Czy zdarza Ci się grać w gry komputerowe takie jak Halo czy Gears of War? Jeśli tak, na pewno zauważyłeś tryb gry o nazwie Zdobądź flagę w ten sposób walczą ze sobą dwie drużyny – jedna odpowiedzialna za ochronę flagi przed przeciwnikami próbującymi ją ukraść.
To zdjęcie rodzaj ćwiczeń jest również używany przez organizacje do oceny ich zdolności do wykrywania cyberataków, reagowania na nie i łagodzenia ich. Rzeczywiście, symulacje te są kluczem do wykrycia słabych punktów w systemach, ludziach i procesach organizacji, zanim atakujący je wykorzystają. Dzięki emulacji realistycznych cyberzagrożeń ćwiczenia te pozwalają specjalistom ds. bezpieczeństwa udoskonalić procedury reagowania na incydenty i wzmocnić zabezpieczenia przed zmieniającymi się wyzwaniami w zakresie bezpieczeństwa.
W tym artykule przyjrzymy się ogólnie temu, jak obie drużyny sobie radzą i jakich narzędzi open source może używać strona defensywna. Na początek bardzo szybkie przypomnienie ról obu drużyn:
- Zespół czerwonych odgrywa rolę atakującego i stosuje taktykę odzwierciedlającą metody stosowane przez podmioty zagrażające w świecie rzeczywistym. Identyfikując i wykorzystując słabe punkty, omijając zabezpieczenia organizacji i naruszając jej systemy, ta kontradyktoryjna symulacja zapewnia organizacjom bezcenny wgląd w luki w ich cyberpancerzach.
- Tymczasem niebieska drużyna przyjmuje rolę defensywną, której celem jest wykrywanie i udaremnianie najazdów przeciwnika. Wiąże się to między innymi z wdrażaniem różnych narzędzi cyberbezpieczeństwa, śledzeniem ruchu sieciowego pod kątem wszelkich anomalii lub podejrzanych wzorców, przeglądaniem logów generowanych przez różne systemy i aplikacje, monitorowaniem i zbieraniem danych z poszczególnych punktów końcowych oraz szybkim reagowaniem na wszelkie oznaki nieuprawnionego dostępu lub podejrzane zachowanie.
Na marginesie, istnieje również fioletowy zespół, który opiera się na podejściu opartym na współpracy i łączy działania ofensywne i defensywne. Wspierając komunikację i współpracę między zespołami ofensywnymi i defensywnymi, ten wspólny wysiłek umożliwia organizacjom identyfikowanie luk w zabezpieczeniach, testowanie mechanizmów bezpieczeństwa i poprawę ogólnego stanu bezpieczeństwa dzięki jeszcze bardziej wszechstronnemu i ujednoliconemu podejściu.
Teraz, wracając do drużyny niebieskich, strona defensywna wykorzystuje różnorodne narzędzia typu open source i zastrzeżone, aby wypełnić swoją misję. Przyjrzyjmy się teraz kilku takim narzędziom z pierwszej kategorii.
Narzędzia do analizy sieci
arkame
Zaprojektowany z myślą o wydajnej obsłudze i analizie danych o ruchu sieciowym, arkame to wielkoskalowy system wyszukiwania i przechwytywania pakietów (PCAP). Posiada intuicyjny interfejs sieciowy do przeglądania, wyszukiwania i eksportowania plików PCAP, a jego interfejs API umożliwia bezpośrednie pobieranie i używanie danych sesji w formacie PCAP i JSON. W ten sposób pozwala na integrację danych ze specjalistycznymi narzędziami do przechwytywania ruchu, takimi jak Wireshark, na etapie analizy.
Arkime można wdrożyć w wielu systemach jednocześnie i można go skalować w celu obsługi dziesiątek gigabitów na sekundę ruchu. Obsługa dużych ilości danych przez PCAP opiera się na dostępnej przestrzeni dyskowej czujnika i skali klastra Elasticsearch. Obie te funkcje można skalować w miarę potrzeb i są one pod pełną kontrolą administratora.
