Spiller du noen gang dataspill som Halo eller Gears of War? I så fall har du definitivt lagt merke til en spillmodus som heter Fang flagget som setter to lag mot hverandre – ett som er ansvarlig for å beskytte flagget mot motstandere som prøver å stjele det.
Dette type trening brukes også av organisasjoner for å måle deres evne til å oppdage, reagere på og dempe et nettangrep. Faktisk er disse simuleringene nøkkelen for å finne svakheter i organisasjoners systemer, mennesker og prosesser før angripere utnytter dem. Ved å etterligne realistiske cybertrusler lar disse øvelsene sikkerhetsutøvere også finjustere reaksjonsprosedyrer for hendelser og styrke deres forsvar mot skiftende sikkerhetsutfordringer.
I denne artikkelen har vi sett på, i grove trekk, hvordan de to lagene klarer det og hvilke åpen kildekode-verktøy den defensive siden kan bruke. Først av alt, en superrask oppfriskning av rollene til de to lagene:
- Det røde laget spiller rollen som angriperen og utnytter taktikker som gjenspeiler trusselaktørene i den virkelige verden. Ved å identifisere og utnytte sårbarheter, omgå organisasjonens forsvar og kompromittere dens systemer, gir denne motstridende simuleringen organisasjoner uvurderlig innsikt i cyberrustningene deres.
- Det blå laget tar i mellomtiden på seg den defensive rollen da det har som mål å oppdage og hindre motstanderens inngrep. Dette innebærer blant annet å distribuere ulike cybersikkerhetsverktøy, holde oversikt over nettverkstrafikk for eventuelle uregelmessigheter eller mistenkelige mønstre, gjennomgå logger generert av forskjellige systemer og applikasjoner, overvåke og samle inn data fra individuelle endepunkter, og raskt reagere på tegn på uautorisert tilgang. eller mistenkelig oppførsel.
Som en sidenotat er det også et lilla lag som er avhengig av en samarbeidende tilnærming og samler både offensive og defensive aktiviteter. Ved å fremme kommunikasjon og samarbeid mellom de offensive og defensive lagene, lar denne felles innsatsen organisasjoner identifisere sårbarheter, teste sikkerhetskontroller og forbedre deres generelle sikkerhetsstilling gjennom en enda mer omfattende og enhetlig tilnærming.
Nå, tilbake til det blå laget, bruker den defensive siden en rekke åpen kildekode og proprietære verktøy for å oppfylle sitt oppdrag. La oss nå se på noen få slike verktøy fra den tidligere kategorien.
Nettverksanalyseverktøy
arkime
Designet for effektiv håndtering og analyse av nettverkstrafikkdata, arkime er et storskala pakkesøk og fangst (PCAP) system. Den har et intuitivt nettgrensesnitt for å surfe, søke etter og eksportere PCAP-filer, mens API-en lar deg laste ned og bruke PCAP- og JSON-formaterte øktdata direkte. Ved å gjøre det, tillater det å integrere dataene med spesialiserte trafikkfangstverktøy som Wireshark under analysestadiet.
Arkime er bygget for å kunne distribueres på mange systemer samtidig og kan skaleres til å håndtere titalls gigabit/sekund med trafikk. PCAPs håndtering av store datamengder er basert på sensorens tilgjengelige diskplass og skalaen til Elasticsearch-klyngen. Begge disse funksjonene kan skaleres opp etter behov og er under administratorens fulle kontroll.
Snort
Snort er et åpen kildekode-inntrengningsforebyggende system (IPS) som overvåker og analyserer nettverkstrafikk for å oppdage og forhindre potensielle sikkerhetstrusler. Den brukes mye for sanntids trafikkanalyse og pakkelogging, og bruker en rekke regler som hjelper til med å definere ondsinnet aktivitet på nettverket og lar det finne pakker som samsvarer med slik mistenkelig eller ondsinnet oppførsel og genererer varsler for administratorer.
I henhold til hjemmesiden har Snort tre hovedbrukstilfeller:
- pakkesporing
- pakkelogging (nyttig for feilsøking av nettverkstrafikk)
- Network Intrusion Prevention System (IPS)
For å oppdage inntrenging og ondsinnet aktivitet på nettverket har Snort tre sett med globale regler:
- regler for fellesskapsbrukere: de som er tilgjengelige for enhver bruker uten kostnad og registrering.
- regler for registrerte brukere: Ved å registrere seg hos Snort kan brukeren få tilgang til et sett med regler optimalisert for å identifisere mye mer spesifikke trusler.
