenschap
- nakoming
- componenten
- uitgebreid
- Aangetast
- afbreuk te doen aan
- computer
- Computer beveiliging
- Gedrag
- bestaat uit
- content
- onder controle te houden
- controles
- samenwerking
- Kern
- Kosten
- deksel
- en je merk te creรซren
- aangemaakt
- het aanmaken
- kritisch
- cruciaal
- gewoonte
- aanpasbare
- aan te passen
- Cyber โโaanval
- Cybersecurity
- cyberbedreigingen
- dashboards
- gegevens
- gegevensanalyse
- afweer
- defensief
- bepalen
- definitief
- ingezet
- het inzetten
- implementaties
- Design
- ontworpen
- opsporen
- Opsporing
- anders
- digitaal
- direct
- directory
- diversen
- doen
- Download
- twee
- Hertog
- gedurende
- elk
- Gemak
- effectief
- effectiviteit
- doeltreffend
- efficiรซnt
- inspanning
- noodgeval
- maakt
- Endpoint
- Motor
- verhogen
- bedrijven
- Milieu
- omgevingen
- vooral
- essentieel
- etc
- Zelfs
- Event
- EVENTS
- OOIT
- evoluerende
- uitvoeren
- Oefening
- ervaring
- uitbuiten
- exporteren
- verlengen
- strekt
- uitgebreid
- extract
- extractie
- Gezicht
- vergemakkelijken
- vergemakkelijkt
- vals
- Voordelen
- weinig
- Velden
- Dien in
- Bestanden
- filters
- financiรซn
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voornaam*
- flexibel
- Voor
- gerechtelijk
- forensisch onderzoek
- Voormalig
- het bevorderen van
- Achtergrond
- oppompen van
- Frontend
- voorkant
- vervullen
- vol
- functionaliteit
- verder
- spel
- Spellen
- peilen
- tandwielen
- gegenereerde
- genereert
- Globaal
- Goes
- gaan
- geraden
- handvat
- Behandeling
- hands-on
- Hebben
- gezondheidszorg
- hulp
- helpt
- zeer
- holistische
- Startpagina
- Hoe
- HTML
- HTTPS
- Jacht
- Identificatie
- identificeren
- het identificeren van
- if
- beeld
- importeren
- verbeteren
- in
- incident
- incident reactie
- Inclusief
- inderdaad
- individueel
- industrieรซn
- informatie
- Infrastructuur
- infrastructuren
- inzichten
- geรฏntegreerde
- Integreren
- integratie
- integraties
- Interface
- in
- intuรฏtief
- onderzoeken
- onderzoek
- onderzoeken
- gaat
- IT
- HAAR
- gewricht
- houden
- sleutel
- Groot
- grootschalig
- groter
- laten
- hefbomen
- bibliotheken
- linux
- leven
- inloggen
- logging
- Kijk
- macos
- Hoofd
- maken
- maken
- kwaadaardig
- malware
- beheer
- management
- veel
- Match
- Mei..
- gemiddelde
- Ondertussen
- Leden
- Geheugen
- Metadata
- Metriek
- spiegel
- Missie
- Verzachten
- Mode
- Grensverkeer
- monitors
- meer
- veel
- Noodzaak
- nodig
- netwerk
- netwerk verkeer
- New
- nota
- meldingen
- nu
- of
- korting
- aanvallend
- on
- eens
- EEN
- lopend
- Slechts
- open
- open source
- werkzaam
- besturingssystemen
- Operations
- optimalisatie
- geoptimaliseerde
- Keuze
- or
- bestellen
- organisaties
- Overige
- uit
- totaal
- pakketten
- vooral
- onderdelen
- verleden
- patronen
- Mensen
- voor
- Fysiek
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- speelt
- plugins
- polls
- positie
- potentieel
- energie
- voorkomen
- het voorkomen
- onschatbaar
- primair
- Proactieve
- procedures
- processen
- professionals
- bevordert
- gepatenteerd
- beschermen
- protocollen
- zorgen voor
- biedt
- doel
- snel
- RAM
- reeks
- snel
- echte wereld
- real-time
- realistisch
- ontvangen
- Rood
- geregistreerd
- registreren
- Registratie
- register
- gereguleerd
- gereguleerde industrieรซn
- Regulatie
- verwant
- relevante
- vanop
- ver
- Rapporten
- onderzoek
- Reageren
- reageert
- antwoord
- herzien
- Rijk
- rechts
- robuust
- Rol
- rollen
- reglement
- gezegde
- schaalbare
- Scale
- geschubd
- scenario's
- rooster
- Ontdek
- zoeken
- veiligheid
- beveiliging evenementen
- Beveiligingsbedreigingen
- verzonden
- -Series
- server
- Servers
- Sessie
- reeks
- Sets
- verscheidene
- delen
- kant
- teken
- Signs
- vereenvoudigt
- simulatie
- simulaties
- vaardigheden
- So
- bron
- bronnen
- Tussenruimte
- special
- gespecialiseerde
- specifiek
- stack
- Stadium
- Staten
- Strategie
- abonnees
- dergelijk
- geschikt
- steunen
- verdacht
- snel
- system
- Systems
- tactiek
- Nemen
- neemt
- taken
- team
- teams
- sjabloon
- tienen
- termen
- proef
- dat
- De
- hun
- Ze
- Er.
- daarom
- Deze
- ze
- spullen
- dit
- die
- duizenden kosten
- bedreiging
- bedreigingsactoren
- bedreigingen
- drie
- Door
- overal
- dwarsbomen
- strak
- Titel
- naar
- samen
- tools
- tools
- verkeer
- Trainingen
- twee
- types
- ui
- onbevoegd
- voor
- unified
- updates
- op
- .
- gebruikt
- nuttig
- Gebruiker
- gebruikers
- toepassingen
- waardevol
- variรซteit
- divers
- controleren
- veelzijdig
- via
- Bekijk
- Virtueel
- vitaal
- vmware
- vluchtig
- Volatiliteit
- kwetsbaarheden
- willen
- oorlog
- we
- zwakke punten
- Rijkdom
- web
- Web-based
- GOED
- welke
- en
- WIE
- breed
- Grote range
- wijd
- Breedte
- wil
- ruiten
- Met
- zonder
- werknemers
- werkzaam
- You
- Your
- zephyrnet