Hiç Halo veya Gears of War gibi bilgisayar oyunları oynadınız mı? Eğer öyleyse, kesinlikle adlı bir oyun modunu fark etmişsinizdir. Bayrağı Yakala Bu, iki takımı birbirine düşüren bir oyundur; bunlardan biri, bayrağı onu çalmaya çalışan rakiplerden korumakla görevlidir.
Bu egzersiz türü kuruluşlar tarafından bir siber saldırıyı tespit etme, yanıt verme ve hafifletme yeteneklerini ölçmek için de kullanılır. Aslına bakılırsa bu simülasyonlar, saldırganların bunlardan yararlanmadan önce kuruluşların sistemlerindeki, insanlarındaki ve süreçlerindeki zayıflıkları tespit etmede anahtar rol oynuyor. Gerçekçi siber tehditleri taklit eden bu tatbikatlar, güvenlik uygulayıcılarının olaylara müdahale prosedürlerinde ince ayar yapmalarına ve gelişen güvenlik zorluklarına karşı savunmalarını güçlendirmelerine de olanak tanıyor.
Bu makalede, iki takımın nasıl mücadele edeceğine ve savunma tarafının hangi açık kaynak araçlarını kullanabileceğine genel hatlarıyla baktık. Öncelikle iki takımın rolleri hakkında çok hızlı bir bilgi tazelemesi yapalım:
- Kırmızı takım saldırganın rolünü oynuyor ve gerçek dünyadaki tehdit aktörlerinin taktiklerini yansıtan taktiklerden yararlanıyor. Bu düşmanca simülasyon, güvenlik açıklarını tespit ederek ve bunlardan yararlanarak, kuruluşun savunmasını aşarak ve sistemlerinden ödün vererek, kuruluşlara siber zırhlarındaki çatlaklara ilişkin paha biçilmez bilgiler sağlar.
- Bu arada mavi takım, rakibin saldırılarını tespit edip engellemeyi hedefleyerek savunma rolünü üstleniyor. Bu, diğer şeylerin yanı sıra, çeşitli siber güvenlik araçlarının dağıtılmasını, herhangi bir anormallik veya şüpheli kalıp açısından ağ trafiğini takip etmeyi, farklı sistem ve uygulamalar tarafından oluşturulan günlükleri incelemeyi, bireysel uç noktalardan veri izlemeyi ve toplamayı ve her türlü yetkisiz erişim belirtisine hızlı bir şekilde yanıt vermeyi içerir. veya şüpheli davranış.
Bir yan not olarak, işbirlikçi bir yaklaşıma dayanan ve hem hücum hem de savunma faaliyetlerini bir araya getiren mor bir takım da var. Saldırı ve savunma ekipleri arasındaki iletişimi ve işbirliğini güçlendiren bu ortak çaba, kuruluşların güvenlik açıklarını belirlemesine, güvenlik kontrollerini test etmesine ve daha kapsamlı ve birleşik bir yaklaşımla genel güvenlik duruşlarını iyileştirmesine olanak tanır.
Şimdi mavi takıma dönersek, savunma tarafı görevini yerine getirmek için çeşitli açık kaynaklı ve özel araçlar kullanıyor. Şimdi önceki kategorideki bu tür birkaç araca bakalım.
Ağ analiz araçları
arkime
Ağ trafiği verilerinin verimli bir şekilde işlenmesi ve analiz edilmesi için tasarlanmıştır, arkime büyük ölçekli bir paket arama ve yakalama (PCAP) sistemidir. PCAP dosyalarına göz atmak, aramak ve dışa aktarmak için sezgisel bir web arayüzü sunarken, API'si PCAP ve JSON formatlı oturum verilerini doğrudan indirmenize ve kullanmanıza olanak tanır. Bunu yaparken, analiz aşamasında verilerin Wireshark gibi özel trafik yakalama araçlarıyla entegre edilmesine olanak tanır.