- regler for abonnenter: Dette settet med regler gir ikke bare mulighet for mer nøyaktig trusselidentifikasjon og optimalisering, men kommer også med muligheten til å motta trusseloppdateringer.
Hendelseshåndteringsverktøy
TheHive
TheHive er en skalerbar plattform for respons på sikkerhetshendelser som gir et samarbeidende og tilpassbart rom for hendelseshåndtering, etterforskning og responsaktiviteter. Den er tett integrert med MISP (Malware Information Sharing Platform) og letter oppgavene til Security Operations Center (SOCs), Computer Security Incident Response Team (CSIRTs), Computer Emergency Response Team (CERTs) og andre sikkerhetseksperter som møter sikkerhetshendelser som må analyseres og handles raskt. Som sådan hjelper det organisasjoner med å administrere og svare på sikkerhetshendelser effektivt
Det er tre funksjoner som gjør det så nyttig:
- Collaboration: Plattformen fremmer sanntidssamarbeid mellom (SOC) og Computer Emergency Response Team (CERT) analytikere. Det letter integreringen av pågående undersøkelser i saker, oppgaver og observerbare. Medlemmer kan få tilgang til relevant informasjon og spesielle varsler for nye MISP-hendelser, varsler, e-postrapporter og SIEM-integrasjoner forbedrer kommunikasjonen ytterligere.
- Utdypning: Verktøyet forenkler opprettelsen av saker og tilhørende oppgaver gjennom en effektiv malmotor. Du kan tilpasse beregninger og felt via et dashbord, og plattformen støtter merking av viktige filer som inneholder skadelig programvare eller mistenkelige data.
- Ytelse: Legg til alt fra én til tusenvis av observerbare til hver sak som opprettes, inkludert muligheten til å importere dem direkte fra en MISP-hendelse eller et hvilket som helst varsel som sendes til plattformen, samt tilpassbar klassifisering og filtre.
GRR rask respons
GRR rask respons er et rammeverk for hendelsesrespons som muliggjør live ekstern rettsmedisinsk analyse. Den fjernsamler og analyserer rettsmedisinske data fra systemer for å lette cybersikkerhetsundersøkelser og hendelsesresponsaktiviteter. GRR støtter innsamling av ulike typer rettsmedisinske data, inkludert filsystemmetadata, minneinnhold, registerinformasjon og andre artefakter som er avgjørende for hendelsesanalyse. Den er bygget for å håndtere storskala distribusjoner, noe som gjør den spesielt egnet for bedrifter med variert og omfattende IT-infrastruktur.
Den består av to deler, en klient og en server.
GRR-klienten er distribuert på systemer du ønsker å undersøke. På hvert av disse systemene, når de er distribuert, spør GRR-klienten med jevne mellomrom GRR-frontend-serverne for å bekrefte om de fungerer. Med "arbeid" mener vi å utføre en spesifikk handling: last ned en fil, registrer en katalog osv.
GRR-serverinfrastrukturen består av flere komponenter (frontends, arbeidere, UI-servere, Fleetspeak) og gir et nettbasert GUI og et API-endepunkt som lar analytikere planlegge handlinger på klienter og se og behandle de innsamlede dataene.
Analysere operativsystemer
HELK
HELK, eller The Hunting ELK, er designet for å gi et omfattende miljø for sikkerhetspersonell til å utføre proaktiv trusseljakt, analysere sikkerhetshendelser og svare på hendelser. Den utnytter kraften til ELK-stakken sammen med tilleggsverktøy for å lage en allsidig og utvidbar sikkerhetsanalyseplattform.
Den kombinerer ulike cybersikkerhetsverktøy til en enhetlig plattform for trusseljakt og sikkerhetsanalyse. Dens primære komponenter er Elasticsearch, Logstash og Kibana (ELK stack), som er mye brukt til logg- og dataanalyse. HELK utvider ELK-stakken ved å integrere ytterligere sikkerhetsverktøy og datakilder for å forbedre mulighetene for trusseldeteksjon og hendelsesrespons.
Formålet er for forskning, men på grunn av dets fleksible design og kjernekomponenter, kan det distribueres i større miljøer med riktige konfigurasjoner og skalerbar infrastruktur.
Volatilitet
De Volatilitetsrammeverk er en samling av verktøy og biblioteker for utvinning av digitale artefakter fra, du gjettet riktig, det flyktige minnet (RAM) til et system. Det er derfor mye brukt i digital etterforskning og hendelsesrespons for å analysere minnedumper fra kompromitterte systemer og trekke ut verdifull informasjon relatert til pågående eller tidligere sikkerhetshendelser.