Parsknięcie
Parsknięcie to system zapobiegania włamaniom (IPS) typu open source, który monitoruje i analizuje ruch sieciowy w celu wykrywania potencjalnych zagrożeń bezpieczeństwa i zapobiegania im. Używany powszechnie do analizy ruchu w czasie rzeczywistym i rejestrowania pakietów, wykorzystuje szereg reguł, które pomagają zdefiniować złośliwą aktywność w sieci i pozwala znaleźć pakiety pasujące do takiego podejrzanego lub złośliwego zachowania oraz generuje alerty dla administratorów.
Według strony głównej Snort ma trzy główne przypadki użycia:
- śledzenie pakietów
- rejestrowanie pakietów (przydatne przy debugowaniu ruchu sieciowego)
- System zapobiegania włamaniom sieciowym (IPS)
Do wykrywania włamań i złośliwej aktywności w sieci Snort stosuje trzy zestawy globalnych reguł:
- zasady dla użytkowników społeczności: takie, które są dostępne dla każdego użytkownika bez żadnych kosztów i rejestracji.
- zasady dla zarejestrowanych użytkowników: Rejestrując się w Snort, użytkownik może uzyskać dostęp do zestawu reguł zoptymalizowanych pod kątem identyfikacji znacznie bardziej szczegółowych zagrożeń.
- reguły dla subskrybentów: ten zestaw reguł pozwala nie tylko na dokładniejszą identyfikację i optymalizację zagrożeń, ale także umożliwia otrzymywanie aktualizacji dotyczących zagrożeń.
Narzędzia do zarządzania incydentami
Ul
Ul to skalowalna platforma reagowania na incydenty związane z bezpieczeństwem, która zapewnia współpracującą i dostosowywalną przestrzeń do obsługi incydentów, dochodzeń i działań związanych z reagowaniem. Jest ściśle zintegrowany z MISP (platformą wymiany informacji o złośliwym oprogramowaniu) i ułatwia zadania Centrum operacji bezpieczeństwa (SOC), zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), zespołu reagowania na incydenty komputerowe (CERT) i wszelkich innych specjalistów ds. bezpieczeństwa, którzy stają w obliczu incydentów związanych z bezpieczeństwem należy szybko przeanalizować i podjąć odpowiednie działania. Dzięki temu pomaga organizacjom skutecznie zarządzać incydentami związanymi z bezpieczeństwem i reagować na nie
Istnieją trzy funkcje, które czynią go tak użytecznym:
- Współpraca: Platforma promuje współpracę w czasie rzeczywistym pomiędzy analitykami (SOC) i zespołem reagowania na incydenty komputerowe (CERT). Ułatwia integrację trwających dochodzeń w sprawy, zadania i obserwacje. Członkowie mają dostęp do odpowiednich informacji, a specjalne powiadomienia o nowych zdarzeniach MISP, alerty, raporty e-mailowe i integracja z SIEM dodatkowo usprawniają komunikację.
- Opracowanie: Narzędzie upraszcza tworzenie spraw i powiązanych zadań dzięki wydajnemu silnikowi szablonów. Możesz dostosować metryki i pola za pomocą pulpitu nawigacyjnego, a platforma obsługuje tagowanie niezbędnych plików zawierających złośliwe oprogramowanie lub podejrzane dane.
- Wydajność: Dodaj od jednego do tysięcy obserwowalnych do każdego utworzonego przypadku, łącznie z opcją importowania ich bezpośrednio ze zdarzenia MISP lub dowolnego alertu wysłanego na platformę, a także konfigurowalną klasyfikację i filtry.
Szybka reakcja GRR
Szybka reakcja GRR to platforma reagowania na incydenty, która umożliwia zdalną analizę kryminalistyczną na żywo. Zdalnie gromadzi i analizuje dane kryminalistyczne z systemów, aby ułatwić prowadzenie dochodzeń w sprawie cyberbezpieczeństwa i reagowanie na incydenty. GRR obsługuje gromadzenie różnych typów danych kryminalistycznych, w tym metadanych systemu plików, zawartości pamięci, informacji w rejestrze i innych artefaktów kluczowych dla analizy incydentów. Został stworzony do obsługi wdrożeń na dużą skalę, dzięki czemu jest szczególnie odpowiedni dla przedsiębiorstw posiadających zróżnicowaną i rozbudowaną infrastrukturę IT.
Składa się z dwóch części, klienta i serwera.