Arkime aynı anda birçok sisteme dağıtılacak şekilde tasarlanmıştır ve onlarca gigabit/saniyelik trafiği kaldırabilecek şekilde ölçeklenebilir. PCAP'ın büyük miktarlarda veriyi işlemesi, sensörün kullanılabilir disk alanına ve Elasticsearch kümesinin ölçeğine bağlıdır. Bu özelliklerin her ikisi de gerektiği gibi ölçeklendirilebilir ve yöneticinin tam kontrolü altındadır.
homurdanma
homurdanma Potansiyel güvenlik tehditlerini tespit etmek ve önlemek için ağ trafiğini izleyen ve analiz eden açık kaynaklı bir izinsiz giriş önleme sistemidir (IPS). Gerçek zamanlı trafik analizi ve paket kaydı için yaygın olarak kullanılan bu özellik, ağdaki kötü amaçlı etkinliklerin tanımlanmasına yardımcı olan bir dizi kural kullanır ve bu tür şüpheli veya kötü niyetli davranışlarla eşleşen paketleri bulmasına ve yöneticiler için uyarılar oluşturmasına olanak tanır.
Ana sayfasına göre Snort'un üç ana kullanım durumu vardır:
- paket izleme
- Paket günlüğü (ağ trafiğinde hata ayıklama için kullanışlıdır)
- Ağ Saldırı Önleme Sistemi (IPS)
Ağdaki izinsiz girişlerin ve kötü amaçlı etkinliklerin tespiti için Snort'un üç genel kural kümesi vardır:
- topluluk kullanıcıları için kurallar: herhangi bir maliyet ve kayıt olmaksızın tüm kullanıcıların kullanımına sunulan kurallar.
- Kayıtlı kullanıcılar için kurallar: Kullanıcı, Snort'a kaydolarak çok daha spesifik tehditleri tanımlamak için optimize edilmiş bir dizi kurala erişebilir.
- aboneler için kurallar: Bu kurallar dizisi yalnızca tehditlerin daha doğru tanımlanmasına ve optimizasyonuna olanak sağlamakla kalmaz, aynı zamanda tehdit güncellemelerini alma olanağı da sağlar.
Olay yönetimi araçları
Kovan
Kovan olay yönetimi, soruşturma ve müdahale faaliyetleri için işbirliğine dayalı ve özelleştirilebilir bir alan sağlayan, ölçeklenebilir bir güvenlik olay müdahale platformudur. MISP (Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu) ile sıkı bir şekilde entegre edilmiştir ve Güvenlik Operasyon Merkezi (SOC'ler), Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT'ler), Bilgisayar Acil Durum Müdahale Ekibi (CERT'ler) ve güvenlik olaylarıyla karşılaşan diğer güvenlik profesyonellerinin görevlerini kolaylaştırır. hızlı bir şekilde analiz edilip harekete geçilmesi gerekmektedir. Bu nedenle kuruluşların güvenlik olaylarını etkili bir şekilde yönetmesine ve bunlara yanıt vermesine yardımcı olur
Onu bu kadar kullanışlı kılan üç özellik var:
- İşbirliği: Platform, (SOC) ve Bilgisayar Acil Durum Müdahale Ekibi (CERT) analistleri arasında gerçek zamanlı işbirliğini teşvik eder. Devam eden araştırmaların vakalara, görevlere ve gözlemlenebilir öğelere entegrasyonunu kolaylaştırır. Üyeler, yeni MISP etkinlikleri, uyarılar, e-posta raporları ve SIEM entegrasyonları için ilgili bilgilere ve özel bildirimlere erişebilir ve iletişimi daha da geliştirebilir.
- Detaylandırma: Araç, verimli bir şablon motoru aracılığıyla vakaların ve ilgili görevlerin oluşturulmasını basitleştirir. Ölçümleri ve alanları bir kontrol paneli aracılığıyla özelleştirebilirsiniz ve platform, kötü amaçlı yazılım veya şüpheli veriler içeren önemli dosyaların etiketlenmesini destekler.
- Performans: Özelleştirilebilir sınıflandırma ve filtrelerin yanı sıra, bunları doğrudan bir MISP olayından veya platforma gönderilen herhangi bir uyarıdan içe aktarma seçeneği de dahil olmak üzere, oluşturulan her vakaya bir ila binlerce gözlemlenebilir öğe ekleyin.
GRR Hızlı Yanıt
GRR Hızlı Yanıt canlı uzaktan adli analize olanak tanıyan bir olay müdahale çerçevesidir. Siber güvenlik araştırmalarını ve olay müdahale faaliyetlerini kolaylaştırmak amacıyla sistemlerden adli verileri uzaktan toplar ve analiz eder. GRR, dosya sistemi meta verileri, bellek içeriği, kayıt defteri bilgileri ve olay analizi için önemli olan diğer yapılar dahil olmak üzere çeşitli türdeki adli verilerin toplanmasını destekler. Büyük ölçekli dağıtımları yönetecek şekilde tasarlanmış olduğundan, özellikle çeşitli ve kapsamlı BT altyapılarına sahip kuruluşlar için uygundur.
