Играли когда-нибудь в такие компьютерные игры, как Halo или Gears of War? Если да, то вы точно замечали игровой режим Захват флага, где две команды сражаются друг с другом – одна защищает флаг, а другая пытается его украсть.
Такие упражнения организации тоже используют, чтобы оценить свою способность обнаруживать кибератаки, реагировать на них и смягчать их последствия. Действительно, эти симуляции помогают выявить слабые места в системах, людях и процессах организации, прежде чем злоумышленники смогут ими воспользоваться. Имитируя реальные киберугрозы, эти упражнения позволяют специалистам по безопасности оттачивать процедуры реагирования на инциденты и усиливать защиту от постоянно меняющихся угроз.
В этой статье мы в общих чертах рассмотрим, как эти две команды сражаются друг с другом и какие open-source инструменты может использовать защищающаяся сторона. Для начала – супербыстрый экскурс в роли команд:
- Красная команда (Red Team) играет роль атакующего и использует тактики, схожие с теми, что применяют реальные злоумышленники. Выявляя и используя уязвимости, обходя защиту организации и компрометируя ее системы, эта имитация атак дает организациям бесценное представление о слабых местах их киберзащиты.
- Синяя команда (Blue Team), тем временем, берет на себя оборонительную роль, стараясь обнаружить и пресечь вторжения противника. Это включает, помимо прочего, развертывание различных инструментов кибербезопасности, отслеживание сетевого трафика на предмет аномалий или подозрительных паттернов, анализ логов, генерируемых различными системами и приложениями, мониторинг и сбор данных с отдельных конечных точек, а также быстрое реагирование на любые признаки несанкционированного доступа или подозрительного поведения.
Кстати, есть еще и фиолетовая команда (Purple Team), которая полагается на совместный подход и объединяет как наступательные, так и оборонительные действия. Способствуя коммуникации и сотрудничеству между атакующей и обороняющейся командами, это совместное усилие позволяет организациям выявлять уязвимости, тестировать средства контроля безопасности и улучшать общую безопасность благодаря еще более комплексному и унифицированному подходу.
Теперь вернемся к синей команде. Оборонительная сторона использует различные open-source и проприетарные инструменты для выполнения своей миссии. Давайте рассмотрим несколько инструментов из первой категории.
Инструменты для анализа сети
Arkime
Arkime – это масштабная система для поиска и захвата сетевых пакетов (PCAP), разработанная для эффективной обработки и анализа данных сетевого трафика. Она имеет интуитивно понятный веб-интерфейс для просмотра, поиска и экспорта PCAP-файлов, а ее API позволяет напрямую скачивать и использовать данные сессий в формате PCAP и JSON. Таким образом, она позволяет интегрировать данные со специализированными инструментами захвата трафика, такими как Wireshark, на этапе анализа.
Arkime спроектирована для развертывания на множестве систем одновременно и может масштабироваться для обработки десятков гигабит трафика в секунду. Обработка больших объемов данных PCAP зависит от доступного дискового пространства сенсора и масштаба кластера Elasticsearch. Обе эти составляющие могут быть расширены по мере необходимости и полностью контролируются администратором.
Источник: Arkime
Snort
Snort – это open-source система предотвращения вторжений (IPS), которая отслеживает и анализирует сетевой трафик для обнаружения и предотвращения потенциальных угроз безопасности. Широко используемая для анализа трафика в реальном времени и логирования пакетов, она применяет набор правил, которые помогают определить вредоносную активность в сети, обнаруживает пакеты, соответствующие такому подозрительному или вредоносному поведению, и генерирует оповещения для администраторов.
Согласно информации на главной странице, Snort имеет три основных сценария использования:
- трассировка пакетов
- логирование пакетов (полезно для отладки сетевого трафика)
- система предотвращения сетевых вторжений (IPS)
Для обнаружения вторжений и вредоносной активности в сети Snort использует три набора глобальных правил:
- правила для сообщества: доступны любому пользователю бесплатно и без регистрации.
- правила для зарегистрированных пользователей: зарегистрировавшись в Snort, пользователь получает доступ к набору правил, оптимизированных для выявления более специфичных угроз.
- правила для подписчиков: этот набор правил не только обеспечивает более точное выявление и оптимизацию угроз, но и позволяет получать обновления об угрозах.
Источник: Snort
Инструменты управления инцидентами
TheHive
TheHive – это масштабируемая платформа реагирования на инциденты безопасности, предоставляющая совместное и настраиваемое пространство для обработки инцидентов, расследований и реагирования. Она тесно интегрирована с MISP (Malware Information Sharing Platform) и облегчает задачи центров безопасности (SOC), команд реагирования на компьютерные инциденты (CSIRT), команд экстренного реагирования на компьютерные инциденты (CERT) и любых других специалистов по безопасности, сталкивающихся с инцидентами безопасности, требующими быстрого анализа и действий. Таким образом, она помогает организациям эффективно управлять инцидентами безопасности и реагировать на них.
