{"id":8571,"date":"2024-02-29T12:00:00","date_gmt":"2024-02-29T10:00:00","guid":{"rendered":"https:\/\/blog.eset.ee\/et\/?p=8571"},"modified":"2026-06-14T19:38:07","modified_gmt":"2026-06-14T16:38:07","slug":"blue-team-6-avatud-l%c3%a4htekoodiga-t%c3%b6%c3%b6riista-oma-positsiooni-kaitsmiseks","status":"publish","type":"post","link":"https:\/\/blog.eset.ee\/et\/et\/2024\/02\/29\/blue-team-6-avatud-l%c3%a4htekoodiga-t%c3%b6%c3%b6riista-oma-positsiooni-kaitsmiseks\/","title":{"rendered":"Blue Team: 6 avatud l\u00e4htekoodiga t\u00f6\u00f6riista oma positsiooni kaitsmiseks"},"content":{"rendered":"<p>Kas m\u00e4ngid arvutim\u00e4nge nagu Halo v\u00f5i Gears of War? Kui jah, siis oled kindlasti m\u00e4rganud m\u00e4ngure\u017eiimi nimega <a href=\"https:\/\/www.welivesecurity.com\/secure-coding\/capture-flag-5-websites-sharpen-hacking-skills\/index.html\">Capture the Flag<\/a>, kus kaks meeskonda v\u00f5istleb omavahel \u2013 \u00fcks, kes vastutab lipu kaitsmise eest vastaste eest, kes \u00fcritavad seda varastada.<\/p>\n<p>Sellist <a href=\"https:\/\/www.welivesecurity.com\/we-live-progress\/level-up-games-make-learning-cybersecurity-fun\/index.html\">t\u00fc\u00fcpi harjutust<\/a> kasutavad organisatsioonid ka oma v\u00f5ime hindamiseks tuvastada, reageerida ja leevendada k\u00fcberr\u00fcnnakut. T\u00f5epoolest, need simulatsioonid on olulised organisatsioonide s\u00fcsteemide, inimeste ja protsesside n\u00f5rkuste v\u00e4ljaselgitamiseks enne, kui r\u00fcndajad neid \u00e4ra kasutavad. Realistlike k\u00fcberohtude j\u00e4ljendamisega v\u00f5imaldavad need harjutused turvalisuse praktikantidel ka intsidentide lahendamise protseduure t\u00e4psustada ja oma kaitset arenevate turbev\u00e4ljakutsete vastu tugevdada.<\/p>\n<p>Selles artiklis vaatame laias laastus, kuidas need kaks meeskonda v\u00f5itlevad ja milliseid avatud l\u00e4htekoodiga t\u00f6\u00f6riistu kaitsev pool v\u00f5ib kasutada. K\u00f5igepealt aga v\u00e4ga kiire \u00fclevaade kahe meeskonna rollidest:<\/p>\n<ul>\n<li>Red team m\u00e4ngib r\u00fcndaja rolli ja kasutab taktikaid, mis peegeldavad reaalse maailma ohutegijate taktikaid. N\u00f5rkuste tuvastamise ja \u00e4rakasutamise, organisatsiooni kaitse l\u00e4bimise ja selle s\u00fcsteemide kompromiteerimise kaudu pakub see vastastikune simulatsioon organisatsioonidele hindamatuid teadmisi nende k\u00fcberturbe n\u00f5rkuste kohta.<\/li>\n<li>Blue team seevastu v\u00f5tab endale kaitsva rolli, p\u00fc\u00fcdes tuvastada ja t\u00f5rjuda vastase sissetunge. See h\u00f5lmab muu hulgas erinevate k\u00fcberturvalisuse t\u00f6\u00f6riistade kasutuselev\u00f5ttu, v\u00f5rguliikluse j\u00e4lgimist anomaaliate v\u00f5i kahtlaste mustrite osas, erinevate s\u00fcsteemide ja rakenduste loodud logide \u00fclevaatamist, \u00fcksikute l\u00f5pp-punktide j\u00e4lgimist ja andmete kogumist ning kiire reageerimist mis tahes m\u00e4rkidele volitamata juurdep\u00e4\u00e4su v\u00f5i kahtlase k\u00e4itumise kohta.<\/li>\n<\/ul>\n<p><em>M\u00e4rkusena olgu \u00f6eldud, et on olemas ka purple team, mis tugineb koost\u00f6\u00f6lisele l\u00e4henemisele ja \u00fchendab nii r\u00fcndetegevused kui ka kaitsetegevused. Edendades sidet ja koost\u00f6\u00f6d r\u00fcndemeeskonna ja kaitsemeeskonna vahel, v\u00f5imaldab see \u00fchine pingutus organisatsioonidel tuvastada n\u00f5rkusi, testida turvakontrolle ja parandada oma \u00fcldist turbeolukorda veelgi p\u00f5hjalikuma ja \u00fchtsema l\u00e4henemisviisi kaudu.