Jucați vreodată jocuri pe computer precum Halo sau Gears of War? Dacă da, cu siguranță ați observat un mod de joc numit Capturați Steagul care pune două echipe una împotriva celeilalte – una care se ocupă de a proteja steagul de adversarii care încearcă să-l fure.
Acest tipul de exercițiu este, de asemenea, folosit de organizații pentru a-și evalua capacitatea de a detecta, de a răspunde și de a atenua un atac cibernetic. Într-adevăr, aceste simulări sunt cheie pentru identificarea punctelor slabe ale sistemelor, oamenilor și proceselor organizațiilor înainte ca atacatorii să profite de ele. Prin emularea amenințărilor cibernetice realiste, aceste exerciții le permit specialiștilor în securitate să își perfecționeze, de asemenea, procedurile de răspuns la incident și să-și consolideze apărarea împotriva provocărilor de securitate în evoluție.
În acest articol, am analizat, în termeni generali, modul în care cele două echipe se descurcă și ce instrumente open-source le poate folosi partea defensivă. În primul rând, o reîmprospătare rapidă cu privire la rolurile celor două echipe:
- Echipa roșie joacă rolul atacatorului și folosește tactici care o oglindesc pe cele ale actorilor de amenințări din lumea reală. Prin identificarea și exploatarea vulnerabilităților, ocolind apărarea organizației și compromițându-și sistemele, această simulare adversară oferă organizațiilor informații de neprețuit asupra breșelor din armurile lor cibernetice.
- Echipa albastră, între timp, își asumă rolul defensiv întrucât urmărește să detecteze și să contracareze incursiunile adversarului. Aceasta implică, printre altele, implementarea diferitelor instrumente de securitate cibernetică, urmărirea traficului de rețea pentru orice anomalie sau modele suspecte, revizuirea jurnalelor generate de diferite sisteme și aplicații, monitorizarea și colectarea datelor de la punctele finale individuale și răspunsul rapid la orice semne de acces neautorizat. sau comportament suspect.
Ca o notă secundară, există și o echipă violet care se bazează pe o abordare colaborativă și reunește atât activități ofensive, cât și defensive. Prin stimularea comunicării și a cooperării între echipele ofensive și defensive, acest efort comun permite organizațiilor să identifice vulnerabilități, să testeze controalele de securitate și să își îmbunătățească postura generală de securitate printr-o abordare și mai cuprinzătoare și unificată.
Acum, revenind la echipa albastră, partea defensivă folosește o varietate de instrumente open-source și proprietare pentru a-și îndeplini misiunea. Să ne uităm acum la câteva astfel de instrumente din prima categorie.
Instrumente de analiză a rețelei
arkime
Proiectat pentru a gestiona și analiza eficient datele de trafic din rețea, arkime este un sistem de căutare și captură de pachete la scară largă (PCAP). Dispune de o interfață web intuitivă pentru navigarea, căutarea și exportul fișierelor PCAP, în timp ce API-ul său vă permite să descărcați și să utilizați direct datele sesiunii formatate PCAP și JSON. Procedând astfel, permite integrarea datelor cu instrumente specializate de captare a traficului, cum ar fi Wireshark, în timpul etapei de analiză.
Arkime este construit pentru a fi implementat pe mai multe sisteme simultan și se poate scala pentru a gestiona zeci de gigabiți/secundă de trafic. Gestionarea de către PCAP a cantităților mari de date se bazează pe spațiul disponibil pe disc al senzorului și pe scara clusterului Elasticsearch. Ambele caracteristici pot fi extinse după cum este necesar și sunt sub controlul deplin al administratorului.
sforăit
sforăit este un sistem de prevenire a intruziunilor (IPS) open-source care monitorizează și analizează traficul de rețea pentru a detecta și a preveni potențialele amenințări de securitate. Folosit pe scară largă pentru analiza traficului în timp real și înregistrarea pachetelor, folosește o serie de reguli care ajută la definirea activității rău intenționate în rețea și îi permite să găsească pachete care se potrivesc cu un astfel de comportament suspect sau rău intenționat și generează alerte pentru administratori.
Conform paginii sale de pornire, Snort are trei cazuri principale de utilizare:
- urmărirea pachetelor
- înregistrarea pachetelor (utilă pentru depanarea traficului de rețea)
- Sistemul de prevenire a intruziunilor în rețea (IPS)
Pentru detectarea intruziunilor și activităților rău intenționate în rețea, Snort are trei seturi de reguli globale:
- reguli pentru utilizatorii comunității: cele care sunt disponibile oricărui utilizator fără niciun cost și înregistrare.
