Ви коли-небудь грали в комп’ютерні ігри, такі як Halo або Gears of War? Якщо так, то ви точно помітили режим гри під назвою Захопіть прапор який протиставляє дві команди, одна з яких відповідає за захист прапора від супротивників, які намагаються його вкрасти.
це вид вправи також використовується організаціями для оцінки їх здатності виявляти кібератаки, реагувати на них і пом’якшувати їх. Дійсно, ці симуляції є ключовими для визначення слабких місць у системах, людях і процесах організацій до того, як ними скористаються зловмисники. Імітуючи реалістичні кіберзагрози, ці навчання дозволяють фахівцям із безпеки також уточнювати процедури реагування на інциденти та зміцнювати свій захист від нових викликів безпеці.
У цій статті ми розглянемо, у загальних рисах, як дві команди вирішують це та які інструменти з відкритим кодом може використовувати сторона захисту. По-перше, надзвичайно швидке оновлення ролей двох команд:
- Червона команда відіграє роль нападника та використовує тактику, яка відображає тактику реальних загроз. Виявляючи та використовуючи вразливі місця, обходячи захист організації та скомпрометувавши її системи, це змагальне моделювання дає організаціям безцінне уявлення про щілини в їх кіберброні.
- Синя команда, тим часом, бере на себе роль оборони, оскільки вона прагне виявити та перешкодити вторгненням суперника. Це включає, серед іншого, розгортання різних інструментів кібербезпеки, відстеження мережевого трафіку на наявність аномалій або підозрілих шаблонів, перегляд журналів, створених різними системами та програмами, моніторинг і збір даних з окремих кінцевих точок, а також швидке реагування на будь-які ознаки несанкціонованого доступу або підозрілу поведінку.
Крім того, існує також фіолетова команда, яка покладається на спільний підхід і поєднує як атаку, так і оборону. Стимулюючи спілкування та співпрацю між наступальними та захисними командами, ці спільні зусилля дозволяють організаціям виявляти вразливі місця, перевіряти засоби контролю безпеки та покращувати загальну безпеку завдяки ще більш комплексному та єдиному підходу.
Тепер, повертаючись до синьої команди, оборонна сторона використовує різноманітні інструменти з відкритим кодом і пропрієтарні інструменти для виконання своєї місії. Давайте тепер розглянемо кілька таких інструментів з попередньої категорії.
Інструменти аналізу мережі
Аркіме
Призначений для ефективної обробки та аналізу даних мережевого трафіку, Аркіме це система широкомасштабного пошуку та захоплення пакетів (PCAP). Він має інтуїтивно зрозумілий веб-інтерфейс для перегляду, пошуку та експорту файлів PCAP, а його API дозволяє безпосередньо завантажувати та використовувати дані сеансу у форматі PCAP і JSON. Таким чином, це дозволяє інтегрувати дані зі спеціалізованими інструментами захоплення трафіку, такими як Wireshark, на етапі аналізу.
Arkime розроблено для одночасного розгортання на багатьох системах і може масштабуватися, щоб обробляти десятки гігабіт/секунду трафіку. Обробка PCAP великих обсягів даних базується на доступному дисковому просторі датчика та масштабі кластера Elasticsearch. Обидві ці функції можна розширити за потреби, і вони знаходяться під повним контролем адміністратора.
Шпор
Шпор це система запобігання вторгнень (IPS) з відкритим кодом, яка відстежує та аналізує мережевий трафік для виявлення та запобігання потенційним загрозам безпеці. Широко використовується для аналізу трафіку в реальному часі та реєстрації пакетів, він використовує серію правил, які допомагають визначити зловмисну активність у мережі та дозволяють знаходити пакети, які відповідають такій підозрілій або зловмисній поведінці, і генерують сповіщення для адміністраторів.
Відповідно до домашньої сторінки, Snort має три основні випадки використання:
- відстеження пакетів
- реєстрація пакетів (корисно для налагодження мережевого трафіку)
- мережева система запобігання вторгненням (IPS)
Для виявлення вторгнень і зловмисної активності в мережі Snort має три набори глобальних правил:
- правила для користувачів спільноти: ті, які доступні будь-якому користувачеві без будь-яких витрат і реєстрації.
- правила для зареєстрованих користувачів: зареєструвавшись у Snort, користувач може отримати доступ до набору правил, оптимізованих для визначення більш конкретних загроз.
- правила для передплатників: цей набір правил не тільки дозволяє точніше ідентифікувати та оптимізувати загрози, але й забезпечує можливість отримувати оновлення про загрози.