Klient GRR jest wdrażany w systemach, które chcesz sprawdzić. Po wdrożeniu na każdym z tych systemów klient GRR okresowo odpytuje serwery frontendowe GRR, aby sprawdzić, czy działają. Przez „pracę” rozumiemy wykonanie określonej akcji: pobranie pliku, wyliczenie katalogu itp.
Infrastruktura serwerowa GRR składa się z kilku komponentów (frontendów, procesów roboczych, serwerów UI, Fleetspeak) i zapewnia internetowy interfejs GUI oraz punkt końcowy API, które umożliwiają analitykom planowanie działań na klientach oraz przeglądanie i przetwarzanie zebranych danych.
Analizowanie systemów operacyjnych
CZEKAJ
CZEKAJlub The Hunting ELK ma na celu zapewnienie specjalistom ds. bezpieczeństwa kompleksowego środowiska umożliwiającego proaktywne wykrywanie zagrożeń, analizowanie zdarzeń związanych z bezpieczeństwem i reagowanie na incydenty. Wykorzystuje moc stosu ELK wraz z dodatkowymi narzędziami, aby stworzyć wszechstronną i rozszerzalną platformę analizy bezpieczeństwa.
Łączy różne narzędzia cyberbezpieczeństwa w ujednoliconą platformę do wyszukiwania zagrożeń i analityki bezpieczeństwa. Jego głównymi komponentami są Elasticsearch, Logstash i Kibana (stos ELK), które są szeroko stosowane do analizy logów i danych. HELK rozszerza stos ELK, integrując dodatkowe narzędzia bezpieczeństwa i źródła danych, aby zwiększyć swoje możliwości w zakresie wykrywania zagrożeń i reagowania na incydenty.
Jego przeznaczeniem jest badania, ale ze względu na elastyczną konstrukcję i podstawowe komponenty można go wdrożyć w większych środowiskach przy odpowiednich konfiguracjach i skalowalnej infrastrukturze.
Zmienność
Połączenia Ramy zmienności to zbiór narzędzi i bibliotek do ekstrakcji cyfrowych artefaktów z, jak się domyślacie, pamięci ulotnej (RAM) systemu. Dlatego jest szeroko stosowany w kryminalistyce cyfrowej i reagowaniu na incydenty do analizowania zrzutów pamięci z zaatakowanych systemów i wydobywania cennych informacji związanych z trwającymi lub przeszłymi incydentami bezpieczeństwa.
Ponieważ jest niezależny od platformy, obsługuje zrzuty pamięci z różnych systemów operacyjnych, w tym Windows, Linux i macOS. Rzeczywiście, Volatility może również analizować zrzuty pamięci ze środowisk zwirtualizowanych, takich jak te utworzone przez VMware lub VirtualBox, zapewniając w ten sposób wgląd zarówno w stany systemu fizycznego, jak i wirtualnego.
Volatility ma architekturę opartą na wtyczkach – posiada bogaty zestaw wbudowanych wtyczek, które obejmują szeroki zakres analiz kryminalistycznych, ale także pozwala użytkownikom rozszerzać jego funkcjonalność poprzez dodawanie niestandardowych wtyczek.
Wnioski
Więc masz to. Jest rzeczą oczywistą, że ćwiczenia zespołu niebiesko-czerwonych są niezbędne do oceny gotowości systemów obronnych organizacji i jako takie są niezbędne dla solidnej i skutecznej strategii bezpieczeństwa. Bogactwo informacji zebranych w trakcie tego ćwiczenia zapewnia organizacjom całościowy obraz stanu bezpieczeństwa i pozwala ocenić skuteczność stosowanych przez nie protokołów bezpieczeństwa.
Ponadto niebieskie zespoły odgrywają kluczową rolę w zapewnianiu zgodności i regulacji w zakresie cyberbezpieczeństwa, co jest szczególnie istotne w branżach podlegających ścisłym regulacjom, takim jak opieka zdrowotna i finanse. Ćwiczenia zespołu niebieski/czerwony zapewniają również realistyczne scenariusze szkoleniowe dla specjalistów ds. bezpieczeństwa, a to praktyczne doświadczenie pomaga im doskonalić umiejętności w zakresie rzeczywistego reagowania na incydenty.
Do której drużyny się zapiszesz?