İstemci ve sunucu olmak üzere iki bölümden oluşur.
GRR istemcisi, araştırmak istediğiniz sistemlere dağıtılır. Bu sistemlerin her birinde, konuşlandırıldıktan sonra GRR istemcisi, çalışıp çalışmadıklarını doğrulamak için GRR ön uç sunucularını düzenli olarak yoklar. "Çalışmak" derken, belirli bir eylemi gerçekleştirmeyi kastediyoruz: bir dosyayı indirmek, bir dizini numaralandırmak vb.
GRR sunucu altyapısı çeşitli bileşenlerden (ön uçlar, çalışanlar, kullanıcı arayüzü sunucuları, Fleetspeak) oluşur ve analistlerin istemciler üzerinde eylemleri planlamalarına ve toplanan verileri görüntülemelerine ve işlemelerine olanak tanıyan web tabanlı bir GUI ve bir API uç noktası sağlar.
İşletim sistemlerini analiz etme
HELK
HELKveya The Hunting ELK, güvenlik profesyonellerinin proaktif tehdit avcılığı yapması, güvenlik olaylarını analiz etmesi ve olaylara yanıt vermesi için kapsamlı bir ortam sağlamak üzere tasarlanmıştır. Çok yönlü ve genişletilebilir bir güvenlik analitiği platformu oluşturmak için ELK yığınının gücünden ve ek araçlardan yararlanır.
Tehdit avcılığı ve güvenlik analitiği için çeşitli siber güvenlik araçlarını birleşik bir platformda birleştirir. Başlıca bileşenleri, günlük ve veri analizi için yaygın olarak kullanılan Elasticsearch, Logstash ve Kibana'dır (ELK yığını). HELK, tehdit algılama ve olaylara müdahale yeteneklerini geliştirmek amacıyla ek güvenlik araçlarını ve veri kaynaklarını entegre ederek ELK yığınını genişletiyor.
Amacı araştırma amaçlıdır ancak esnek tasarımı ve temel bileşenleri nedeniyle doğru konfigürasyonlar ve ölçeklenebilir altyapı ile daha büyük ortamlarda konuşlandırılabilir.
Uçuculuk
The Oynaklık Çerçevesi tahmin edebileceğiniz gibi bir sistemin geçici belleğinden (RAM) dijital eserlerin çıkarılmasına yönelik bir araç ve kitaplık koleksiyonudur. Bu nedenle, güvenliği ihlal edilmiş sistemlerden gelen bellek dökümlerini analiz etmek ve devam eden veya geçmiş güvenlik olaylarıyla ilgili değerli bilgileri çıkarmak için dijital adli tıp ve olay müdahalesinde yaygın olarak kullanılır.
Platformdan bağımsız olduğundan Windows, Linux ve macOS dahil çeşitli işletim sistemlerinden gelen bellek dökümlerini destekler. Aslında Volatilite, VMware veya VirtualBox tarafından oluşturulanlar gibi sanallaştırılmış ortamlardaki bellek dökümlerini de analiz edebilir ve böylece hem fiziksel hem de sanal sistem durumlarına ilişkin öngörüler sağlayabilir.
Volatilite, eklenti tabanlı bir mimariye sahiptir; çok çeşitli adli analizleri kapsayan zengin bir yerleşik eklenti seti ile birlikte gelir, ancak aynı zamanda kullanıcıların özel eklentiler ekleyerek işlevselliğini genişletmelerine de olanak tanır.
Sonuç
İşte işte buradasın. Mavi/kırmızı takım tatbikatlarının bir organizasyonun savunmasının hazırlıklılığını değerlendirmek için gerekli olduğunu ve dolayısıyla sağlam ve etkili bir güvenlik stratejisi için hayati önem taşıdığını söylemeye gerek yok. Bu alıştırma boyunca toplanan bilgi zenginliği, kuruluşlara güvenlik duruşlarına ilişkin bütünsel bir bakış açısı sağlar ve güvenlik protokollerinin etkinliğini değerlendirmelerine olanak tanır.
