Вы когда-нибудь играли в компьютерные игры, такие как Halo или Gears of War? Если да, то вы наверняка заметили игровой режим под названием Захватить флаг это сталкивает две команды друг с другом, одна из которых отвечает за защиту флага от противников, которые пытаются его украсть.
Эта тип упражнения также используется организациями для оценки их способности обнаруживать, реагировать и смягчать кибератаки. Действительно, эти симуляции являются ключом к выявлению слабых мест в системах, людях и процессах организаций, прежде чем злоумышленники воспользуются ими. Имитируя реалистичные киберугрозы, эти упражнения позволяют специалистам по безопасности также уточнить процедуры реагирования на инциденты и усилить свою защиту от развивающихся проблем безопасности.
В этой статье мы в общих чертах рассмотрим, как две команды сражаются между собой и какие инструменты с открытым исходным кодом может использовать обороняющаяся сторона. Прежде всего, очень быстрое напоминание о ролях двух команд:
- Красная команда играет роль атакующего и использует тактику, аналогичную тактике реальных участников угроз. Выявляя и используя уязвимости, обходя защиту организации и ставя под угрозу ее системы, эта состязательная симуляция предоставляет организациям бесценную информацию о бреши в их киберзащите.
- Тем временем синяя команда берет на себя оборонительную роль, стремясь обнаружить и предотвратить вторжение противника. Это включает, среди прочего, развертывание различных инструментов кибербезопасности, отслеживание сетевого трафика на предмет любых аномалий или подозрительных закономерностей, просмотр журналов, созданных различными системами и приложениями, мониторинг и сбор данных с отдельных конечных точек, а также быстрое реагирование на любые признаки несанкционированного доступа. или подозрительное поведение.
Кстати, есть еще фиолетовая команда, которая опирается на совместный подход и объединяет как наступательные, так и оборонительные действия. Содействуя общению и сотрудничеству между наступательными и оборонительными командами, эти совместные усилия позволяют организациям выявлять уязвимости, тестировать меры безопасности и улучшать общее состояние безопасности с помощью еще более комплексного и унифицированного подхода.
Теперь, возвращаясь к синей команде, обороняющаяся сторона использует различные инструменты с открытым исходным кодом и собственные инструменты для выполнения своей миссии. Давайте теперь посмотрим на несколько таких инструментов из первой категории.
Инструменты сетевого анализа
Аркиме
Предназначен для эффективной обработки и анализа данных сетевого трафика. Аркиме представляет собой крупномасштабную систему поиска и захвата пакетов (PCAP). Он имеет интуитивно понятный веб-интерфейс для просмотра, поиска и экспорта файлов PCAP, а его API позволяет напрямую загружать и использовать данные сеанса в формате PCAP и JSON. При этом он позволяет интегрировать данные со специализированными инструментами захвата трафика, такими как Wireshark, на этапе анализа.
Arkime создан для одновременного развертывания на многих системах и может масштабироваться для обработки трафика в десятки гигабит/секунду. Обработка больших объемов данных с помощью PCAP зависит от доступного дискового пространства датчика и масштаба кластера Elasticsearch. Обе эти функции можно масштабировать по мере необходимости, и они находятся под полным контролем администратора.
фырканье
фырканье — это система предотвращения вторжений (IPS) с открытым исходным кодом, которая отслеживает и анализирует сетевой трафик для обнаружения и предотвращения потенциальных угроз безопасности. Широко используемый для анализа трафика в реальном времени и регистрации пакетов, он использует ряд правил, которые помогают определить вредоносную активность в сети и позволяют находить пакеты, соответствующие такому подозрительному или злонамеренному поведению, а также генерируют оповещения для администраторов.
Судя по домашней странице Snort, у Snort есть три основных варианта использования:
- трассировка пакетов
- журналирование пакетов (полезно для отладки сетевого трафика)
- сетевая система предотвращения вторжений (IPS)
Для обнаружения вторжений и вредоносной активности в сети Snort имеет три набора глобальных правил:
- правила для пользователей сообщества: те, которые доступны любому пользователю без каких-либо затрат и регистрации.
- правила для зарегистрированных пользователей: зарегистрировавшись в Snort, пользователь может получить доступ к набору правил, оптимизированных для выявления гораздо более конкретных угроз.
- правила для подписчиков: этот набор правил не только позволяет более точно выявлять и оптимизировать угрозы, но также дает возможность получать обновления об угрозах.
