Halo나 Gears of War와 같은 컴퓨터 게임을 해본 적이 있습니까? 그렇다면 다음과 같은 게임 모드를 확실히 보셨을 것입니다. 깃발 잡기 두 팀이 서로 대결하게 됩니다. 한 팀은 깃발을 훔치려는 적들로부터 깃발을 보호하는 일을 담당합니다.

이 운동 유형 또한 조직에서 사이버 공격을 탐지, 대응 및 완화하는 능력을 측정하는 데에도 사용됩니다. 실제로 이러한 시뮬레이션은 공격자가 이를 이용하기 전에 조직의 시스템, 인력 및 프로세스의 약점을 찾아내는 데 핵심입니다. 이러한 훈련을 통해 현실적인 사이버 위협을 에뮬레이션함으로써 보안 실무자는 사고 대응 절차를 미세 조정하고 진화하는 보안 문제에 대한 방어력을 강화할 수 있습니다. 

이 기사에서 우리는 두 팀이 어떻게 싸워 이겼는지, 방어 측에서는 어떤 오픈 소스 도구를 사용할 수 있는지를 폭넓은 용어로 살펴보았습니다. 먼저, 두 팀의 역할에 대해 매우 빠르게 복습해 보겠습니다.

• 레드팀은 공격자의 역할을 수행하며 실제 위협 행위자와 유사한 전술을 활용합니다. 취약점을 식별 및 활용하고, 조직의 방어를 우회하고, 시스템을 손상시킴으로써 이 적대적 시뮬레이션은 조직에 사이버 방어벽의 틈새에 대한 귀중한 통찰력을 제공합니다.
• 한편, 블루 팀은 상대의 침입을 탐지하고 저지하는 것을 목표로 하는 방어 역할을 맡습니다. 여기에는 무엇보다도 다양한 사이버 보안 도구 배포, 이상 또는 의심스러운 패턴에 대한 네트워크 트래픽 감시, 다양한 시스템 및 애플리케이션에서 생성된 로그 검토, 개별 엔드포인트에서 데이터 모니터링 및 수집, 무단 액세스 징후에 신속하게 대응하는 작업이 포함됩니다. 또는 의심스러운 행동. 

참고로, 협력적 접근 방식을 사용하고 공격 및 방어 활동을 모두 통합하는 보라색 팀도 있습니다. 이러한 공동 노력을 통해 공격팀과 방어팀 간의 의사소통과 협력을 촉진함으로써 조직은 더욱 포괄적이고 통합된 접근 방식을 통해 취약점을 식별하고, 보안 제어를 테스트하고, 전반적인 보안 상태를 개선할 수 있습니다.

이제 블루 팀으로 돌아가서 방어 팀은 임무를 수행하기 위해 다양한 오픈 소스 및 독점 도구를 사용합니다. 이제 이전 범주의 몇 가지 도구를 살펴보겠습니다.

네트워크 분석 도구

아르키메 

네트워크 트래픽 데이터를 효율적으로 처리하고 분석할 수 있도록 설계되었습니다. 아르키메 대규모 패킷 검색 및 캡처(PCAP) 시스템입니다. PCAP 파일 탐색, 검색 및 내보내기를 위한 직관적인 웹 인터페이스가 특징이며, API를 통해 PCAP 및 JSON 형식 세션 데이터를 직접 다운로드하고 사용할 수 있습니다. 이를 통해 분석 단계에서 Wireshark와 같은 특수 트래픽 캡처 도구와 데이터를 통합할 수 있습니다.

Arkime은 한 번에 많은 시스템에 배포되도록 제작되었으며 수십 기가비트/초의 트래픽을 처리하도록 확장할 수 있습니다. PCAP의 대량 데이터 처리는 센서의 사용 가능한 디스크 공간과 Elasticsearch 클러스터의 규모를 기반으로 합니다. 이 두 기능은 모두 필요에 따라 확장할 수 있으며 관리자가 모든 권한을 갖습니다.

