Iată cum se apără „Blue team” de cei din „Red team” și câteva instrumente open-source pe care le pot folosi pentru a identifica fisurile din apărarea infrastructurilor IT business.

Ați jucat vreodată jocuri pe calculator, cum ar fi Halo sau Gears of War? Dacă da, ați observat cu siguranță modul de joc  „Capture the Flag”, care pune două echipe una împotriva celeilalte, una dintre ele fiind delegată să protejeze steagul de adversarii care încearcă să-l captureze.

Acest tip de exercițiu este, de asemenea, folosit de organizații pentru a-și evalua capacitatea de a detecta, de a răspunde și de a atenua un atac cibernetic. Într-adevăr, aceste simulări sunt esențiale pentru identificarea punctelor slabe asociate cu sistemele, angajații și procesele companiilor înainte ca atacatorii să profite de ele. Prin simularea unor amenințări cibernetice realiste, aceste exerciții permit, de asemenea, practicienilor din domeniul securității cibernetice să perfecționeze procedurile de răspuns la incidente și să își consolideze apărarea împotriva provocărilor de securitate în continuă evoluție.

În acest articol, am analizat, în linii mari, modul în care cele două echipe se duelează și ce instrumente open-source poate folosi partea defensivă. Iată o prezentare rapidă a rolurilor celor doi adversari:

• „Red team” joacă rolul atacatorului și utilizează tactici similare celor folosite de actorii de amenințări din lumea reală. Identificând și exploatând vulnerabilitățile, ocolind apărarea organizației și compromițând sistemele acesteia, simularea oferă organizațiilor informații neprețuite despre fisurile din armura lor cibernetică.
• Între timp, „Blue team” își asumă rolul defensiv, urmărind să detecteze și să zădărnicească acțiunile adversarului. Acest lucru implică, printre altele, utilizarea diferitelor instrumente de securitate cibernetică, urmărirea traficului de rețea pentru a detecta orice anomalii sau tipare suspecte, examinarea jurnalelor generate de diferite sisteme și aplicații, monitorizarea și colectarea de date de la endpoint-urile individuale și reacția rapidă la orice semn de acces neautorizat sau comportament suspect.

Ca o notă aparte, există, de asemenea, o echipă „Purple” care folosește o abordare colaborativă și care reunește atât activități ofensive, cât și defensive. Prin încurajarea comunicării și a cooperării între echipele ofensive și defensive, acest efort comun permite organizațiilor să identifice vulnerabilitățile, să testeze controalele de securitate și să își îmbunătățească poziția generală de securitate printr-o abordare și mai cuprinzătoare și mai unificată.

Revenind la „Blue team”, partea defensivă utilizează o varietate de instrumente open-source și proprietare pentru a-și îndeplini misiunea. Iată câteva astfel de instrumente din prima categorie.

Instrumente de analiză a rețelei

Arkime

Conceput pentru manipularea și analizarea eficientă a datelor de trafic de rețea, Arkime este un sistem de căutare și interceptare a pachetelor de date (PCAP) la scară largă. Dispune de o interfață web intuitivă pentru navigarea, căutarea și exportul fișierelor PCAP, în timp ce API-ul său vă permite să descărcați și să utilizați direct datele PCAP și datele de sesiune în format JSON. În acest fel, permite integrarea datelor cu instrumente specializate de captare a traficului, cum ar fi Wireshark, în timpul etapei de analiză.

Arkime este conceput pentru a fi implementat pe mai multe sisteme simultan și poate fi scalat pentru a gestiona zeci de gigabiți/secundă de trafic. Gestionarea de către PCAP a unor cantități mari de date se bazează pe spațiul disponibil pe disc al senzorului și pe scara clusterului Elasticsearch. Ambele caracteristici pot fi extinse în funcție de necesități și se află sub controlul deplin al administratorului.