<\/em><\/p>\n<p>N\u00fc\u00fcd, tagasi blue teami juurde, kaitsev pool kasutab oma missiooni t\u00e4itmiseks erinevaid avatud l\u00e4htekoodiga ja patenteeritud t\u00f6\u00f6riistu. Vaatame n\u00fc\u00fcd m\u00f5nda sellist t\u00f6\u00f6riista esimesest kategooriast.<\/p>\n<h2>V\u00f5rguanal\u00fc\u00fcsi t\u00f6\u00f6riistad<\/h2>\n<h3>Arkime <\/h3>\n<p>Arkime, mis on loodud v\u00f5rguliikluse andmete t\u00f5husaks haldamiseks ja anal\u00fc\u00fcsimiseks, on suuremahuline pakettide otsingu- ja salvestuss\u00fcsteem (PCAP). Sellel on intuitiivne veebiliides PCAP-failide sirvimiseks, otsimiseks ja eksportimiseks, samas kui selle API v\u00f5imaldab teil PCAP- ja JSON-vormingus seansid andmeid otse alla laadida ja kasutada. Nii v\u00f5imaldab see integreerida andmeid spetsialiseeritud liikluse salvestamise t\u00f6\u00f6riistadega, nagu Wireshark, anal\u00fc\u00fcsi etapis.<\/p>\n<p>Arkime on ehitatud nii, et seda saaks juurutada paljudes s\u00fcsteemides korraga ja see suudab t\u00f6\u00f6delda k\u00fcmneid gigabitti\/sekundis liikluse mahtu. PCAP-i suured andmemahtude k\u00e4sitsemine p\u00f5hineb sensorite saadaoleval kettaruumil ja Elasticsearch klusteri suurusel. M\u00f5lemat neist funktsioonidest saab vajadusel suurendada ja need on t\u00e4ielikult administraatori kontrolli all.<\/p>\n<figure><img decoding=\"async\" alt=\"Arkime\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2024-01\/arkime.jpeg\" title=\"\" width=\"\"><figcaption>\n<p align=\"center\"><em><span><span lang=\"ES\">Allikas: <\/span><\/span><span lang=\"ES-MX\"><a href=\"https:\/\/arkime.com\/\"><span lang=\"ES\">Arkime<\/span><\/a><\/span><\/em><\/p>\n<\/figcaption><\/figure>\n<h2>Snort<\/h2>\n<p><a href=\"https:\/\/www.snort.org\/\">Snort<\/a> on avatud l\u00e4htekoodiga sissetungimise ennetuss\u00fcsteem (IPS), mis j\u00e4lgib ja anal\u00fc\u00fcsib v\u00f5rguliiklust, et tuvastada ja ennetada potentsiaalseid turbeohte. Laialdaselt kasutatav reaalajas liikluse anal\u00fc\u00fcsiks ja pakettide logimiseks, kasutab see reeglite kogumit, mis aitab m\u00e4\u00e4ratleda pahatahtlikku tegevust v\u00f5rgus ja v\u00f5imaldab sellel leida pakette, mis vastavad sellisele kahtlasele v\u00f5i pahatahtlikule k\u00e4itumisele ning genereerib administraatoritele hoiatusi.<\/p>\n<p>Oma kodulehe andmetel on Snortil kolm peamist kasutusala:<\/p>\n<ul>\n<li>pakettide j\u00e4lgimine<\/li>\n<li>pakettide logimine (kasulik v\u00f5rguliikluse silumiseks)<\/li>\n<li>v\u00f5rgu sissetungimise ennetuss\u00fcsteem (IPS)<\/li>\n<\/ul>\n<p>Sissetungimiste ja pahatahtliku tegevuse tuvastamiseks v\u00f5rgus on Snortil kolm globaalset reeglite kogumit:<\/p>\n<ul>\n<li>kogukonna kasutajate reeglid: need on k\u00e4ttesaadavad igale kasutajale tasuta ja registreerimiseta.<\/li>\n<li>registreeritud kasutajate reeglid: Snortiga registreerudes saab kasutaja juurdep\u00e4\u00e4su reeglite kogumile, mis on optimeeritud palju spetsiifiliste ohtude tuvastamiseks.<\/li>\n<li>tellijate reeglid: see reeglite kogum mitte ainult ei v\u00f5imalda t\u00e4psemat ohtude tuvastamist ja optimeerimist, vaid pakub ka v\u00f5imalust saada ohtude kohta v\u00e4rskendusi.