Bạn có từng chơi các trò chơi trên máy tính như Halo hay Gears of War không? Nếu vậy, bạn chắc chắn đã nhận thấy một chế độ trò chơi có tên Chụp cờ để hai đội đấu với nhau – một đội chịu trách nhiệm bảo vệ lá cờ khỏi những đối thủ cố gắng đánh cắp nó.
T loại bài tập cũng được các tổ chức sử dụng để đánh giá khả năng phát hiện, ứng phó và giảm thiểu một cuộc tấn công mạng. Thật vậy, những mô phỏng này là chìa khóa để xác định điểm yếu trong hệ thống, con người và quy trình của tổ chức trước khi những kẻ tấn công lợi dụng chúng. Bằng cách mô phỏng các mối đe dọa mạng thực tế, những bài tập này cho phép những người thực hành bảo mật cũng có thể hoàn thiện các quy trình ứng phó sự cố và tăng cường khả năng phòng thủ trước những thách thức an ninh ngày càng gia tăng.
Trong bài viết này, chúng ta sẽ xem xét một cách khái quát cách hai đội đối đầu với nhau và những công cụ nguồn mở nào mà bên phòng thủ có thể sử dụng. Trước hết, xin nhắc lại một cách nhanh chóng về vai trò của hai đội:
- Đội đỏ đóng vai kẻ tấn công và tận dụng các chiến thuật phản ánh chiến thuật của các tác nhân đe dọa trong thế giới thực. Bằng cách xác định và khai thác các lỗ hổng, vượt qua hệ thống phòng thủ của tổ chức và xâm phạm hệ thống của tổ chức, mô phỏng đối nghịch này cung cấp cho các tổ chức những hiểu biết sâu sắc vô giá về các lỗ hổng trong áo giáp mạng của họ.
- Trong khi đó, đội xanh đảm nhận vai trò phòng thủ vì nhằm phát hiện và ngăn chặn các đợt xâm nhập của đối phương. Điều này liên quan đến việc triển khai các công cụ an ninh mạng khác nhau, theo dõi lưu lượng truy cập mạng để phát hiện bất kỳ điểm bất thường hoặc mẫu đáng ngờ nào, xem xét nhật ký được tạo bởi các hệ thống và ứng dụng khác nhau, giám sát và thu thập dữ liệu từ các điểm cuối riêng lẻ và phản hồi nhanh chóng mọi dấu hiệu truy cập trái phép. hoặc hành vi đáng ngờ.
Xin lưu ý thêm, cũng có một đội màu tím dựa trên cách tiếp cận hợp tác và tập hợp cả hoạt động tấn công và phòng thủ. Bằng cách thúc đẩy liên lạc và hợp tác giữa các đội tấn công và phòng thủ, nỗ lực chung này cho phép các tổ chức xác định các lỗ hổng, kiểm tra các biện pháp kiểm soát bảo mật và cải thiện tình hình bảo mật tổng thể của họ thông qua cách tiếp cận thống nhất và toàn diện hơn.
Bây giờ, quay trở lại với đội xanh, bên phòng thủ sử dụng nhiều công cụ độc quyền và nguồn mở để hoàn thành sứ mệnh của mình. Bây giờ chúng ta hãy xem xét một vài công cụ như vậy thuộc danh mục trước.
Công cụ phân tích mạng
arkime
Được thiết kế để xử lý và phân tích dữ liệu lưu lượng mạng một cách hiệu quả, arkime là một hệ thống tìm kiếm và thu thập gói quy mô lớn (PCAP). Nó có giao diện web trực quan để duyệt, tìm kiếm và xuất các tệp PCAP trong khi API của nó cho phép bạn trực tiếp tải xuống và sử dụng dữ liệu phiên có định dạng PCAP và JSON. Khi làm như vậy, nó cho phép tích hợp dữ liệu với các công cụ nắm bắt lưu lượng truy cập chuyên dụng như Wireshark trong giai đoạn phân tích.
Arkime được xây dựng để triển khai trên nhiều hệ thống cùng một lúc và có thể mở rộng quy mô để xử lý lưu lượng truy cập hàng chục gigabit/giây. Việc xử lý lượng lớn dữ liệu của PCAP dựa trên dung lượng ổ đĩa có sẵn của cảm biến và quy mô của cụm Elaticsearch. Cả hai tính năng này đều có thể được mở rộng khi cần thiết và nằm dưới sự kiểm soát hoàn toàn của quản trị viên.
