Você já jogou jogos de computador como Halo ou Gears of War? Se sim, você definitivamente notou um modo de jogo chamado Capturar a bandeira que coloca duas equipes uma contra a outra – uma delas encarregada de proteger a bandeira de adversários que tentem roubá-la.
Esta tipo de exercício também é usado pelas organizações para avaliar sua capacidade de detectar, responder e mitigar um ataque cibernético. Na verdade, estas simulações são fundamentais para identificar pontos fracos nos sistemas, pessoas e processos das organizações antes que os atacantes tirem partido deles. Ao emular ameaças cibernéticas realistas, estes exercícios permitem aos profissionais de segurança também ajustar os procedimentos de resposta a incidentes e reforçar as suas defesas contra os crescentes desafios de segurança.
Neste artigo, analisamos, em termos gerais, como as duas equipes se enfrentam e quais ferramentas de código aberto o lado defensivo pode usar. Primeiro, uma atualização super rápida sobre as funções das duas equipes:
- A equipe vermelha desempenha o papel do invasor e utiliza táticas que refletem as dos atores de ameaças do mundo real. Ao identificar e explorar vulnerabilidades, contornando as defesas da organização e comprometendo os seus sistemas, esta simulação adversária fornece às organizações informações inestimáveis sobre falhas nas suas armaduras cibernéticas.
- A equipa azul, por sua vez, assume o papel defensivo, pois pretende detectar e frustrar as incursões do adversário. Isso envolve, entre outras coisas, a implantação de diversas ferramentas de segurança cibernética, o controle do tráfego de rede em busca de quaisquer anomalias ou padrões suspeitos, a revisão de logs gerados por diferentes sistemas e aplicativos, o monitoramento e a coleta de dados de terminais individuais e a resposta rápida a quaisquer sinais de acesso não autorizado. ou comportamento suspeito.
Como observação, há também um time roxo que conta com uma abordagem colaborativa e reúne atividades ofensivas e defensivas. Ao promover a comunicação e a cooperação entre as equipas ofensivas e defensivas, este esforço conjunto permite que as organizações identifiquem vulnerabilidades, testem controlos de segurança e melhorem a sua postura geral de segurança através de uma abordagem ainda mais abrangente e unificada.
Agora, voltando ao time azul, o lado defensivo utiliza uma variedade de ferramentas proprietárias e de código aberto para cumprir sua missão. Vejamos agora algumas dessas ferramentas da categoria anterior.
Ferramentas de análise de rede
arquime
Projetado para manipular e analisar com eficiência dados de tráfego de rede, arquime é um sistema de busca e captura de pacotes em grande escala (PCAP). Ele apresenta uma interface web intuitiva para navegar, pesquisar e exportar arquivos PCAP, enquanto sua API permite baixar e usar diretamente os dados da sessão formatados em PCAP e JSON. Ao fazê-lo, permite integrar os dados com ferramentas especializadas de captura de tráfego, como o Wireshark, durante a fase de análise.
Arkime foi desenvolvido para ser implantado em vários sistemas ao mesmo tempo e pode ser dimensionado para lidar com dezenas de gigabits/segundo de tráfego. A manipulação de grandes quantidades de dados pelo PCAP é baseada no espaço em disco disponível do sensor e na escala do cluster Elasticsearch. Ambos os recursos podem ser ampliados conforme necessário e estão sob controle total do administrador.
Snort
Snort é um sistema de prevenção de intrusões (IPS) de código aberto que monitora e analisa o tráfego de rede para detectar e prevenir possíveis ameaças à segurança. Amplamente utilizado para análise de tráfego em tempo real e registro de pacotes, ele usa uma série de regras que ajudam a definir atividades maliciosas na rede e permitem encontrar pacotes que correspondam a esse comportamento suspeito ou malicioso e gerar alertas para administradores.
De acordo com sua página inicial, o Snort tem três casos de uso principais:
- rastreamento de pacotes
- registro de pacotes (útil para depuração de tráfego de rede)
- sistema de prevenção de invasões de rede (IPS)
Para a detecção de invasões e atividades maliciosas na rede, o Snort possui três conjuntos de regras globais:
- regras para usuários da comunidade: aquelas que estão disponíveis para qualquer usuário sem nenhum custo e registro.
- regras para usuários cadastrados: Ao se cadastrar no Snort o usuário pode acessar um conjunto de regras otimizadas para identificar ameaças muito mais específicas.