<\/li>\n<\/ul>\n<figure><img decoding=\"async\" alt=\"Snort\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2024-01\/snort.jpeg\" title=\"\" width=\"\"><figcaption>\n<p align=\"center\"><span><span lang=\"ES\">Allikas: <\/span><\/span><span lang=\"ES-MX\"><a href=\"https:\/\/www.snort.org\/\"><span lang=\"ES\">Snort<\/span><\/a><\/span><\/p>\n<\/figcaption><\/figure>\n<h2>Intsidentide haldamise t\u00f6\u00f6riistad<\/h2>\n<h3>TheHive<\/h3>\n<p><a href=\"https:\/\/thehive-project.org\/\">TheHive<\/a> on skaleeritav turvaintsidentide lahendamise platvorm, mis pakub koost\u00f6\u00f6lise ja kohandatava ruumi intsidentide k\u00e4itlemise, uurimise ja lahendamise tegevusteks. See on tihedalt integreeritud MISP-iga (Malware Information Sharing Platform) ja lihtsustab turbeoperatsioonide keskuse (SOC), arvutiturbe intsidentide lahendamise meeskonna (CSIRT), arvutiohutuse intsidentide reageerimismeeskonna (CERT) ja k\u00f5igi teiste turvaspetsialistide \u00fclesandeid, kes seisavad silmitsi turvaintsidentidega, mida tuleb kiiresti anal\u00fc\u00fcsida ja millele reageerida. Sellisena aitab see organisatsioonidel turvaintsidente t\u00f5husalt hallata ja neile reageerida.<\/p>\n<p>Selle kasulikkust suurendavad kolm funktsiooni:<\/p>\n<ul>\n<li><strong>Koost\u00f6\u00f6<\/strong>: Platvorm soodustab reaalajas koost\u00f6\u00f6d (SOC) ja arvutiohutuse intsidentide lahendamise meeskonna (CERT) anal\u00fc\u00fctikute vahel. See h\u00f5lbustab k\u00e4imasolevate uurimiste integreerimist juhtumitesse, \u00fclesannetesse ja vaadeldavatesse objektidesse. Liikmed saavad juurdep\u00e4\u00e4su asjakohasele teabele ja uute MISP-i s\u00fcndmuste, hoiatusete, e-posti aruannete ja SIEM-i integratsioonide eriteated parandavad veelgi suhtlust.<\/li>\n<li><strong>T\u00e4psustamine<\/strong>: T\u00f6\u00f6riist lihtsustab juhtumite ja nendega seotud \u00fclesannete loomist t\u00f5husa mallimootori abil. Saate kohandada m\u00f5\u00f5dikuid ja v\u00e4lju juhtpaneeli kaudu ning platvorm toetab oluliste pahatahtliku tarkvara v\u00f5i kahtlaseid andmeid sisaldavate failide m\u00e4rgendamist.<\/li>\n<li><strong>Toimivus<\/strong>: Lisage igale loodud juhtumile \u00fcks kuni tuhat vaadeldavat objekti, sealhulgas v\u00f5imalus importida neid otse MISP-i s\u00fcndmusest v\u00f5i mis tahes platvormile saadetud hoiatusest, samuti kohandatav klassifikatsioon ja filtrid.<\/li>\n<\/ul>\n<figure><img decoding=\"async\" alt=\"The-hive\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2024-01\/the-hive.jpeg\" title=\"\" width=\"\"><figcaption>\n<p align=\"center\"><span><span lang=\"ES\">Allikas: <\/span><\/span><span lang=\"ES-MX\"><a href=\"https:\/\/thehive-project.org\/\"><span lang=\"ES\">TheHive<\/span><\/a><\/span><\/p>\n<\/figcaption><\/figure>\n<h2>GRR Rapid Response<\/h2>\n<p><a href=\"https:\/\/github.com\/google\/grr\">GRR Rapid Response<\/a> on intsidentide lahendamise raamistik, mis v\u00f5imaldab reaalajas kaugforensilist anal\u00fc\u00fcsi. See kogub ja anal\u00fc\u00fcsib kaugelt s\u00fcsteemidest forensilisi andmeid, et h\u00f5lbustada k\u00fcberturvalisuse uurimisi ja intsidentide lahendamise tegevusi. GRR toetab erinevate forensiliste andmete kogumist, sealhulgas failis\u00fcsteemi metaandmeid, m\u00e4lusisaldust, registriteavet ja muid artefakte, mis on intsidentide anal\u00fc\u00fcsiks \u00fcliolulised. See on ehitatud suuremahuliste juurutuste jaoks, muutes selle eriti sobivaks ettev\u00f5tetele, kellel on mitmekesised ja ulatuslikud IT-infrastruktuurid.