- reguli pentru utilizatorii înregistrați: Înregistrându-se la Snort, utilizatorul poate accesa un set de reguli optimizate pentru a identifica amenințări mult mai specifice.
- reguli pentru abonați: acest set de reguli nu numai că permite identificarea și optimizarea mai precisă a amenințărilor, dar vine și cu capacitatea de a primi actualizări ale amenințărilor.
Instrumente de management al incidentelor
Stupul
Stupul este o platformă scalabilă de răspuns la incidente de securitate care oferă un spațiu colaborativ și personalizabil pentru gestionarea incidentelor, investigare și activități de răspuns. Este strâns integrat cu MISP (Malware Information Sharing Platform) și ușurează sarcinile Centrului de operațiuni de securitate (SOC), Echipei de răspuns la incidente de securitate informatică (CSIRT), Echipa de răspuns la urgențe informatice (CERT) și oricăror alți profesioniști în securitate care se confruntă cu incidente de securitate care trebuie analizate și luate în considerare rapid. Ca atare, ajută organizațiile să gestioneze și să răspundă eficient la incidentele de securitate
Există trei caracteristici care îl fac atât de util:
- Colaborare: Platforma promovează colaborarea în timp real între analiștii (SOC) și Computer Emergency Response Team (CERT). Facilitează integrarea investigațiilor în curs în cazuri, sarcini și observabile. Membrii pot accesa informații relevante și notificări speciale pentru noile evenimente MISP, alerte, rapoarte prin e-mail și integrări SIEM îmbunătățesc și mai mult comunicarea.
- Elaborare: Instrumentul simplifică crearea de cazuri și sarcini asociate printr-un motor eficient de șabloane. Puteți personaliza valorile și câmpurile printr-un tablou de bord, iar platforma acceptă etichetarea fișierelor esențiale care conțin malware sau date suspecte.
- Performanţă: Adăugați oriunde de la unu la mii de observabile la fiecare caz creat, inclusiv opțiunea de a le importa direct dintr-un eveniment MISP sau orice alertă trimisă pe platformă, precum și clasificare și filtre personalizabile.
Răspuns rapid GRR
Răspuns rapid GRR este un cadru de răspuns la incident care permite analiza criminalistică la distanță în direct. Acesta colectează și analizează de la distanță datele criminalistice din sisteme pentru a facilita investigațiile de securitate cibernetică și activitățile de răspuns la incidente. GRR acceptă colectarea diferitelor tipuri de date criminalistice, inclusiv metadate ale sistemului de fișiere, conținut de memorie, informații de registru și alte artefacte care sunt esențiale pentru analiza incidentelor. Este construit pentru a gestiona implementări la scară largă, ceea ce îl face deosebit de potrivit pentru întreprinderile cu infrastructuri IT diverse și extinse.
Este format din două părți, un client și un server.
Clientul GRR este implementat pe sistemele pe care doriți să le investigați. Pe fiecare dintre aceste sisteme, odată implementat, clientul GRR interogează periodic serverele GRR pentru a verifica dacă funcționează. Prin „lucrare”, ne referim la executarea unei anumite acțiuni: descărcarea unui fișier, enumerarea unui director etc.
Infrastructura serverului GRR constă din mai multe componente (front-end, lucrători, servere UI, Fleetspeak) și oferă o interfață grafică bazată pe web și un punct final API care le permite analiștilor să programeze acțiuni asupra clienților și să vizualizeze și să proceseze datele colectate.
Analiza sistemelor de operare
HELK
HELK, sau The Hunting ELK, este conceput pentru a oferi un mediu cuprinzător pentru profesioniștii în securitate pentru a desfășura vânătoare proactivă de amenințări, pentru a analiza evenimentele de securitate și pentru a răspunde la incidente. Acesta valorifică puterea stivei ELK împreună cu instrumente suplimentare pentru a crea o platformă de analiză de securitate versatilă și extensibilă.
Combină diverse instrumente de securitate cibernetică într-o platformă unificată pentru vânătoarea de amenințări și analiză de securitate. Componentele sale principale sunt Elasticsearch, Logstash și Kibana (stiva ELK), care sunt utilizate pe scară largă pentru analiza jurnalelor și a datelor. HELK extinde stiva ELK prin integrarea unor instrumente de securitate și surse de date suplimentare pentru a-și îmbunătăți capacitățile de detectare a amenințărilor și de răspuns la incident.
Scopul său este pentru cercetare, dar datorită designului său flexibil și componentelor de bază, poate fi implementat în medii mai mari, cu configurațiile potrivite și infrastructura scalabilă.