Sursa: Arkime

Snort

Snort este un sistem open-source de prevenire a intruziunilor (IPS) care monitorizează și analizează traficul de rețea pentru a detecta și preveni potențialele amenințări la adresa securității. Utilizat pe scară largă pentru analiza traficului în timp real și pentru înregistrarea pachetelor de date, acesta utilizează o serie de reguli care ajută la definirea activității rău intenționate în rețea, permițând să găsească pachetele care corespund unui astfel de comportament suspect sau rău intenționat și generând alerte pentru administratori.

Conform descrierii publicate pe pagina lor web, Snort are trei cazuri principale de utilizare:

• urmărirea pachetelor de date
• înregistrarea acestora (utilă pentru analiza traficului de rețea)
• sistem de prevenire a intruziunilor în rețea (IPS)

Pentru descoperirea intruziunilor și a activităților rău intenționate în rețea, Snort are trei seturi de reguli globale:

• reguli pentru utilizatorii comunitari: cele care sunt disponibile pentru orice utilizator fără costuri și fără înregistrare
• reguli pentru utilizatorii înregistrați: prin înregistrarea unui cont în Snort, utilizatorul poate accesa un set de reguli optimizate pentru a identifica amenințări mult mai specifice
• reguli pentru abonați: acest set de reguli nu numai că permite o identificare și o optimizare mai precisă a amenințărilor, dar vine și cu posibilitatea de a primi actualizări privind amenințările.

Sursa: Snort

Instrumente de gestionare a incidentelor

TheHive

TheHive este o platformă scalabilă de răspuns la incidente de securitate care oferă un spațiu colaborativ și personalizabil pentru activitățile de gestionare, investigare și răspuns la incidente. Este strâns integrată cu MISP (Malware Information Sharing Platform) și ușurează sarcinile centrelor de operațiuni de securitate (SOC), ale echipelor de răspuns la incidente de securitate informatică (CSIRT), ale echipelor de răspuns la urgențe informatice (CERT) și ale oricăror alți profesioniști din domeniul securității care se confruntă cu incidente de securitate care trebuie analizate și asupra cărora trebuie să se acționeze rapid. Ca atare, ajută organizațiile să gestioneze și să răspundă eficient la incidentele de securitate.

Există trei caracteristici care îl fac atât de util:

• Colaborarea: Platforma promovează colaborarea în timp real între analiștii SOC și cei ai echipei de intervenție în caz de urgență informatică (CERT). Aceasta facilitează integrarea investigațiilor în curs de desfășurare în cazuri, sarcini și elemente observabile. Membrii pot accesa informații relevante, iar notificările speciale pentru noile evenimente MISP, alertele, rapoartele prin e-mail și integrările SIEM îmbunătățesc și mai mult comunicarea.
• Elaborare: Instrumentul simplifică crearea cazurilor și a sarcinilor asociate prin intermediul unui motor de șabloane eficient. Puteți personaliza parametrii și câmpurile prin intermediul unui tablou de bord, iar platforma acceptă etichetarea fișierelor esențiale care conțin malware sau date suspecte.
• Performanță: Adăugați de la unul până la mii de elemente observabile la fiecare caz creat, având inclusiv opțiunea de a le importa direct dintr-un eveniment MISP sau din orice alertă trimisă către platformă, precum și clasificarea și filtrele personalizabile.

Sursa: TheHive

GRR Rapid Response

GRR Rapid Response este un framework de răspuns la incidente care permite analiza criminalistică la distanță în timp real. Acesta colectează și analizează de la distanță date criminalistice din sisteme pentru a facilita investigațiile de securitate cibernetică și activitățile de răspuns la incidente. GRR suportă colectarea diferitelor tipuri de date criminalistice, inclusiv metadatele sistemului de fișiere, conținutul memoriei, informațiile din registru și alte artefacte care sunt esențiale pentru analiza incidentelor. Este construit pentru a face față implementărilor pe scară largă, ceea ce îl face deosebit de potrivit pentru companiile cu infrastructuri IT diverse și extinse.