Инструменты управления инцидентами
Улей
Улей — это масштабируемая платформа реагирования на инциденты безопасности, которая обеспечивает совместное и настраиваемое пространство для обработки, расследования и реагирования на инциденты. Он тесно интегрирован с MISP (платформой обмена информацией о вредоносных программах) и упрощает задачи Центра управления безопасностью (SOC), группы реагирования на инциденты компьютерной безопасности (CSIRT), группы реагирования на компьютерные чрезвычайные ситуации (CERT) и любых других специалистов по безопасности, которые сталкиваются с инцидентами безопасности, которые необходимо быстро проанализировать и принять меры. Таким образом, это помогает организациям эффективно управлять инцидентами безопасности и реагировать на них.
Есть три особенности, которые делают его таким полезным:
- Сотрудничество: Платформа способствует сотрудничеству в режиме реального времени между аналитиками (SOC) и группы реагирования на компьютерные чрезвычайные ситуации (CERT). Это облегчает интеграцию текущих расследований в дела, задачи и наблюдаемые объекты. Участники могут получить доступ к соответствующей информации, а специальные уведомления о новых событиях MISP, оповещения, отчеты по электронной почте и интеграция SIEM еще больше улучшают общение.
- Разработка: инструмент упрощает создание дел и связанных с ними задач с помощью эффективного механизма шаблонов. Вы можете настраивать метрики и поля через панель управления, а платформа поддерживает пометку важных файлов, содержащих вредоносное ПО или подозрительные данные.
- Перфоманс: Добавляйте от одного до тысячи наблюдаемых объектов в каждый созданный случай, включая возможность импортировать их непосредственно из события MISP или любого оповещения, отправленного на платформу, а также настраиваемую классификацию и фильтры.
ГРР быстрого реагирования
ГРР быстрого реагирования представляет собой систему реагирования на инциденты, которая позволяет проводить удаленный судебно-медицинский анализ в режиме реального времени. Он удаленно собирает и анализирует судебно-медицинские данные из систем, чтобы облегчить расследования кибербезопасности и действия по реагированию на инциденты. GRR поддерживает сбор различных типов аналитических данных, включая метаданные файловой системы, содержимое памяти, информацию реестра и другие артефакты, которые имеют решающее значение для анализа инцидентов. Он создан для крупномасштабных развертываний, что делает его особенно подходящим для предприятий с разнообразной и обширной ИТ-инфраструктурой.
Он состоит из двух частей: клиента и сервера.
Клиент GRR развертывается в системах, которые вы хотите исследовать. В каждой из этих систем после развертывания клиент GRR периодически опрашивает внешние серверы GRR, чтобы проверить, работают ли они. Под «работой» мы подразумеваем выполнение определенного действия: загрузить файл, перечислить каталог и т. д.
Серверная инфраструктура GRR состоит из нескольких компонентов (интерфейсы, рабочие процессы, серверы пользовательского интерфейса, Fleetspeak) и предоставляет веб-графический интерфейс и конечную точку API, которая позволяет аналитикам планировать действия на клиентах, а также просматривать и обрабатывать собранные данные.
Анализ операционных систем
ХЕЛК
ХЕЛК, или The Hunting ELK, создан для того, чтобы предоставить специалистам по безопасности комплексную среду для проведения превентивного поиска угроз, анализа событий безопасности и реагирования на инциденты. Он использует возможности стека ELK вместе с дополнительными инструментами для создания универсальной и расширяемой платформы анализа безопасности.
Он объединяет различные инструменты кибербезопасности в единую платформу для поиска угроз и анализа безопасности. Его основными компонентами являются Elasticsearch, Logstash и Kibana (стек ELK), которые широко используются для анализа журналов и данных. HELK расширяет стек ELK за счет интеграции дополнительных инструментов безопасности и источников данных для расширения возможностей обнаружения угроз и реагирования на инциденты.
Его цель — исследования, но благодаря гибкому дизайну и основным компонентам его можно развертывать в более крупных средах с правильными конфигурациями и масштабируемой инфраструктурой.
Изменчивость
Ассоциация Волатильность представляет собой набор инструментов и библиотек для извлечения цифровых артефактов, как вы уже догадались, из энергозависимой памяти (ОЗУ) системы. Поэтому он широко используется в цифровой криминалистике и реагировании на инциденты для анализа дампов памяти скомпрометированных систем и извлечения ценной информации, связанной с текущими или прошлыми инцидентами безопасности.
