Pelaatko koskaan tietokonepelejä, kuten Halo tai Gears of War? Jos näin on, olet varmasti huomannut pelitilan nimeltä Kaappaa lippu joka asettaa kaksi joukkuetta vastakkain – yksi, joka on vastuussa lipun suojelemisesta vihollisilta, jotka yrittävät varastaa sen.

Tämä harjoituksen tyyppi organisaatiot käyttävät sitä myös arvioidakseen kykyään havaita kyberhyökkäys, reagoida niihin ja lieventää niitä. Nämä simulaatiot ovatkin avainasemassa organisaatioiden järjestelmien, ihmisten ja prosessien heikkouksien havaitsemisessa ennen kuin hyökkääjät voivat hyödyntää niitä. Realistisia kyberuhkia jäljittelemällä nämä harjoitukset antavat turvallisuusalan ammattilaisille mahdollisuuden myös hienosäätää vaaratilanteiden reagointimenettelyjä ja vahvistaa puolustustaan ​​kehittyviä turvallisuushaasteita vastaan. 

Tässä artikkelissa olemme tarkastelleet laajasti, kuinka kaksi joukkuetta päättävät siitä ja mitä avoimen lähdekoodin työkaluja puolustava puoli voi käyttää. Ensinnäkin supernopea kertaus kahden joukkueen rooleista:

• Punainen joukkue pelaa hyökkääjän roolia ja hyödyntää taktiikoita, jotka heijastavat todellisen maailman uhkatoimijoiden taktiikoita. Tunnistamalla ja hyödyntämällä haavoittuvuuksia, ohittamalla organisaation puolustukset ja vaarantamalla sen järjestelmät, tämä vastakkainasettelu simulaatio tarjoaa organisaatioille korvaamattomia näkemyksiä kyberpanssarinsa halkeamista.
• Sininen joukkue puolestaan ​​ottaa puolustavan roolin, kun se pyrkii havaitsemaan ja estämään vastustajan hyökkäykset. Tämä sisältää muun muassa erilaisten kyberturvallisuustyökalujen käyttöönoton, verkkoliikenteen seuraamisen mahdollisten poikkeamien tai epäilyttävien mallien varalta, eri järjestelmien ja sovellusten luomien lokien tarkistamisen, yksittäisten päätepisteiden tietojen valvonnan ja keräämisen sekä nopean reagoinnin mahdollisiin luvattomaan käyttöön liittyviin merkkeihin. tai epäilyttävästä käytöksestä. 

Sivuhuomautuksena on, että siellä on myös violetti joukkue, joka luottaa yhteistyöhön ja yhdistää sekä hyökkääviä että puolustavia toimintoja. Edistämällä viestintää ja yhteistyötä hyökkäävien ja puolustavien ryhmien välillä tämä yhteinen ponnistus antaa organisaatioille mahdollisuuden tunnistaa haavoittuvuuksia, testata turvatarkastuksia ja parantaa yleistä turva-asentoaan entistä kattavamman ja yhtenäisemmän lähestymistavan avulla.

Nyt palatakseni siniseen tiimiin, puolustava puoli käyttää erilaisia ​​avoimen lähdekoodin ja omaa työkalua täyttääkseen tehtävänsä. Katsotaanpa nyt muutamia tällaisia ​​työkaluja edellisestä kategoriasta.

Verkkoanalyysityökalut

arkime 

Suunniteltu verkkoliikennetietojen tehokkaaseen käsittelyyn ja analysointiin, arkime on laajamittainen pakettihaku- ja kaappausjärjestelmä (PCAP). Siinä on intuitiivinen verkkokäyttöliittymä PCAP-tiedostojen selaamista, etsimistä ja vientiä varten, kun taas sen API mahdollistaa PCAP- ja JSON-muotoisten istuntotietojen lataamisen ja käytön suoraan. Näin tehdessään se mahdollistaa tietojen integroinnin erikoistuneiden liikenteen kaappaustyökalujen, kuten Wiresharkin, kanssa analyysivaiheen aikana.

Arkime on rakennettu käytettäväksi useissa järjestelmissä kerralla, ja se voi skaalata käsittelemään kymmeniä gigabittejä sekunnissa liikennettä. PCAP:n suurten tietomäärien käsittely perustuu anturin käytettävissä olevaan levytilaan ja Elasticsearch-klusterin mittakaavaan. Molempia ominaisuuksia voidaan skaalata tarpeen mukaan, ja ne ovat järjestelmänvalvojan täysin hallinnassa.

tuhahtaa

tuhahtaa on avoimen lähdekoodin tunkeutumisen estojärjestelmä (IPS), joka tarkkailee ja analysoi verkkoliikennettä mahdollisten tietoturvauhkien havaitsemiseksi ja ehkäisemiseksi. Sitä käytetään laajalti reaaliaikaiseen liikenteen analysointiin ja pakettien kirjaamiseen, ja se käyttää useita sääntöjä, jotka auttavat määrittelemään haitallisen toiminnan verkossa ja sallivat sen löytää paketteja, jotka vastaavat tällaista epäilyttävää tai haitallista toimintaa, ja luo hälytyksiä järjestelmänvalvojille.