Ayrıca mavi ekipler, özellikle sağlık ve finans gibi sıkı düzenlemeye tabi sektörlerde kritik önem taşıyan siber güvenlik uyumluluğu ve düzenlemelerinde de önemli bir rol oynuyor. Mavi/kırmızı takım tatbikatları aynı zamanda güvenlik profesyonelleri için gerçekçi eğitim senaryoları sağlar ve bu uygulamalı deneyim, onların gerçek olaylara müdahale etme becerilerini geliştirmelerine yardımcı olur.
Hangi takıma imza atacaksınız?
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 22
- 36
- a
- kabiliyet
- erişim
- doğru
- Action
- eylemler
- faaliyetler
- etkinlik
- aktörler
- gerçek
- eklemek
- ekleme
- ilave
- Ek
- yöneticiler
- avantaj
- düşmanca
- karşı
- Amaçları
- Uyarmak
- Uyarılar
- veriyor
- boyunca
- Ayrıca
- arasında
- tutarları
- an
- analiz
- Analistler
- analytics
- çözümlemek
- analiz
- analizler
- analiz
- ve
- anomaliler
- herhangi
- hiçbir yerde
- api
- uygulamaları
- yaklaşım
- mimari
- ARE
- göre
- AS
- belirlemek
- Değerlendirme
- ilişkili
- At
- saldırgan
- girişim
- mevcut
- Arka
- merkezli
- BE
- Sığır eti
- önce
- davranış
- arasında
- Mavi
- her ikisi de
- Getiriyor
- geniş
- Tarama
- yapılı
- yerleşik
- fakat
- by
- denilen
- CAN
- yetenekleri
- ele geçirmek
- dava
- durumlarda
- Kategoriler
- Merkez
- zorluklar
- ücret
- sınıflandırma
- müşteri
- istemciler
- Küme
- işbirliği
- işbirlikçi
- Toplama
- Toplamak
- biçerdöverler
- geliyor
- Yakın İletişim
- topluluk
- uyma
- bileşenler
- kapsamlı
- Uzlaşılmış
- ödün
- bilgisayar
- Bilgisayar Güvenliği
- Davranış
- oluşur
- içerik
- kontrol
- kontroller
- işbirliği
- çekirdek
- Ücret
- kapak
- yaratmak
- çevrimiçi kurslar düzenliyorlar.
- oluşturma
- kritik
- çok önemli
- görenek
- özelleştirilebilir
- özelleştirmek
- Siber saldırı
- Siber güvenlik
- siber tehditler
- gösterge paneli
- veri
- veri analizi
- savunmaları
- savunma
- tanımlamak
- kesinlikle
- konuşlandırılmış
- dağıtma
- dağıtımları
- Dizayn
- tasarlanmış
- belirlemek
- Bulma
- farklı
- dijital
- direkt olarak
- rehber
- çeşitli
- yapıyor
- indir
- gereken
- Dük
- sırasında
- her
- hareket hızları
- Etkili
- etki
- verimli
- verimli biçimde
- çaba
- E-posta
- acil durum
- sağlar
- Son nokta
- Motor
- artırmak
- işletmelerin
- çevre
- ortamları
- özellikle
- gerekli
- vb
- Hatta
- Etkinlikler
- olaylar
- hİÇ
- gelişen
- yürütme
- Egzersiz
- deneyim
- sömürme
- ihracat
- uzatmak
- uzanır
- kapsamlı, geniş
- çıkarmak
- çıkarma
- Yüz
- kolaylaştırmak
- kolaylaştırır
- yanlış
- Özellikler
- az
- Alanlar
- fileto
- dosyalar
- filtreler
- maliye
- bulmak
- Ad
- esnek
- İçin
- Adli
- adli
- Eski
- teşvik
- iskelet
- itibaren
- Frontend
- önyüzleridir
- yerine getirmek
- tam
- işlevsellik
- daha fazla
- oyun
- Games
- ölçü
- dişliler
- oluşturulan
- üretir
- Küresel
- Goes
- gidiş
- tahmin
- sap
- kullanma
- hands-on
- Var
- sağlık
- yardım et
- yardımcı olur
- büyük ölçüde
- bütünsel
- anasayfa
- Ne kadar
- HTML
- HTTPS
- avcılık
- Kimlik
- belirlemek
- belirlenmesi
- if
- görüntü
- ithalat
- iyileştirmek
- in
- olay
- olay yanıtı
- Dahil olmak üzere
- gerçekten
- bireysel
- Endüstri
- bilgi
- Altyapı
- altyapı
- anlayışlar
- entegre
- Bütünleştirme
- bütünleşme
- entegrasyonlar
- arayüzey
- içine
- sezgisel
- araştırmak
- soruşturma
- Soruşturmalar
- içerir
- IT
- ONUN
- ortak
- koruma
- anahtar
- büyük
- büyük ölçekli
- büyük
- izin
- leverages
- kütüphaneler
- linux
- yaşamak
- log
- günlüğü
- Bakın
- macos
- Ana
- yapmak
- Yapımı
- kötü niyetli
- kötü amaçlı yazılım
- yönetmek
- yönetim
- çok
- Maç
- Mayıs..