Snort
Snort là một hệ thống ngăn chặn xâm nhập nguồn mở (IPS) giám sát và phân tích lưu lượng mạng để phát hiện và ngăn chặn các mối đe dọa bảo mật tiềm ẩn. Được sử dụng rộng rãi để phân tích lưu lượng truy cập theo thời gian thực và ghi nhật ký gói, nó sử dụng một loạt quy tắc giúp xác định hoạt động độc hại trên mạng và cho phép tìm các gói phù hợp với hành vi đáng ngờ hoặc độc hại đó và tạo cảnh báo cho quản trị viên.
Theo trang chủ của nó, Snort có ba trường hợp sử dụng chính:
- theo dõi gói
- ghi nhật ký gói (hữu ích cho việc gỡ lỗi lưu lượng mạng)
- Hệ thống ngăn chặn xâm nhập mạng (IPS)
Để phát hiện sự xâm nhập và hoạt động độc hại trên mạng, Snort có ba bộ quy tắc chung:
- quy tắc dành cho người dùng cộng đồng: những quy tắc có sẵn cho bất kỳ người dùng nào mà không mất bất kỳ chi phí và đăng ký nào.
- quy tắc dành cho người dùng đã đăng ký: Bằng cách đăng ký với Snort, người dùng có thể truy cập một bộ quy tắc được tối ưu hóa để xác định các mối đe dọa cụ thể hơn nhiều.
- quy tắc dành cho người đăng ký: Bộ quy tắc này không chỉ cho phép xác định và tối ưu hóa mối đe dọa chính xác hơn mà còn đi kèm với khả năng nhận các bản cập nhật về mối đe dọa.
Công cụ quản lý sự cố
TheHive
TheHive là một nền tảng ứng phó sự cố bảo mật có thể mở rộng, cung cấp không gian cộng tác và có thể tùy chỉnh cho các hoạt động xử lý, điều tra và ứng phó sự cố. Nó được tích hợp chặt chẽ với MISP (Nền tảng chia sẻ thông tin phần mềm độc hại) và giảm bớt nhiệm vụ của Trung tâm điều hành bảo mật (SOC), Nhóm ứng phó sự cố bảo mật máy tính (CSIRT), Nhóm ứng phó khẩn cấp máy tính (CERT) và bất kỳ chuyên gia bảo mật nào khác gặp phải sự cố bảo mật. cần được phân tích và xử lý nhanh chóng. Nhờ đó, nó giúp các tổ chức quản lý và ứng phó các sự cố bảo mật một cách hiệu quả.
Có ba tính năng khiến nó trở nên hữu ích:
- SỰ HỢP TÁC: Nền tảng này thúc đẩy sự hợp tác theo thời gian thực giữa các nhà phân tích (SOC) và Nhóm ứng phó khẩn cấp máy tính (CERT). Nó tạo điều kiện cho việc tích hợp các cuộc điều tra đang diễn ra vào các trường hợp, nhiệm vụ và vật thể quan sát được. Thành viên có thể truy cập thông tin liên quan và thông báo đặc biệt về các sự kiện MISP mới, cảnh báo, báo cáo email và tích hợp SIEM để nâng cao hơn nữa khả năng liên lạc.
- Xây dựng: Công cụ đơn giản hóa việc tạo các trường hợp và tác vụ liên quan thông qua một công cụ tạo mẫu hiệu quả. Bạn có thể tùy chỉnh các số liệu và trường thông qua trang tổng quan và nền tảng này hỗ trợ gắn thẻ các tệp thiết yếu có chứa phần mềm độc hại hoặc dữ liệu đáng ngờ.
- HIỆU QUẢ: Thêm từ một đến hàng nghìn vật thể quan sát vào mỗi trường hợp được tạo, bao gồm tùy chọn nhập chúng trực tiếp từ sự kiện MISP hoặc bất kỳ cảnh báo nào được gửi tới nền tảng, cũng như các bộ lọc và phân loại có thể tùy chỉnh.
Phản ứng nhanh GRR
Phản ứng nhanh GRR là một khung ứng phó sự cố cho phép phân tích pháp y trực tiếp từ xa. Nó thu thập và phân tích từ xa dữ liệu điều tra từ các hệ thống để tạo điều kiện thuận lợi cho việc điều tra an ninh mạng và các hoạt động ứng phó sự cố. GRR hỗ trợ thu thập nhiều loại dữ liệu điều tra khác nhau, bao gồm siêu dữ liệu hệ thống tệp, nội dung bộ nhớ, thông tin đăng ký và các thành phần khác rất quan trọng cho việc phân tích sự cố. Nó được xây dựng để xử lý việc triển khai quy mô lớn, đặc biệt phù hợp với các doanh nghiệp có cơ sở hạ tầng CNTT đa dạng và rộng khắp.