<\/p>\n<p>See koosneb kahest osast: kliendist ja serverist.<\/p>\n<p>GRR klient juurutatakse s\u00fcsteemidesse, mida soovite uurida. Igale neist s\u00fcsteemidest, p\u00e4rast juurutamist, p\u00e4rib GRR klient perioodiliselt GRR-i esiotsa serveritelt, et kontrollida, kas need t\u00f6\u00f6tavad. T\u00f6\u00f6ga m\u00f5eldakse konkreetse toimingu t\u00e4itmist: faili allalaadimist, kataloogi loetlemist jne.<\/p>\n<p>GRR serveri infrastruktuur koosneb mitmest komponendist (esiotsad, t\u00f6\u00f6lised, kasutajaliidese serverid, Fleetspeak) ja pakub veebip\u00f5hist graafilist kasutajaliidest ning API-punkti, mis v\u00f5imaldab anal\u00fc\u00fctikutel ajastada klientidel toiminguid ning kogutud andmeid vaadata ja t\u00f6\u00f6delda.<\/p>\n<figure><img decoding=\"async\" alt=\"GRR-Rapid-Response\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2024-01\/grr-rapid-response.jpeg\" title=\"\" width=\"\"><figcaption>\n<p align=\"center\"><span><span lang=\"ES\">Allikas: <\/span><\/span><span lang=\"ES-MX\"><a href=\"https:\/\/github.com\/google\/grr\">GRR Rapid Response<\/a><\/span><\/p>\n<\/figcaption><\/figure>\n<h2>Operatsioonis\u00fcsteemide anal\u00fc\u00fcsimine <\/h2>\n<h3>HELK<\/h3>\n<p><a href=\"https:\/\/thehelk.com\/intro.html\">HELK<\/a> ehk The Hunting ELK on loodud selleks, et pakkuda turvaspetsialistidele p\u00f5hjalikku keskkonda proaktiivseks ohujahi pidamiseks, turbeintsidentide anal\u00fc\u00fcsimiseks ja neile reageerimiseks. See kasutab ELK-i kuhja j\u00f5udu koos t\u00e4iendavate t\u00f6\u00f6riistadega, et luua mitmek\u00fclgne ja laiendatav turvaanal\u00fc\u00fcsi platvorm.<\/p>\n<p>See \u00fchendab erinevaid k\u00fcberturvalisuse t\u00f6\u00f6riistu \u00fchtseks platvormiks ohujahi ja turvaanal\u00fc\u00fcsi jaoks. Selle peamised komponendid on Elasticsearch, Logstash ja Kibana (ELK-i kuhja), mida kasutatakse laialdaselt logide ja andmete anal\u00fc\u00fcsiks. HELK laiendab ELK-i kuhja, integreerides t\u00e4iendavaid turvat\u00f6\u00f6riistu ja andmeallikaid, et parandada selle v\u00f5imekust ohtude tuvastamisel ja intsidentide lahendamisel.<\/p>\n<p>Selle eesm\u00e4rk on uurimist\u00f6\u00f6, kuid selle paindliku disaini ja p\u00f5hikomponentide t\u00f5ttu saab seda \u00f5igete konfiguratsioonide ja skaleeritava infrastruktuuriga juurutada ka suuremates keskkondades.<\/p>\n<figure><img decoding=\"async\" alt=\"Helk\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2024-01\/helk.jpeg\" title=\"\" width=\"\"><figcaption>\n<p align=\"center\"><em><span><span lang=\"ES\">Allikas: <\/span><\/span><span lang=\"ES-MX\"><a href=\"https:\/\/thehelk.com\/intro.html\">HELK<\/a><\/span><\/em><\/p>\n<\/figcaption><\/figure>\n<h2>Volatility<\/h2>\n<p><a href=\"https:\/\/www.volatilityfoundation.org\/\">Volatility Framework<\/a> on kogum t\u00f6\u00f6riistu ja teeke digitaalsete artefaktide ekstraheerimiseks, arvasite \u00e4ra, s\u00fcsteemi volatiilsest m\u00e4lust (RAM). Seet\u00f5ttu kasutatakse seda laialdaselt digitaalses forensikas ja intsidentide lahendamises, et anal\u00fc\u00fcsida kompromiteeritud s\u00fcsteemide m\u00e4luj\u00e4ljendeid ja ekstraheerida v\u00e4\u00e4rtuslikku teavet k\u00e4imasolevate v\u00f5i m\u00f6\u00f6dunud turvaintsidentide kohta.