Este alcătuit din două părți, un client și un server.

Clientul GRR este implementat pe sistemele pe care doriți să le investigați. Pe fiecare dintre aceste sisteme, odată implementat, clientul GRR interoghează periodic serverele frontend GRR pentru a verifica dacă acestea funcționează. Prin „funcționalitate” se înțelege executarea unei acțiuni specifice: descărcarea unui fișier, enumerarea unui director etc.

Infrastructura serverului GRR este formată din mai multe componente (frontend-uri, workers, servere UI, Fleetspeak) și oferă o interfață grafică bazată pe web și un endpoint API care permite analiștilor să programeze acțiuni asupra clientului, să vizualizeze și să proceseze datele colectate.

Sursa: GRR Rapid Response

Analiza sistemelor de operare

HELK

HELK, sau The Hunting ELK, este conceput pentru a oferi un mediu cuprinzător pentru threat hunting proactiv, pentru a analiza evenimentele de securitate și pentru a răspunde la incidente. Acesta valorifică puterea stack-ului ELK împreună cu instrumente suplimentare pentru a crea o platformă versatilă și extensibilă de analiză a securității.

Aceasta combină diverse instrumente de securitate cibernetică într-o platformă unificată pentru threat hunting și analiza securității. Componentele sale principale sunt Elasticsearch, Logstash și Kibana (stack ELK), care sunt utilizate pe scară largă pentru analiza jurnalelor și a datelor. HELK extinde stack-ul ELK prin integrarea unor instrumente suplimentare de securitate și a unor surse de date pentru a-i spori capacitățile de detectare a amenințărilor și de răspuns la incidente.

Scopul său este de cercetare, dar, datorită designului său flexibil și componentelor sale de bază, poate fi implementat în medii mai mari cu configurații adecvate și o infrastructură scalabilă.

Sursa: HELK

Volatility

Volatility Framework este o colecție de instrumente și biblioteci pentru extragerea de artefacte digitale din memoria volatilă (RAM) a unui sistem. Prin urmare, este utilizat pe scară largă în domeniul criminalisticii digitale și cel al răspunsului la incidente pentru a analiza memory dumps din sistemele compromise și pentru a extrage informații valoroase legate de incidente de securitate în curs sau cele din trecut.

Deoarece este independent de platformă, suportă memory dumps de la o varietate de sisteme de operare, inclusiv Windows, Linux și macOS. Într-adevăr, Volatility poate analiza, de asemenea, memory dumps din mediile virtualizate, cum ar fi cele create de VMware sau VirtualBox, oferind astfel informații despre stările sistemelor fizice și virtuale.

Volatility are o arhitectură bazată pe plugin-uri. Vine cu un set bogat de plugin-uri încorporate care acoperă o gamă largă de analize criminalistice, dar permite, de asemenea, utilizatorilor să își extindă funcționalitatea prin adăugarea de plugin-uri personalizate.

Sursa: Volatility

Concluzie

Este de la sine înțeles că exercițiile celor două echipe („Red team” și „Blue team”) sunt esențiale pentru a evalua gradul de pregătire a apărării unei organizații și, ca atare, sunt vitale pentru o strategie de securitate robustă și eficientă. Multitudinea de informații colectate pe parcursul acestui exercițiu oferă organizațiilor o viziune holistică asupra poziției lor de securitate și le permite să evalueze eficacitatea protocoalelor lor de securitate.

În plus, echipele „Blue” joacă un rol esențial în ceea ce privește conformitatea și reglementarea în materie de securitate cibernetică, ceea ce este deosebit de important în industriile foarte reglementate, cum ar fi sănătatea și finanțele. Exercițiile echipelor „Blue” și „Red” oferă, de asemenea, scenarii de formare realiste pentru profesioniștii din domeniul securității, iar această experiență practică îi ajută să își perfecționeze abilitățile de răspuns real la incidente.