您玩过光环或战争机器等电脑游戏吗?如果是这样,您肯定注意到了一种称为 夺旗 两支队伍相互对抗——一支队伍负责保护旗帜免遭试图窃取旗帜的敌人的袭击。
本篇 运动类型 组织还使用它来衡量其检测、响应和减轻网络攻击的能力。事实上,这些模拟对于在攻击者利用组织系统、人员和流程之前查明其弱点至关重要。通过模拟现实的网络威胁,这些练习还可以让安全从业人员微调事件响应程序,并加强对不断变化的安全挑战的防御。
在本文中,我们粗略地了解了两支球队如何较量以及防守方可能使用哪些开源工具。首先,快速回顾一下两支球队的角色:
- 红队扮演攻击者的角色,并利用反映现实世界威胁行为者的策略。通过识别和利用漏洞、绕过组织的防御并破坏其系统,这种对抗性模拟为组织提供了对其网络装甲漏洞的无价洞察。
- 与此同时,蓝队承担防御角色,旨在发现并阻止对手的入侵。除其他外,这涉及部署各种网络安全工具,密切关注网络流量是否存在任何异常或可疑模式,检查不同系统和应用程序生成的日志,监控和收集来自各个端点的数据,以及快速响应任何未经授权的访问迹象或可疑的行为。
顺便说一句,还有一支紫色团队,依靠协作方式,将进攻和防守活动结合在一起。通过促进进攻和防御团队之间的沟通与合作,这种共同努力使组织能够通过更全面和统一的方法识别漏洞、测试安全控制并改善整体安全态势。
现在,回到蓝队,防守方使用各种开源和专有工具来完成其任务。现在让我们看看前一类中的一些此类工具。
网络分析工具
阿基姆
专为高效处理和分析网络流量数据而设计, 阿基姆 是一个大规模数据包搜索和捕获(PCAP)系统。它具有直观的 Web 界面,用于浏览、搜索和导出 PCAP 文件,而其 API 允许您直接下载和使用 PCAP 和 JSON 格式的会话数据。这样,它就可以在分析阶段将数据与专用流量捕获工具(例如 Wireshark)集成。
Arkime 旨在同时部署在许多系统上,并且可以扩展以处理数十千兆位/秒的流量。 PCAP 对大量数据的处理取决于传感器的可用磁盘空间和 Elasticsearch 集群的规模。这两个功能都可以根据需要进行扩展,并且处于管理员的完全控制之下。
鼻息声
鼻息声 是一种开源入侵防御系统 (IPS),可监视和分析网络流量以检测和防止潜在的安全威胁。它广泛用于实时流量分析和数据包记录,它使用一系列规则来帮助定义网络上的恶意活动,并允许其查找与此类可疑或恶意行为匹配的数据包,并向管理员生成警报。
根据其主页,Snort 具有三个主要用例:
- 数据包追踪
- 数据包日志记录(对于网络流量调试有用)
- 网络入侵防御系统(IPS)
为了检测网络上的入侵和恶意活动,Snort 具有三组全局规则:
- 社区用户规则:任何用户无需任何费用和注册即可使用的规则。
- 注册用户的规则:通过注册 Snort,用户可以访问一组经过优化的规则,以识别更具体的威胁。
- 订阅者规则:这套规则不仅可以更准确地识别和优化威胁,还可以接收威胁更新。
事件管理工具
蜂巢
蜂巢 是一个可扩展的安全事件响应平台,为事件处理、调查和响应活动提供协作和可定制的空间。它与 MISP(恶意软件信息共享平台)紧密集成,减轻了安全运营中心 (SOC)、计算机安全事件响应团队 (CSIRT)、计算机紧急响应团队 (CERT) 以及任何其他面临安全事件的安全专业人员的任务。需要快速分析并采取行动。因此,它可以帮助组织有效地管理和响应安全事件
它具有三个功能,使其非常有用:
- 合作:该平台促进 (SOC) 和计算机紧急响应小组 (CERT) 分析师之间的实时协作。它有助于将正在进行的调查整合到案例、任务和可观察结果中。成员可以访问相关信息以及新 MISP 事件、警报、电子邮件报告和 SIEM 集成的特殊通知,进一步增强沟通。
- 精:该工具通过高效的模板引擎简化了案例和关联任务的创建。您可以通过仪表板自定义指标和字段,并且该平台支持标记包含恶意软件或可疑数据的基本文件。
- 性能:向创建的每个案例添加一到数千个可观察量,包括直接从 MISP 事件或发送到平台的任何警报导入它们的选项,以及可自定义的分类和过滤器。
GRR快速响应
GRR快速响应 是一个事件响应框架,可实现实时远程取证分析。它远程收集和分析系统中的取证数据,以促进网络安全调查和事件响应活动。 GRR 支持收集各种类型的取证数据,包括文件系统元数据、内存内容、注册表信息以及对事件分析至关重要的其他工件。它专为处理大规模部署而设计,特别适合拥有多样化且广泛的 IT 基础设施的企业。
它由两部分组成,客户端和服务器。