Поскольку он не зависит от платформы, он поддерживает дампы памяти из различных операционных систем, включая Windows, Linux и macOS. Действительно, Volatility также может анализировать дампы памяти из виртуализированных сред, например, созданных VMware или VirtualBox, и таким образом предоставлять информацию о физическом и виртуальном состоянии системы.
Volatility имеет архитектуру на основе плагинов — он поставляется с богатым набором встроенных плагинов, которые охватывают широкий спектр криминалистического анализа, но также позволяет пользователям расширять его функциональность путем добавления пользовательских плагинов.
Заключение
Итак, вот оно. Само собой разумеется, что командные учения сине-красных необходимы для оценки готовности защиты организации и, как таковые, жизненно важны для надежной и эффективной стратегии безопасности. Обилие информации, собранной в ходе этого упражнения, дает организациям целостное представление о состоянии их безопасности и позволяет им оценить эффективность своих протоколов безопасности.
Кроме того, «синие команды» играют ключевую роль в соблюдении и регулировании кибербезопасности, что особенно важно в жестко регулируемых отраслях, таких как здравоохранение и финансы. Учения сине-красной команды также предоставляют реалистичные сценарии обучения для специалистов по безопасности, и этот практический опыт помогает им отточить свои навыки реального реагирования на инциденты.
В какую команду ты запишешься?
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :имеет
- :является
- :нет
- $UP
- 22
- 36
- a
- способность
- доступ
- точный
- Действие
- действия
- активно
- деятельность
- актеры
- фактического соединения
- Добавить
- добавить
- дополнение
- дополнительный
- администраторы
- плюс
- состязательный
- против
- Цель
- Оповещение
- Оповещения
- позволяет
- вдоль
- причислены
- среди
- суммы
- an
- анализ
- Аналитики
- аналитика
- анализировать
- проанализированы
- анализы
- анализ
- и
- аномалии
- любой
- откуда угодно
- API
- Приложения
- подхода
- архитектура
- МЫ
- гайд
- AS
- оценить
- Оценка
- связанный
- At
- нападающий
- попытка
- доступен
- назад
- основанный
- BE
- говяжий
- до
- поведение
- между
- Синии
- изоферменты печени
- Приносит
- широкий
- просмотр
- построенный
- встроенный
- но
- by
- под названием
- CAN
- возможности
- захватить
- случаев
- случаев
- Категории
- Центр
- проблемы
- заряд
- классификация
- клиент
- клиентов
- Кластер
- сотрудничество
- совместный
- Сбор
- лыжных шлемов
- комбинаты
- выходит
- Связь
- сообщество
- Соответствие закону
- компоненты
- комплексный
- Ослабленный
- компромат
- компьютер
- Компьютерная безопасность
- Проводить
- состоит
- содержание
- контроль
- контрольная
- кооперация
- Основные
- Цена
- чехол для варгана
- Создайте
- создали
- создание
- критической
- решающее значение
- изготовленный на заказ
- настраиваемый
- настроить
- Кибератака
- Информационная безопасность
- киберугрозы
- приборная панель
- данным
- анализ данных
- оборонительные сооружения
- оборонительный
- определять
- определенно
- развернуть
- развертывание
- развертывания
- Проект
- предназначенный
- обнаруживать
- обнаружение
- различный
- Интернет
- непосредственно
- каталог
- Разное
- дело
- скачать
- два
- Герцог
- в течение
- каждый
- Облегчает
- Эффективный
- эффективность
- эффективный
- эффективно
- усилие
- крайняя необходимость
- позволяет
- Конечная точка
- Двигатель
- повышать
- предприятий
- Окружающая среда
- средах
- особенно
- существенный
- и т.д
- Даже
- События
- События
- НИКОГДА
- развивается
- проведение
- Упражнение
- опыт
- эксплуатации
- экспорт
- продлить
- продолжается
- обширный
- извлечение
- добыча
- Face
- содействовал
- облегчает
- ложный
- Особенности
- несколько
- Поля
- Файл
- Файлы
- фильтры
- финансы
- Найдите
- Во-первых,
- гибкого
- Что касается
- судебный
- судебно-медицинская экспертиза
- Бывший
- содействие
- Рамки
- от
- Frontend
- фронты
- Выполнять
- полный
- функциональность
- далее
- игра
- Игры
- калибр
- передач
- генерируется
- генерирует
- Глобальный
- идет
- будет
- догадывался
- обрабатывать
- Управляемость
- практический
- Есть
- здравоохранение
- помощь
- помогает
- очень
- целостный
- домашняя страница
- Как
- HTML
- HTTPS
- охота
- Идентификация
- определения
- идентифицирующий
- if
- изображение
- Импортировать
- улучшать
- in
- инцидент
- реакция на инцидент
- В том числе
- действительно
- individual
- промышленности
- информация
- Инфраструктура
- инфраструктура
- размышления
- интегрированный
- Интегрируя
- интеграции.