Kotisivunsa mukaan Snortilla on kolme pääkäyttötapaa:

• pakettien jäljitys
• pakettien kirjaaminen (hyödyllinen verkkoliikenteen virheenkorjaukseen)
• verkon tunkeutumisen estojärjestelmä (IPS)

Snortilla on kolme globaalia sääntöjoukkoa tunkeutumisen ja haitallisen toiminnan havaitsemiseksi verkossa:

• säännöt yhteisön käyttäjille: ne, jotka ovat kaikkien käyttäjien saatavilla ilman kuluja ja rekisteröintiä.
• säännöt rekisteröidyille käyttäjille: Rekisteröitymällä Snortiin käyttäjä pääsee käsiksi sääntöihin, jotka on optimoitu tunnistamaan paljon tarkempia uhkia.
• säännöt tilaajille: Tämä sääntösarja mahdollistaa tarkemman uhkien tunnistamisen ja optimoinnin, mutta sisältää myös mahdollisuuden vastaanottaa uhkien päivityksiä.

Tapahtumanhallintatyökalut

Pesä

Pesä on skaalautuva tietoturvahäiriöiden reagointialusta, joka tarjoaa yhteiskäyttöisen ja mukautettavan tilan tapahtumien käsittelyyn, tutkimiseen ja reagointitoimiin. Se on integroitu tiiviisti MISP:n (Malware Information Sharing Platform) kanssa ja helpottaa Security Operations Centerin (SOC), Computer Security Incident Response Teamin (CSIRT), Computer Emergency Response Teamin (CERT) ja kaikkien muiden tietoturva-ammattilaisten tehtäviä, jotka kohtaavat tietoturvaloukkauksia, jotka on analysoitava ja toimittava nopeasti. Sellaisenaan se auttaa organisaatioita hallitsemaan tietoturvaloukkauksia ja reagoimaan niihin tehokkaasti

On kolme ominaisuutta, jotka tekevät siitä niin hyödyllisen:

• Yhteistyö: Alusta edistää reaaliaikaista yhteistyötä (SOC) ja Computer Emergency Response Team (CERT) analyytikoiden välillä. Se helpottaa meneillään olevien tutkimusten yhdistämistä tapauksiin, tehtäviin ja havaittaviin. Jäsenet pääsevät käsiksi asiaankuuluviin tietoihin ja uusien MISP-tapahtumien erityisilmoitukset, hälytykset, sähköpostiraportit ja SIEM-integraatiot parantavat viestintää entisestään.
• laatiminen: Työkalu yksinkertaistaa tapausten ja niihin liittyvien tehtävien luomista tehokkaan mallimoottorin avulla. Voit muokata mittareita ja kenttiä kojelaudan kautta, ja alusta tukee olennaisten haittaohjelmia tai epäilyttävää tietoa sisältävien tiedostojen merkitsemistä.
• Suorituskyky: Lisää kuhunkin luotuun tapaukseen yhdestä tuhanteen havaittavaa, mukaan lukien mahdollisuus tuoda ne suoraan MISP-tapahtumasta tai mistä tahansa alustalle lähetetystä hälytyksestä sekä muokattava luokittelu ja suodattimet.

GRR Rapid Response

GRR Rapid Response on tapahtumareagointikehys, joka mahdollistaa reaaliaikaisen etärikosteknisen analyysin. Se kerää ja analysoi rikosteknisiä tietoja järjestelmistä etäyhteyden avulla kyberturvallisuustutkintojen ja vaaratilanteiden reagoinnin helpottamiseksi. GRR tukee erityyppisten rikosteknisten tietojen keräämistä, mukaan lukien tiedostojärjestelmän metatiedot, muistin sisältö, rekisteritiedot ja muut artefaktit, jotka ovat ratkaisevan tärkeitä tapahtumien analysoinnissa. Se on suunniteltu käsittelemään suuria käyttöönottoja, joten se sopii erityisen hyvin yrityksille, joilla on monipuolinen ja laaja IT-infrastruktuuri. 