- regras para assinantes: esse conjunto de regras não só permite uma identificação e otimização de ameaças mais precisas, mas também vem com a capacidade de receber atualizações de ameaças.
Ferramentas de gerenciamento de incidentes
A colméia
A colméia é uma plataforma escalonável de resposta a incidentes de segurança que fornece um espaço colaborativo e personalizável para atividades de tratamento, investigação e resposta a incidentes. Ele está totalmente integrado ao MISP (Plataforma de Compartilhamento de Informações sobre Malware) e facilita as tarefas do Centro de Operações de Segurança (SOCs), da Equipe de Resposta a Incidentes de Segurança de Computadores (CSIRTs), da Equipe de Resposta a Emergências de Computadores (CERTs) e de quaisquer outros profissionais de segurança que enfrentam incidentes de segurança que precisam ser analisados e resolvidos rapidamente. Como tal, ajuda as organizações a gerir e responder eficazmente a incidentes de segurança
Existem três recursos que o tornam tão útil:
- Colaboração: A plataforma promove a colaboração em tempo real entre analistas (SOC) e da Equipe de Resposta a Emergências de Computadores (CERT). Facilita a integração de investigações em andamento em casos, tarefas e observáveis. Os membros podem acessar informações relevantes e notificações especiais para novos eventos MISP, alertas, relatórios por e-mail e integrações SIEM que melhoram ainda mais a comunicação.
- Elaboração: a ferramenta simplifica a criação de casos e tarefas associadas por meio de um mecanismo de modelo eficiente. Você pode personalizar métricas e campos por meio de um painel, e a plataforma suporta a marcação de arquivos essenciais que contenham malware ou dados suspeitos.
- Performance: adicione de um a milhares de observáveis a cada caso criado, incluindo a opção de importá-los diretamente de um evento MISP ou de qualquer alerta enviado à plataforma, bem como classificações e filtros personalizáveis.
Resposta Rápida GRR
Resposta Rápida GRR é uma estrutura de resposta a incidentes que permite análise forense remota ao vivo. Ele coleta e analisa remotamente dados forenses de sistemas para facilitar investigações de segurança cibernética e atividades de resposta a incidentes. O GRR oferece suporte à coleta de vários tipos de dados forenses, incluindo metadados do sistema de arquivos, conteúdo da memória, informações de registro e outros artefatos cruciais para a análise de incidentes. Ele foi desenvolvido para lidar com implantações em larga escala, tornando-o particularmente adequado para empresas com infraestruturas de TI diversas e extensas.
Consiste em duas partes, um cliente e um servidor.
O cliente GRR é implementado nos sistemas que você deseja investigar. Em cada um desses sistemas, uma vez implantado, o cliente GRR pesquisa periodicamente os servidores frontend GRR para verificar se estão funcionando. Por “trabalhar” queremos dizer executar uma ação específica: baixar um arquivo, enumerar um diretório, etc.
A infraestrutura do servidor GRR consiste em vários componentes (frontends, trabalhadores, servidores UI, Fleetspeak) e fornece uma GUI baseada na web e um endpoint de API que permite aos analistas agendar ações nos clientes e visualizar e processar os dados coletados.
Analisando sistemas operacionais
AJUDA
AJUDA, ou The Hunting ELK, foi projetado para fornecer um ambiente abrangente para profissionais de segurança conduzirem buscas proativas de ameaças, analisarem eventos de segurança e responderem a incidentes. Ele aproveita o poder da pilha ELK junto com ferramentas adicionais para criar uma plataforma de análise de segurança versátil e extensível.
Ele combina várias ferramentas de segurança cibernética em uma plataforma unificada para caça a ameaças e análise de segurança. Seus componentes principais são Elasticsearch, Logstash e Kibana (pilha ELK), que são amplamente usados para análise de logs e dados. HELK amplia a pilha ELK integrando ferramentas de segurança e fontes de dados adicionais para aprimorar seus recursos de detecção de ameaças e resposta a incidentes.
Sua finalidade é a pesquisa, mas devido ao seu design flexível e componentes principais, pode ser implantado em ambientes maiores com as configurações corretas e infraestrutura escalável.
👍 Volatilidade
A Estrutura de Volatilidade é uma coleção de ferramentas e bibliotecas para extração de artefatos digitais, você adivinhou, da memória volátil (RAM) de um sistema. É, portanto, amplamente utilizado em análise forense digital e resposta a incidentes para analisar despejos de memória de sistemas comprometidos e extrair informações valiosas relacionadas a incidentes de segurança atuais ou passados.
