Kas mängid arvutimänge nagu Halo või Gears of War? Kui jah, siis oled kindlasti märganud mängurežiimi nimega Capture the Flag, kus kaks meeskonda võistleb omavahel – üks, kes vastutab lipu kaitsmise eest vastaste eest, kes üritavad seda varastada.
Sellist tüüpi harjutust kasutavad organisatsioonid ka oma võime hindamiseks tuvastada, reageerida ja leevendada küberrünnakut. Tõepoolest, need simulatsioonid on olulised organisatsioonide süsteemide, inimeste ja protsesside nõrkuste väljaselgitamiseks enne, kui ründajad neid ära kasutavad. Realistlike küberohtude jäljendamisega võimaldavad need harjutused turvalisuse praktikantidel ka intsidentide lahendamise protseduure täpsustada ja oma kaitset arenevate turbeväljakutsete vastu tugevdada.
Selles artiklis vaatame laias laastus, kuidas need kaks meeskonda võitlevad ja milliseid avatud lähtekoodiga tööriistu kaitsev pool võib kasutada. Kõigepealt aga väga kiire ülevaade kahe meeskonna rollidest:
- Red team mängib ründaja rolli ja kasutab taktikaid, mis peegeldavad reaalse maailma ohutegijate taktikaid. Nõrkuste tuvastamise ja ärakasutamise, organisatsiooni kaitse läbimise ja selle süsteemide kompromiteerimise kaudu pakub see vastastikune simulatsioon organisatsioonidele hindamatuid teadmisi nende küberturbe nõrkuste kohta.
- Blue team seevastu võtab endale kaitsva rolli, püüdes tuvastada ja tõrjuda vastase sissetunge. See hõlmab muu hulgas erinevate küberturvalisuse tööriistade kasutuselevõttu, võrguliikluse jälgimist anomaaliate või kahtlaste mustrite osas, erinevate süsteemide ja rakenduste loodud logide ülevaatamist, üksikute lõpp-punktide jälgimist ja andmete kogumist ning kiire reageerimist mis tahes märkidele volitamata juurdepääsu või kahtlase käitumise kohta.
Märkusena olgu öeldud, et on olemas ka purple team, mis tugineb koostöölisele lähenemisele ja ühendab nii ründetegevused kui ka kaitsetegevused. Edendades sidet ja koostööd ründemeeskonna ja kaitsemeeskonna vahel, võimaldab see ühine pingutus organisatsioonidel tuvastada nõrkusi, testida turvakontrolle ja parandada oma üldist turbeolukorda veelgi põhjalikuma ja ühtsema lähenemisviisi kaudu.
Nüüd, tagasi blue teami juurde, kaitsev pool kasutab oma missiooni täitmiseks erinevaid avatud lähtekoodiga ja patenteeritud tööriistu. Vaatame nüüd mõnda sellist tööriista esimesest kategooriast.
Võrguanalüüsi tööriistad
Arkime
Arkime, mis on loodud võrguliikluse andmete tõhusaks haldamiseks ja analüüsimiseks, on suuremahuline pakettide otsingu- ja salvestussüsteem (PCAP). Sellel on intuitiivne veebiliides PCAP-failide sirvimiseks, otsimiseks ja eksportimiseks, samas kui selle API võimaldab teil PCAP- ja JSON-vormingus seansid andmeid otse alla laadida ja kasutada. Nii võimaldab see integreerida andmeid spetsialiseeritud liikluse salvestamise tööriistadega, nagu Wireshark, analüüsi etapis.
Arkime on ehitatud nii, et seda saaks juurutada paljudes süsteemides korraga ja see suudab töödelda kümneid gigabitti/sekundis liikluse mahtu. PCAP-i suured andmemahtude käsitsemine põhineb sensorite saadaoleval kettaruumil ja Elasticsearch klusteri suurusel. Mõlemat neist funktsioonidest saab vajadusel suurendada ja need on täielikult administraatori kontrolli all.