흡입

흡입 네트워크 트래픽을 모니터링하고 분석하여 잠재적인 보안 위협을 탐지하고 예방하는 오픈 소스 침입 방지 시스템(IPS)입니다. 실시간 트래픽 분석 및 패킷 로깅에 널리 사용되는 이 기능은 네트워크에서 악의적인 활동을 정의하는 데 도움이 되는 일련의 규칙을 사용하고 의심스럽거나 악의적인 동작과 일치하는 패킷을 찾아 관리자에게 경고를 생성할 수 있도록 합니다.

홈페이지에 따르면 Snort에는 세 가지 주요 사용 사례가 있습니다.

• 패킷 추적
• 패킷 로깅(네트워크 트래픽 디버깅에 유용)
• 네트워크 침입방지시스템(IPS)

네트워크에 대한 침입 및 악의적인 활동을 탐지하기 위해 Snort에는 세 가지 전역 규칙 세트가 있습니다.

• 커뮤니티 사용자를 위한 규칙: 비용이나 등록 없이 모든 사용자가 사용할 수 있는 규칙입니다.
• 등록된 사용자를 위한 규칙: Snort에 등록하면 사용자는 훨씬 더 구체적인 위협을 식별하는 데 최적화된 규칙 세트에 액세스할 수 있습니다.
• 구독자를 위한 규칙: 이 규칙 세트는 보다 정확한 위협 식별 및 최적화를 허용할 뿐만 아니라 위협 업데이트를 수신할 수 있는 기능도 함께 제공됩니다.

사고 관리 도구

벌집

벌집 사고 처리, 조사, 대응 활동을 위한 협업 및 사용자 정의 공간을 제공하는 확장 가능한 보안 사고 대응 플랫폼입니다. MISP(악성코드 정보 공유 플랫폼)와 긴밀하게 통합되어 SOC(보안 운영 센터), CSIRT(컴퓨터 보안 사고 대응 팀), CERT(컴퓨터 긴급 대응 팀) 및 보안 사고에 직면한 기타 보안 전문가의 작업을 용이하게 합니다. 신속하게 분석하고 조치를 취해야 합니다. 따라서 조직이 보안 사고를 효과적으로 관리하고 대응하는 데 도움이 됩니다.

이 앱을 매우 유용하게 만드는 세 가지 기능이 있습니다.

• 협업: 이 플랫폼은 (SOC) 분석가와 컴퓨터 비상 대응팀(CERT) 분석가 간의 실시간 협업을 촉진합니다. 이는 진행 중인 조사를 사례, 작업 및 관찰 가능 항목에 통합하는 것을 용이하게 합니다. 회원은 관련 정보에 액세스할 수 있으며 새로운 MISP 이벤트, 경고, 이메일 보고서 및 SIEM 통합에 대한 특별 알림을 통해 커뮤니케이션이 더욱 향상됩니다.
• 동화: 이 도구는 효율적인 템플릿 엔진을 통해 사례 및 관련 작업 생성을 단순화합니다. 대시보드를 통해 지표와 필드를 사용자 정의할 수 있으며 플랫폼은 악성 코드나 의심스러운 데이터가 포함된 필수 파일의 태그 지정을 지원합니다.
• 퍼포먼스: MISP 이벤트 또는 플랫폼으로 전송된 경고에서 직접 가져오는 옵션과 사용자 정의 가능한 분류 및 필터를 포함하여 생성된 각 사례에 1개에서 수천 개의 관찰 가능 항목을 추가합니다.

GRR 신속한 대응

GRR 신속한 대응 실시간 원격 포렌식 분석을 가능하게 하는 사고 대응 프레임워크입니다. 사이버 보안 조사 및 사고 대응 활동을 촉진하기 위해 시스템에서 포렌식 데이터를 원격으로 수집하고 분석합니다. GRR은 파일 시스템 메타데이터, 메모리 콘텐츠, 레지스트리 정보 및 사고 분석에 중요한 기타 아티팩트를 포함하여 다양한 유형의 포렌식 데이터 수집을 지원합니다. 대규모 배포를 처리하도록 제작되었으므로 다양하고 광범위한 IT 인프라를 갖춘 기업에 특히 적합합니다. 