Nó bao gồm hai phần, một máy khách và một máy chủ.
Máy khách GRR được triển khai trên các hệ thống mà bạn muốn điều tra. Trên mỗi hệ thống này, sau khi được triển khai, máy khách GRR sẽ thăm dò định kỳ các máy chủ giao diện GRR để xác minh xem chúng có hoạt động hay không. Khi nói “làm việc”, chúng tôi muốn nói đến việc thực hiện một hành động cụ thể: tải xuống một tệp, liệt kê một thư mục, v.v.
Cơ sở hạ tầng máy chủ GRR bao gồm một số thành phần (giao diện người dùng, nhân viên, máy chủ giao diện người dùng, Fleetspeak) và cung cấp GUI dựa trên web và điểm cuối API cho phép các nhà phân tích lên lịch hành động trên máy khách cũng như xem và xử lý dữ liệu được thu thập.
Phân tích hệ điều hành
TRỢ GIÚP
TRỢ GIÚP, hay The Hunting ELK, được thiết kế để cung cấp một môi trường toàn diện cho các chuyên gia bảo mật tiến hành chủ động tìm kiếm mối đe dọa, phân tích các sự kiện bảo mật và ứng phó với các sự cố. Nó tận dụng sức mạnh của ngăn xếp ELK cùng với các công cụ bổ sung để tạo ra nền tảng phân tích bảo mật linh hoạt và có thể mở rộng.
Nó kết hợp nhiều công cụ an ninh mạng khác nhau thành một nền tảng thống nhất để săn lùng mối đe dọa và phân tích bảo mật. Các thành phần chính của nó là Elaticsearch, Logstash và Kibana (ngăn xếp ELK), được sử dụng rộng rãi để phân tích nhật ký và dữ liệu. HELK mở rộng ngăn xếp ELK bằng cách tích hợp các công cụ bảo mật và nguồn dữ liệu bổ sung để nâng cao khả năng phát hiện mối đe dọa và ứng phó sự cố.
Mục đích của nó là dành cho nghiên cứu, nhưng do thiết kế linh hoạt và các thành phần cốt lõi, nó có thể được triển khai trong các môi trường lớn hơn với cấu hình phù hợp và cơ sở hạ tầng có thể mở rộng.
Biến động
Sản phẩm Khung biến động là một tập hợp các công cụ và thư viện để trích xuất các tạo phẩm kỹ thuật số từ bộ nhớ dễ thay đổi (RAM) của hệ thống. Do đó, nó được sử dụng rộng rãi trong điều tra kỹ thuật số và ứng phó sự cố để phân tích kết xuất bộ nhớ từ các hệ thống bị xâm nhập và trích xuất thông tin có giá trị liên quan đến các sự cố bảo mật đang diễn ra hoặc trong quá khứ.
Vì nó độc lập với nền tảng nên nó hỗ trợ kết xuất bộ nhớ từ nhiều hệ điều hành khác nhau, bao gồm Windows, Linux và macOS. Thật vậy, Volatility cũng có thể phân tích kết xuất bộ nhớ từ các môi trường ảo hóa, chẳng hạn như các môi trường được tạo bởi VMware hoặc VirtualBox, đồng thời cung cấp thông tin chi tiết về cả trạng thái hệ thống vật lý và ảo.
Biến động có kiến trúc dựa trên plugin – nó đi kèm với một bộ plugin tích hợp phong phú bao gồm nhiều phân tích pháp y, nhưng cũng cho phép người dùng mở rộng chức năng của nó bằng cách thêm các plugin tùy chỉnh.
Kết luận
Vì vậy, bạn có nó. Không cần phải nói rằng các cuộc tập trận của đội xanh/đỏ là cần thiết để đánh giá mức độ sẵn sàng phòng thủ của tổ chức và do đó rất quan trọng đối với một chiến lược an ninh mạnh mẽ và hiệu quả. Thông tin phong phú được thu thập trong quá trình thực hiện này cung cấp cho các tổ chức cái nhìn toàn diện về tình hình bảo mật của họ và cho phép họ đánh giá tính hiệu quả của các giao thức bảo mật của mình.
Ngoài ra, các đội xanh đóng vai trò quan trọng trong việc tuân thủ và quy định về an ninh mạng, điều này đặc biệt quan trọng trong các ngành được quản lý chặt chẽ, chẳng hạn như chăm sóc sức khỏe và tài chính. Các bài tập của đội xanh/đỏ cũng cung cấp các kịch bản đào tạo thực tế cho các chuyên gia bảo mật và trải nghiệm thực hành này giúp họ trau dồi kỹ năng ứng phó sự cố thực tế.