Три функции делают ее такой полезной:
- Сотрудничество: Платформа способствует совместной работе аналитиков SOC и CERT в реальном времени. Она облегчает интеграцию текущих расследований в дела, задачи и наблюдаемые объекты. Члены команды могут получать доступ к соответствующей информации, а специальные уведомления о новых событиях MISP, оповещения, отчеты по электронной почте и интеграции с SIEM дополнительно улучшают коммуникацию.
- Детализация: Инструмент упрощает создание дел и связанных с ними задач с помощью эффективного механизма шаблонов. Вы можете настраивать метрики и поля через панель управления, а платформа поддерживает тегирование важных файлов, содержащих вредоносное ПО или подозрительные данные.
- Производительность: Добавляйте от одного до тысяч наблюдаемых объектов к каждому созданному делу, включая возможность импортировать их непосредственно из события MISP или любого оповещения, отправленного на платформу, а также настраиваемую классификацию и фильтры.
Источник: TheHive
GRR Rapid Response
GRR Rapid Response – это фреймворк для реагирования на инциденты, который обеспечивает удаленный анализ криминалистических данных в реальном времени. Он удаленно собирает и анализирует криминалистические данные с систем для содействия расследованиям кибербезопасности и мероприятиям по реагированию на инциденты. GRR поддерживает сбор различных типов криминалистических данных, включая метаданные файловой системы, содержимое памяти, информацию реестра и другие артефакты, которые имеют решающее значение для анализа инцидентов. Он создан для работы в крупномасштабных развертываниях, что делает его особенно подходящим для предприятий с разнообразной и обширной ИТ-инфраструктурой.
Он состоит из двух частей: клиента и сервера.
Клиент GRR развертывается на системах, которые вы хотите исследовать. На каждой из этих систем, после развертывания, клиент GRR периодически опрашивает серверы GRR, чтобы убедиться, что они работают. Под «работой» подразумевается выполнение конкретного действия: загрузка файла, перечисление каталога и т. д.
Инфраструктура серверов GRR состоит из нескольких компонентов (frontend, workers, UI servers, Fleetspeak) и предоставляет веб-интерфейс и API-endpoint, которые позволяют аналитикам планировать действия на клиентах, а также просматривать и обрабатывать собранные данные.
Источник: GRR Rapid Response
Анализ операционных систем
HELK
HELK, или The Hunting ELK, предназначен для предоставления комплексной среды для специалистов по безопасности с целью проактивного поиска угроз, анализа событий безопасности и реагирования на инциденты. Он использует мощь стека ELK вместе с дополнительными инструментами для создания универсальной и расширяемой платформы аналитики безопасности.
Он объединяет различные инструменты кибербезопасности в единую платформу для поиска угроз и аналитики безопасности. Его основные компоненты – Elasticsearch, Logstash и Kibana (стек ELK), которые широко используются для анализа логов и данных. HELK расширяет стек ELK, интегрируя дополнительные инструменты безопасности и источники данных для повышения его возможностей обнаружения угроз и реагирования на инциденты.
Он предназначен для исследований, но благодаря своей гибкой конструкции и основным компонентам может быть развернут в больших средах с правильными настройками и масштабируемой инфраструктурой.
Источник: HELK
Volatility
Volatility Framework – это набор инструментов и библиотек для извлечения цифровых артефактов из, как вы уже догадались, волатильной памяти (RAM) системы. Поэтому он широко используется в цифровой криминалистике и реагировании на инциденты для анализа дампов памяти с скомпрометированных систем и извлечения ценной информации, связанной с текущими или прошлыми инцидентами безопасности.
Поскольку он независим от платформы, он поддерживает дампы памяти из различных операционных систем, включая Windows, Linux и macOS. Volatility также может анализировать дампы памяти из виртуализированных сред, таких как созданные VMware или VirtualBox, и таким образом предоставлять информацию о состоянии как физических, так и виртуальных систем.
Volatility имеет плагинную архитектуру – он поставляется с богатым набором встроенных плагинов, охватывающих широкий спектр криминалистического анализа, но также позволяет пользователям расширять его функциональность, добавляя пользовательские плагины.
Источник: Volatility
Заключение
Вот и все. Само собой разумеется, что учения blue/red team имеют важное значение для оценки готовности обороны организации и, следовательно, жизненно важны для надежной и эффективной стратегии безопасности. Богатство информации, собранной в ходе этого упражнения, дает организациям целостное представление об их состоянии безопасности и позволяет оценить эффективность их протоколов безопасности.
Кроме того, синие команды играют ключевую роль в обеспечении соответствия требованиям кибербезопасности и нормативным актам, что особенно важно в строго регулируемых отраслях, таких как здравоохранение и финансы. Учения blue/red team также предоставляют реалистичные сценарии обучения для специалистов по безопасности, и этот практический опыт помогает им отточить свои навыки в реальном реагировании на инциденты.
В какую команду вы запишетесь?