클라이언트와 서버의 두 부분으로 구성됩니다.

GRR 클라이언트는 조사하려는 시스템에 배포됩니다. 이러한 각 시스템에서 일단 배포되면 GRR 클라이언트는 정기적으로 GRR 프런트엔드 서버를 폴링하여 작동하는지 확인합니다. "작업"이란 특정 작업(파일 다운로드, 디렉터리 열거 등)을 실행하는 것을 의미합니다.

GRR 서버 인프라는 여러 구성 요소(프런트엔드, 작업자, UI 서버, Fleetspeak)로 구성되며 분석가가 클라이언트에 대한 작업을 예약하고 수집된 데이터를 보고 처리할 수 있는 웹 기반 GUI와 API 엔드포인트를 제공합니다.

운영 체제 분석 

헬크

헬크, 또는 The Hunting ELK는 보안 전문가가 사전 위협 사냥을 수행하고, 보안 이벤트를 분석하고, 사고에 대응할 수 있는 포괄적인 환경을 제공하도록 설계되었습니다. 추가 도구와 함께 ELK 스택의 기능을 활용하여 다양하고 확장 가능한 보안 분석 플랫폼을 만듭니다.

다양한 사이버 보안 도구를 위협 사냥 및 보안 분석을 위한 통합 플랫폼으로 결합합니다. 주요 구성 요소는 로그 및 데이터 분석에 널리 사용되는 Elasticsearch, Logstash 및 Kibana(ELK 스택)입니다. HELK는 추가 보안 도구와 데이터 소스를 통합하여 위협 탐지 및 사고 대응 기능을 향상시켜 ELK 스택을 확장합니다.

그 목적은 연구용이지만 유연한 설계와 핵심 구성 요소로 인해 올바른 구성과 확장 가능한 인프라를 갖춘 대규모 환경에 배포할 수 있습니다.

휘발성

XNUMXD덴탈의 변동성 프레임 워크 는 시스템의 휘발성 메모리(RAM)에서 디지털 아티팩트를 추출하기 위한 도구 및 라이브러리 모음입니다. 따라서 손상된 시스템의 메모리 덤프를 분석하고 진행 중이거나 과거의 보안 사고와 관련된 중요한 정보를 추출하기 위해 디지털 포렌식 및 사고 대응에 널리 사용됩니다. 

플랫폼 독립적이므로 Windows, Linux 및 macOS를 포함한 다양한 운영 체제의 메모리 덤프를 지원합니다. 실제로 Volatility는 VMware 또는 VirtualBox에서 생성된 환경과 같은 가상화된 환경에서 메모리 덤프를 분석하여 물리적 시스템 상태와 가상 시스템 상태 모두에 대한 통찰력을 제공할 수도 있습니다.

Volatility에는 플러그인 기반 아키텍처가 있습니다. 광범위한 포렌식 분석을 포괄하는 풍부한 내장 플러그인 세트가 함께 제공되지만 사용자가 맞춤형 플러그인을 추가하여 기능을 확장할 수도 있습니다.

결론

그래서 거기에 있습니다. 블루/레드 팀 훈련이 조직의 방어 준비 상태를 평가하는 데 필수적이며 따라서 강력하고 효과적인 보안 전략에 필수적이라는 것은 말할 필요도 없습니다. 이 연습을 통해 수집된 풍부한 정보는 조직에 보안 상태에 대한 전체적인 관점을 제공하고 보안 프로토콜의 효율성을 평가할 수 있도록 해줍니다.

또한 블루팀은 사이버 보안 규정 준수 및 규제에서 중요한 역할을 하며, 이는 의료 및 금융과 같이 규제가 심한 산업에서 특히 중요합니다. 블루/레드 팀 훈련은 보안 전문가를 위한 현실적인 교육 시나리오도 제공하며, 이러한 실습 경험은 실제 사고 대응 기술을 연마하는 데 도움이 됩니다.

어느 팀에 등록하시겠습니까?

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/