Siden den er plattformuavhengig, støtter den minnedumper fra en rekke operativsystemer, inkludert Windows, Linux og macOS. Faktisk kan Volatility også analysere minnedumper fra virtualiserte miljøer, slik som de som er opprettet av VMware eller VirtualBox, og dermed gi innsikt i både fysiske og virtuelle systemtilstander.
Volatility har en plugin-basert arkitektur – den kommer med et rikt sett med innebygde plugins som dekker et bredt spekter av rettsmedisinske analyser, men som også lar brukere utvide funksjonaliteten ved å legge til tilpassede plugins.
konklusjonen
Så der har du det. Det sier seg selv at blå/røde lagøvelser er avgjørende for å vurdere beredskapen til en organisasjons forsvar og som sådan avgjørende for en robust og effektiv sikkerhetsstrategi. Den mengde informasjon som samles inn gjennom denne øvelsen gir organisasjoner et helhetlig syn på deres sikkerhetsstilling og lar dem vurdere effektiviteten til sikkerhetsprotokollene deres.
I tillegg spiller blå team en nøkkelrolle i samsvar og regulering av cybersikkerhet, noe som er spesielt viktig i sterkt regulerte bransjer, som helsevesen og finans. De blå/røde teamøvelsene gir også realistiske treningsscenarier for sikkerhetspersonell, og denne praktiske erfaringen hjelper dem å finpusse ferdighetene sine i faktisk hendelsesrespons.
Hvilket lag vil du melde deg på?
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- : har
- :er
- :ikke
- $OPP
- 22
- 36
- a
- evne
- adgang
- nøyaktig
- Handling
- handlinger
- Aktiviteter
- aktivitet
- aktører
- faktiske
- legge til
- legge
- tillegg
- Ytterligere
- administratorer
- Fordel
- motstandere
- mot
- mål
- Varsle
- Varsler
- tillater
- langs
- også
- blant
- beløp
- an
- analyse
- analytikere
- analytics
- analysere
- analysert
- analyser
- analyserer
- og
- abnormiteter
- noen
- hvor som helst
- api
- søknader
- tilnærming
- arkitektur
- ER
- Artikkel
- AS
- vurdere
- vurdere
- assosiert
- At
- angriper
- forsøk
- tilgjengelig
- tilbake
- basert
- BE
- Storfekjøtt
- før du
- atferd
- mellom
- Blå
- både
- Bringer
- bred
- Surfer
- bygget
- innebygd
- men
- by
- som heter
- CAN
- evner
- fangst
- saken
- saker
- Kategori
- sentrum
- utfordringer
- kostnad
- klassifisering
- kunde
- klienter
- Cluster
- samarbeid
- samarbeids
- Samle
- samling
- skurtreskerne
- kommer
- Kommunikasjon
- samfunnet
- samsvar
- komponenter
- omfattende
- kompromittert
- kompromittere
- datamaskin
- Datasikkerhet
- Gjennomføre
- består
- innhold
- kontroll
- kontroller
- samarbeid
- Kjerne
- Kostnad
- dekke
- skape
- opprettet
- skaperverket
- kritisk
- avgjørende
- skikk
- tilpasses
- tilpasse
- Cyber angrep
- Cybersecurity
- cybertrusler
- dashbord
- dato
- dataanalyse
- forsvar
- defensiv
- definere
- helt sikkert
- utplassert
- utplasserings
- distribusjoner
- utforming
- designet
- oppdage
- Gjenkjenning
- forskjellig
- digitalt
- direkte
- katalog
- diverse
- gjør
- nedlasting
- to
- Duke
- under
- hver enkelt
- letter
- Effektiv
- effektivitet
- effektiv
- effektivt
- innsats
- emalje
- nødsituasjon
- muliggjør
- Endpoint
- Motor
- forbedre
- bedrifter
- Miljø
- miljøer
- spesielt
- avgjørende
- etc
- Selv
- Event
- hendelser
- NOEN GANG
- utvikling
- utførende
- Øvelse
- erfaring
- utnytte
- eksport
- utvide
- strekker
- omfattende
- trekke ut
- utdrag
- Face
- legge til rette
- forenkler
- falsk
- Egenskaper
- Noen få
- Felt
- filet
- Filer
- filtre
- finansiere
- Finn
- Først
- fleksibel
- Til
- Rettsmedisinsk
- etterforskning
- Tidligere
- fostre
- Rammeverk
- fra
- Frontend
- frontenden
- Innfri
- fullt
- funksjonalitet
- videre
- spill
- Games
- måler
- tannhjul
- generert
- genererer
- Global
- Går
- skal
- gjettet
- håndtere
- Håndtering
- hands-on
- Ha
- helsetjenester
- hjelpe
- hjelper
- svært
- helhetlig
- hjemmeside
- Hvordan
- HTML
- HTTPS
- Jakt
- Identifikasjon
- identifisere
- identifisering
- if
- bilde
- importere
- forbedre
- in
- hendelse
- hendelsesrespons
- Inkludert
- faktisk
- individuelt
- bransjer
- informasjon
- Infrastruktur
- infrastruktur
- innsikt
- integrert
- Integrering
- integrering
- integrasjoner
- Interface
- inn
- intuitiv
- undersøke
- etterforskning
- Undersøkelser
- innebærer
- IT
- DET ER
- ledd
- holde
- nøkkel
- stor
- storskala
- større
- la
- utnytter
- bibliotekene
- linux
- leve
- logg
- logging
- Se
- MacOS
- Hoved
- gjøre
- Making
- skadelig
- malware
- administrer
- ledelse
- mange
- Match
- Kan..