Volatilitate
Cadrul de volatilitate este o colecție de instrumente și biblioteci pentru extragerea artefactelor digitale din, ați ghicit, memoria volatilă (RAM) a unui sistem. Prin urmare, este utilizat pe scară largă în criminalistica digitală și răspunsul la incident pentru a analiza depozitele de memorie din sistemele compromise și pentru a extrage informații valoroase legate de incidente de securitate în curs sau trecute.
Deoarece este independent de platformă, acceptă depozitarea memoriei dintr-o varietate de sisteme de operare, inclusiv Windows, Linux și macOS. Într-adevăr, Volatility poate analiza și depozitele de memorie din medii virtualizate, cum ar fi cele create de VMware sau VirtualBox, oferind astfel perspective atât asupra stărilor fizice, cât și asupra stărilor sistemului virtual.
Volatility are o arhitectură bazată pe pluginuri – vine cu un set bogat de plugin-uri încorporate care acoperă o gamă largă de analize criminalistice, dar permite, de asemenea, utilizatorilor să-și extindă funcționalitatea prin adăugarea de plugin-uri personalizate.
Concluzie
Deci iată-l. Este de la sine înțeles că exercițiile de echipă albastru/roșu sunt esențiale pentru evaluarea gradului de pregătire a apărării unei organizații și, ca atare, sunt vitale pentru o strategie de securitate robustă și eficientă. Bogăția de informații colectate pe parcursul acestui exercițiu oferă organizațiilor o viziune holistică asupra poziției lor de securitate și le permite să evalueze eficacitatea protocoalelor lor de securitate.
În plus, echipele albastre joacă un rol cheie în conformitatea și reglementarea securității cibernetice, care este deosebit de critică în industriile foarte reglementate, cum ar fi asistența medicală și finanțele. Exercițiile de echipă albastru/roșu oferă, de asemenea, scenarii realiste de pregătire pentru profesioniștii în securitate, iar această experiență practică îi ajută să-și perfecționeze abilitățile în răspunsul la incident.
La ce echipa te vei inscrie?
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :are
- :este
- :nu
- $UP
- 22
- 36
- a
- capacitate
- acces
- precis
- Acțiune
- acțiuni
- activităţi de
- activitate
- actori
- curent
- adăuga
- adăugare
- plus
- Suplimentar
- administratori
- Avantaj
- contradictorialității
- împotriva
- isi propune
- Alerta
- Alerte
- permite
- de-a lungul
- de asemenea
- printre
- Sume
- an
- analiză
- analiști
- Google Analytics
- analiza
- analizate
- analize
- analiza
- și
- anomalii
- Orice
- oriunde
- api
- aplicatii
- abordare
- arhitectură
- SUNT
- articol
- AS
- evalua
- evaluarea
- asociate
- At
- atacator
- încercare
- disponibil
- înapoi
- bazat
- BE
- Carne de vită
- înainte
- comportament
- între
- Albastru
- atât
- Aduce
- larg
- Navigare
- construit
- construit-in
- dar
- by
- denumit
- CAN
- capacități
- captura
- caz
- cazuri
- Categorii
- Centru
- provocări
- taxă
- clasificare
- client
- clientii
- Grup
- colaborare
- colaborativ
- Colectare
- colectare
- combină
- vine
- Comunicare
- comunitate
- conformitate
- componente
- cuprinzător
- compromis
- compromisor
- calculator
- Securitatea computerului
- Conduce
- constă
- conţinut
- Control
- controale
- cooperare
- Nucleu
- A costat
- acoperi
- crea
- a creat
- creaţie
- critic
- crucial
- personalizat
- personalizabil
- personaliza
- Atac cibernetic
- Securitate cibernetică
- amenințări cibernetice
- tablou de bord
- de date
- analiza datelor
- apărare
- defensivă
- defini
- categoric
- dislocate
- Implementarea
- implementări
- Amenajări
- proiectat
- detecta
- Detectare
- diferit
- digital
- direct
- director
- diferit
- face
- Descarca
- două
- Duce
- în timpul
- fiecare
- faciliteaza
- Eficace
- eficacitate
- eficient
- eficient
- efort
- caz de urgență
- permite
- Punct final
- Motor
- spori
- Companii
- Mediu inconjurator
- medii
- mai ales
- esenţial
- etc
- Chiar
- eveniment
- evenimente
- EVER
- evoluție
- executând
- Exercita
- experienţă
- exploatând
- exportator
- extinde
- extinde
- extensiv
- extrage
- extracţie
- Față
- facilita
- facilitează
- fals
- DESCRIERE
- puțini
- Domenii
- Fișier
- Fişiere
- Filtre
- finanţa
- Găsi
- First
- flexibil
- Pentru
- juridic
- criminalistica
- Fost
- promovarea
- Cadru
- din
- Frontend
- frontend-uri
- Îndeplini
- Complet
- funcționalitate
- mai mult
- joc
- Jocuri
- ecartament
- unelte
- generată
- generează
- Caritate
- Merge
- merge
- ghicit
- manipula
- Manipularea
- hands-on
- Avea
- de asistență medicală
- ajutor
- ajută
- extrem de
- holistică
- pagină de start
- Cum
- HTML
- HTTPS
- Vânătoare
- Identificare
- identifica
- identificarea
- if
- imagine
- import
- îmbunătăţi
- in
- incident
- răspuns la incident
- Inclusiv
- într-adevăr
- individ
- industrii
- informații
- Infrastructură
- infrastructură
- perspective
- integrate
- integrarea
- integrare
- integrările
- interfaţă
- în
- intuitiv
- investiga
- investigaţie
- Investigații
- implică
- IT
- ESTE
- comun
- păstrare
- Cheie
- mare
- pe scară largă
- mai mare
- lăsa
- pîrghii
- biblioteci
- linux
- trăi
- log
- logare
- Uite
- MacOS
- Principal
- face
- Efectuarea
- rău
- malware
- administra
- administrare
- multe
- Meci
- Mai..