Інструменти управління інцидентами
TheHive
TheHive це масштабована платформа реагування на інциденти безпеки, яка забезпечує спільний і настроюваний простір для обробки інцидентів, розслідування та реагування. Він тісно інтегрований з MISP (платформою обміну інформацією про зловмисне програмне забезпечення) і полегшує завдання Центру безпеки (SOC), Групи реагування на інциденти комп’ютерної безпеки (CSIRT), Групи реагування на надзвичайні ситуації з комп’ютером (CERT) та будь-яких інших фахівців із безпеки, які стикаються з інцидентами безпеки, які потребують швидкого аналізу та реагування. Таким чином, він допомагає організаціям ефективно керувати інцидентами безпеки та реагувати на них
Є три функції, які роблять його таким корисним:
- Співпраця: Платформа сприяє співпраці в режимі реального часу між (SOC) і аналітиками команди реагування на комп’ютерні надзвичайні ситуації (CERT). Це полегшує інтеграцію поточних розслідувань у справи, завдання та спостереження. Учасники можуть отримати доступ до відповідної інформації та спеціальних сповіщень про нові події MISP, сповіщень, звітів електронною поштою та інтеграції SIEM, що ще більше покращує комунікацію.
- Розробка: Інструмент спрощує створення справ і пов’язаних завдань за допомогою ефективної системи шаблонів. Ви можете налаштувати показники та поля за допомогою інформаційної панелі, а платформа підтримує теги важливих файлів, які містять зловмисне програмне забезпечення або підозрілі дані.
- продуктивність: Додайте від одного до тисяч спостережуваних показників до кожного створеного випадку, включаючи можливість імпортувати їх безпосередньо з події MISP або будь-якого сповіщення, надісланого на платформу, а також настроювану класифікацію та фільтри.
Швидке реагування GRR
Швидке реагування GRR це структура реагування на інциденти, яка дозволяє здійснювати віддалений судово-медичний аналіз у реальному часі. Він дистанційно збирає та аналізує криміналістичні дані з систем, щоб сприяти розслідуванню кібербезпеки та діям реагування на інциденти. GRR підтримує збір різних типів криміналістичних даних, включаючи метадані файлової системи, вміст пам’яті, інформацію реєстру та інші артефакти, які мають вирішальне значення для аналізу інцидентів. Його розроблено для широкомасштабного розгортання, що робить його особливо придатним для підприємств із різноманітною та розгалуженою ІТ-інфраструктурою.
Він складається з двох частин, клієнта та сервера.
Клієнт GRR розгортається в системах, які ви хочете дослідити. У кожній із цих систем після розгортання клієнт GRR періодично опитує зовнішні сервери GRR, щоб перевірити, чи вони працюють. Під «роботою» ми маємо на увазі виконання певної дії: завантаження файлу, перерахування каталогу тощо.
Серверна інфраструктура GRR складається з кількох компонентів (фронтенди, робочі сервери, сервери інтерфейсу користувача, Fleetspeak) і забезпечує веб-графічний інтерфейс користувача та кінцеву точку API, що дозволяє аналітикам планувати дії для клієнтів, а також переглядати й обробляти зібрані дані.
Аналіз операційних систем
ХЕЛК
ХЕЛК, або The Hunting ELK, розроблено, щоб забезпечити комплексне середовище для професіоналів із безпеки для проведення проактивного пошуку загроз, аналізу подій безпеки та реагування на інциденти. Він використовує потужність стеку ELK разом із додатковими інструментами для створення універсальної та розширюваної платформи аналітики безпеки.
Він поєднує різні інструменти кібербезпеки в єдину платформу для виявлення загроз і аналітики безпеки. Його основними компонентами є Elasticsearch, Logstash і Kibana (стек ELK), які широко використовуються для аналізу журналів і даних. HELK розширює стек ELK, інтегруючи додаткові інструменти безпеки та джерела даних, щоб розширити свої можливості для виявлення загроз і реагування на інциденти.
Його призначення – дослідження, але завдяки гнучкому дизайну та основним компонентам його можна розгортати у великих середовищах із належними конфігураціями та масштабованою інфраструктурою.
Volatility
Команда Волатильність це набір інструментів і бібліотек для вилучення цифрових артефактів із, як ви вже здогадалися, енергонезалежної пам’яті (RAM) системи. Тому він широко використовується в цифровій криміналістиці та реагуванні на інциденти для аналізу дампів пам’яті зі зламаних систем і вилучення цінної інформації, пов’язаної з поточними або минулими інцидентами безпеки.