- ortalama
- Bu arada
- Üyeler
- Bellek
- Metadata
- Metrikleri
- ayna
- Misyonumuz
- Azaltmak
- Moda
- izleme
- monitörler
- Daha
- çok
- gerek
- gerekli
- ağ
- ağ trafiği
- yeni
- notlar
- bildirimleri
- şimdi
- of
- kapalı
- saldırgan
- on
- bir Zamanlar
- ONE
- devam
- bir tek
- açık
- açık kaynak
- işletme
- işletim sistemleri
- Operasyon
- optimizasyon
- optimize
- seçenek
- or
- sipariş
- organizasyonlar
- Diğer
- dışarı
- tüm
- paketler
- özellikle
- parçalar
- geçmiş
- desen
- İnsanlar
- başına
- fiziksel
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- OYNA
- çalış
- eklentileri
- anket
- pozisyon
- potansiyel
- güç kelimesini seçerim
- önlemek
- Önleme
- paha biçilmez
- birincil
- Proaktif
- prosedürler
- süreç
- Süreçler
- profesyoneller
- teşvik
- özel
- koruyucu
- protokolleri
- sağlamak
- sağlar
- amaç
- hızla
- RAM
- menzil
- hızlı
- Gerçek dünya
- gerçek zaman
- реалистичный,en
- teslim almak
- Kırmızı
- kayıtlı
- kayıt
- kayıtlar
- kayıt
- düzenlenmekte olan
- düzenlenmiş endüstriler
- Değişiklik Yapıldı
- ilgili
- uygun
- uzak
- uzaktan
- Raporlar
- araştırma
- Yanıtlamak
- yanıt
- yanıt
- gözden
- Zengin
- krallar gibi yaşamaya
- gürbüz
- Rol
- rolleri
- kurallar
- söz
- ölçeklenebilir
- ölçek
- pullu
- senaryolar
- program
- Ara
- arama
- güvenlik
- Güvenlik olayları
- Güvenlik tehditleri
- gönderdi
- Dizi
- sunucu
- Sunucular
- Oturum
- set
- Setleri
- birkaç
- paylaşımı
- yan
- işaret
- İşaretler
- basitleştirir
- simülasyon
- simülasyonları
- becerileri
- So
- Kaynak
- kaynaklar
- uzay
- özel
- özel
- özel
- yığın
- Aşama
- Devletler
- Stratejileri
- aboneler
- böyle
- uygun
- Destekler
- şüpheli
- hızla
- sistem
- Sistemler
- taktik
- Bizi daha iyi tanımak için
- alır
- görevleri
- takım
- takım
- şablon
- onlarca
- şartlar
- test
- o
- The
- ve bazı Asya
- Onları
- Orada.
- bu nedenle
- Bunlar
- onlar
- işler
- Re-Tweet
- Bu
- Binlerce
- tehdit
- tehdit aktörleri
- tehditler
- üç
- İçinden
- boyunca
- engellemek
- sıkıca
- Başlık
- için
- birlikte
- araç
- araçlar
- trafik
- Eğitim
- iki
- türleri
- ui
- yetkisiz
- altında
- birleşik
- Güncellemeler
- üzerine
- kullanım
- Kullanılmış
- işe yarar
- kullanıcı
- kullanıcılar
- kullanım
- Değerli
- çeşitlilik
- çeşitli
- doğrulamak
- çok yönlü
- üzerinden
- Görüntüle
- Sanal
- hayati
- vmware
- uçucu
- Uçuculuk
- güvenlik açıkları
- istemek
- savaş
- we
- zayıf
- servet
- ağ
- Web tabanlı
- İYİ
- hangi
- süre
- DSÖ
- geniş
- Geniş ürün yelpazesi
- geniş ölçüde
- genişlik
- irade
- pencereler
- ile
- olmadan
- işçiler
- çalışma
- Sen
- zefirnet