Bạn sẽ đăng ký vào đội nào?
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- : có
- :là
- :không phải
- $ LÊN
- 22
- 36
- a
- có khả năng
- truy cập
- chính xác
- Hoạt động
- hành động
- hoạt động
- hoạt động
- diễn viên
- thực tế
- thêm vào
- thêm
- Ngoài ra
- thêm vào
- quản trị
- Lợi thế
- đối thủ
- chống lại
- Mục tiêu
- Cảnh báo
- Cảnh báo
- cho phép
- dọc theo
- Ngoài ra
- trong số
- số lượng
- an
- phân tích
- Các nhà phân tích
- phân tích
- phân tích
- phân tích
- phân tích
- phân tích
- và
- bất thường
- bất kì
- bất cứ nơi nào
- api
- các ứng dụng
- phương pháp tiếp cận
- kiến trúc
- LÀ
- bài viết
- AS
- đánh giá
- Đánh giá
- liên kết
- At
- kẻ tấn công
- nỗ lực
- có sẵn
- trở lại
- dựa
- BE
- Thịt bò
- trước
- hành vi
- giữa
- Màu xanh da trời
- cả hai
- Mang lại
- rộng
- Duyệt
- xây dựng
- được xây dựng trong
- nhưng
- by
- gọi là
- CAN
- khả năng
- nắm bắt
- trường hợp
- trường hợp
- Phân loại
- Trung tâm
- thách thức
- phí
- phân loại
- khách hàng
- khách hàng
- cụm
- hợp tác
- hợp tác
- Thu
- bộ sưu tập
- kết hợp
- đến
- Giao tiếp
- cộng đồng
- tuân thủ
- các thành phần
- toàn diện
- Thỏa hiệp
- ảnh hưởng
- máy tính
- An Ninh Máy Vi Tính
- Tiến hành
- bao gồm
- nội dung
- điều khiển
- điều khiển
- hợp tác
- Trung tâm
- Phí Tổn
- che
- tạo
- tạo ra
- tạo
- quan trọng
- quan trọng
- khách hàng
- tùy biến
- tùy chỉnh
- Tấn công mạng
- An ninh mạng
- Mối đe dọa mạng
- bảng điều khiển
- dữ liệu
- phân tích dữ liệu
- phòng thủ
- phòng thủ
- định nghĩa
- chắc chắn
- triển khai
- triển khai
- triển khai
- Thiết kế
- thiết kế
- phát hiện
- Phát hiện
- khác nhau
- kỹ thuật số
- trực tiếp
- thư mục
- khác nhau
- làm
- tải về
- hai
- Duke
- suốt trong
- mỗi
- Ease
- Hiệu quả
- hiệu quả
- hiệu quả
- hiệu quả
- nỗ lực
- trường hợp khẩn cấp
- cho phép
- Điểm cuối
- Động cơ
- nâng cao
- doanh nghiệp
- Môi trường
- môi trường
- đặc biệt
- thiết yếu
- vv
- Ngay cả
- Sự kiện
- sự kiện
- BAO GIỜ
- phát triển
- thi hành
- Tập thể dục
- kinh nghiệm
- khai thác
- xuất khẩu
- thêm
- kéo dài
- mở rộng
- trích xuất
- khai thác
- Đối mặt
- tạo điều kiện
- tạo điều kiện
- sai
- Tính năng
- vài
- Lĩnh vực
- Tập tin
- Các tập tin
- bộ lọc
- tài chính
- Tìm kiếm
- Tên
- linh hoạt
- Trong
- Pháp y
- pháp y
- Cựu
- bồi dưỡng
- Khung
- từ
- lối vào
- giao diện người dùng
- Hoàn thành
- Full
- chức năng
- xa hơn
- trò chơi
- Trò chơi
- đo
- bánh răng
- tạo ra
- tạo
- Toàn cầu
- Đi
- đi
- đoán
- xử lý
- Xử lý
- hands-on
- Có
- chăm sóc sức khỏe
- giúp đỡ
- giúp
- cao
- toàn diện
- trang chủ
- Độ đáng tin của
- HTML
- HTTPS
- Săn bắn
- Xác định
- xác định
- xác định
- if
- hình ảnh
- nhập khẩu
- nâng cao
- in
- sự cố
- ứng phó sự cố
- Bao gồm
- thực sự
- hệ thống riêng biệt,
- các ngành công nghiệp
- thông tin
- Cơ sở hạ tầng
- cơ sở hạ tầng
- những hiểu biết
- tích hợp
- Tích hợp
- hội nhập
- tích hợp
- Giao thức
- trong
- trực quan
- điều tra
- điều tra
- Điều tra
- liên quan đến
- IT
- ITS
- chung
- giữ
- Key
- lớn
- quy mô lớn
- lớn hơn
- cho phép
- đòn bẩy
- thư viện
- linux
- sống
- đăng nhập
- khai thác gỗ
- Xem
- hệ điều hành Mac
- Chủ yếu
- làm cho
- Làm
- độc hại
- phần mềm độc hại
- quản lý
- quản lý
- nhiều
- Trận đấu
- Có thể..