Оскільки він не залежить від платформи, він підтримує дампи пам’яті з різних операційних систем, включаючи Windows, Linux і macOS. Дійсно, Volatility також може аналізувати дампи пам’яті з віртуалізованих середовищ, таких як створені VMware або VirtualBox, і таким чином надавати інформацію про фізичний і віртуальний стан системи.
Volatility має архітектуру на основі плагінів – він постачається з багатим набором вбудованих плагінів, які охоплюють широкий спектр криміналістичного аналізу, але також дозволяє користувачам розширювати його функціональність, додаючи власні плагіни.
Висновок
Отже, ось і все. Само собою зрозуміло, що синьо-червоні групові тренування мають важливе значення для оцінки готовності захисту організації і, як такі, життєво важливі для надійної та ефективної стратегії безпеки. Велика кількість інформації, зібраної під час цієї вправи, дає організаціям цілісне уявлення про їхній стан безпеки та дозволяє їм оцінити ефективність своїх протоколів безпеки.
Крім того, сині команди відіграють ключову роль у дотриманні та регулюванні кібербезпеки, що особливо важливо в суворо регульованих галузях, таких як охорона здоров’я та фінанси. Синьо-червоні командні вправи також пропонують реалістичні сценарії навчання для професіоналів із безпеки, і цей практичний досвід допомагає їм відточувати свої навички реального реагування на інциденти.
В яку команду ти запишешся?
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- : має
- :є
- : ні
- $UP
- 22
- 36
- a
- здатність
- доступ
- точний
- дію
- дії
- діяльності
- діяльність
- актори
- фактичний
- додавати
- додати
- доповнення
- Додатковий
- Адміністратори
- Перевага
- змагальність
- проти
- Цілі
- Оповіщення
- Alerts
- дозволяє
- по
- Також
- серед
- суми
- an
- аналіз
- аналітики
- аналітика
- аналізувати
- проаналізовані
- аналізи
- Аналізуючи
- та
- аномалії
- будь-який
- де-небудь
- API
- застосування
- підхід
- архітектура
- ЕСТЬ
- стаття
- AS
- оцінити
- Оцінювання
- асоційований
- At
- нападаючий
- спроба
- доступний
- назад
- заснований
- BE
- Яловичина
- перед тим
- поведінка
- між
- синій
- обидва
- Приносить
- широкий
- Перегляд
- побудований
- вбудований
- але
- by
- званий
- CAN
- можливості
- захоплення
- випадок
- випадків
- Категорія
- Центр
- проблеми
- заряд
- класифікація
- клієнт
- клієнтів
- кластер
- співробітництво
- спільний
- Збір
- збір
- комбінати
- приходить
- Комунікація
- співтовариство
- дотримання
- Компоненти
- всеосяжний
- Компрометація
- компрометуючі
- комп'ютер
- Комп'ютерна безпека
- Проводити
- складається
- зміст
- контроль
- управління
- співробітництво
- Core
- Коштувати
- обкладинка
- створювати
- створений
- створення
- критичний
- вирішальне значення
- виготовлений на замовлення
- настроюється
- налаштувати
- Кібератака
- Кібербезпека
- кіберзагрози
- приладова панель
- дані
- аналіз даних
- оборонні споруди
- оборонний
- визначати
- безумовно
- розгорнути
- розгортання
- розгортання
- дизайн
- призначений
- виявляти
- Виявлення
- різний
- цифровий
- безпосередньо
- каталог
- Різне
- справи
- скачати
- два
- Герцог
- під час
- кожен
- Легко
- Ефективний
- ефективність
- ефективний
- продуктивно
- зусилля
- аварійний
- дозволяє
- Кінцева точка
- двигун
- підвищувати
- підприємств
- Навколишнє середовище
- середовищах
- особливо
- істотний
- і т.д.