Allikas: Arkime
Snort
Snort on avatud lähtekoodiga sissetungimise ennetussüsteem (IPS), mis jälgib ja analüüsib võrguliiklust, et tuvastada ja ennetada potentsiaalseid turbeohte. Laialdaselt kasutatav reaalajas liikluse analüüsiks ja pakettide logimiseks, kasutab see reeglite kogumit, mis aitab määratleda pahatahtlikku tegevust võrgus ja võimaldab sellel leida pakette, mis vastavad sellisele kahtlasele või pahatahtlikule käitumisele ning genereerib administraatoritele hoiatusi.
Oma kodulehe andmetel on Snortil kolm peamist kasutusala:
- pakettide jälgimine
- pakettide logimine (kasulik võrguliikluse silumiseks)
- võrgu sissetungimise ennetussüsteem (IPS)
Sissetungimiste ja pahatahtliku tegevuse tuvastamiseks võrgus on Snortil kolm globaalset reeglite kogumit:
- kogukonna kasutajate reeglid: need on kättesaadavad igale kasutajale tasuta ja registreerimiseta.
- registreeritud kasutajate reeglid: Snortiga registreerudes saab kasutaja juurdepääsu reeglite kogumile, mis on optimeeritud palju spetsiifiliste ohtude tuvastamiseks.
- tellijate reeglid: see reeglite kogum mitte ainult ei võimalda täpsemat ohtude tuvastamist ja optimeerimist, vaid pakub ka võimalust saada ohtude kohta värskendusi.
Allikas: Snort
Intsidentide haldamise tööriistad
TheHive
TheHive on skaleeritav turvaintsidentide lahendamise platvorm, mis pakub koostöölise ja kohandatava ruumi intsidentide käitlemise, uurimise ja lahendamise tegevusteks. See on tihedalt integreeritud MISP-iga (Malware Information Sharing Platform) ja lihtsustab turbeoperatsioonide keskuse (SOC), arvutiturbe intsidentide lahendamise meeskonna (CSIRT), arvutiohutuse intsidentide reageerimismeeskonna (CERT) ja kõigi teiste turvaspetsialistide ülesandeid, kes seisavad silmitsi turvaintsidentidega, mida tuleb kiiresti analüüsida ja millele reageerida. Sellisena aitab see organisatsioonidel turvaintsidente tõhusalt hallata ja neile reageerida.
Selle kasulikkust suurendavad kolm funktsiooni:
- Koostöö: Platvorm soodustab reaalajas koostööd (SOC) ja arvutiohutuse intsidentide lahendamise meeskonna (CERT) analüütikute vahel. See hõlbustab käimasolevate uurimiste integreerimist juhtumitesse, ülesannetesse ja vaadeldavatesse objektidesse. Liikmed saavad juurdepääsu asjakohasele teabele ja uute MISP-i sündmuste, hoiatusete, e-posti aruannete ja SIEM-i integratsioonide eriteated parandavad veelgi suhtlust.
- Täpsustamine: Tööriist lihtsustab juhtumite ja nendega seotud ülesannete loomist tõhusa mallimootori abil. Saate kohandada mõõdikuid ja välju juhtpaneeli kaudu ning platvorm toetab oluliste pahatahtliku tarkvara või kahtlaseid andmeid sisaldavate failide märgendamist.
- Toimivus: Lisage igale loodud juhtumile üks kuni tuhat vaadeldavat objekti, sealhulgas võimalus importida neid otse MISP-i sündmusest või mis tahes platvormile saadetud hoiatusest, samuti kohandatav klassifikatsioon ja filtrid.
Allikas: TheHive
GRR Rapid Response
GRR Rapid Response on intsidentide lahendamise raamistik, mis võimaldab reaalajas kaugforensilist analüüsi. See kogub ja analüüsib kaugelt süsteemidest forensilisi andmeid, et hõlbustada küberturvalisuse uurimisi ja intsidentide lahendamise tegevusi. GRR toetab erinevate forensiliste andmete kogumist, sealhulgas failisüsteemi metaandmeid, mälusisaldust, registriteavet ja muid artefakte, mis on intsidentide analüüsiks üliolulised. See on ehitatud suuremahuliste juurutuste jaoks, muutes selle eriti sobivaks ettevõtetele, kellel on mitmekesised ja ulatuslikud IT-infrastruktuurid.
See koosneb kahest osast: kliendist ja serverist.