Se koostuu kahdesta osasta, asiakkaasta ja palvelimesta.

GRR-asiakas on otettu käyttöön järjestelmissä, joita haluat tutkia. Jokaisessa näistä järjestelmistä, kun GRR-asiakasohjelma on otettu käyttöön, se kysyy ajoittain GRR-etupalvelimia varmistaakseen, että ne toimivat. "Työskentelyllä" tarkoitamme tietyn toiminnon suorittamista: tiedoston lataamista, hakemiston luetteloimista jne.

GRR-palvelininfrastruktuuri koostuu useista komponenteista (käyttöliittymät, työntekijät, käyttöliittymäpalvelimet, Fleetspeak) ja tarjoaa web-pohjaisen graafisen käyttöliittymän ja API-päätepisteen, jonka avulla analyytikot voivat ajoittaa toimintoja asiakkaille sekä tarkastella ja käsitellä kerättyjä tietoja.

Käyttöjärjestelmien analysointi 

HELK

HELK, tai The Hunting ELK, on ​​suunniteltu tarjoamaan kattava ympäristö turvallisuusalan ammattilaisille ennakoivaan uhkien metsästykseen, tietoturvatapahtumien analysointiin ja tapahtumiin reagoimiseen. Se hyödyntää ELK-pinon tehoa lisätyökaluineen luodakseen monipuolisen ja laajennettavan tietoturva-analytiikkaalustan.

Se yhdistää erilaisia ​​kyberturvallisuustyökaluja yhtenäiseksi alustaksi uhkien metsästykseen ja tietoturva-analytiikkaan. Sen pääkomponentit ovat Elasticsearch, Logstash ja Kibana (ELK-pino), joita käytetään laajalti lokien ja tietojen analysointiin. HELK laajentaa ELK-pinoa integroimalla lisätietoturvatyökaluja ja tietolähteitä parantaakseen kykyään havaita uhkia ja reagoida tapahtumiin.

Sen käyttötarkoitus on tutkimus, mutta joustavan suunnittelun ja ydinkomponenttien ansiosta se voidaan ottaa käyttöön suuremmissa ympäristöissä oikeilla kokoonpanoilla ja skaalautuvalla infrastruktuurilla.

Haihtuvuus

- Volatiliteettikehys on kokoelma työkaluja ja kirjastoja digitaalisten artefaktien poimimiseen järjestelmän haihtuvasta muistista (RAM). Siksi sitä käytetään laajalti digitaalisessa rikosteknisissä tutkimuksissa ja vaaratilanteiden reagoinnissa analysoimaan vaarantuneiden järjestelmien muistivedoksia ja poimimaan arvokasta tietoa meneillään oleviin tai menneisiin tietoturvaloukkauksiin. 

Koska se on alustasta riippumaton, se tukee muistivedoksia useista käyttöjärjestelmistä, mukaan lukien Windows, Linux ja macOS. Itse asiassa Volatility voi myös analysoida muistivedoksia virtualisoiduista ympäristöistä, kuten VMwaren tai VirtualBoxin luomista ympäristöistä, ja antaa siten tietoa sekä fyysisistä että virtuaalisista järjestelmän tiloista.

Volatililla on laajennuspohjainen arkkitehtuuri – sen mukana tulee runsas joukko sisäänrakennettuja laajennuksia, jotka kattavat laajan valikoiman rikosteknisiä analyyseja, mutta antavat käyttäjille myös mahdollisuuden laajentaa sen toimintoja lisäämällä mukautettuja laajennuksia.

Yhteenveto

Joten siinä se on. On sanomattakin selvää, että sininen/punainen tiimiharjoitukset ovat välttämättömiä organisaation puolustusvalmiuden arvioinnissa ja ovat sellaisenaan tärkeitä vankan ja tehokkaan turvallisuusstrategian kannalta. Tämän harjoituksen aikana kerätty runsaasti tietoa antaa organisaatioille kokonaisvaltaisen näkemyksen tietoturva-asennostaan ​​ja antaa heille mahdollisuuden arvioida suojausprotokolliensa tehokkuutta.

Lisäksi siniset tiimit ovat avainasemassa kyberturvallisuuden noudattamisessa ja sääntelyssä, mikä on erityisen kriittistä erittäin säännellyillä aloilla, kuten terveydenhuolto ja rahoitus. Sininen/punainen tiimiharjoitukset tarjoavat myös realistisia koulutusskenaarioita tietoturva-ammattilaisille, ja tämä käytännön kokemus auttaa heitä hiomaan taitojaan varsinaisessa vaaratilanteessa.

Mihin joukkueeseen aiot ilmoittautua?

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/