<\/p>\n<p>Kuna see on platvormist s\u00f5ltumatu, toetab see m\u00e4luj\u00e4ljendeid erinevatest operatsioonis\u00fcsteemidest, sealhulgas Windows, Linux ja macOS. T\u00f5epoolest, Volatility suudab anal\u00fc\u00fcsida ka virtualiseeritud keskkondade, n\u00e4iteks VMware v\u00f5i VirtualBoxi loodud m\u00e4luj\u00e4ljendeid, pakkudes seel\u00e4bi \u00fclevaadet nii f\u00fc\u00fcsilistest kui ka virtuaalsetest s\u00fcsteemiseisunditest.<\/p>\n<p>Volatilityl on plugin-p\u00f5hine arhitektuur \u2013 see on varustatud rikkaliku komplekti sisseehitatud pluginatega, mis katavad laia valiku forensilisi anal\u00fc\u00fcse, kuid v\u00f5imaldab kasutajatel ka selle funktsionaalsust laiendada, lisades kohandatud pluginaid.<\/p>\n<figure><img decoding=\"async\" alt=\"Volatility\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2024-01\/volatility.jpeg\" title=\"\" width=\"\"><figcaption>\n<p align=\"center\"><em><span><span lang=\"ES\">Allikas: <\/span><\/span><span lang=\"ES-MX\"><a href=\"https:\/\/www.volatilityfoundation.org\/\">Volatility<\/a><\/span><\/em><\/p>\n<\/figcaption><\/figure>\n<h2>Kokkuv\u00f5te<\/h2>\n<p>Nii et siin see on. \u00dctlematagi selge, et blue\/red team harjutused on organisatsiooni kaitse valmisoleku hindamiseks h\u00e4davajalikud ja seega olulised tugeva ja t\u00f5husa turbe strateegia jaoks. Selle harjutuse k\u00e4igus kogutud rikkalik teave annab organisatsioonidele tervikliku \u00fclevaate nende turbeolukorrast ja v\u00f5imaldab neil hinnata oma turvaprotokollide t\u00f5husust.<\/p>\n<p>Lisaks m\u00e4ngivad blue teamid k\u00fcberturvalisuse vastavuse ja reguleerimise valdkonnas v\u00f5tmerolli, mis on eriti oluline tugevalt reguleeritud t\u00f6\u00f6stusharudes, nagu tervishoid ja rahandus. Blue\/red team harjutused pakuvad ka realistlikke koolitusstsenaariume turvaspetsialistidele ja see praktiline kogemus aitab neil oma oskusi tegelike intsidentide lahendamisel lihvida.<\/p>\n<p>Kumba meeskonda sa registreerud?<\/p>\n<p class=\"wls-source\"><a href=\"https:\/\/www.welivesecurity.com\/en\/business-security\/blue-team-toolkit-6-open-source-tools-corporate-defenses\/\" rel=\"nofollow noopener\" target=\"_blank\">Loe t\u00e4ismahus anal\u00fc\u00fcsi WeLiveSecurity veebist \u2192<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Siin on, kuidas blue team hoiab eemal red teameriid ja m\u00f5ned avatud l\u00e4htekoodiga t\u00f6\u00f6riistad, mida ta v\u00f5ib kasutada ettev\u00f5tte kaitsekihtide leidmiseks.<\/p>\n","protected":false},"author":5,"featured_media":8570,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2896],"tags":[],"class_list":["post-8571","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-arilahendused"],"acf":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/posts\/8571","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/comments?post=8571"}],"version-history":[{"count":1,"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/posts\/8571\/revisions"}],"predecessor-version":[{"id":9213,"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/posts\/8571\/revisions\/9213"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/media\/8570"}],"wp:attachment":[{"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/media?parent=8571"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/categories?post=8571"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/et\/wp-json\/wp\/v2\/tags?post=8571"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}