Como é independente de plataforma, suporta despejos de memória de vários sistemas operacionais, incluindo Windows, Linux e macOS. Na verdade, o Volatility também pode analisar despejos de memória de ambientes virtualizados, como aqueles criados pelo VMware ou VirtualBox, e assim fornecer insights sobre estados de sistemas físicos e virtuais.
O Volatility possui uma arquitetura baseada em plug-ins – ele vem com um rico conjunto de plug-ins integrados que cobrem uma ampla gama de análises forenses, mas também permite que os usuários ampliem sua funcionalidade adicionando plug-ins personalizados.
Conclusão
Então aí está. Escusado será dizer que os exercícios da equipa azul/vermelha são essenciais para avaliar a preparação das defesas de uma organização e, como tal, são vitais para uma estratégia de segurança robusta e eficaz. A riqueza de informações recolhidas ao longo deste exercício proporciona às organizações uma visão holística da sua postura de segurança e permite-lhes avaliar a eficácia dos seus protocolos de segurança.
Além disso, as equipas azuis desempenham um papel fundamental na conformidade e regulamentação da segurança cibernética, o que é especialmente crítico em indústrias altamente regulamentadas, como a saúde e as finanças. Os exercícios da equipe azul/vermelha também fornecem cenários de treinamento realistas para profissionais de segurança, e essa experiência prática os ajuda a aprimorar suas habilidades na resposta real a incidentes.
Em qual time você vai se inscrever?
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :tem
- :é
- :não
- $UP
- 22
- 36
- a
- habilidade
- Acesso
- preciso
- Açao Social
- ações
- atividades
- atividade
- atores
- real
- adicionar
- acrescentando
- Adição
- Adicional
- administradores
- Vantagem
- adversarial
- contra
- visa
- Alertar
- Alertas
- permite
- juntamente
- tb
- entre
- quantidades
- an
- análise
- Analistas
- analítica
- analisar
- analisado
- análises
- análise
- e
- anomalias
- qualquer
- qualquer lugar
- api
- aplicações
- abordagem
- arquitetura
- SOMOS
- artigo
- AS
- avaliar
- Avaliando
- associado
- At
- atacante
- tentativa
- disponível
- em caminho duplo
- baseado
- BE
- Carne Bovina
- antes
- comportamento
- entre
- Azul
- ambos
- Traz
- amplo
- Navegando
- construído
- construídas em
- mas a
- by
- chamado
- CAN
- capacidades
- capturar
- casas
- casos
- Categoria
- Centralização de
- desafios
- carregar
- classificação
- cliente
- clientes
- Agrupar
- colaboração
- colaborativo
- Coleta
- coleção
- combina
- vem
- Comunicação
- comunidade
- compliance
- componentes
- compreensivo
- Comprometido
- comprometendo
- computador
- Segurança Informática
- Conduzir
- consiste
- conteúdo
- ao controle
- controles
- cooperação
- núcleo
- Custo
- cobrir
- crio
- criado
- criação
- crítico
- crucial
- personalizadas
- personalizável
- personalizar
- Ataque cibernético
- Cíber segurança
- ciberameaças
- painel de instrumentos
- dados,
- análise de dados
- Defesas
- defensiva
- definir
- definitivamente
- implantado
- Implantação
- Implantações
- Design
- projetado
- descobrir
- Detecção
- diferente
- digital
- diretamente
- anuário
- diferente
- fazer
- download
- dois
- Duque
- durante
- cada
- Facilita
- Eficaz
- eficácia
- eficiente
- eficientemente
- esforço
- kit
- permite
- Ponto final
- Motor
- aumentar
- empresas
- Meio Ambiente
- ambientes
- especialmente
- essencial
- etc.