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 22
- 36
- a
- zdolność
- dostęp
- dokładny
- Działania
- działania
- zajęcia
- działalność
- aktorzy
- rzeczywisty
- Dodaj
- dodanie
- dodatek
- Dodatkowy
- Administratorzy
- Korzyść
- przeciwny
- przed
- Cele
- Alarm
- Alarmy
- pozwala
- wzdłuż
- również
- wśród
- kwoty
- an
- analiza
- analitycy
- analityka
- w czasie rzeczywistym sprawiają,
- analizowane
- ćwiczenie
- Analizując
- i
- anomalie
- każdy
- nigdzie
- api
- aplikacje
- podejście
- architektura
- SĄ
- artykuł
- AS
- oszacować
- oceniając
- powiązany
- At
- napastnik
- próba
- dostępny
- z powrotem
- na podstawie
- BE
- Wołowina
- zanim
- zachowanie
- pomiędzy
- Niebieski
- obie
- Przynosi
- szeroki
- Przeglądanie
- wybudowany
- wbudowany
- ale
- by
- nazywa
- CAN
- możliwości
- zdobyć
- walizka
- Etui
- Kategoria
- Centrum
- wyzwania
- opłata
- klasyfikacja
- klient
- klientów
- Grupa
- współpraca
- współpracy
- Zbieranie
- kolekcja
- kombajny
- byliśmy spójni, od początku
- Komunikacja
- społeczność
- spełnienie
- składniki
- wszechstronny
- Zagrożone
- kompromis
- komputer
- Bezpieczeństwo komputera
- Prowadzenie
- składa się
- zawartość
- kontrola
- kontroli
- współpraca
- rdzeń
- Koszty:
- pokrywa
- Stwórz
- stworzony
- tworzenie
- krytyczny
- istotny
- zwyczaj
- konfigurowalny
- dostosować
- Cyber atak
- Bezpieczeństwo cybernetyczne
- cyberzagrożenia
- tablica rozdzielcza
- dane
- analiza danych
- Obrony
- obronny
- określić
- Zdecydowanie
- wdrażane
- wdrażanie
- wdrożenia
- Wnętrze
- zaprojektowany
- wykryć
- Wykrywanie
- różne
- cyfrowy
- bezpośrednio
- katalog
- inny
- robi
- pobieranie
- z powodu
- Książę
- podczas
- każdy
- Łatwość
- Efektywne
- skuteczność
- wydajny
- skutecznie
- wysiłek
- nagły wypadek
- Umożliwia
- Punkt końcowy
- silnik
- wzmacniać
- przedsiębiorstwa
- Środowisko
- środowiska
- szczególnie
- niezbędny
- itp
- Parzyste
- wydarzenie
- wydarzenia
- EVER
- ewoluuje
- wykonywania
- Ćwiczenie
- doświadczenie
- wykorzystywanie
- eksportowanie
- rozciągać się
- rozciąga się
- rozległy
- wyciąg
- ekstrakcja
- Twarz
- ułatwiać
- ułatwia
- fałszywy
- Korzyści
- kilka
- Łąka
- filet
- Akta
- filtry
- finansować
- Znajdź
- i terminów, a
- elastyczne
- W razie zamówieenia projektu
- Kryminalistyka
- kryminalistyki
- Dawny
- wychowanie
- Framework
- od
- frontend
- przód
- Spełnić
- pełny
- Funkcjonalność
- dalej
- gra
- Games
- wskaźnik
- koła zębate
- wygenerowane
- generuje
- Globalne
- Goes
- będzie
- zgadłem
- uchwyt
- Prowadzenie
- hands-on
- Have
- opieki zdrowotnej
- pomoc
- pomaga
- wysoko
- holistyczne
- strona główna
- W jaki sposób
- HTML
- HTTPS
- Łowiectwo
- Identyfikacja
- zidentyfikować
- identyfikacja
- if
- obraz
- importować
- podnieść
- in
- incydent
- reakcja na incydent
- Włącznie z
- rzeczywiście
- indywidualny
- przemysłowa
- Informacja
- Infrastruktura
- infrastruktura
- spostrzeżenia
- zintegrowany
- Integracja
- integracja
- integracje
- Interfejs
- najnowszych
- intuicyjny
- badać
- śledztwo
- Dochodzenia
- dotyczy
- IT
- JEGO
- połączenie
- konserwacja
- Klawisz
- duży
- na dużą skalę
- większe
- niech
- wykorzystuje
- biblioteki
- linux
- relacja na żywo
- log
- zalogowaniu
- Popatrz
- MacOS
- Główny
- robić
- Dokonywanie
- złośliwy
- malware
- zarządzanie
- i konserwacjami
- wiele
- Mecz
- Może..