- Навіть
- Event
- Події
- НІКОЛИ
- еволюціонує
- виконання
- Здійснювати
- досвід
- експлуатація
- експорту
- продовжити
- продовжується
- обширний
- витяг
- видобуток
- Face
- фасилітувати
- полегшує
- false
- риси
- кілька
- Поля
- філе
- Файли
- Фільтри
- фінансування
- знайти
- Перший
- гнучкий
- для
- Криміналістика
- судово-медичної експертизи
- Колишній
- виховання
- Рамки
- від
- Frontend
- передній кінець
- Виконати
- Повний
- функціональність
- далі
- гра
- Games
- калібр
- передач
- генерується
- генерує
- Глобальний
- йде
- буде
- здогадався
- обробляти
- Обробка
- практичний
- Мати
- охорона здоров'я
- допомога
- допомагає
- дуже
- цілісний
- домашня сторінка
- Як
- HTML
- HTTPS
- Полювання
- Ідентифікація
- ідентифікувати
- ідентифікує
- if
- зображення
- імпорт
- удосконалювати
- in
- інцидент
- реагування на інциденти
- У тому числі
- дійсно
- індивідуальний
- промисловості
- інформація
- Інфраструктура
- інфраструктура
- розуміння
- інтегрований
- Інтеграція
- інтеграція
- інтеграцій
- інтерфейс
- в
- інтуїтивний
- дослідити
- дослідження
- Дослідження
- включає в себе
- IT
- ЙОГО
- спільна
- зберігання
- ключ
- великий
- масштабний
- більше
- дозволяти
- важелі
- libraries
- Linux
- жити
- журнал
- каротаж
- подивитися
- MacOS
- головний
- зробити
- Робить
- malicious
- шкідливих програм
- управляти
- управління
- багато
- матч
- Може..
- значити
- Між тим
- члени
- пам'ять
- метадані
- Метрика
- дзеркало
- Місія
- Пом'якшити
- режим
- моніторинг
- монітори
- більше
- багато
- Необхідність
- необхідний
- мережу
- мережевий трафік
- Нові
- увагу
- Повідомлення
- зараз
- of
- від
- наступ
- on
- один раз
- ONE
- постійний
- тільки
- відкрити
- з відкритим вихідним кодом
- операційний
- операційні системи
- операції
- оптимізація
- оптимізований
- варіант
- or
- порядок
- організації
- Інше
- з
- загальний
- пакети
- особливо
- частини
- Минуле
- моделі
- Люди
- для
- фізичний
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- Play
- відіграє
- plugins
- опитування
- положення
- потенціал
- влада
- запобігати
- Попередження
- безцінний
- первинний
- Проактивний
- Процедури
- процес
- процеси
- професіонали
- сприяє
- власником
- захищає
- протоколи
- забезпечувати
- забезпечує
- мета
- швидко
- Оперативна пам'ять
- діапазон
- швидко
- Реальний світ
- реального часу
- реалістичний
- отримати
- червоний
- зареєстрований
- реєструючий
- Реєстрація
- реєстру
- регулюється
- регульовані галузі
- Регулювання
- пов'язаний
- доречний
- віддалений
- віддалено
- Звіти
- дослідження
- Реагувати
- відповідаючи
- відповідь
- рецензування
- Багаті
- право
- міцний
- Роль
- ролі
- Правила
- приказка
- масштабовані
- шкала
- масштабний
- сценарії
- розклад
- Пошук
- Грати короля карти - безкоштовно Nijumi логічна гра гри
- безпеку
- події безпеки
- Загрози безпеці
- посланий
- Серія
- сервер
- Сервери
- Сесія
- комплект
- набори
- кілька
- поділ
- сторона
- підпис
- Ознаки
- спрощує
- моделювання
- моделювання
- навички
- So
- Source
- Джерела
- Простір
- спеціальний
- спеціалізований
- конкретний
- стек
- Стажування
- Штати
- Стратегія
- абоненти
- такі
- підходящий
- Опори
- підозрілі
- швидко
- система
- Systems
- тактика
- Приймати
- приймає
- завдання
- команда
- команди
- шаблон
- тензор
- terms
- тест
- Що
- Команда
- їх
- Їх
- Там.
- отже
- Ці
- вони
- речі
- це
- ті
- тисячі
- загроза
- актори загроз
- загрози
- три
- через
- по всьому
- зірвати
- щільно
- назва
- до
- разом
- інструмент
- інструменти
- трафік
- Навчання
- два
- Типи
- ui
- несанкціонований
- при
- єдиний
- Updates
- на
- використання
- використовуваний
- корисний
- користувач
- користувачі
- використовує
- Цінний
- різноманітність
- різний
- перевірити
- різнобічний
- через
- вид
- Віртуальний
- життєво важливий
- VMware
- летючий
- Volatility
- Уразливості
- хотіти
- війна
- we
- недоліки
- Багатство
- Web
- Web-Based
- ДОБРЕ
- який
- в той час як
- ВООЗ
- широкий
- Широкий діапазон
- широко
- ширина
- волі
- windows
- з
- без
- робочі
- робочий
- Ти
- вашу
- зефірнет