GRR 客户端部署在您要调查的系统上。在每个系统上,部署后,GRR 客户端会定期轮询 GRR 前端服务器以验证它们是否正在工作。 “工作”是指执行特定的操作:下载文件、枚举目录等。
GRR 服务器基础设施由多个组件(前端、工作人员、UI 服务器、Fleetspeak)组成,并提供基于 Web 的 GUI 和 API 端点,允许分析师在客户端上安排操作并查看和处理收集的数据。
分析操作系统
赫尔克
赫尔克或The Hunting ELK,旨在为安全专业人员提供一个全面的环境,以进行主动威胁搜寻、分析安全事件并响应事件。它利用 ELK 堆栈的强大功能以及其他工具来创建多功能且可扩展的安全分析平台。
它将各种网络安全工具结合到一个统一的平台中,用于威胁搜寻和安全分析。其主要组件是Elasticsearch、Logstash和Kibana(ELK堆栈),广泛用于日志和数据分析。 HELK 通过集成额外的安全工具和数据源来扩展 ELK 堆栈,以增强其威胁检测和事件响应的能力。
它的目的是用于研究,但由于其灵活的设计和核心组件,它可以部署在具有正确配置和可扩展基础设施的更大环境中。
挥发性
波动率框架 您猜对了,它是一个工具和库的集合,用于从系统的易失性内存 (RAM) 中提取数字工件。因此,它广泛用于数字取证和事件响应,以分析受感染系统的内存转储并提取与正在进行或过去的安全事件相关的有价值的信息。
由于它独立于平台,因此支持来自各种操作系统的内存转储,包括 Windows、Linux 和 macOS。事实上,Volatility 还可以分析虚拟化环境中的内存转储,例如由 VMware 或 VirtualBox 创建的内存转储,从而提供对物理和虚拟系统状态的洞察。
Volatility 具有基于插件的架构 - 它配备了一组丰富的内置插件,涵盖广泛的取证分析,但也允许用户通过添加自定义插件来扩展其功能。
结论
所以你有它。不言而喻,蓝/红队演习对于评估组织防御的准备情况至关重要,因此对于稳健有效的安全策略至关重要。整个过程中收集的大量信息为组织提供了其安全状况的整体视图,并允许他们评估其安全协议的有效性。
此外,蓝队在网络安全合规和监管方面发挥着关键作用,这在医疗保健和金融等高度监管的行业尤其重要。蓝/红队演习还为安全专业人员提供了真实的培训场景,这种实践经验有助于他们磨练实际事件响应的技能。
你会报名哪支球队?
- :具有
- :是
- :不是
- $UP
- 22
- 36
- a
- 对,能力--
- ACCESS
- 精准的
- 操作
- 行动
- 活动
- 活动
- 演员
- 实际
- 加
- 添加
- 增加
- 额外
- 管理员
- 优点
- 对抗
- 驳
- 目标
- 警惕
- 通知
- 允许
- 沿
- 还
- 其中
- 量
- an
- 分析
- 分析师
- 分析
- 分析
- 分析
- 分析
- 分析
- 和
- 异常
- 任何
- 分析数据
- API
- 应用领域
- 的途径
- 架构
- 保健
- 刊文
- AS
- 评估
- 评估
- 相关
- At
- 攻击者
- 尝试
- 可使用
- 背部
- 基于
- BE
- 牛肉
- before
- 行为
- 之间
- 蓝色
- 都
- 带来
- 广阔
- 浏览
- 建
- 内建的
- 但是
- by
- 被称为
- CAN
- 能力
- 捕获
- 案件
- 例
- 产品类别
- Center
- 挑战
- 充
- 分类
- 客户
- 客户
- 簇
- 合作
- 共同
- 收藏
- 采集
- 结合
- 购买的订单均
- 沟通
- 社体的一部分
- 符合
- 组件
- 全面
- 妥协
- 折中
- 一台
- 计算机安全
- 进行
- 由
- 内容
- 控制
- 控制
- 合作
- 核心
- 价格
- 外壳
- 创建信息图
- 创建
- 创建
- 危急
- 关键
- 习俗
- 定制
- 定制
- 网络攻击
- 网络安全
- 网络威胁
- XNUMX月XNUMX日
- data
- 数据分析
- 防御
- 防卫
- 定义
- 无疑
- 部署
- 部署
- 部署
- 设计
- 设计
- 检测
- 检测
- 不同
- 数字
- 直接
- 目录
- 不同
- 做
- 下载
- 两
- 公爵
- ,我们将参加
- 每
- 例
- 有效
- 效用
- 高效
- 有效
- 努力
- 邮箱地址
- 紧急
- 使
- 端点
- 发动机
- 提高
- 企业
- 环境
- 环境中
- 特别
- 必要
- 等
- 甚至
- 活动
- 事件
- EVER
- 演变
- 执行
- 锻炼
- 体验
- 利用
- 出口
- 延长
- 扩展
- 广泛
- 提取
- 萃取