- oznaczać
- W międzyczasie
- Użytkownicy
- Pamięć
- Metadane
- Metryka
- lustro
- Misja
- Złagodzić
- Moda
- monitorowanie
- monitory
- jeszcze
- dużo
- Potrzebować
- potrzebne
- sieć
- ruch sieciowy
- Nowości
- noty
- Powiadomienia
- już dziś
- of
- poza
- obraźliwy
- on
- pewnego razu
- ONE
- trwający
- tylko
- koncepcja
- open source
- operacyjny
- system operacyjny
- operacje
- optymalizacja
- zoptymalizowane
- Option
- or
- zamówienie
- organizacji
- Inne
- na zewnątrz
- ogólny
- Pakiety
- szczególnie
- strony
- Przeszłość
- wzory
- Ludzie
- dla
- fizyczny
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- odgrywa
- wtyczki
- ankiet
- position
- potencjał
- power
- zapobiec
- Zapobieganie
- bezcenny
- pierwotny
- Proaktywne
- procedury
- wygląda tak
- procesów
- specjalistów
- promuje
- własność
- ochrony
- protokoły
- zapewniać
- zapewnia
- cel
- szybko
- RAM
- zasięg
- szybki
- Prawdziwy świat
- w czasie rzeczywistym
- realistyczny
- otrzymać
- Czerwony
- zarejestrowany
- rejestracji
- Rejestracja
- rejestr
- regulowane
- branże regulowane
- Regulacja
- związane z
- zdalny
- zdalnie
- Raporty
- Badania naukowe
- Odpowiadać
- odpowiadanie
- odpowiedź
- recenzowanie
- Bogaty
- prawo
- krzepki
- Rola
- role
- reguły
- powiedzenie
- skalowalny
- Skala
- łuskowaty
- scenariusze
- rozkład
- Szukaj
- poszukiwania
- bezpieczeństwo
- zdarzenia zabezpieczeń
- Zagrożenia bezpieczeństwa
- wysłany
- Serie
- serwer
- Serwery
- Sesja
- zestaw
- Zestawy
- kilka
- dzielenie
- bok
- znak
- znaki
- upraszcza
- symulacja
- symulacje
- umiejętności
- So
- Źródło
- Źródła
- Typ przestrzeni
- specjalny
- wyspecjalizowanym
- specyficzny
- stos
- STAGE
- Zjednoczone
- Strategia
- abonentów
- taki
- odpowiedni
- podpory
- podejrzliwy
- szybko
- system
- systemy
- taktyka
- Brać
- trwa
- zadania
- zespół
- Zespoły
- szablon
- kilkadziesiąt
- REGULAMIN
- test
- że
- Połączenia
- ich
- Im
- Tam.
- w związku z tym
- Te
- one
- rzeczy
- to
- tych
- tysiące
- groźba
- podmioty grożące
- zagrożenia
- trzy
- Przez
- poprzez
- udaremniać
- ciasno
- Tytuł
- do
- razem
- narzędzie
- narzędzia
- ruch drogowy
- Trening
- drugiej
- typy
- ui
- Nieupoważniony
- dla
- Ujednolicony
- Nowości
- na
- posługiwać się
- używany
- użyteczny
- Użytkownik
- Użytkownicy
- zastosowania
- Cenny
- różnorodność
- różnorodny
- zweryfikować
- wszechstronny
- przez
- Zobacz i wysłuchaj
- Wirtualny
- istotny
- vmware
- lotny
- Zmienność
- Luki w zabezpieczeniach
- chcieć
- wojna
- we
- Słabości
- Bogactwo
- sieć
- Web-based
- DOBRZE
- który
- Podczas
- KIM
- szeroki
- Szeroki zasięg
- szeroko
- szerokość
- będzie
- okna
- w
- bez
- pracowników
- pracujący
- You
- Twój
- zefirnet