玩过 Halo 或 Gears of War 等电脑游戏吗?如果玩过,您肯定注意到一种名为“夺旗”的游戏模式,该模式让两队互相对抗 - 其中一队负责保护旗帜,防止敌人抢夺。
组织机构还利用此类演习来评估其检测、应对和缓解网络攻击的能力。事实上,这些模拟对于在攻击者利用之前找出组织系统、人员和流程中的弱点至关重要。通过模拟现实的网络威胁,这些演习还可以让安全从业人员微调事件响应程序并加强对不断演变的安全挑战的防御。
在本文中,我们概括地介绍了两支队伍如何较量,以及防守方可能使用哪些开源工具。首先,让我们快速回顾一下两支队伍的角色:
-
红队扮演攻击者的角色,并利用与现实世界威胁行为者相似的策略。通过识别和利用漏洞,绕过组织的防御并破坏其系统,这种对抗性模拟为组织提供了有关其网络防护漏洞的宝贵见解。
-
与此同时,蓝队则承担防御角色,旨在发现并阻止对手的入侵。这包括部署各种网络安全工具、监控网络流量以发现任何异常或可疑模式、查看不同系统和应用程序生成的日志、监控和收集来自各个端点的数据,以及迅速应对任何未经授权的访问或可疑行为的迹象。
顺便提一下,还有一个紫色团队,它依靠协作方法,将进攻和防御活动结合在一起。通过促进进攻和防御团队之间的沟通与合作,这种联合努力使组织能够通过更全面和统一的方法识别漏洞、测试安全控制并改善其整体安全态势。
现在让我们回到蓝队,防守方使用各种开源和专有工具来完成其任务。现在让我们看看前一类中的几种此类工具。
网络分析工具
Arkime
Snort
-
数据包追踪 -
数据包记录(对于网络流量调试有用) -
网络入侵防御系统 (IPS) -
对于检测网络上的入侵和恶意活动,Snort 有三组全局规则: -
社区用户规则:任何用户都可以使用且无需支付任何费用和注册的规则。 -
注册用户的规则:通过在 Snort 注册,用户可以访问一组经过优化的规则,以识别更具体的威胁。 -
订阅者规则:这套规则不仅可以更准确地识别和优化威胁,还具备接收威胁更新的能力。
事件管理工具
TheHive
TheHive是一个可扩展的安全事件响应平台,为事件处理、调查和响应活动提供协作和可定制的空间。它与 MISP(恶意软件信息共享平台)紧密集成,并简化了安全运营中心 (SOC)、计算机安全事件响应团队 (CSIRT)、计算机应急响应团队 (CERT) 以及任何其他面临需要快速分析和采取行动的安全事件的安全专业人员的任务。因此,它可以帮助组织有效地管理和应对安全事件
它有三个特点使得它非常有用:
-
协作:该平台促进了 SOC 和计算机应急响应小组 (CERT) 分析师之间的实时协作。它有助于将正在进行的调查整合到案件、任务和可观察事件中。成员可以访问相关信息,而针对新 MISP 事件、警报、电子邮件报告和 SIEM 集成的特殊通知则进一步增强了沟通。
-
详细说明:该工具通过高效的模板引擎简化了案例和相关任务的创建。您可以通过仪表板自定义指标和字段,并且该平台支持标记包含恶意软件或可疑数据的重要文件。
-
性能:在每个创建的案例中添加一到数千个可观察变量,包括直接从 MISP 事件或发送到平台的任何警报导入它们的选项,以及可定制的分类和过滤器。
分析操作系统
The Hunting ELK
HELK(即 The Hunting ELK)旨在为安全专业人员提供一个全面的环境,以进行主动威胁搜寻、分析安全事件并应对事件。它利用 ELK 堆栈的强大功能以及其他工具来创建一个多功能且可扩展的安全分析平台。
它将各种网络安全工具整合到一个统一的平台中,用于威胁搜寻和安全分析。其主要组件是 Elasticsearch、Logstash 和 Kibana(ELK 堆栈),它们广泛用于日志和数据分析。HELK 通过集成其他安全工具和数据源来扩展 ELK 堆栈,以增强其威胁检测和事件响应能力。
其目的是用于研究,但由于其灵活的设计和核心组件,它可以部署在具有正确配置和可扩展基础设施的更大的环境中。
GRR 快速反应
GRR Rapid Response是一个事件响应框架,可实现实时远程取证分析。它远程收集和分析来自系统的取证数据,以促进网络安全调查和事件响应活动。GRR 支持收集各种类型的取证数据,包括文件系统元数据、内存内容、注册表信息和其他对事件分析至关重要的工件。它专为处理大规模部署而构建,特别适合拥有多样化和广泛 IT 基础设施的企业。
它由客户端和服务器两部分组成。
GRR 客户端部署在您想要调查的系统上。在这些系统上,一旦部署,GRR 客户端就会定期轮询 GRR 前端服务器以验证它们是否正常工作。“正常工作”是指执行特定操作:下载文件、枚举目录等。
GRR 服务器基础设施由多个组件(前端、工作器、UI 服务器、Fleetspeak)组成,并提供基于 Web 的 GUI 和 API 端点,允许分析师在客户端上安排操作并查看和处理收集的数据。
Volatility Framework是一套工具和库,用于从系统的易失性内存 (RAM) 中提取数字工件。因此,它被广泛用于数字取证和事件响应,以分析受感染系统的内存转储并提取与当前或过去安全事件相关的有价值信息。
由于它独立于平台,因此它支持各种操作系统的内存转储,包括 Windows、Linux 和 macOS。事实上,Volatility 还可以分析虚拟化环境(例如由 VMware 或 VirtualBox 创建的环境)的内存转储,从而提供对物理和虚拟系统状态的洞察。
Volatility 具有基于插件的架构——它带有一组丰富的内置插件,涵盖广泛的取证分析,但也允许用户通过添加自定义插件来扩展其功能。
好了,就是这样。毋庸置疑,蓝/红队演习对于评估组织防御准备情况至关重要,因此对于制定强大而有效的安全策略至关重要。在整个演习过程中收集的大量信息为组织提供了其安全态势的整体视图,并使他们能够评估其安全协议的有效性。
此外,蓝队在网络安全合规和监管方面发挥着关键作用,这在医疗保健和金融等监管严格的行业尤其重要。蓝队/红队演习还为安全专业人员提供了逼真的培训场景,这种亲身体验有助于他们磨练实际事件响应的技能。
原文始发于微信公众号(三沐数安):蓝队工具包:6 种用于评估和增强企业防御能力的开源工具
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论