- nghĩa là
- Trong khi đó
- Các thành viên
- Bộ nhớ
- Siêu dữ liệu
- Metrics
- gương
- Sứ mệnh
- Giảm nhẹ
- Chế độ
- giám sát
- màn hình
- chi tiết
- nhiều
- Cần
- cần thiết
- mạng
- lưu lượng mạng
- Mới
- ghi
- thông báo
- tại
- of
- off
- phản cảm
- on
- hàng loạt
- ONE
- đang diễn ra
- có thể
- mở
- mã nguồn mở
- hoạt động
- các hệ điều hành
- Hoạt động
- tối ưu hóa
- tối ưu hóa
- Tùy chọn
- or
- gọi món
- tổ chức
- Nền tảng khác
- ra
- tổng thể
- gói
- đặc biệt
- các bộ phận
- qua
- mô hình
- người
- mỗi
- vật lý
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- đóng
- bổ sung
- cuộc thăm dò
- vị trí
- tiềm năng
- quyền lực
- ngăn chặn
- Phòng chống
- vô giá
- chính
- Chủ động
- thủ tục
- quá trình
- Quy trình
- chuyên gia
- quảng bá
- độc quyền
- bảo vệ
- giao thức
- cho
- cung cấp
- mục đích
- Mau
- RAM
- phạm vi
- nhanh
- thế giới thực
- thời gian thực
- thực tế
- nhận
- đỏ
- đăng ký
- đăng ký
- Đăng Ký
- đăng ký
- quy định
- ngành công nghiệp quy định
- Quy định
- liên quan
- có liên quan
- xa
- từ xa
- Báo cáo
- nghiên cứu
- Trả lời
- đáp ứng
- phản ứng
- xem xét
- Giàu
- ngay
- mạnh mẽ
- Vai trò
- vai trò
- quy tắc
- nói
- khả năng mở rộng
- Quy mô
- thu nhỏ
- kịch bản
- lịch trình
- Tìm kiếm
- tìm kiếm
- an ninh
- sự kiện bảo mật
- Các mối đe dọa an ninh
- gởi
- Loạt Sách
- máy chủ
- Các máy chủ
- Phiên
- định
- bộ
- một số
- chia sẻ
- bên
- đăng ký
- Dấu hiệu
- đơn giản hóa
- mô phỏng
- mô phỏng
- kỹ năng
- So
- nguồn
- nguồn
- Không gian
- đặc biệt
- chuyên nghành
- riêng
- ngăn xếp
- Traineeship
- Bang
- Chiến lược
- thuê bao
- như vậy
- phù hợp
- Hỗ trợ
- đáng ngờ
- nhanh chóng
- hệ thống
- hệ thống
- chiến thuật
- Hãy
- mất
- nhiệm vụ
- nhóm
- đội
- mẫu
- hàng chục
- về
- thử nghiệm
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Đó
- vì thế
- Kia là
- họ
- điều
- điều này
- những
- hàng ngàn
- mối đe dọa
- diễn viên đe dọa
- các mối đe dọa
- số ba
- Thông qua
- khắp
- cản trở
- chặt lấy
- Yêu sách
- đến
- bên nhau
- công cụ
- công cụ
- giao thông
- Hội thảo
- hai
- loại
- ui
- không được phép
- Dưới
- thống nhât
- Cập nhật
- trên
- sử dụng
- đã sử dụng
- hữu ích
- người sử dang
- Người sử dụng
- sử dụng
- Quý báu
- nhiều
- khác nhau
- xác minh
- linh hoạt
- thông qua
- Xem
- ảo
- quan trọng
- vmware
- Dễ bay hơi
- Biến động
- Lỗ hổng
- muốn
- chiến tranh
- we
- những điểm yếu
- Wealth
- web
- Dựa trên web
- TỐT
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- rộng
- Phạm vi rộng
- rộng rãi
- chiều rộng
- sẽ
- cửa sổ
- với
- không có
- công nhân
- đang làm việc
- Bạn
- trên màn hình
- zephyrnet