- 面部彩妆
- 促进
- 功能有助于
- false
- 特征
- 少数
- 字段
- 文件
- 档
- 过滤器
- 金融
- 找到最适合您的地方
- (名字)
- 柔软
- 针对
- 法医
- 取证
- 前
- 培养
- 骨架
- 止
- 前端
- 前端
- 履行
- ,
- 功能
- 进一步
- 游戏
- Games
- 测量
- 齿轮
- 产生
- 产生
- 全球
- GOES
- 去
- 猜
- 处理
- 处理
- 动手
- 有
- 医疗保健
- 帮助
- 帮助
- 高度
- 整体
- 网页
- 创新中心
- HTML
- HTTPS
- 狩猎
- 鉴定
- 鉴定
- 确定
- if
- 图片
- 进口
- 改善
- in
- 事件
- 事件响应
- 包含
- 的确
- 个人
- 行业
- 信息
- 基础设施
- 基础设施
- 可行的洞见
- 集成
- 整合
- 积分
- 集成
- 接口
- 成
- 直观的
- 调查
- 调查
- 调查
- 涉及
- IT
- 它的
- 联合
- 保持
- 键
- 大
- 大规模
- 大
- 让
- 杠杆
- 库
- Linux的
- 生活
- 日志
- 记录
- 看
- MacOS的
- 主要
- 使
- 制作
- 恶意
- 恶意软件
- 管理
- 颠覆性技术
- 许多
- 匹配
- 可能..
- 意味着
- 与此同时
- 成员
- 内存
- 元数据
- 指标
- 镜面
- 使命
- 减轻
- 时尚
- 监控
- 显示器
- 更多
- 许多
- 需求
- 打印车票
- 网络
- 网络流量
- 全新
- 注意
- 通知
- 现在
- of
- 折扣
- 进攻
- on
- 一旦
- 一
- 正在进行
- 仅由
- 打开
- 开放源码
- 操作
- 操作系统
- 运营
- 优化
- 优化
- 附加选项
- or
- 秩序
- 组织
- 其他名称
- 输出
- 最划算
- 包
- 尤其
- 部分
- 过去
- 模式
- 员工
- 为
- 的
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 扮演
- 插件
- 民意调查
- 位置
- 潜力
- 功率
- 防止
- 预防
- 无价
- 小学
- 主动
- 程序
- 过程
- 过程
- 专业人士
- 促进
- 所有权
- 保护
- 协议
- 提供
- 提供
- 目的
- 很快
- 内存
- 范围
- 快
- 真实的世界
- 实时的
- 现实
- 接收
- 红色
- 在相关机构注册的
- 注册
- 注册
- 注册处
- 监管
- 受管制行业
- 税法法规
- 有关
- 相应
- 远程
- 远程
- 业务报告
- 研究
- 回应
- 回应
- 响应
- 回顾
- 丰富
- 右
- 健壮
- 角色
- 角色
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- 说
- 可扩展性
- 鳞片
- 缩放
- 情景
- 始你
- 搜索
- 搜索
- 保安
- 安全事件
- 安全威胁
- 发送
- 系列
- 服务器
- 服务器
- 会议
- 集
- 套数
- 几个
- 共享
- 侧
- 签署
- 迹象
- 简化
- 模拟
- 模拟
- 技能
- So
- 来源
- 来源
- 太空
- 特别
- 专门
- 具体的
- 堆
- 阶段
- 州
- 策略
- 用户
- 这样
- 合适的
- 支持
- 可疑
- 如飞
- 系统
- 产品
- 策略
- 采取
- 需要
- 任务
- 团队
- 队
- 模板
- HAST
- 条款
- test
- 这
- 其
- 他们
- 那里。
- 因此
- 博曼
- 他们
- 事
- Free Introduction
- 那些
- 数千
- 威胁
- 威胁者
- 威胁
- 三
- 通过
- 始终
- 阻挠
- 紧紧
- 标题
- 至
- 一起
- 工具
- 工具
- 交通
- 产品培训
- 二
- 类型
- ui
- 擅自
- 下
- 统一
- 最新动态
- 上
- 使用
- 用过的
- 有用
- 用户
- 用户
- 使用
- 有价值
- 各种
- 各个
- 确认
- 多才多艺
- 通过
- 查看
- 在线会议
- 重要
- VMware的
- 挥发物
- 挥发性
- 漏洞
- 想
- 战争
- we
- 弱点
- 财富
- 卷筒纸
- 基于网络的
- 井
- 这
- 而
- WHO
- 宽
- 大范围
- 广泛
- 宽度
- 将
- 窗户
- 也完全不需要
- 工人
- 加工
- 完全
- 您一站式解决方案
- 和风网