- интеграций
- Интерфейс
- в
- интуитивный
- исследовать
- ходе расследования,
- Исследования
- включает в себя
- IT
- ЕГО
- совместная
- хранение
- Основные
- большой
- крупномасштабный
- больше
- позволять
- рычаги
- библиотеки
- Linux
- жить
- журнал
- каротаж
- посмотреть
- MacOS
- Главная
- сделать
- Создание
- злонамеренный
- вредоносных программ
- управлять
- управление
- многих
- Совпадение
- Май..
- значить
- Между тем
- Участники
- Память
- Метаданные
- Метрика
- зеркало
- Наша миссия
- смягчать
- режим
- Мониторинг
- Мониторы
- БОЛЕЕ
- много
- Необходимость
- необходимый
- сеть
- сетевой трафик
- Новые
- в своих размышлениях
- Уведомления
- сейчас
- of
- от
- наступление
- on
- консолидировать
- ONE
- постоянный
- только
- открытый
- с открытым исходным кодом
- операционный
- операционные системы
- Операционный отдел
- оптимизация
- оптимизированный
- Опция
- or
- заказ
- организации
- Другое
- внешний
- общий
- пакеты
- особенно
- части
- мимо
- паттеранами
- Люди
- для
- физический
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- играет
- плагины
- опросы
- должность
- потенциал
- мощностью
- предотвращать
- предотвращение
- бесценный
- первичный
- Проактивная
- Процедуры
- процесс
- Процессы
- профессионалы
- способствует
- ( изучите наши патенты),
- защищающий
- протоколы
- обеспечивать
- приводит
- цель
- быстро
- Оперативная память
- ассортимент
- быстро
- реальный мир
- реального времени
- реалистичный
- Получать
- Red
- зарегистрированный
- регистрирующий
- Регистрация
- реестра
- регулируемых брокеров
- регулируемые отрасли
- "Регулирование"
- Связанный
- соответствующие
- удаленные
- удаленно
- Отчеты
- исследованиям
- Реагируйте
- ответ
- ответ
- обзор
- Богатые
- правую
- надежный
- Роли
- роли
- условиями,
- поговорка
- масштабируемые
- Шкала
- масштабируется
- Сценарии
- график
- Поиск
- поиск
- безопасность
- события безопасности
- Угрозы безопасности
- послать
- Серии
- сервер
- Серверы
- Сессия
- набор
- Наборы
- несколько
- разделение
- сторона
- подпись
- Признаки
- упрощает
- моделирование
- моделирование
- навыки
- So
- Источник
- Источники
- Space
- особый
- специализированный
- конкретный
- стек
- Этап
- Области
- Стратегия
- Абоненты
- такие
- подходящее
- Поддержка
- подозрительный
- быстро
- система
- системы
- тактика
- взять
- принимает
- задачи
- команда
- команды
- шаблон
- десятки
- terms
- тестXNUMX
- который
- Ассоциация
- их
- Их
- Там.
- следовательно
- Эти
- они
- вещи
- этой
- те
- тысячи
- угроза
- актеры угрозы
- угрозы
- три
- Через
- по всему
- пресекать
- плотно
- Название
- в
- вместе
- инструментом
- инструменты
- трафик
- Обучение
- два
- Типы
- ui
- неразрешенный
- под
- унифицированный
- Updates
- на
- использование
- используемый
- полезный
- Информация о пользователе
- пользователей
- использования
- ценный
- разнообразие
- различный
- проверить
- разносторонний
- с помощью
- Вид
- Виртуальный
- жизненный
- VMware
- летучий
- Изменчивость
- Уязвимости
- хотеть
- войны
- we
- слабые
- Богатство
- Web
- Web-Based
- ЧТО Ж
- который
- в то время как
- КТО
- широкий
- Широкий диапазон
- широко
- ширина
- будете
- окна
- без
- рабочие
- работает
- Ты
- ВАШЕ
- зефирнет