- Mesmo
- Evento
- eventos
- SEMPRE
- evolução
- executando
- Exercício
- vasta experiência
- explorando
- exportador
- estender
- se estende
- extenso
- extrato
- Extração
- Rosto
- facilitar
- facilita
- falso
- Funcionalidades
- poucos
- Campos
- Envie o
- Arquivos
- filtros
- financiar
- Encontre
- Primeiro nome
- flexível
- Escolha
- Forense
- forense
- Antigo
- fomento
- Quadro
- da
- Frontend
- a parte dianteira
- Cumprir
- cheio
- funcionalidade
- mais distante
- jogo
- Games
- calibre
- engrenagens
- gerado
- gera
- Global
- vai
- vai
- adivinhou
- manipular
- Manipulação
- mãos em
- Ter
- saúde
- ajudar
- ajuda
- altamente
- holística
- homepage
- Como funciona o dobrador de carta de canal
- HTML
- HTTPS
- Caça
- identificação
- identificar
- identificar
- if
- imagem
- importar
- melhorar
- in
- incidente
- resposta a incidentes
- Incluindo
- de fato
- Individual
- indústrias
- INFORMAÇÕES
- Infraestrutura
- infra-estrutura
- insights
- integrado
- Integração
- integração
- integrações
- Interface
- para dentro
- intuitivo
- investigar
- investigação
- investigações
- envolve
- IT
- ESTÁ
- articulação
- manutenção
- Chave
- grande
- em grande escala
- Maior
- deixar
- aproveita as
- bibliotecas
- linux
- viver
- log
- logging
- olhar
- MacOS
- a Principal
- fazer
- Fazendo
- malicioso
- malwares
- gerencia
- de grupos
- muitos
- Match
- Posso..
- significar
- Entretanto
- Membros
- Memória
- metadados
- Métrica
- espelho
- Missão
- Mitigar
- Moda
- monitoração
- monitores
- mais
- muito
- você merece...
- necessário
- rede
- tráfego de rede
- Novo
- nota
- notificações
- agora
- of
- WOW!
- ofensivo
- on
- uma vez
- ONE
- contínuo
- só
- aberto
- open source
- operando
- sistemas operacionais
- Operações
- otimização
- otimizado
- Opção
- or
- ordem
- organizações
- Outros
- Fora
- global
- pacotes
- particularmente
- peças
- passado
- padrões
- Pessoas
- para
- físico
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- Jogar
- desempenha
- plugins
- pesquisas
- posição
- potencial
- poder
- evitar
- Prevenção
- impagável
- primário
- Proactive
- procedimentos
- processo
- processos
- promove
- proprietário
- proteger
- protocolos
- fornecer
- fornece
- propósito
- rapidamente
- RAM
- alcance
- rápido
- mundo real
- em tempo real
- realista
- receber
- Vermelho
- registrado
- registro
- Registo
- registro
- regulamentadas
- indústrias reguladas
- Regulamento
- relacionado
- relevante
- remoto
- remotamente
- Relatórios
- pesquisa
- Responder
- responder
- resposta
- revendo
- Rico
- certo
- uma conta de despesas robusta
- Tipo
- papéis
- regras
- dizendo
- escalável
- Escala
- dimensionado
- cenários
- cronograma
- Pesquisar
- pesquisar
- segurança
- eventos de segurança
- As ameaças de segurança
- enviei
- Série
- servidor
- Servidores
- Sessão
- conjunto
- Conjuntos
- vários
- compartilhando
- lado
- assinar
- Sinais
- simplifica
- simulação
- simulações
- Habilidades
- So
- fonte
- Fontes
- Espaço
- especial
- especializado
- específico
- pilha
- Etapa
- Unidos
- Estratégia
- assinantes
- tal
- adequado
- suportes
- suspeito
- rapidamente
- .
- sistemas
- tática
- Tire
- toma
- tarefas
- Profissionais
- equipes
- modelo
- dezenas
- condições
- teste
- que
- A
- deles
- Eles
- Lá.
- assim sendo
- Este
- deles
- coisas
- isto
- aqueles
- milhares
- ameaça
- atores de ameaças
- ameaças
- três
- Através da
- todo
- contrariar
- hermeticamente
- Título
- para
- juntos
- ferramenta
- ferramentas
- tráfego
- Training
- dois
- tipos
- ui
- não autorizado
- para
- unificado
- Atualizações
- sobre
- usar
- usava
- útil
- Utilizador
- usuários
- usos
- Valioso
- variedade
- vário
- verificar
- versátil
- via
- Ver
- Virtual
- vital
- vmware
- volátil
- 👍 Volatilidade
- vulnerabilidades
- queremos
- guerra
- we
- fraquezas
- Riqueza
- web
- Web-Based
- BEM
- qual
- enquanto
- QUEM
- Largo
- Ampla variedade
- largamente
- largura
- precisarão
- Windows
- de
- sem
- trabalhadores
- trabalhar
- Vocês
- investimentos
- zefirnet