- însemna
- Între timp
- Membri actuali
- Memorie
- Metadata
- Metrici
- oglindă
- Misiune
- diminua
- mod
- Monitorizarea
- monitoare
- mai mult
- mult
- Nevoie
- necesar
- reţea
- trafic de retea
- Nou
- nota
- notificări
- acum
- of
- de pe
- ofensator
- on
- dată
- ONE
- în curs de desfășurare
- afară
- deschide
- open-source
- de operare
- sisteme de operare
- Operațiuni
- optimizare
- optimizate
- Opțiune
- or
- comandă
- organizații
- Altele
- afară
- global
- pachete
- în special
- piese
- trecut
- modele
- oameni
- pentru
- fizic
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- Joaca
- joacă
- Plugin-uri
- sondaje
- poziţie
- potenţial
- putere
- împiedica
- Prevenirea
- neprețuit
- primar
- Proactivă
- Proceduri
- proces
- procese
- profesioniști
- promovează
- proprietate
- protectoare
- protocoale
- furniza
- furnizează
- scop
- repede
- RAM
- gamă
- rapid
- lumea reală
- în timp real
- realist
- a primi
- Roșu
- înregistrată
- înregistrare
- Înscriere
- registru
- reglementate
- industriile reglementate
- Regulament
- legate de
- la distanta
- departe
- Rapoarte
- cercetare
- Răspunde
- răspunde
- răspuns
- revizuirea
- Bogat
- dreapta
- robust
- Rol
- rolurile
- norme
- spunând
- scalabil
- Scară
- scalate
- scenarii
- programa
- Caută
- căutare
- securitate
- Evenimente de securitate
- Amenințări la adresa securității
- trimis
- serie
- serverul
- Servere
- sesiune
- set
- Seturi
- câteva
- partajarea
- parte
- semna
- Semne
- Simplifică
- simulare
- simulări
- aptitudini
- So
- Sursă
- Surse
- Spaţiu
- special
- de specialitate
- specific
- stivui
- Etapă
- Statele
- Strategie
- abonați
- astfel de
- potrivit
- Sprijină
- suspicios
- rapid
- sistem
- sisteme
- tactică
- Lua
- ia
- sarcini
- echipă
- echipe
- șablon
- zeci
- termeni
- test
- acea
- lor
- Lor
- Acolo.
- prin urmare
- Acestea
- ei
- lucruri
- acest
- aceste
- mii
- amenințare
- actori amenințători
- amenințări
- trei
- Prin
- de-a lungul
- contracara
- strans
- Titlu
- la
- împreună
- instrument
- Unelte
- trafic
- Pregătire
- Două
- Tipuri
- ui
- neautorizat
- în
- unificat
- actualizări
- pe
- utilizare
- utilizat
- util
- Utilizator
- utilizatorii
- utilizări
- Valoros
- varietate
- diverse
- verifica
- multilateral
- de
- Vizualizare
- Virtual
- vital
- VMware
- volatil
- Volatilitate
- Vulnerabilitățile
- vrea
- război
- we
- puncte slabe
- Bogatie
- web
- bazat pe web
- BINE
- care
- în timp ce
- OMS
- larg
- Gamă largă
- pe larg
- lățime
- voi
- ferestre
- cu
- fără
- muncitorii
- de lucru
- Tu
- Ta
- zephyrnet