GRR klient juurutatakse süsteemidesse, mida soovite uurida. Igale neist süsteemidest, pärast juurutamist, pärib GRR klient perioodiliselt GRR-i esiotsa serveritelt, et kontrollida, kas need töötavad. Tööga mõeldakse konkreetse toimingu täitmist: faili allalaadimist, kataloogi loetlemist jne.
GRR serveri infrastruktuur koosneb mitmest komponendist (esiotsad, töölised, kasutajaliidese serverid, Fleetspeak) ja pakub veebipõhist graafilist kasutajaliidest ning API-punkti, mis võimaldab analüütikutel ajastada klientidel toiminguid ning kogutud andmeid vaadata ja töödelda.
Allikas: GRR Rapid Response
Operatsioonisüsteemide analüüsimine
HELK
HELK ehk The Hunting ELK on loodud selleks, et pakkuda turvaspetsialistidele põhjalikku keskkonda proaktiivseks ohujahi pidamiseks, turbeintsidentide analüüsimiseks ja neile reageerimiseks. See kasutab ELK-i kuhja jõudu koos täiendavate tööriistadega, et luua mitmekülgne ja laiendatav turvaanalüüsi platvorm.
See ühendab erinevaid küberturvalisuse tööriistu ühtseks platvormiks ohujahi ja turvaanalüüsi jaoks. Selle peamised komponendid on Elasticsearch, Logstash ja Kibana (ELK-i kuhja), mida kasutatakse laialdaselt logide ja andmete analüüsiks. HELK laiendab ELK-i kuhja, integreerides täiendavaid turvatööriistu ja andmeallikaid, et parandada selle võimekust ohtude tuvastamisel ja intsidentide lahendamisel.
Selle eesmärk on uurimistöö, kuid selle paindliku disaini ja põhikomponentide tõttu saab seda õigete konfiguratsioonide ja skaleeritava infrastruktuuriga juurutada ka suuremates keskkondades.
Allikas: HELK
Volatility
Volatility Framework on kogum tööriistu ja teeke digitaalsete artefaktide ekstraheerimiseks, arvasite ära, süsteemi volatiilsest mälust (RAM). Seetõttu kasutatakse seda laialdaselt digitaalses forensikas ja intsidentide lahendamises, et analüüsida kompromiteeritud süsteemide mälujäljendeid ja ekstraheerida väärtuslikku teavet käimasolevate või möödunud turvaintsidentide kohta.
Kuna see on platvormist sõltumatu, toetab see mälujäljendeid erinevatest operatsioonisüsteemidest, sealhulgas Windows, Linux ja macOS. Tõepoolest, Volatility suudab analüüsida ka virtualiseeritud keskkondade, näiteks VMware või VirtualBoxi loodud mälujäljendeid, pakkudes seeläbi ülevaadet nii füüsilistest kui ka virtuaalsetest süsteemiseisunditest.
Volatilityl on plugin-põhine arhitektuur – see on varustatud rikkaliku komplekti sisseehitatud pluginatega, mis katavad laia valiku forensilisi analüüse, kuid võimaldab kasutajatel ka selle funktsionaalsust laiendada, lisades kohandatud pluginaid.
Allikas: Volatility
Kokkuvõte
Nii et siin see on. Ütlematagi selge, et blue/red team harjutused on organisatsiooni kaitse valmisoleku hindamiseks hädavajalikud ja seega olulised tugeva ja tõhusa turbe strateegia jaoks. Selle harjutuse käigus kogutud rikkalik teave annab organisatsioonidele tervikliku ülevaate nende turbeolukorrast ja võimaldab neil hinnata oma turvaprotokollide tõhusust.
Lisaks mängivad blue teamid küberturvalisuse vastavuse ja reguleerimise valdkonnas võtmerolli, mis on eriti oluline tugevalt reguleeritud tööstusharudes, nagu tervishoid ja rahandus. Blue/red team harjutused pakuvad ka realistlikke koolitusstsenaariume turvaspetsialistidele ja see praktiline kogemus aitab neil oma oskusi tegelike intsidentide lahendamisel lihvida.
Kumba meeskonda sa registreerud?