- bety
- Mellomtiden
- medlemmer
- Minne
- metadata
- Metrics
- speil
- Oppdrag
- Minske
- Mote
- overvåking
- skjermer
- mer
- mye
- Trenger
- nødvendig
- nettverk
- nettverkstrafikk
- Ny
- note
- varslinger
- nå
- of
- off
- støtende
- on
- gang
- ONE
- pågående
- bare
- åpen
- åpen kildekode
- drift
- operativsystemer
- Drift
- optimalisering
- optimalisert
- Alternativ
- or
- rekkefølge
- organisasjoner
- Annen
- ut
- samlet
- pakker
- spesielt
- deler
- Past
- mønstre
- Ansatte
- for
- fysisk
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- spiller
- plugins
- avstemninger
- posisjon
- potensiell
- makt
- forebygge
- Forebygging
- uvurderlig
- primære
- Proaktiv
- prosedyrer
- prosess
- Prosesser
- fagfolk
- fremmer
- proprietær
- beskytte
- protokoller
- gi
- gir
- formål
- raskt
- RAM
- område
- rask
- virkelige verden
- sanntids
- realistisk
- motta
- Rød
- registrert
- registrering
- Registrering
- registret
- regulert
- regulerte næringer
- Regulering
- i slekt
- relevant
- fjernkontroll
- eksternt
- Rapporter
- forskning
- Svare
- svare
- svar
- gjennomgå
- Rich
- ikke sant
- robust
- Rolle
- roller
- regler
- sier
- skalerbar
- Skala
- skalert
- scenarier
- planlegge
- Søk
- søker
- sikkerhet
- sikkerhetshendelser
- Sikkerhetstrusler
- sendt
- Serien
- server
- Servere
- Session
- sett
- sett
- flere
- deling
- side
- undertegne
- Skilt
- forenkler
- simulering
- simuleringer
- ferdigheter
- So
- kilde
- Kilder
- Rom
- spesiell
- spesialisert
- spesifikk
- stable
- Scene
- Stater
- Strategi
- abonnenter
- slik
- egnet
- Støtter
- mistenkelig
- raskt
- system
- Systemer
- taktikk
- Ta
- tar
- oppgaver
- lag
- lag
- mal
- titus
- vilkår
- test
- Det
- De
- deres
- Dem
- Der.
- derfor
- Disse
- de
- ting
- denne
- De
- tusener
- trussel
- trusselaktører
- trusler
- tre
- Gjennom
- hele
- hindre
- tett
- Tittel
- til
- sammen
- verktøy
- verktøy
- trafikk
- Kurs
- to
- typer
- ui
- uautorisert
- etter
- enhetlig
- oppdateringer
- upon
- bruke
- brukt
- nyttig
- Bruker
- Brukere
- bruker
- Verdifull
- variasjon
- ulike
- verifisere
- allsidig
- av
- Se
- virtuelle
- vital
- VMware
- volatile
- Volatilitet
- Sikkerhetsproblemer
- ønsker
- krig
- we
- svakheter
- Rikdom
- web
- Web-basert
- VI VIL
- hvilken
- mens
- HVEM
- bred
- Bred rekkevidde
- allment
- bredde
- vil
- vinduer
- med
- uten
- arbeidere
- arbeid
- Du
- Din
- zephyrnet